Эта история — художественный вымысел. Все совпадения с реальностью случайны. Не нарушайте законодательство.

Процветает в городе Н-ске одна компания, которая занимается аудитом в финансовой сфере и попутно оказывает юридические услуги. Работает в этой компании сисадмин Василий, большую часть времени проводя в своём маленьком подвальчике с почётным названием «Серверная». Это и вправду был подвал, или, как модно говорить, цокольный этаж, но помимо двенадцати серверов там ещё располагались стеллажи с архивными документами и всяким хламом вроде новогодних украшений, одноразовой посуды, старых офисных принадлежностей и неработающей техники.

Утром, пока сотрудники мчались в офис по пробкам, проклиная погоду, понедельник и коммунальные службы, Вася вальяжно подходил к кулеру, пополняя запасы кипятка в термокружке, немытой со времен динозавров, и возвращался в своё кресло. С коллегами Василий общаться не любил и делал это только в случае крайней необходимости. Чаще всего поводами выбраться из уютной серверной были принтер, зажевавший бумагу, или отказавшийся работать телефон. Новые работники порой даже не подозревали о существовании Васи, но ровно до тех пор, пока у них что-нибудь не поломается.

Превыше всего, помимо одиночества, Василий ценил комфорт и возможность заниматься своими делами. Поэтому в серверной всегда были кофе и еда, в углу стояла старая раскладушка, а на кресле лежала протёртая до дыр мягкая подушка с Гомером Симпсоном. Большую часть работы сисадмин автоматизировал, иногда читал форумы и искал применение своим талантам. Коллеги думали, что Василий живёт на работе, хотя и ничего не делает.

Вот в компании наступил очередной понедельник, такой же суетный и напряжённый, как и все понедельники. Василий преспокойненько сидел, покачиваясь в своём кресле, читал очередной пост на «Хабре» и потягивал ароматный напиток «3 в 1», как вдруг в серверную ворвалась взволнованная Людмила Семеновна:

— «Вася, я куда-то нажала и всё зависло!» — выпалила она дежурный набор слов.

Делать нечего — придётся разбираться. Нехотя поднялся Василий на второй этаж, прошел по коридору и распахнул двери в святая святых бухгалтерию. Увидев в дверях Василия, дамы судорожно стали срывать с мониторов стикеры с паролями. Запоминать такие мелочи им было лень, да и не проверял никто, кроме сисадмина. И вот, прочитав очередную лекцию о том, как пользоваться учётной записью, что можно, а что нельзя, Василий сел за компьютер бухгалтера. В такие моменты он чувствовал себя настоящим врачом, который приходит в палату к давно знакомому пациенту с набором хронических заболеваний. Знакомый «пациент» сильно тормозил, поэтому Василий решил проверить ресурсы в диспетчере задач. В числе прочего, его внимание привлек неизвестный процесс, который с большим упорством грузил ЦПУ. Это неспроста. Нужно было выяснить, что могло к этому привести, но Людмила Семеновна ничего путного сказать не могла и словно в бреду, почти беззвучно бормотала что-то про отчёт. Тут внимание Василия привлекла подключенная к компьютеру флэшка: «Зачем я только их разрешил?!» — подумал слегка раздраженный сисадмин.

На вопрос Василия о флэшке Людмила Семеновна, к удивлению, ответила довольно внятно: «Сегодня на ресепшене лежала, я подумала, что наша.»

— «Ну хорошо, вот нашли вы чужую флэшку. А что она у вас в компьютере делает?» — грозно спросил Вася.
— «На ресепшене чужой не будет, а те, что выдают — вечно ломаются. Тем более она пустая.» — невозмутимо ответила Людмила Семеновна.
— «Ну, а дальше что?»
— «Ну что, через какое-то время появилось окно, там нужно было логин и пароль ввести. Ну я и ввела, только не закрылось. А потом все зависло, а я отчёт не сохранила ещё. Ну я сразу к тебе …»
— «@!#$*^» — подумал Василий, представляя масштабы трагедии.
— «Дамы, запоминаем: незнакомые диски, флэшки и прочие внешние носители в компьютер не вставляем, даже если очень надо и очень хочется. Открытые документы в процессе редактирования периодически сохраняем, чтобы потом не было мучительно больно их переделывать.» — напомнил сисадмин. Дамы испуганно закивали.

Четыре месяца назад Василий проходил обучение в «Корпоративных лабораториях Pentestit», поэтому знал, что делать: отключил сетевой кабель, изъял флэшку, создал образ жёсткого диска и отправился в серверную, где приступил к анализу утилитой для компьютерной криминалистики. Помимо процесса, который грузил систему, в систему проник исполняемый файл, который прописался в автозагрузку и имитировал окно проверки безопасности Windows. Это Василий узнал, просмотрев реестр:

Файл и запрашивал информацию об учетной записи пользователя, но после ввода данных окно открывалось снова. Проанализировав малварь, Василий вышел на запускаемый им процесс, который открывал соединение с неизвестным ему хостом, но внутри локальной сети.

— «Какого @!#$*^ это делает в сетке?!» — подумал Василий.

Вполне вероятно, что на этот хост отправлялись введённые учётные данные:

Также Василий заметил, что при подключении съемного накопителя с doc-файлами вредоносный код отправляет их на тот же сервер, но на другой URL.

Немного поразмыслив, он пришёл к выводу, что это происки хакеров, и решил действовать. При обращении к этому хосту ничего не происходило, только отображалась «заглушка». При сканировании с помощью DIRB’а удалось найти каталог Upload:

Василий попробовал отправить на удаленный сервер PHP-скрипт с реверс-шеллом вместо ожидаемого doc-файла:

вызвал его через командную строку:

и получил доступ:

Осмотревшись в системе, в директории Upload Василий нашел множество doc-файлов, которые принадлежали другой компании и явно говорили о том, что владелец веб-сервера не понаслышке знает об информационной безопасности и, возможно, имеет отношение к взломам. Василий немедленно сообщил о своей находке директору. Тот внимательно выслушал его, поблагодарил за проявленную бдительность и сказал, что сейчас в компании проходит пентест, о котором его не предупредили для большей реалистичности. Но Василий отлично справился и заслужил премию. Кажется, в этот момент Василий был абсолютно счастлив.

Но вдруг прозвенел будильник, с полки с грохотом упала одна из коробок со старыми дисками. Василий проснулся на стуле в серверной, на календаре было 31 декабря, и офис уже опустел. Нехотя поднявшись, он накинул куртку и поплёлся домой, прокручивая в голове странный сон. Выйдя на работу после длительных новогодних праздников, Василий первым делом отправился к директору и попросил записать его на курсы по информационной безопасности — чем чёрт не шутит.