Category: сисадминское

Помимо того, что данный… кгм… продукт у меня регулярно подвешивал компьютер, он, как теперь выясняется, ещё давал прекрасную возможность отслеживать пользователей в интернете. Под соусом якобы определения злонамеренности посещаемого вебсайта, с 2015 года Касперский добавлял на все посещаемые страницы небольшой кусочек джаваскриптовского кода. Не знаю, как он по результатам этого собирался определять злонамеренность, но скрипт, который он добавлял, имел уникальный индивидуальный идентификатор. А так как при таких раскладах этот скрипт тоже становится частью DOM, его содержимое становится доступным ВСЕМ скриптам на этой странице. То-есть, любой дурак мог взять и заполучить уникальный идентификатор пользователя, и именно что злонамеренно использовать его в целях, например, подсовывания рекламы или ещё чего похуже.

С какой целью на самом деле всё делалось именно вот так — затрудняюсь сказать. Но *многозначительно шевеля усами* учитывая, что Евгений Валентинович закончил Высшую Школу КГБ…

В-общем, я как свалил с него, так с тех пор ни разу не пожалел.

Блин, последнюю неделю практически все мои разговоры на работе происходят так:

Тестеры: Вы добавили на фаерволл ексепшены?
Я: А вы мне прислали список ексепшенов как я потребовал две недели назад?
Тестеры: Вот прямо щас поглядим и пришлём!

Программисты: вы установили наш новый код на веб-приложение?
Я: А вы его скомпилировали и мне его дали, как я просил три недели назад?
Программисты: Дайте пять минут, пришлём!

Отдел документации: что-то мы до сих пор не видим новую базу данных, которую мы просили добавить
Я: А вы прислали мне схему БД которую я уже вторую неделю ежедневно прошу, чтобы я её добавил?
Отдел документации: Ну добавьте хоть чего!
Я: Чего добавлять-то? Тонну таблиц и толпу варчаров? А какой длины? Сколько? А индексы где будем делать? А проверки на уникальность? А первичный ключ надо? А кто к этому должен иметь доступ, и какой?
Отдел документации: Мы щас подумаем.

Начальник: Чего-то у нас нихера не работает!
Я: У меня все ходы записаны.
Начальник: Понятно. Щас я их смотивирую.

А завтра будет, японский бог, ровно то же самое.

Критическая уязвимость в ProFTPD, можно удалённо запустить любой код без авторизации. Все версии, включая 1.3.6, имеют эту уязвимость. Можно временно вылечить, отключив mod_copy.

Ставили на виртуальную машинку обновлённое ядро. Поставили, обновили грабли (GRUB), перегружаемся… в старое ядро. Чо за нах. Стёрли нахер старый /boot/vmlinuz, так что единственным vmlinuz осталось новое ядро. Перегружаемся… в старое ядро. КАК??? ОТКУДА?? Как машина может загрузиться ядро, которого даже на диске нет? Всё перепроверили, заново поставили новое ядро, перепроверили грабли, перегружаемся… в старое ядро.

Я чуть крышей не поехал. Откуда оно берётся-то? Делаем find / -name “vmlinuz*”. Нихера, кроме нового ядра.

Наконец от отчаяния смотрим в syslog и видим какие-то упоминания /dev/sda, при том, что у нас вроде как один диск, и ОС у нас стоит на /dev/sdb. Выясняем наконец, что к машине прицеплен второй диск, который нигде не смонтирован — но на нём, ядрёна вошь, стоит vmlinuz, в который и грузится наша виртуалка!

Отцепляем диск нахер и наконец нормально грузимся в новое ядро.

Давненько я не чувствовал себя таким идиотом. Это бодрит.

Ставлю тут хрень для удалённого руления серверами через RDP через любой браузер, поддерживающий HTML5. Очень удобно, потому что можно рулить всем хоть с телефона, хоть с машины под Фрюниксом. Хрень называется Guacamole (Гуакамоле) — это название такой мексиканской закуски (или соуса для макания, это уж как назвать). Надо было как-нибудь придумать, какие имена дать двум серверам. Придумал — назвал “авокадо” и “кинза” (два основных ингридиента для этого соуса). Начальник посмеялся, но выбор одобрил 🙂

А вы говорите, что в системном администрирование нет полёта фантазии 🙂

Выяснять, почему с одного сервера в рыло прилетает Error 500, глядя при этом в логи Апача, находящегося на совсем другом сервере — признак дурачины.

Мне надо будет нанять сисадмина; но так как мы теперь семимильными шагами идём в облако, от сисадмина теперь требуется опыт программирования. Не сильно углублённого, но надо, чтобы человек понимал основы написания скриптов.

Сижу чешу репу над списком вопросов.

Мне, повторюсь, не надо, чтобы человек знал, например, какой конкретно командой можно получить массив объектов компьютеров из AD — это легко гуглится. Надо понять, умеет ли чел вообще в основы погромирования. Пусть пишет хоть на Питоне, хоть на псевдокоде, мне похер.

1. Если нужно совершить одно и то же действие пять раз, как это лучше всего сделать внутри скрипта?
2. Если мне надо получить пронумерованный список всех компьютеров в домене, как проще всего это сделать?
3. Нужно написать скрипт, который будет посылать извещение сисадмину, если в домене появятся учётные записи, пароль которых никогда не истекает. Как это лучше всего написать?
4. if (a = 0) { .. } — почему данное условие либо не работает вообще, либо не работает правильно?

Какие ещё будут предложения?

Пишут, что это, дескать, была весьма таргетированная атака (евреи персов ломали, вроде как), и что большинству пользователей на это будет начхать. Но осадочек остался неприятный.

Поэтому я использовал и буду дальше использовать Signal.

А детищ Цукерберга (Фейсбук владеет Воцапом, если кто не знает) я буду сторониться.