Архив рубрики ‘IT’

День бэкапа !

Posted: 2020-03-31 in По жизни, IT
Метки:,

Угрозы разные и злые,
Придут оттуда, где не ждёшь.
Блюди ты правила простые
И не впадай при краше в дрожь.

Бэкапь всегда, бэкапь везде
От данных до конфигов.
Угрозам, взломам и беде
Тогда покажешь фигу.

Одни лишь данные бэкапить —
Почти что преступление.
Чтобы прод не профакапить,
Копируй окружение.

Обновляй бэкапы данных
Регулярно и везде.
Если нет их актуальных
Непременно быть беде.

Проверять восстановление
Данных из бэкапа
Не привыкло поколение —
Это грешновато.

По расписанию бэкапь
И не забудь проверить.
Машина тоже может встать,
Не нужно слепо верить.

Не доверяй бэкап коллеге,
Не доверяй его скриптам.
Верна одна лишь из стратегий:
Бэкапы есть? Проверь их сам!

Делай реплики БД
Серьёзно и синхронно.
Это фору даст тебе
В случае урона.

Делай дампы SQL —
Перебдеть не бойся.
Если что они тебе
Уменьшат беспокойство.

Если в облако загружен
Весь коммерческий массив,
То бэкап как воздух нужен, —
В облаках бывает слив.

Снятый с базы каждый дамп
Не откладывай устало.
В жизни может статься так:
Дампы есть, а данных мало.

Дампы в базу ты залей,
Прочекай актуальность.
Нет иных других путей,
Прими совет как данность.

Скорость доступа к бэкапам
Познаётся в форс-мажоре.
Так не будь головотяпом —
Протестируй априори.

Во избежание факапов
Помни про три-два-один:
Сделай ровно три бэкапа,
На два носителя закинь.
Одну копию бери
И вне офиса храни.

Если прод на хостинг А
Разместил культурно,
Не тащи бэкап туда,
Это не секьюрно.

Потащи на хостинг Б,
Застрахуйся, друже,
Избежишь вагон проблем
И кидков похуже.

Я не поэт, но я скажу стихами:
Бэкапы есть — не будете лохами.

выдрал отсюда: https://habr.com/ru/company/regionsoft/blog/494938/?utm_campaign=494938&utm_source=habrahabr&utm_medium=rss

Сделайте бэкап сегодня. Да, вот прямо вот сейчас.

… и получил поддержку нескольких ключей без траты очков ДНК !

Вирусы-шифровальщики продолжают активно развиваться.
Буквально вчера я писал о зафиксированном случае двойного проникновения криптования.

Оказалось, что там всё несколько интереснее.

Жертва, потеряв доступ к своим файлам в результате атаки вируса, начинает судорожно искать решения в интернетах, и может найти такие странные программы, которые обещают просканить зашифрованные файлы и попытаться помочь с расшифровкой или поиском решения.

Авторы таких поделий активно косят под антивирусных «экшпертофф».
На практике же в самом наилучшем случае прога просто будет симулировать работу и рекламировать контакты посредников, в худшем — закриптует ваши файлы ещё раз, возможно, необратимо их испортив.

Так что если вас накрыло вирусом-шифровальщиком, это не повод расслабляться, и всякие такие сторонние софтины если уж и запускать — то исключительно в отдельной виртуальной машине, иначе можно пострадать ещё сильнее и глубже.

О второй интересной фиче тоже сообщили завсегдатаи антивирусных форумов. Раньше было как — взаимодействие с кибервымогателем шло по схеме «всё или ничего». Либо нет ключа, и поциент сосёт йух, либо ключ есть, и он таки расшифровывает все свои файлы. То есть дифференциация была только между компами. Заразился соседний комп в локалке — отдельный ключ, отдельный выкуп. Теперь же новая супер-модная тенденция — дифференцировать ключи по типам файлов.

Попав на машину, вирус генерит в пределах оной машины (то есть на одно заражение) несколько разных ключей под разные задачи. Хотите расшифровать офисные файлы — купите один ключик, говно-базы говно-данных (файловые 1С, аццесс) — купите ещё один ключик, за фотографии — купите третий ключик. Число ключей и вариантов ограничено только фантазией злоумышленника.
По случаю годовщины ограбления крупного банка возможна скидка — каждый 4-й ключ бесплатно =]

Совокупная стоимость владения виндовс начинает расти угрожающими темпами. Не надейтесь на антивирусы, учитесь делать бэкапы.

Сегодня я немного расскажу про принтеры, сетевую печать, кривые драйверы, и как их сперва самому сломать, а потом самому же и починить.
Думаю, будет полезным.
(далее…)

💰 Бэкапим 1Cfresh

Posted: 2020-02-28 in IT
Метки:

Всем привет. Сегодня я немного расскажу про такую вещь, как бэкапы с облачного хостинга для 1C от 1cfresh.com . Если интересно — двигаем в подкат.
(далее…)

Думаете, вирусы-шифровальщики давно ушли, оставшись в прошлом ?
А вот и нет. Они научились работать последовательно, причиняя двойной дамаг файлам, нервам, и кошельку.

Нашел пример особо эпического попадоса :

>> Зашифрованы файлы рабочего стола и расшаренной папки.
>> Названия стали типа График отпусков.xls[graff_de_malfet@protonmail.ch][
>> ].fjh.id-7ED6683D.[magicswordhero@aol.com].msh

здесь было двойное шифрование, вначале идет шифрование [graff_de_malfet@protonmail.ch][].fjh скорее всего Cryakl CS 1.8,

затем id-7ED6683D.[magicswordhero@aol.com].msh — это уже шифрование в Crysis.

судя по маркеру в зашифрованном файле 00000000020000000CFE7A410000000000000000000000002000000000000000

это действительно Crysis #Dharma

Оба криптовальщика используют стойкие реализации, так что тут либо нормальные бэкапы (а не та суррогатная муйня, когда бэкапные сервера глубоко введены в ту же уязвимую AD-инфраструктуру, что и всё остальное), либо платить два жирных выкупа негодяям и молиться, чтобы совокупная стоимость владения виндовс не выросла ещё больше в обоих случаях не кинули с ключами, что регулярно случается.

Довелось тут немного поремонтировать телефон 📱, и после сброса настроек обнаружил такое неприятное поведение — раз в примерно минуту издавался звук уведомления. При этом он не соответствовал звуку из настроек и гасился только уменьшением громкости звука типа «мультимедиа».
(далее…)

Сегодня мы посмотрим одну весьма известную операционку взглядом доброго админа. Да, речь идёт про MacOS X — проприетарную ось для современных яблочных компьютеров. Если вам это интересно — продолжение под катом.
Apple
(далее…)

Всем привет, и сегодня мы снова поговорим про локальный мониторинг.

Сегодня будем добавлять бесперебойник и управляемый свитч в локальный KSysGuard.
Кому интересно — заходим =)
(далее…)

Всем привет.
Сегодня я гляну очередной гос-болгенос. Типа сертифицированный, весь такой отечественный и всё такое.
Понятно, что внутри будет очередной пингвин, но я решил поделиться с читателями своими впечатлениями.
(далее…)

Windows 10 LTSB

Posted: 2019-12-30 in IT, Software
Метки:

Всем привет. Относительно давно я уже блевал в сторону виндофс-10, с тех пор кое-что поменялось, и можно подвести некие промежуточные итоги.
(далее…)

Решил тут для себя, что для хранения большой коллекции всякого интересного, типа залежей фильмов, музыки и игрушек, нужно что-то более надёжное, чем одиночный диск, но при этом я не готов настраивать ежесуточное резервирование такой фигни.

(далее…)

#freesisoev

Posted: 2019-12-14 in По жизни, IT
Метки:,

Всем привет. Тут случилась эпическая история — рейдерско-бандитский наезд на компанию Nginx Inc и Игоря Сысоева, автора и ведущего разработчика веб-сервера nginx. Если интересны мои мысли на этот счёт — велкам.
(далее…)

Понадобилось тут получить от дизайнера одну картинку в SVG.
Оказалось, что после перехода на версию CorelDraw под MacOS с сохранением svg есть проблемы — файл создаётся, но при открытии в браузере пишет ошибку такого типа:

This page contains the following errors:

error on line 20 at column 2: Encoding error
Below is a rendering of the page up to the first error.

Корень проблемы оказался в русскоязычных именах внутренних объектов, да ещё и сохранённых в кривой кодировке:

Убираем из значений атрибутов строчки с не-английскими символами — и наш SVG сразу же начинает работать как надо и везде отображаться.
Кошмар разных кривых кодировок, пришедший к нам ещё из эпохи DOS, был бережно сохранён в системах windows до наших дней и будет ещё долго аукаться подобными проблемами на ровном месте.

Если значение проблемного атрибута написать по-русски, но в UTF-8 — всё работает как надо.
Но лучше внутри таких штук избегать не-английских символов — в этом случае риск нарваться на проблемы гораздо меньше.

🐧 KSysGuard + NVidia GPU

Posted: 2019-10-27 in Hardware, IT
Метки:, ,

Всем привет. Если на вашей машине стоит линух, и вы хоть раз заглядывали в мониторинг тулзой ksysguard, то могли заметить, что кроме списка процессов и общих графиков по загрузке CPU, памяти и сети можно добавлять ещё и свои вкладки. Но по умолчанию там есть только внутрисистемные датчики и те аппаратные сенсоры, которые видит ядро (это прежде всего всякие сенсоры материнской платы о температурах, оборотах кулера и напряжениях питания).
Однако туда можно прикрутить и датчики от других устройств, самое интерсное из которых — видеокарта.
(далее…)

Всем привет. Сегодня я немного поделюсь впечатлениями от мощных точек доступа WiFi отечественного производителя — компании Eltex.
У них много всякого железа, и первый раз я познакомился с их продукцией на примере Voip-шлюзов и свитчей доступа MES, оставшись ими более чем доволен.
Если вам интересно про их беспроводные железяки — лезем под кат.
(далее…)

Я крайне редко рекомендую какие-то другие ресурсы явно.

Однако наткнулся тут на блог одного программиста, в чтение статей которого провалился на пол-ночи.

Вычислительная фотография
(я даже термин такой не встречал до этого, очень зачётно про современный пост-процессинг в фотокамерах)

Про не-умный дом
(ну это стандартная боль, нет устоявшихся открытых стандартов = пиздец)

и

про машинное обучение
Тут просто очень хорошо изложено про виды всего этого ИИ-хозяйства.

музей Яндекса

Posted: 2019-09-15 in По жизни, IT
Метки:,

Всем привет ! Сегодня мы снова немного затронем IT-археологию и старое железо. Еcли интересно — жмём ссылку ниже.
Фотки — конечно же, будут.
(далее…)

Есть в линуксе такой очень тёплый и очень ламповый файервол — iptables.
Присутствует он там уже 20 с лишним лет, и чаще всего используется либо в настройках по умолчанию, либо для классической раздачи инета через шлюзовой сервер посредством NAT/MASQUERADE. Иногда про него вспоминают, если поднятый сервис после старта оказался не доступен из инета =)

Однако есть у него и ряд совершенно чумовых возможностей. В одной заметке нереально уместить всё обилие фич и сценариев использования, появившихся за двадцатилетнюю историю, я же опишу лишь две из них.

IPSET.

Офигенная штука, когда надо работать с крупными списками адресов или список адресов должен быть использован более одного раза.
Пример — есть у нас список IP адресов (ркн, телеметрия майкрософт, копирасты, спамеры и прочие злыдни), с которыми соединяться не нужно даже случайно ни на вход, ни на выход. Список при этом может часто меняться. Размещать всю эту муру в основном конфиге файервола — сложно, неудобно и чревато поломкой сети в случае ошибки.
Что мы делаем ? Ставим пакет ipset, и пишем простейший скрипт типа такого:

#!/bin/sh

ipset -N banlist iphash
ipset -F banlist

# Spam bots
ipset -A banlist 92.127.233.224
ipset -A banlist 208.103.122.165
...
ipset -A banlist 95.101.95.129/25

А в начало конфига файервола пишем вот такое:
-A INPUT -m set --set banlist src -j DROP
-A OUTPUT -m set --set banlist dst -j DROP

Всё, любой входящий траффик с этих адресов и исходящий на них же будет дропаться с регистрацией в соответствующих счётчиках (iptables —list -vn). Важных замечаний ровно два. Первое — ипсеты использует такая лютая надстройка, как firewalld. Мне не очень нравится его развесистая лапша из таблиц, пытающаяся описать все распространённые случаи. Надо внимательно смотреть, что ипсеты правильно применились. Зато он полностью сам рулит ипсетами, правилами, последовательностью запуска и прочим. Но конфиг на выходе — в три экрана. Впрочем, ничто не мешает снести надстройку и написать свой конфиг файервола со скриптами, сетами и логгерами.
Второе — сеты должны быть созданы ДО запуска файервола. Как именно вы это сделаете — через юниты systemd, скриптами из rc.local или ещё как — не суть. Главное — конфиг с -m set сработает только тогда, когда используемый ipset будет создан (вполне может быть и пустым).

Очень полезная особенность — правка ipset-ов не рестартит файервол, не сбрасывает его счётчики, не трогает никакие другие правила, к ipset-у не относящиеся. В простых конфигах ipset может показаться лишней сущностью. Но для систем типа fail2ban или случая развесистых списков адресов для правил — вещь незаменимая.

-m owner

Ещё одна редко используемая, но тоже в ряде случаев полезная опция.
Идея в том, что ядро системы знает, какой исходящий траффик процессом какого пользователя порожден, и может на основании этого применить специфичную обработку траффика.
Вспомнил я про это, когда один из моих знакомых спросил, можно ли запустить некое виндовс-приложение в WINE так, чтобы он не могло вылезти в сеть.

В этом случае самое очевидное, и при этом весьма надёжное — отдельная виртуальная машина. Но это а) куда менее удобно б) требует ещё один инстанс ОС.
Однако есть и готовое решение, изумительно простое в своей изящности. Оно не столь надёжно, как изолированная ВМ без сетевой карты, но поставленную задачу тоже решает.
Идея в том, что iptables для исходящего траффика может различать траффик не только по пользователю, но и по его группе и даже по SELinux-контексту. Возня с отдельными пользователями под каждую софтину — неудобна и проблемна из-за прав доступа и вопросов доступа к X-серверу, SELinux сам по себе та ещё черная магия, а вот доступ на основе группы — это то, что доктор прописал.

Базовый ман для убунты на английскои тут: https://askubuntu.com/questions/249826/how-to-disable-internet-connection-for-a-single-process/393013#393013

Для редхатных чуть иначе.
Сперва создаем группу, которую будем назначать тем, кому надо ограничить сетевые аппетиты:

groupadd no-internet

Дальше делаем нашего пользователя членом этой группы:
usermod -G no-internet UserVasya
ВАЖНО !! Опция -G — заглавной буквой ! То есть мы добавляем пользователя UserVasya в группу no-internet, но ОСНОВНУЮ группу пользователя не меняем ! Если перепутать — пользователь останется с отломанным инетом.

В файлах это будет выглядеть вот так:

# cat /etc/group | grep UserVasya
UserVasya:x:1000:
no-internet:x:1011:UserVasya

# cat /etc/passwd | grep UserVasya
UserVasya:x:1000:1000:UserVasya:/home/UserVasya:/bin/bash

Тут у нас есть пользователь UserVasya c UID = 1000, его основная группа — тоже UserVasya, с GID = 1000. Но он также входит в группу no-internet c GID = 1011. Именно это членство позволит пользователю менять группу без ухищрений с судо и запросов паролей.

Теперь напишем сетевое правило для этой группы где-нибудь в начале фильтров для OUTPUT:

-A OUTPUT -m owner --gid-owner no-internet -j DROP

Тут мы говорим файерволу, что траффик, порожденный процессами c группой no-internet, надо тихо дропнуть.

А дальше мы просто воспользуемся утилитой sg (substitute group).

Примеры волшебных команд:

sg no-internet quake2
sg no-internet konsole
sg no-internet ~/.wine_radmin/radmin.sh
env WINEPREFIX=/home/user/.wine_ut2004 sg no-internet 'wine "C:\UT2004\System\UT2004.exe"'

При их выполнении приложения запустятся, но попытка зайти на игровые сервера, соединиться с серверами radmin или пропинговать что-то в запущенной таким способом консоли — завершится неудачей.

Однако это не является 100% способом !
Например, запущенный таким образом firefox группу не меняет, и остается с сетевым доступом !

Так что реально критичным сервисам — своя ВМ, со своим файерволом.

В следующий раз попрактикуемся в ч0рной магии.

Принесли тут пачку флешек San Disk Cruser Fit USB 3.1 с одними и теми же симптомами — режим только-чтение.

В инете полно тупейших «псевдо-инструкций», советующих то воспользоваться виндовым diskpart для очистки атрибутов раздела, то подсовывающих всякие высокоуровневые утилиты для работы с разделами или даже софт для восстановления данных. Вся эта херня, как и ожидалось, не работает.

А ответ находится на сайте у вот этих суровых профи:

Никаких производственных инструментов (в том числе и программ-прошивальщиков) для контроллеров Sandisk, не имеется в свободном доступе. Так что ни о какой реанимации флешек базирующихся на данных контроллерах (в основном производства самого Sandisk, Apacer и возможно еще кого-то), говорить не приходится. Единственное что можем мы сделать, это проголосовать кошельком, против сверх закрытой политики компании Sandisk. А именно, не покупать флешки от компании Sandisk, даже если Вам очень хочется модель Sandisk Extreme USB 3.0 Flash Drive или иную “одноразовую” флешку.

Ещё полезная информация есть в логе /var/log/messages, если воткнуть флешку в линуксовую машину:


Sep 4 1:12:24 hs1 kernel: usb 1-1.2: new high-speed USB device number 5 using ehci-pci
Sep 4 1:12:24 hs1 kernel: usb 1-1.2: New USB device found, idVendor=0781, idProduct=5583, bcdDevice= 1.00
Sep 4 1:12:24 hs1 kernel: usb 1-1.2: New USB device strings: Mfr=1, Product=2, SerialNumber=3
Sep 4 1:12:24 hs1 kernel: usb 1-1.2: Product: Ultra Fit
Sep 4 1:12:24 hs1 kernel: usb 1-1.2: Manufacturer: SanDisk
Sep 4 1:12:24 hs1 kernel: usb 1-1.2: SerialNumber: ...
Sep 4 1:12:24 hs1 kernel: usb-storage 1-1.2:1.0: USB Mass Storage device detected
Sep 4 1:12:24 hs1 kernel: scsi hs10: usb-storage 1-1.2:1.0

Sep 4 1:12:25 hs1 kernel: scsi 10:0:0:0: Direct-Access SanDisk Ultra Fit 1.00 PQ: 0 ANSI: 6
Sep 4 1:12:25 hs1 kernel: sd 10:0:0:0: Attached scsi generic sg5 type 0
Sep 4 1:12:25 hs1 kernel: sd 10:0:0:0: [sde] 60063744 512-byte logical blocks: (30.8 GB/28.6 GiB)
Sep 4 1:12:25 hs1 kernel: sd 10:0:0:0: [sde] Write Protect is on
Sep 4 1:12:25 hs1 kernel: sd 10:0:0:0: [sde] Write cache: disabled, read cache: enabled, doesn't support DPO or FUA
Sep 4 1:12:25 hs1 kernel: sde: sde1
Sep 4 1:12:25 hs1 kernel: sd 10:0:0:0: [sde] Attached SCSI removable disk

Ключевое тут — «Write Protect is on» для [sde], то есть для физического устройства. Попытка снять флаг с помощью hdparm (встречал и такой совет) напишет, что флаг снят:

# hdparm -r0 /dev/sde

/dev/sde:
setting readonly to 0 (off)
readonly = 0 (off)

Но поскольку hdparm делался для scsi/ide/sata устройств, которым можно послать ATA-команды, для usb-флешей это не прокатит, и на практике флешка не будет принимать никакие команды записи, и флаг не переключит. Файловая же система на таких флешках жива и монтируется, но с предупреждением «WARNING: device write-protected, mounted read-only.»

Так что сохраняйте чеки и меняйте это по гарантии. Внятных способов оживления таких носителей в настоящий момент не найдено.

срамосорм

Posted: 2019-08-29 in IT
Метки:

То, что рано или поздно должно было случиться, случилось.

На CC’2019 в одном докладе добрым человеком была раскрыта одна утечка данных из системы СОРМ. Сам дамп хоть и весьма отрывочен и криво распарсен, крайне интересен для изучения.

Помимо ошмётков http-траффика на 443-м порту, там есть ещё масса примеров работы шпионских мобилко-бэкдоров, траффик китайских троянов, и прочий занятный цифровой мусор. Слив номеров IMEI, версий софта, номеров телефонов тоже есть.

А вам правда всё ещё нечего скрывать ?

Всем привет. Сегодня мы поговорим про двухфакторную аутентификацию, или если более широко — о дополнительных способах усиления / защиты аккаунта через дополнительные факторы аутентификации.
Если вам интересна эта тема, и вам таки есть что скрывать, например данные вашей банковской карточки, приглашаю вас в избу-читальню.
(далее…)

Недавно одному клиенту вышележащий провайдер переслал одно интересное абузное письмо.

От: GOV-CERT.RU
Тема: Уведомление о зараженной ВПО ПЭВМ – [GOV-CERT.RU#]

Добрый день!

НКЦКИ располагает подтвержденными сведениями о внедрении ВПО типа
Trojan-Banker.Win32.RTM на объект, находящийся в адресном пространстве
вашей компании.

В период с 11 июня по 18 июля зафиксированы факты взаимодействия
представленного во вложении IP-адреса с центром удаленного управления
(C&C). Для получения IP-адресов C&C ВПО осуществляет запрос по адресу
hxxps://chain[.]so/api/v2/get_tx_received/BTC/ (IP-адреса 104.25.48.99,
104.25.47.99). В ответе содержится набор транзакций на счет криптокошелька.

Просим довести данные сведения до владельца указанного объекта для
принятия мер по реагированию на компьютерный инцидент.

О проведенных мероприятиях просим проинформировать.

С уважением,
Команда Национального координационного центра по компьютерным инцидентам
Сайт — http://cert.gov.ru/
Почта — gov-cert@gov-cert.ru
Телефон: +7 (916) 901-07-42

Chain.so — это вообще-то эксплорер по самым распространённым криптовалютам.
Конечно, там мог притулиться и C&C, но это совсем уж наглость, размещать C&C
на публичном проекте.

Современные трояны много чего умеют,
но зачем банкеру лазить в блокчейн — не очень понятно.
Такое поведение больше характерно для вирусов-шифровальщиков.

Тем не менее, gov-cert считает эту активность 100% относящейся к банковскому трояну
Trojan-Banker.Win32.RTM.

Обычно подобные письма раньше присылали всякие иностранные секурити-конторы
или автоматизированные IDS-системы. Оказывается, в России тоже создан такой центр,
и судя по письмам — даже начал заниматься чем-то внятным.

Сам троян Trojan-Banker.Win32.RTM тоже весьма интересен:

Троянец-банкер Arnold: TwoBee или не TwoBee

Его ключевая идея — подмена реквизитов для безналичной оплаты в файле обмена данными между банк-клиентом и 1С.
Дело в том, что при большом потоке документов на оплату интеграция банка и 1С обычно настраивается один раз классическим методом через текстовый файлик обмена данными, и забывается надолго. И вот этот вирус как раз таки мониторит обращения к этому файлу, и вместо реквизитов компании-получателя подставляет реквизиты мошенника-однодневки.

Техника весьма изящная и непалевная — с точки зрения банка, просто появляются платежи на новые реквизиты. С точки зрения 1С нечего не меняется — файл переписывается позже и другим процессом. С точки зрения антивируса — всё ок, клиентский софт переписал один-единственный текстовый файлик.

Активность в сторону chain.so выглядит на этом фоне особенно странно. Получается, либо gov-cert ошибся, либо там действительно приютился C&C, либо троян не только пиздит деньги из банк-клиента, но и готовится причинить жертве ещё более серьёзные проблемы. Была мысль, что это анализ именно криптовалютной активности (гэбня роет под юзеров крипты ?!), но для неё нет надёжных подтверждений на текущий момент.
Но есть ещё один весьма логичный вариант — вирусы научились хранить в блокчейне инфу о новом расположении C&C ! Это весьма новая техника для обеспечения доступности C&C, и если это так — мне крайне любопытно получить подтверждение этому, это мощное и очень красивое решение.

Вообще Gov-CERT создан для защиты государственных IT-систем ещё в 2012-м, и курирует его ФСБ.

Тем удивительнее было обнаружить, что они не ограничились защитой только госов и своей внутренней кухней, но и начали участвовать в информировании пострадавших о заражениях.
При этом они смогли избежать тёмного соблазна использовать всякие крипто-про и отечественную крипту в паблике — как и все нормальные cert-ы, используют для подписания писем PGP-ключ с вот таким iD: 4D72 E5BD EA7F 046E 6C33 FB86 B6B8 3E23 25D8 A13B , который выложен у них в контактах.

Что и разумно — гостайной и персданными инфа о червиях не является, а использовать устоявшиеся стандарты для защиты почты более чем логично.

Но само событие более чем любопытное, на него стоит обратить внимание — гос-CERT шлёт письмо провайдеру, что у него есть заражённый банковским трояном клиент, но в качестве примера активности указываются коннекты к блокчейн-эксплореру.

Вот такая вот странная фигня случилась. Если узнаю ещё чего интересное — добавлю в заметку.

Всем привет.
Полгода назад я уже писал о корпоративных зомбарях, считающих франкенштейна из виндофс-10 и диска 32 Гб рабочим, готовым к продаже решением. Оказалось, что эта тема вовсе не заглохла.

Там перлы в каждом абзаце. Сперва автор запускает на этом нечто-девайсе гниловс-10, прилетает крупный апдейт, место кончается, начинается лютое колдунство и шаманство в тяжких попытках выжать из раздела требуемое свободное место — снос бэкапов/контрольных точек, отключение швопа, удаление ранее поставленного софта, и как финальный аккорд — включение сжатия файловой системы для системного раздела.
Не знаю, как насчёт 30 лет назад, но сейчас, в 2019-м, я признаю сжатие только в изначально спроектированных под это дело специализированных файловых системах, таких как SquashFS. Там это работает изумительно. Во всех остальных случаях это существенный головняк как минимум со скоростью работы.

Дело в том, что времена, когда основным объемом данных были прекрасно сжимаемые текстовые файлы, прошли как раз примерно 30 лет назад. Сейчас у нас на ФС полно картинок, музыки, видео, инсталляторов, архивов (docx / xlsx / odt / ods — тоже архивы по сути) и прочих данных, совершенно не поддающихся сжатию. Исполнимые файлы и всякий текстовый PDF жмутся, но цена за это — резкий рост задержек и нагрузок. Но жест отчаяния вышел артистично, таки да.

А беда эта идёт от того, что в виндовс до сих пор нет менеджера пакетов. Не надо только мне говорить про шоколате !
Возможно, эта утилита и снижает уровень жжения в жопе от работы с гнидовс, но ей до менеджера пакетов — как папуасам карго-культа до Альфа-Центавры. То есть в общем случае ОС виндовс имеет лишь очень приблизительное представление, что творится в её кишках. То есть версию сервис-пака она конечно знает, и даже может знать, какие из апдейтов и софтин установлены, если в реестре что-нить не побилось. Но вот произвести чистую деинсталляцию что родного, что стороннего приложения, вернув систему в исходное состояние — то есть с полной вычисткой всех хвостов, штатными средствами невозможно. Точно также может оказаться предельно сложным или и вовсе нереальным обновить только один компонент из сервис-пака, не сломав всё остальное. Да даже просто сказать, какой файл каким апдейтом был обновлён — уже квест. Автор хабро-заметки знатно зарубился с ветряной мельницей.

Ещё виндовс не умеет убирать за собой. Ну вот поставился СП. Все работает. Месяц, два, три. Что мешает удалить ненужные файлы самостоятельно ?! Из-за такой нечистоплотности каталог виндовс, изначально немаленький, разпухает иной раз до каких-то совсем нереальных размеров. Ситуация, когда виндовс-10 может апдейтиться больше часа, вполне стала привычной, и даже SSD уже не спасает.

Меня же позабавило то, что у меня тоже были подобные случаи, но там не было виндовс, и решалось это несопоставимо проще.
Я просто расскажу, как это сделано у здоровых людей, на примере той же федоры.
Сперва о примерах. В моём случае у меня не было 32 Гб — на таком просторном накопителе я бы даже не заметил каких-либо проблем.
В первых двух случаях система ставилась на мелкий диск, я забил на lvm, и пожмотил места под корневую фс.
Раздел — 15 Гб в одном случае и 20 Гб во втором. Под всю систему вместе с софтом. Третий случай был экстремальный — 2 Гб весь винт, но это была тестовая платформа вообще без графики.
Понятное дело, что накатить крупные апдейты разом невозможно — места просто не хватит. В случае виндовс такая ситуация фатальна — штатная обновлялка не работает, а закат солнца вручную чреват перезагрузкой в синий экран и даже потерей данных.
Как же делаем мы в таком случае, если у нас ОС здорового человека ? Нет, мы ничего из софта по-крупному не сносим, не занимаемся удалением «косынок», не говоря уже о библиотеках и системном ПО. И швоп не отключаем. И даже не трогаем файловую систему.

Ключевые идеи такие:
— перенести кэш скачанного /var/cache/dnf на другой диск, можно внешний, и заменить его симлинком.
— если места совсем пипец как мало, меньше 200 Мб — расчистить логи/журнал/древние копии ядер, разгрести /var/tmp — может найтись так нужный в этой ситуации лишний гектар, чтобы не переставлять тяжелые пакеты.
— обновлять частями. Да, вместо dnf update делаем сперва серию dnf update a* b* с*, потом dnf update d* e* f* и в самом конце — завершающий и всеобщий dnf update. Это позволит разбить одну огромную транзакцию на несколько более мелких, и в итоге успешно обновиться. Поскольку пакетный менеджер стирает старые версии бинарей и кэшированные файлы после успешной установки, каждая успешно завершенная малая транзакция будет вам давать дополнительное место.
— Только в очень запущенном случае вам возможно придется снести и заново поставить после завершения апдейтов какой-нибудь один крупный пакет (типа либреоффиса, гимпа или виртуалбокса) — но для этого место должно быть выжрано почти под ноль.
Да, тут лучше снести таки офис / гимп / блендер — их реинсталл делается одной командой. А вот всякие виртуалбоксы и нвидиа-драйверы лучше так не мочить — нет смысла создавать себе лишние сложности.
— прочистить кэши с помощью dnf clean all и вернуть /var/cache/dnf на исходное место.

Самое зачетное, что даже переход на следующий релиз через dnf system-upgrade можно делать таким образом (но съемный диск надо будет добавить в /etc/fstab , таки да). Это совершенная ерунда по сравнению с той болью, что испытал автор заметки.

Ну и немного упомяну про идиотские советы, которые часто встречаются в комментариях от всяких левых «гуру».

— не разбивать диск. Исключительно тупой совет, независимо от ОС. Он был плох даже во времена MS-DOS.
Когда у вас пользовательские данные и системные файлы лежат в разных разделах — вы обладаете гораздо большей свободой действий в плане работ по системному разделу. Переустановка / миграция ОС, восстановление систем, проверки целостности, снятие образов системного тома, сохранение необходимого минимума свободного места под логи / кэши / апдейты — всё это на порядки проще и куда менее нервозно, когда у вас в той же ФС не болтается куча ценных пользовательских файлов.
То, что так делают вендоры — не означает, что так делать надо. Вендоры ставят виндовс-10 на ноут с целероном и 32 Гб ссд.

— не обновлять систему. Я очень угорел, что ещё есть люди, наивно верящие, что они вот сейчас настроят ОС, всё там вычистят и поотключают, снимут образ системного раздела и будут спать спокойно. Нет, фиг вам. Это работало в 90-х и немного в начале 2000-х. Сейчас это не работает так хорошо, как работало раньше. Необновленная ОС опасна и рискованна в применении, даже если это JunOS или Cisco IOS на магистральной железке. Со старой виндовс можно особенно запросто стать жертвой крипто-вымогателей. Особенно зачётно будет, если у вас в сети будет гулять червь, а в последнем образе будет дамп уязвимой версии системы — вы с него даже восстановиться безопасно не сможете, не прибегнув к дополнительным ухищрениям.

При этом сама идея снятия образов — вполне здравая. НО!! Только при условии их автоматического обновления и ротации версий. Так работают бэкап-системы для виртуальных машин. Если у вас есть +/- постоянно работающая система, которую вы бэкапите образом — то и её образ тоже надо актуализировать. Старый образ часто имеет нулевую ценность, а иногда даже весьма опасен.

— полагаться на чистильщики / твикеры / оптимизаторы. Я вообще этот софт считаю сугубо вспомогательным, а существенную его часть — просто мусорным. Чисто обычно там, где специально не серут. Где серут постоянно — дворник обычно не справляется.
Конечно, есть случаи, когда даже сильно усратую систему переставлять сильно не хочется. Но надо понимать, что после качественного заражения или глубокого осквернения всякими «амиго», майл-ру-агентами, спай-хантерами, кондуитами и прочим рекламно-адварным трешем, вычистить систему «в ноль», какой она была до заражения, чтобы вот прям ни одного лишнего ключа в реестре не осталось — это очень вряд ли. Тут как в медицине — лучше предотвратить, чем лечить. Увы, но в мире виндовс пока к этому не пришли.

Пользуйтесь хорошими системами, и да пребудет с вами Сила =)

Если вам не безразличны государевы потуги в борьбе со свободой интернета, то вам будут определённо интересны и возможные побочные эффекты, на которые почему-то редко обращают внимание. Подробности под катом.

(далее…)

Сегодня мы поговорим о таком компоненте любого компьютера, как блок питания. Казалось бы, там всё давно стандартизировано, обкатано, надёжно защищается и единственное, с чем можно ошибиться — это выбор мощности, числа коннекторов и уровня шума. Но это опасное заблуждение, которое может стоит вам много нервов и денег.
Если интересно — поток сознания под катом.
(далее…)