Category: сисадминское

ФБР опуб­ли­ко­ва­ло спи­сок «рус­ских» айпи адре­сов, с кото­рых про­ис­хо­дит ска­ни­ро­ва­ние важ­ных сетей на пред­мет уяз­ви­мо­стей.

Погля­дел логи сво­их фей­р­вол­лов на пред­мет соеди­не­ний с, и тут у меня дыбом вста­ла лыси­на, пото­му как весь фай­р­вол­лы ими бле­сте­ли. Начал смот­реть, и вижу, что какая-то пур­га. Это не ска­ни­ро­ва­ния, и это не рус­ские айпиш­ни­ки. Тут нава­лом леги­тим­ных айпи адре­сов, с кото­ры­ми любая орга­ни­за­ция ныне обща­ет­ся.

А потом я вспом­нил, что в Аме­ри­ке живу, и всё вста­ло на свои места. Это с пода­чи наших спец­служб мы про­спа­ли ⁹⁄₁₁. Это с их инфор­ма­ци­ей о хим­ла­бо­ра­то­ри­ях мы тряс­ли в ООН про­бир­ка­ми. Впро­чем, как пока­зы­ва­ют послед­ние собы­тия, тря­сти про­бир­ка­ми уме­ют не толь­ко аме­ри­кан­цы. А голо­со­вать на пень­ках — не толь­ко рос­си­яне. Обмен меж­ду­на­род­ным опы­том, одна­ко.

Давай­те я вам рас­ска­жу, как там на самом деле было. Какую-то орга­ни­за­цию поло­ма­ли, и кто-то умный ска­зал сисад­ми­ну выва­лить все логи фай­р­вол­ла, без раз­бо­ру. Пиши их, Миха­лыч, боль­ше — чо их, басур­ман, жалеть.

Деби­лы, блин. Рабо­тать с подоб­но­го рода инфор­ма­ци­ей реши­тель­но невоз­мож­но. Давай­те луч­ше у меня спро­си­те, кто кого ска­ни­ру­ет. У меня намно­го боль­ше полез­ной инфы будет.

Пом­нит­ся, у френ­дов было сете­вое обо­ру­до­ва­ние этой извест­ной фир­мы.

Пишут, что вирус-вымо­га­тель рос­сий­ско­го про­ис­хож­де­ния «Сай­к­лопс Блинк» напа­да­ет на роу­те­ры Асус.

Моде­ли, уяз­ви­мые к виру­су:

GT-AC5300 firmware under 3.0.0.4.386.xxxx
GT-AC2900 firmware under 3.0.0.4.386.xxxx
RT-AC5300 firmware under 3.0.0.4.386.xxxx
RT-AC88U firmware under 3.0.0.4.386.xxxx
RT-AC3100 firmware under 3.0.0.4.386.xxxx
RT-AC86U firmware under 3.0.0.4.386.xxxx
RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx
RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx
RT-AC3200 firmware under 3.0.0.4.386.xxxx
RT-AC2900 firmware under 3.0.0.4.386.xxxx
RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx
RT-AC87U (EOL)
RT-AC66U (EOL)
RT-AC56U (EOL)

Про­ве­ряй­те и немед­лен­но обнов­ляй­тесь, если нуж­но.

В логах фаер­вол­ла — про­сто ВЗРЫВ актив­но­сти. Ходют вся­кие, шшу­па­ют вся­кое. Очень мно­го рус­ских адре­сов или фирм-про­кла­док.

Неко­то­рых най­ти лег­ко. Вот, напри­мер, какая-то гни­да щупа­ла вся­кое с 94.232.45.12.

Это часть бло­ка 94.232.40.0 — 94.232.47.255.

Погля­дим, что за граж­дане:

inetnum: 94.232.40.0 — 94.232.47.255
netname: ORG-DP125-RIPE
country: RU
org: ORG-DP125-RIPE
person: Dmitriy Panchenko
address: Shirokaya street 1, bld. 4, apt. 15, 127282, Moscow, Russian Federation
phone: +79312206730

Дмит­рий Пан­чен­ко с ули­цы Широ­кой 1 кор­пус 4, квар­ти­ра 15, иди нах%й.

Дру­гие рабо­та­ют через фир­мы-про­клад­ки. Вот, напри­мер, меня щупа­ли с айпи адре­са 104.156.155.25. Чо за гни­ды? Целый блок адре­сов 104.156.155.0/24 заре­ги­стри­ро­ван на некую «Ака­де­мию интер­нет-иссле­до­ва­ний» (Academy of Internet Research LLC). А чо, про­ве­рен­ное имя уже, застолб­лён­ное. Такое же исполь­зо­ва­ли при­го­жин­ские трол­ли.

У них даже домен есть, academyforinternetresearch.org. Заре­ги­стри­ро­ван, прав­да, толь­ко в октяб­ре про­шло­го года. А адрес реги­стра­ции у них: 830 Буль­вар Ист Паль­мейл, что в Пальм­дей­ле, Кали­фор­ния.

Не знаю насчёт Ака­де­мий по это­му адре­су, в гуг­ло­мап­сах по это­му адре­су оби­та­ет какая-то подо­зри­тель­ная боде­га, пред­ла­га­ю­щая реги­стра­цию гомо­сек­су­аль­ных бра­ков, услу­ги нота­ри­уса, почты и денеж­ных пере­во­дов и про­чей ерун­ды. Вот толь­ко обме­на валю­ты не хва­та­ет для пол­но­го набо­ра. Ну, и мас­са­жа со «счаст­ли­вым кон­цом».

В‑общем, адрес этот, разу­ме­ет­ся, липо­вый.

В RIPE они зна­чат­ся как граж­дане, пред­ла­га­ю­щие услу­ги в Рос­сии.

У два­дца­ти семи машин в этом бло­ке нару­жу тор­чит ssh.

Ито­го име­ем тол­пу линук­со­вых машин с аме­ри­кан­ски­ми адре­са­ми, управ­ля­е­мых уда­лён­но ско­рее все­го из Рос­сии, щупа­ю­щие аме­ри­кан­ские адре­са на пред­мет вся­ко­го.

Я с рус­ски­ми не воюю. А они со мной — да.

По срав­не­нию с дово­ен­ны­ми вре­ме­на­ми гово­рить с рус­ски­ми род­ствен­ни­ка­ми ста­но­вит­ся всё слож­нее и слож­нее. Обоб­ще­ний не делаю, но мой опыт имен­но такой. Скайп уже не рабо­та­ет от сло­ва совсем. В таких слу­ча­ях я поль­зу­юсь теле­гой, и похо­ду, с ней тоже надо завя­зы­вать. Звук рабо­та­ет уже через пень-коло­ду, видео не рабо­та­ет вовсе. Воз­мож­но, что это из-за рез­ко сни­зив­шей­ся про­пуск­ной спо­соб­но­сти сети. Воз­мож­но. А воз­мож­но, у това­ри­ща май­о­ра не хва­та­ет мощ­но­сти пере­хва­ты­вать и обра­ба­ты­вать видео.

Вооб­ще, теле­га сама по себе подо­зри­тель­на. Уяз­ви­мо­стей в ней — ДОХЕРА и боль­ше. А учи­ты­вая, что граж­дане нари­со­ва­ли свою соб­ствен­ную крип­то­гра­фию, совер­шен­но не исклю­че­но, что там оста­ви­ли дыру для това­ри­ща май­о­ра. Да и крип­то­гра­фия там неоче­вид­ная — в одних чатах есть, в дру­гих нет, и что­бы узнать, что и где, надо читать доку­мен­та­цию. А эта показ­ная бегот­ня от Рос­ком­ге­ста­по — это был реклам­ный ход, что­бы завлечь туда людей, чью пере­пис­ку и надо читать това­ри­щу май­о­ру. Сей­час в теле­грам-кана­лах про вой­ну с Укра­и­ной рез­вит­ся тол­па самых раз­ных граж­дан. Рез­ви­тесь-рез­ви­тесь, ч0рный воро­нок с вашим име­нем уже заправ­лен топ­ли­вом и ждёт.

И фоточ­ка­ми в наше вре­мя акку­рат­нее надо обме­ни­вать­ся. По умол­ча­нию все фот­ки име­ют гео­таг. Так что если ты снял у себя дома фот­ку и отпра­вил её дру­гу, а това­рищ май­ор её пере­хва­тил — ну, теперь това­рищ май­ор зна­ет, где ты живёшь. Отклю­чай­те это немед­лен­но нахер.

Сумел матуш­ке нако­нец-то уда­лён­но поста­вить нор­маль­ный месен­жер, кото­рый ни одна спец­служ­ба мира пока не пере­хва­ты­ва­ет — Signal. Там пока рабо­та­ет и звук и видео. И крип­то­гра­фия там вез­де и все­гда, и исче­за­ю­щие сооб­ще­ния тоже есть (что­бы было, что пока­зать цеп­ным псам пре­ступ­но­го кго­ва­го­го при­жЫ­ма, если чо). Будем поль­зо­вать­ся им. Реко­мен­дую.

Надо будет ещё у себя под­нять VPN сер­вер. В вед­ро­и­дах вро­де как есть встро­ен­ный OpenVPN кли­ент? Настрою у себя сер­вер, обхо­дить Рос­ком­ге­ста­по, кото­рое навер­ня­ка уже нача­ло банить про­чих VPN про­вай­де­ров.

Ещё кру­че было бы суметь разо­брать­ся с VPN, кото­рый заво­ра­чи­ва­ет все паке­ты в HTTPS. Тогда даже понять, что это VPN, а не обыч­ный веб­сайт, не так-то про­сто.

В‑общем, будем думать.

Читать будет неин­те­рес­но, кро­ме как маньяк­ну­тым ком­пью­тер­щи­кам. Сугу­бо рабо­чее.

Вин­да ста­но­вит­ся всё более удоб­ной для рабо­ты. Хоро­шо, что на ней прак­ти­че­ски всё то, что мне нуж­но, рабо­та­ет «иско­роп­ки».

Смарт­кар­ты — пожа­луй­ста
Отсю­да же сра­зу, не вста­вая с дива­на, име­ем 2FA
Про­брос оных в сес­сию RDP — да лег­ко
ГПУ и про­чая КУДА с драй­ве­ра­ми — какие хошь, ибо никто не будет раз­ра­ба­ты­вать желе­зо, не рабо­та­ю­щее под Вин­дой.
Фото­шоп — отож.
Даже Фаер­фокс взял­ся за ум, и стал под­дер­жи­вать смарт­кар­ты с нуля. Рань­ше с ним надо было дол­го сово­куп­лять­ся, мини­мум в трёх пози­ци­ях.

А сего­дня я обна­ру­жил отлич­ную вишен­ку на тор­ти­ке — при уста­нов­лен­ных WSL и тер­ми­на­ле, мож­но поста­вить WSL как сре­ду тер­ми­на­ла по умол­ча­нию. И что мы име­ем с гуся? Теперь мож­но на любой пап­ке (ну, за исклю­че­ни­ем сете­вых, если они не смон­ти­ро­ва­ны) нажать «открыть в тер­ми­на­ле» — и у тебя сра­зу откры­ва­ет­ся WSL ров­но там, где надо. Без того, что­бы дол­го крю­чить­ся, пере­хо­дя в нуж­ную дирек­то­рию. Мож­но сра­зу делать вся­че­ский foreach, grep, и про­чий sed. Исклю­чи­тель­но удоб­но.

Часто моя рабо­та заклю­ча­ет­ся в быст­ром поис­ке про­блем. Всё это надо искать в логах, поэто­му без пол­но­цен­ной команд­ной обо­лоч­ки мне нику­да. Рань­ше я спа­сал­ся cygwin-ом, но если кто-то хоть раз про­бо­вал его обнов­лять или ста­вить допол­ни­тель­ный софт, зна­ет, какая это моро­ка. А в WSL это намно­го про­ще.

Мои попыт­ки перей­ти на Линукс окон­чи­лись ничем. Я впу­стую убил неде­лю, так и сумев нор­маль­но запу­стить… мно­го чего, но глав­ное, что не взле­те­ло — это Nvidia Quadro с дву­мя внеш­ни­ми мони­то­ра­ми, под­цеп­лен­ны­ми через раз­мно­жи­тель пор­тов с USBC-PD. Хотя я очень не нови­чок. А на вин­де… А на вин­де они у меня зара­бо­та­ли ещё на эта­пе уста­нов­ки (учи­тесь, блин, как надо делать нор­маль­ную под­держ­ку желе­за!) Пере­хо­дить на 11 вин­ду мне окон­ча­тель­но рас­хо­те­лось, так что оста­но­вил­ся на десят­ке + WSL.

Ещё бы WSL научил­ся под­дер­жи­вать пол­но­цен­ный нор­маль­ный FreeBSD вме­сто вся­ко­го крас­но­гла­зо­во­го… но это уже так, меч­ты 😉

Весь ИТ-отдел гудит как улей. Сего­дня наша стра­хо­вая ком­па­ния спу­сти­ла нам ука­зив­ку, что если к кон­цу Нояб­ря ВСЕ ИТ-сер­ви­сы не будут защи­ще­ны мно­го­фак­тор­ной аутен­ти­фи­ка­ци­ей, то они не будут про­дле­вать стра­хо­вой полис.

Это как раз такой слу­чай, когда «не было бы сча­стья, да несча­стье помог­ло». Двух­фак­тор­ную аутен­ти­фи­ка­цию я пла­ни­ро­вал вве­сти в строй уже почти год, но во-пер­вых, не дохо­ди­ли руки, а во-вто­рых, мне не дава­ли денег. А в‑третьих, я не хотел объ­яс­нять тупым юзве­рям, поче­му вдруг доступ к ресур­сам стал слож­нее.

А теперь — и денег дали, и дру­гие про­ек­ты ото­дви­ну­ли. И самое глав­ное — теперь мне не надо нико­му объ­яс­нять, поче­му это, и зачем. Стра­хов­ка — и всё тут.

Не всё, прав­да, глад­ко на деле. Вот ска­нер сете­вой, что доку­мен­ты юзве­рю уша­сто­му в его ката­лог забра­сы­ва­ет — ника­ких смарт­карт оно, конеч­но, не под­дер­жи­ва­ет. При­дёт­ся репу чесать, что с ним делать даль­ше. Ско­рее все­го при­дёт­ся под­цеп­лять ска­не­ры напря­мую к маши­нам через USB.

Так как один­на­дца­тая вин­да фича­ми пока не раду­ет, попро­бо­вал заме­нить на рабо­чем ком­пе всё на Убун­ту 20.04

И оно, зна­е­те, прак­ти­че­ски взле­те­ло.

Полу­чи­лось:

1. При­це­пить к AD
2. Сде­лать чле­нов груп­пы Domain Admins частью груп­пы sudoers
3. Запу­стить авто­ри­за­цию со смарт­кар­та­ми (вот тут уже при­шлось боро­ду поче­сать)
4. Вклю­чить авто­ри­за­цию по смарт­кар­те в VDI кли­ен­те VMWare Horizons
5. Аут­лук теперь рабо­та­ет как PWA
6. Запу­стить Teams (бла­го теперь на Линуп­сах оно рабо­та­ет натив­но)

И всё бы хоро­шо, но вот драй­ве­ры НВи­дев­ские отка­за­лись ста­вить­ся нао­труб. Про­бле­ма хоро­шо извест­на, и не у одно­го меня она слу­чи­лась.

Что-то там не взле­те­ло — про­бо­вал раз­ные вер­сии, чего толь­ко не делал, даже инте­лов­ский драй­вер отправ­лял в бан — нифи­га. Не рабо­та­ет и всё тут. Луч­ше все­го полу­чи­лось на драй­ве­ре вер­сии 418. Вхо­дим в сес­сию, всё рабо­та­ет при­мер­но мину­ту, после чего всё наглу­хо вис­нет (при этом комп оста­ёт­ся доступ­ным через ssh). На более позд­них вер­си­ях не полу­ча­лось даже это­го, всё вис­ло ещё до авто­ри­за­ции.

Желе­зо вполне себе стан­дарт­ное — ноут­бук HP Zbook FireFly G7. Там две видео­кар­ты, по сути, встро­ен­ная инте­лов­ская, и Квад­ра Р520. Так и не полу­чи­лось запу­стить, хотя побе­да была очень близ­ко. Но без Нви­дии мне ноут­бук был не нужен.

Так и бро­сил. Про­шу заме­тить, что на этот про­ект я убил часов шесть. А не вин­де абсо­лют­но, блин, всё из это­го спис­ка сра­зу рабо­та­ет «иско­роп­ки».

Линукс бес­пла­тен толь­ко для тех, чьё вре­мя ниче­го не сто­ит.

Инте­рес­ную вещь обна­ру­жил. Ока­зы­ва­ет­ся, мак­си­маль­ный раз­мер кла­сте­ра NTFS в деся­той вин­де и соот­вет­ству­ю­щей сер­вер­ной вер­сии (2016+) может состав­лять аж 2 мега­бай­та. На седь­мой вин­де мак­си­мум был 64 кило­бай­та.

Разу­ме­ет­ся, для обыч­ных дис­ков с опе­ра­ци­он­ны­ми систе­ма­ми и про­грам­ма­ми это не под­хо­дит — будет слиш­ком мно­го потерь. Если на диск с таким раз­ме­ром кла­сте­ра запи­сать файл раз­ме­ром 1 кило­байт, на дис­ке он будет зани­мать таки 2 мега­бай­та — на остав­ше­е­ся пустое место в кла­сте­ре ниче­го дру­го­го запи­сать нель­зя. Но если это диск, на кото­ром хра­нят­ся базы дан­ных, iso-шки, архи­вы и про­чие круп­ные фай­лы — это будет очень кру­то, так как таб­ли­ца раз­ме­ще­ния фай­лов, в кото­рой запи­са­но, в каком кла­сте­ре (кла­сте­рах) запи­сан файл, будет очень малень­кой — ведь кла­сте­ров будет немно­го. И потерь будет мень­ше, и рабо­тать будет быст­рее.

Кста­ти, Линупс (вер­нее даже не Линупс, а фай­ло­вая систе­ма XFS, по умол­ча­нию исполь­зу­е­мая в Шап­ке) эту про­бле­му реша­ет более опти­маль­но — на одном дис­ке есть кла­сте­ры (бло­ки) РАЗНОГО раз­ме­ра. Неболь­шие фай­лы хра­нят­ся в основ­ном исполь­зуя малень­кие кла­сте­ры, а боль­шие — с запи­сью на круп­ные кла­сте­ры. И сколь­ко их раз­ных и какое соот­но­ше­ние — тоже настра­и­ва­ет­ся. Это поз­во­ля­ет на одном дис­ке хра­нить и малень­кие фай­лы и боль­шие, без того, что­бы тра­тить место либо на пустое место в кла­сте­рах, либо на таб­ли­цу раз­ме­ще­ния фай­лов. Пишут, что на слу­жеб­ную инфор­ма­цию тра­тит­ся толь­ко 0.54% от обще­го объ­ё­ма хра­ни­мых дан­ных.

Но за всё, к сожа­ле­нию, надо пла­тить. Напри­мер, вос­ста­нов­ле­ние дан­ных с повре­ждён­но­го раз­де­ла XFS это очень непро­стая вещь. Но идея, конеч­но, класс­ная.

Мои две «люби­мые» кон­то­ры-про­из­во­ди­те­ли нако­пи­те­лей дан­ных засве­ти­лись с под­ме­ной более быст­рых флеш-чипов на более дешё­вые (и менее про­из­во­ди­тель­ные).

Вестерн, раз.
Ну и, конеч­но же, Сам­сунг, куда без них — два.

О том, что обе кон­то­ры — пол­ное гов­но я уже дав­но сооб­щал не раз и не два.

Меня осо­бен­но впе­чат­ли­ло, когда в мас­си­ве из 24‑х Вестер­нов мень­ше чем за год сдох­ли, ёлки-пал­ки, все 24. Кру­то было, нико­гда такой под­лян­ки не забу­ду.

Ещё было про­сто заме­ча­тель­но, когда у людей, исполь­зу­ю­щих сер­вис Вестер­на «Май­бук» сти­ра­ли резерв­ные копии по интер­не­ту.

Ну, если у кого-то ещё оста­лись иллю­зии по пово­ду Вестер­на.

Из стан­дарт­ных маг­нит­ных вин­тов — толь­ко Тоси­ба и Хита­ти, толь­ко япон­цы!!! Ну, а из флеш пока не под­во­дил Интел, и Мик­рон (Кру­шал) пока вро­де мар­ку дер­жит. Даже наобо­рот — они тоже засве­ти­лись с заме­ной флеш-чипов… но на БОЛЕЕ про­из­во­ди­тель­ные 🙂