Архив рубрики ‘IT’

Всем привет. Некоторое время назад я писал про плохие сценарии двухфакторной аутентификации, и как это можно попробовать исправить. Настало время немного покодить.
(далее…)

Похоже, в микрософте прочитали обзор на северокорейский десктопный дистриб, и решили, что им тоже надо добавить в виндовс (которая десяточка) немного тоталитарности и диктатуры.

Теперь пользователь не может добавлять некоторые записи в файл hosts на собственной машине.

Microsoft лишила пользователей операционной системы Windows 10 возможности безопасно применять популярный способ блокировки телеметрии – слежки за действиями пользователей и отправки данных на серверы корпорации.

отныне при попытке редактирования штатными средствами Windows файла hosts защита ОС не позволяет сохранить изменения. Пользователю демонстрируется сообщение «Операция не была завершена успешно так как файл содержит вирус или потенциально опасное программное обеспечение». Если же изменить его любым другим способом, то системный антивирус Defender выдаст сообщение о выявлении угрозы «SettingsModifier:Win32/HostsFileHijack».

То есть виндовс вам при попытке отчекрыжить ей телеметрию будет нагло врать, что у вас якобы обнаружены несуществующие вирусы. Хотя нет, один вирус таки на машинах с виндовс-10 точно есть — это сама виндовс.

Я для себя давно решил, что никакие игры, программы или сторонние сервисы не могут стоить того, чтобы идти на такие уступки мелкомягким. Не их собачье дело решать за пользователя, какие сервисы у него будут работать. И нет, тупые отмазки, что «телеметрия встроена в виндовс и защищена лицензионным соглашением» — не катят.

GitHub, на котором удобно выкладывать всякие скрипты и исходники, сделал себе мега-параноидальную оффлайн-копию в Арктике.

Два моих крохотных репозитория, nix-Scripts и DM-Crypt-Helper подошли под условия резервирования, так что я теперь «✷ Arctic Code Vault Contributor», копия моих скриптов теперь лежит на плёночном оффлайн-бэкапе в Арктике. ;]

Притащили тут древний девайс — циско 6504E. При старте эта зверь-машина выпадала в rommon и не грузилась.
Если вам интересны подобные железяки — велкам.
(далее…)

Всем привет. Сегодня я расскажу про одну особенность некоторых управляемых свитчей D-Link.
Если вам интересны такие железки — продолжение под катом.
(далее…)

Тема троянов-шифровальщиков, вымогающих деньги за расшифровку пользовательских данных, никуда не делась, а лишь развивается и обрастает новыми техниками. Мои читатели наверняка помнят, что я сторонник качественных и изначально качественно настроенных систем, к которым виндовсы явно не относятся. Их крайне небезопасные дефолтные настройки, принятые как компромис совместимости ещё в конце 90-х/начале нулевых, так и продолжают оставаться источником больших проблем до сих пор, хотя часть их и была пофиксена.

Злоумышленники этим вовсю пользуются. Однако злодеи тоже весьма ленивы, и хотят максимум прибыли при минимуме затрат.
Но что делать, когда старый вредонос хоть и держит жертв крепко за яйки, но давно палится кем только можно, а новый и денег стоит, да и вообще неизвестная неведомая штука ? И кибер-негодяи наши потрясающее решение:

Sophos:: Ragnar Locker deploy VM to dodge security

Правильно, если у клиента есть комп с виндовс, и там есть антивирус, то надо втащить заражённому клиенту не просто троян, а целую виртуальную машину с трояном, внутри которой никакого антивируса не будет !

Схема атаки получается примерно такая:

RagnarLocker from-VM Attack scheme

Конечно, для такой радости нужны толстые каналы — придется совокупно скачать под 400 Мб данных — 120 Мб весит виртуалка и 280 образ системы. То есть при запуске дроппер делает такую вещь — ищет VirtualBox, если не находит — ставит его (причём очень древнюю перепакованную версию 3.x), скачивает образ протрояненной ВМ, содержащий очень урезанный Windows-XP-Micro, гостевые аддоны и собственно троян, в настройках этой ВМ подключает как доступные на запись каталоги все диски локального хоста (разделы с данными, сетевые диски, флешки). Дальше ВМ запускается в фоне без интерфейса с помощью VBoxHeadless и запущенный внутри неё троян сразу начинает шифровать всё интересное из подключенных снаружи дисков через механизм «Общих папок». Соответственно, всему ценному на таком хакнутом хосте наступает полный рубидий.

Базовая мера защиты — отключение работы под админом и работа с правами обычного пользователя — уже почти полностью исключила бы такой сценарий. Как минимум, никаких сносов точек восстановления и установки софтин, особенно древних версий. Даже локальный бэкап, но делаемый по уму отдельным юзером, и то был бы в этом случае в безопасности.

Так что следует быть крайне внимательным ко всему исполняемому, что может запуститься на машине — будь то программы, скрипты или даже внедрённый код каких-нибудь макросов, которые тоже тут недавно воскресли из небытия.

Делайте бэкапы, используйте адекватные реалиям и нормально настроенные системы.

win10.Нинцзюцу

Posted: 2020-05-17 in IT, Security
Метки:

Всем привет. Сегодня мы познакомимся с очень японским и очень боевым искусством скрытности и шпионажа, что с лунного читается как «нинцзюцу». Именно так называется достаточно необычный «типа пентестерский» дистриб, попавшийся мне на глаза на хабре.
(далее…)

Всем привет. Сегодня я разберу такую интересную штуку, как мошенническое приложение, созданное для обмана других мошенников =)

(далее…)

linux (fedora) russian console fix 🐧

Posted: 2020-05-13 in IT
Метки:

!! актуально только для работ в голой консоли (tty*), НЕ xterm|konsole|*xterm
/* в графических оболочках и так всё работает */

Чтобы вместо квадратиков был нормальный русский текст в оболочках по Ctrl-Alt-F2..F5.

Вместо установки пакета workaround-cyrillic-console прописываем такое в профиль:

echo setfont cyr-sun16 >> ~/.bashrc

для всех юзеров, кому нужна такая фича.
Проще, прозрачнее и понятнее, чем пакеты или даже юниты systemd.
рабочий хак отсюда: https://www.linux.org.ru/forum/general/11227064?cid=11227512

Обнаружил тут на одной из нод кластера проксмокса примерно такую пургу в логах ( journalctl -f ):

node1-proxmox rrdcached[id]: queue_thread_main: rrd_update_r (/var/lib/rrdcached/...) failed with status -1. (/var/lib/rrdcached/...: illegal attempt to update using time 1380729396 when last update time is 1380730627 (minimum one second step))

Гугление привело на сайт проксмокса:
https://forum.proxmox.com/threads/solved-rrdc-update-error.16256/

Однако помимо очевидного момента с необходимостью проверки одинаковости времени и работоспособности NTP, есть ещё одна связанная проблема. Похоже, иногда обновление этих файлов RRD (в них содержится статистика по нагрузке для построения графиков в веб-морде) как-то ломается, и данные перестают обновляться. Один из симптомов этого — при логине на некоторые ноды статистика по загрузке CPU/Mem/Net/IO некоторых контенеров/ВМ в веб-морде будет рисовать пустой график с датами на оси от 1970-01-01.

Для фикса этой беды помогает вот такая команда:
find /var/lib/rrdcached/ -type f -mtime +5 -delete;

Она удалит из кэша RRD-файлы статистики, не обновлявшиеся более 5 дней. Не бойтесь удалить данные существующего объекта — если объект есть, новый файл будет создан заново. Никаких демонов и процессов при этом перезапускать не надо. Выполнить лучше на всех нодах.
Заодно это удалит архив старой статистики от давно удалённых виртуалок и старых точек монтирования.

После этого графики нагрузки снова начали отображаться, а ошибка «… illegal attempt to update using time … minimum one second step …» перестала сыпаться в логи.

Казалось бы, что прям такого плохого может быть в такой малозначительной, на первый взгляд, ошибке, как невозможность обновить статистику, что я решил об этом написать ?

В моём случае на проблемной ноде висел контейнер с игровым сервером UT’99. И в процессе гамания раз в 2-3 минуты клиенты подвисали в воздухе, иногда отображался индикатор потери связи с сервером. При этом в системных логах внутри самого контейнера, в логах гейм-сервера, на сетевых интерфейсах и в *top-ах никакого особого криминала не наблюдалось.

И проявилось это только на последнем апдейте проксмокса из ветки 5.4. Аналогично, это могло подействовать на любые реалтайм-сервисы схожим образом.

P.S. Вариант не ставить секурити-апдейты даже не рассматривается =)

День бэкапа !

Posted: 2020-03-31 in По жизни, IT
Метки:,

Угрозы разные и злые,
Придут оттуда, где не ждёшь.
Блюди ты правила простые
И не впадай при краше в дрожь.

Бэкапь всегда, бэкапь везде
От данных до конфигов.
Угрозам, взломам и беде
Тогда покажешь фигу.

Одни лишь данные бэкапить —
Почти что преступление.
Чтобы прод не профакапить,
Копируй окружение.

Обновляй бэкапы данных
Регулярно и везде.
Если нет их актуальных
Непременно быть беде.

Проверять восстановление
Данных из бэкапа
Не привыкло поколение —
Это грешновато.

По расписанию бэкапь
И не забудь проверить.
Машина тоже может встать,
Не нужно слепо верить.

Не доверяй бэкап коллеге,
Не доверяй его скриптам.
Верна одна лишь из стратегий:
Бэкапы есть? Проверь их сам!

Делай реплики БД
Серьёзно и синхронно.
Это фору даст тебе
В случае урона.

Делай дампы SQL —
Перебдеть не бойся.
Если что они тебе
Уменьшат беспокойство.

Если в облако загружен
Весь коммерческий массив,
То бэкап как воздух нужен, —
В облаках бывает слив.

Снятый с базы каждый дамп
Не откладывай устало.
В жизни может статься так:
Дампы есть, а данных мало.

Дампы в базу ты залей,
Прочекай актуальность.
Нет иных других путей,
Прими совет как данность.

Скорость доступа к бэкапам
Познаётся в форс-мажоре.
Так не будь головотяпом —
Протестируй априори.

Во избежание факапов
Помни про три-два-один:
Сделай ровно три бэкапа,
На два носителя закинь.
Одну копию бери
И вне офиса храни.

Если прод на хостинг А
Разместил культурно,
Не тащи бэкап туда,
Это не секьюрно.

Потащи на хостинг Б,
Застрахуйся, друже,
Избежишь вагон проблем
И кидков похуже.

Я не поэт, но я скажу стихами:
Бэкапы есть — не будете лохами.

выдрал отсюда: https://habr.com/ru/company/regionsoft/blog/494938/?utm_campaign=494938&utm_source=habrahabr&utm_medium=rss

Сделайте бэкап сегодня. Да, вот прямо вот сейчас.

… и получил поддержку нескольких ключей без траты очков ДНК !

Вирусы-шифровальщики продолжают активно развиваться.
Буквально вчера я писал о зафиксированном случае двойного проникновения криптования.

Оказалось, что там всё несколько интереснее.

Жертва, потеряв доступ к своим файлам в результате атаки вируса, начинает судорожно искать решения в интернетах, и может найти такие странные программы, которые обещают просканить зашифрованные файлы и попытаться помочь с расшифровкой или поиском решения.

Авторы таких поделий активно косят под антивирусных «экшпертофф».
На практике же в самом наилучшем случае прога просто будет симулировать работу и рекламировать контакты посредников, в худшем — закриптует ваши файлы ещё раз, возможно, необратимо их испортив.

Так что если вас накрыло вирусом-шифровальщиком, это не повод расслабляться, и всякие такие сторонние софтины если уж и запускать — то исключительно в отдельной виртуальной машине, иначе можно пострадать ещё сильнее и глубже.

О второй интересной фиче тоже сообщили завсегдатаи антивирусных форумов. Раньше было как — взаимодействие с кибервымогателем шло по схеме «всё или ничего». Либо нет ключа, и поциент сосёт йух, либо ключ есть, и он таки расшифровывает все свои файлы. То есть дифференциация была только между компами. Заразился соседний комп в локалке — отдельный ключ, отдельный выкуп. Теперь же новая супер-модная тенденция — дифференцировать ключи по типам файлов.

Попав на машину, вирус генерит в пределах оной машины (то есть на одно заражение) несколько разных ключей под разные задачи. Хотите расшифровать офисные файлы — купите один ключик, говно-базы говно-данных (файловые 1С, аццесс) — купите ещё один ключик, за фотографии — купите третий ключик. Число ключей и вариантов ограничено только фантазией злоумышленника.
По случаю годовщины ограбления крупного банка возможна скидка — каждый 4-й ключ бесплатно =]

Совокупная стоимость владения виндовс начинает расти угрожающими темпами. Не надейтесь на антивирусы, учитесь делать бэкапы.

Сегодня я немного расскажу про принтеры, сетевую печать, кривые драйверы, и как их сперва самому сломать, а потом самому же и починить.
Думаю, будет полезным.
(далее…)

💰 Бэкапим 1Cfresh

Posted: 2020-02-28 in IT
Метки:

Всем привет. Сегодня я немного расскажу про такую вещь, как бэкапы с облачного хостинга для 1C от 1cfresh.com . Если интересно — двигаем в подкат.
(далее…)

Думаете, вирусы-шифровальщики давно ушли, оставшись в прошлом ?
А вот и нет. Они научились работать последовательно, причиняя двойной дамаг файлам, нервам, и кошельку.

Нашел пример особо эпического попадоса :

>> Зашифрованы файлы рабочего стола и расшаренной папки.
>> Названия стали типа График отпусков.xls[graff_de_malfet@protonmail.ch][
>> ].fjh.id-7ED6683D.[magicswordhero@aol.com].msh

здесь было двойное шифрование, вначале идет шифрование [graff_de_malfet@protonmail.ch][].fjh скорее всего Cryakl CS 1.8,

затем id-7ED6683D.[magicswordhero@aol.com].msh — это уже шифрование в Crysis.

судя по маркеру в зашифрованном файле 00000000020000000CFE7A410000000000000000000000002000000000000000

это действительно Crysis #Dharma

Оба криптовальщика используют стойкие реализации, так что тут либо нормальные бэкапы (а не та суррогатная муйня, когда бэкапные сервера глубоко введены в ту же уязвимую AD-инфраструктуру, что и всё остальное), либо платить два жирных выкупа негодяям и молиться, чтобы совокупная стоимость владения виндовс не выросла ещё больше в обоих случаях не кинули с ключами, что регулярно случается.

Довелось тут немного поремонтировать телефон 📱, и после сброса настроек обнаружил такое неприятное поведение — раз в примерно минуту издавался звук уведомления. При этом он не соответствовал звуку из настроек и гасился только уменьшением громкости звука типа «мультимедиа».
(далее…)

Сегодня мы посмотрим одну весьма известную операционку взглядом доброго админа. Да, речь идёт про MacOS X — проприетарную ось для современных яблочных компьютеров. Если вам это интересно — продолжение под катом.
Apple
(далее…)

Всем привет, и сегодня мы снова поговорим про локальный мониторинг.

Сегодня будем добавлять бесперебойник и управляемый свитч в локальный KSysGuard.
Кому интересно — заходим =)
(далее…)

Всем привет.
Сегодня я гляну очередной гос-болгенос. Типа сертифицированный, весь такой отечественный и всё такое.
Понятно, что внутри будет очередной пингвин, но я решил поделиться с читателями своими впечатлениями.
(далее…)

Windows 10 LTSB

Posted: 2019-12-30 in IT, Software
Метки:

Всем привет. Относительно давно я уже блевал в сторону виндофс-10, с тех пор кое-что поменялось, и можно подвести некие промежуточные итоги.
(далее…)

Решил тут для себя, что для хранения большой коллекции всякого интересного, типа залежей фильмов, музыки и игрушек, нужно что-то более надёжное, чем одиночный диск, но при этом я не готов настраивать ежесуточное резервирование такой фигни.

(далее…)

#freesisoev

Posted: 2019-12-14 in По жизни, IT
Метки:,

Всем привет. Тут случилась эпическая история — рейдерско-бандитский наезд на компанию Nginx Inc и Игоря Сысоева, автора и ведущего разработчика веб-сервера nginx. Если интересны мои мысли на этот счёт — велкам.
(далее…)

Понадобилось тут получить от дизайнера одну картинку в SVG.
Оказалось, что после перехода на версию CorelDraw под MacOS с сохранением svg есть проблемы — файл создаётся, но при открытии в браузере пишет ошибку такого типа:

This page contains the following errors:

error on line 20 at column 2: Encoding error
Below is a rendering of the page up to the first error.

Корень проблемы оказался в русскоязычных именах внутренних объектов, да ещё и сохранённых в кривой кодировке:

Убираем из значений атрибутов строчки с не-английскими символами — и наш SVG сразу же начинает работать как надо и везде отображаться.
Кошмар разных кривых кодировок, пришедший к нам ещё из эпохи DOS, был бережно сохранён в системах windows до наших дней и будет ещё долго аукаться подобными проблемами на ровном месте.

Если значение проблемного атрибута написать по-русски, но в UTF-8 — всё работает как надо.
Но лучше внутри таких штук избегать не-английских символов — в этом случае риск нарваться на проблемы гораздо меньше.

🐧 KSysGuard + NVidia GPU

Posted: 2019-10-27 in Hardware, IT
Метки:, ,

Всем привет. Если на вашей машине стоит линух, и вы хоть раз заглядывали в мониторинг тулзой ksysguard, то могли заметить, что кроме списка процессов и общих графиков по загрузке CPU, памяти и сети можно добавлять ещё и свои вкладки. Но по умолчанию там есть только внутрисистемные датчики и те аппаратные сенсоры, которые видит ядро (это прежде всего всякие сенсоры материнской платы о температурах, оборотах кулера и напряжениях питания).
Однако туда можно прикрутить и датчики от других устройств, самое интерсное из которых — видеокарта.
(далее…)

Всем привет. Сегодня я немного поделюсь впечатлениями от мощных точек доступа WiFi отечественного производителя — компании Eltex.
У них много всякого железа, и первый раз я познакомился с их продукцией на примере Voip-шлюзов и свитчей доступа MES, оставшись ими более чем доволен.
Если вам интересно про их беспроводные железяки — лезем под кат.
(далее…)