CodeGuard: CyberSec Edition

🔓 Как мы нашли уязвимость в Mailcow, или немного о безопасности в open source У коммерческих решений есть очевидные плюсы: профессиональная поддержка, регулярные аудиты, соответствие стандартам и сертификация. Open source — бесплатен, гибок, позволяет глубоко кастомизировать систему под свои нужды и, как правило, поддерживается активным сообществом. Но независимо от выбранного подхода нужно полагаться только на себя и самостоятельно проверять безопасность всех компонентов, которые вы внедряете в инфраструктуру. Даже если речь идет о популярном проекте с тысячами звезд на GitHub… 📕 Перейти к статье 😈 CodeGuard | #cybersecurity

📈 Как сымитировать нагрузку в Linux без установки сторонних программ Настраиваете мониторинг на тихом сервере и хочется проверить, как работают графики и дашборды при нагрузке? Не обязательно ставить отдельные инструменты типа stress или stress-ng. Есть проверенные способы создать искусственную нагрузку, используя только встроенные возможности Linux. 💻 Нагрузка на диск и CPU одновременно Сжимая случайные данные и записывая их во временный файл, мы одновременно грузим и процессор, и диск.

while true; do
  dd if=/dev/urandom count=30M bs=1 | bzip2 -9 > /tmp/tempfile
  rm -f /tmp/tempfile
done

- /dev/urandom — генерация случайных данных, нагрузка на диск при записи - bzip2 -9 — сжатие с максимальной степенью, нагрузка на CPU - Параметры count=30M и -9 можно менять для увеличения или уменьшения нагрузки 💾 Только нагрузка на диск Хотите быстро проверить скорость записи?

sync; dd if=/dev/zero of=/tmp/tempfile bs=1M count=1024; sync

Запишет 1 ГБ данных нулями на диск и покажет итоговую скорость ⚙️ Только нагрузка на CPU Нагрузка на одно ядро:

dd if=/dev/zero of=/dev/null

Нагрузка на несколько ядер:

cpuload() {
  dd if=/dev/zero of=/dev/null &
  dd if=/dev/zero of=/dev/null &
  dd if=/dev/zero of=/dev/null &
  dd if=/dev/zero of=/dev/null &
}
cpuload; read; pkill dd

ИЛИ

seq 4 | xargs -P0 -n1 timeout 10 sha1sum /dev/zero

- sha1sum /dev/zero — потребляет процессор, создавая проверку контрольной суммы бесконечного потока нулей - seq 4 | xargs -P0 запускает 4 параллельных процесса для загрузки 4 ядер 💻 Нагрузка на процессор без пользовательского пространства

seq 4 | xargs -P0 -n1 timeout 10 yes > /dev/null

- Используем команду yes, генерирующую бесконечный поток текста, направленный в /dev/null - Отлично грузит CPU на уровне ядра 💻 Загрузка оперативной памяти Быстро «занять» определённый объём RAM можно с помощью Python:

python3 -c 'a="a"*1024**3; input()'

- Этот скрипт создаст строку размером 1 ГБ в памяти и задержится, пока не нажмёте Enter - Чтобы изменить размер, меняйте 1024**3 (для 500 МБ — 512*1024*1024) 🔧 Итоги и советы - Для тестирования мониторинга смешанная нагрузка (CPU + диск) даёт наиболее реалистичные данные - Команды работают без дополнительной установки — то, что нужно для быстрых проверок - Контролируйте нагрузку и не забывайте следить за системой, чтобы не перегрузить сервер 😈 CodeGuard | #linux #monitoring #pentesting

📡 [Перевод] Тот, кто знал слишком много: история Хьё Минь Нго ⚠️ Что важно знать: В истории киберпреступности есть имена, которые знают все, и есть те, кто действовал в тени, но при этом оставил след в масштабах целых стран. Один из таких людей — Хьё Минь Нго, хакер из маленького вьетнамского города, который в юности умудрился получить доступ к личным данным почти двухсот миллионов граждан США. Его путь начался с банального подросткового любопытства к интернету и закончился международной охотой, громким арестом и тюремным сроком.

Хьё Минь Нго родился в небольшом вьетнамском городе Камрань — тихом прибрежном месте, где жизнь текла размеренно, а технологии казались чем-то далёким. Его детство ничем не выделялось, пока в подростковом возрасте он не увлёкся компьютерами. Любопытство к устройству интернета быстро стало навязчивой идеей. В 14 лет он впервые попробовал взлом — и это не была попытка заработать или прославиться, а просто желание обойти ограничения. Интернет во Вьетнаме в начале 2000-х был дорогим и медленным, особенно для школьника. Хьё нашёл способ подключаться бесплатно, используя украденные dial-up-аккаунты. Этот первый шаг в хакерский мир обернулся для семьи серьёзным ударом: провайдер выставил счёт на $5000, и отцу пришлось выплатить его из собственных средств. В гневе он отправил сына в Хошимин к дяде, надеясь, что смена обстановки и строгий надзор вернут его на правильный путь

🧩 Это может быть полезно 😈 CodeGuard | #cybersecurity

🖥 Добро пожаловать в SQL Noir — мир, где детективная работа и SQL объединяются! В этой игре ты становишься настоящим сыщиком, расследующим преступления с помощью запросов к базе данных. Твои задачи: - Выявлять подозрительные закономерности - Отслеживать пропавшие записи - Соединять улики между подозреваемыми - Раскрывать мошеннические схемы - Собирай доказательства, используя мощь SQL Погрузись в атмосферу настоящего детектива и прокачай свои навыки работы с базами данных) p.s Ставь 👍 ▶️ Попробовать: https://www.sqlnoir.com/ 😈 CodeGuard | #SQL #CyberSecurity #DataDetective

🚨 Dependency Confusion — одна из самых подлых атак на цепочку поставок ПО, с которой сталкивается сегодня каждое уважающее себя предприятие. Сегодня вместе со Станиславом Раковским — исследователем вредоносных программ из Positive Technologies и создателем канала disasm.me — расскажем про современные атаки на цепочки поставок программного обеспечения и обсудим, как с ними бороться. 🔥 Представь, что твоя компания построила крепость из кода. Ты тщательно охраняешь все внутренние библиотеки, прячешь их в приватных репозиториях, а CI/CD настроен так бережно, что всё должно работать как часы. Но тут вдруг кто-то из теней сети оказывается в твоём замке, тихо ставит свои ловушки в виде пакетов с твоими же именами — и ты даже не замечаешь, как злоумышленник получает доступ к твоему коду и данным. Это и есть Dependency Confusion — одна из самых острых и скрытных угроз современного DevSecOps. ⭐️ Что происходит на самом деле? Ты тщательно устраиваешь свои внутренние пакеты в приватных коллекциях. Все думают, что они в безопасности. Но публичные репозитории — это не просто огромные библиотеки кода, это поле битвы для хакеров, которые используют трюк: угадывают названия твоих приватных пакетов и публикуют свои версии с таким же именем. Небрежно настроенный пакетный менеджер, CI или разработчик могут случайно скачать и поставить этот злосчастный публичный пакет. Результат? Вредоносный код проскальзывает внутрь твоей системы, крадёт секреты, портит сборки, открывает двери хакерам. ✔️ В 2021 году Алекс Бирсан с мощным исследованием доказал: Apple, Microsoft, Tesla, Uber, PayPal — все они были уязвимы. Более $130,000 выплат багхантеру от ведущих корпораций показывают серьёзность угрозы. ✔️В 2022 хакеры атаковали PyTorch, замаскировавшись под пакет torchtriton — крали конфиги, SSH-ключи, доступы. Более 2300 загрузок этого злостного пакета — тысячи компаний и разработчиков под ударом. ✔️В 2024 ведущие команды, включая Яндекс, бьют тревогу, публикуя тысячи «заглушек» в PyPI, чтобы прикрыть свои внутренние имена от злоумышленников. ⚙️ Что делать? Не расслабляться! - Проверять CI и настройку пакетных менеджеров — внутренние репозитории должны быть всегда приоритетом. - Подписывать и верифицировать пакеты, использовать строгие политики. - Создавать специальные заглушки для ключевых пакетов, чтобы никто не мог занять их в публичке. - Внедрять постоянный аудит и мониторинг — кто что скачивает и из какого источника. - Обучать команду, чтобы никто случайно не открыл дверь внешнему миру. 😵 Разбор от экспертов на канале disasm.me ⭐ Источник с разбором Если только начинаешь разбираться с безопасностью цепочек поставок — этот материал обязателен к прочтению! 😈 CodeGuard | #DevSecOps #BugBounty

🛠 Как создать эффективный список уязвимостей для быстрого анализа (с простым bash-скриптом) Если хочется быстро найти уязвимости по конкретному продукту из большой базы CVE — не обязательно делать всё вручную. Вот простой пример, как это сделать: ✔️1. Скачиваем свежую базу уязвимостей CVE (в CSV-формате)

wget https://cve.mitre.org/data/downloads/allitems.csv -O cve-list.csv

Это большой файл со всеми уязвимостями, их описаниями и ссылками. ✔️ 2. Пишем простой скрипт для поиска уязвимостей по продукту

#!/bin/bash

# Получаем название продукта из первого аргумента
product="$1"
file="cve-list.csv"

echo "Ищу уязвимости по: $product"
grep -i "$product" $file > "${product}_cve.txt"

echo "Результат записан в файл: ${product}_cve.txt"

Сохрани этот код в файл, например, find_vulns.sh. ✔️3. Как запустить В терминале:

bash find_vulns.sh wordpress

Скрипт найдёт все уязвимости, где встречается слово wordpress (учитывая регистр, благодаря -i в grep), и запишет их в файл wordpress_cve.txt. Это действительно удобно: - Вместо поиска руками в огромной базе получает четкий список нужных уязвимостей. - Можно автоматизировать анализ для разных продуктов. - Начинающему достаточно освоить команду grep и простую логику скриптов. - Это базис для построения более сложных систем безопасности. Немного деталей про product="$1" - $1 — это первый аргумент командной строки при запуске скрипта. Если пишешь bash find_vulns.sh apache, то $1 будет равно apache. - Это делает скрипт универсальным — можно искать уязвимости для любого продукта, просто изменяя аргумент. ⭐️ CodeGuard | #security #cve

🔒 [Перевод] Как найти исходный IP любого веб-сайта за WAF Здравствуйте! В сегодняшней статье я поделюсь удивительными методами нахождения настоящего IP любого веб-сайта, защищенного файрволом (WAF). WAFы часто используются для повышения безопасности, скрывая истинный IP-адрес веб-сайта, что сильно повышает уровень защиты, и может усложнить оценку безопасности и тестирование сайтов. Определив исходный IP-адрес, вы можете обойти эти защитные слои и оценить сервер напрямую (выявить уязвимости, эксплуатацию которых WAF или CDN блокируют). Давайте изучим продвинутые методы выявления исходных IP-адресов при проведении тестирования безопасности. 👩‍💻 Читать дальше 😈 CodeGuard | #cybersecurity

💻 Что нужно знать для багхантинга? Мы собрали карту знаний из 15 разделов, которые помогут тебе начать свой путь в багхантинге. Раз в неделю мы будем публиковать по три блока информации, чтобы у тебя было время изучить материалы. Тебе также пригодится знание принципов работы баз данных, Docker, сетей (TCP, DNS, VPN) и умение пользоваться командной строкой. Что будет в карте? - Как работает HTTP, API, cookies, URL - Что такое аутентификация и как её обходят - Как читать трафик в DevTools (вкладка Network — твой лучший друг) - Основы веб-стеков: Django, Flask, PHP - Как писать простые скрипты на Python (автоматизация — твой союзник) - Работа с Burp Suite: ловим XSS, IDOR, SSRF - Инструменты: nmap, subfinder, nuclei, waybackurls - OSINT-разведка — как найти то, что скрыто - Разбор реальных отчётов с HackerOne - И даже 10 самых крутых раскрытых багов — чтобы понять, куда расти А ещё — тебе пригодится: - Работа с командной строкой - Базы данных (SQL, NoSQL) - Docker и сети (TCP, DNS, VPN) 📌 Это не про "выучи всё". Это про шаг за шагом. Почему начинать — сейчас? - Первый баг — не про знания, а про любопытство - Ты не должен быть экспертом, чтобы найти уязвимость - Чем раньше начнёшь — тем быстрее увидишь свой первый WPA handshake или 403 → 200 💻 Начни здесь: startbugbounty.standoff365.com 😈 CodeGuard | #bugbounty #security #hacking

Канал, где ты точно найдёшь работу в сфере ИБ! Тут уже более тысячи вакансий от самых именитых компаний из РФ и не только. А большинство иностранных компаний ещё и могут помочь с переездом. Так ещё предлагают очень высокие зарплаты. ИБ Вакансии: найти достойную работу проще, чем кажется!

📢 Новость: PyPI — борьба с атаками путаницы в ZIP-архивах и zip-бомбами 🖥 Сегодня CodeGuard рассмотрит внедрение новых строгих проверок для защиты от атак в PyPI, связанных с неоднозначным парсингом ZIP-архивов wheel-пакетов. Эти уязвимости основаны на сложности и неоднозначностях формата ZIP, позволяющих злоумышленникам создавать архивы с некорректными или дублирующимися метаданными, что помогает обходить проверки и может привести к инъекциям вредоносного кода. ⚙️ Что нового: 🗣Отклонение архивов с неправильной структурой и несоответствиями между локальными заголовками и центральным каталогом; 🗣Блокировка wheel-дистрибутивов с ошибками в метаданном RECORD-файле, где хранится список и хэши файлов; 🗣Активная детекция и предотвращение классических zip-бомб и атак через tarball (.tar.gz), применяемых в sdist; 🗣Переходный период с предупреждениями авторам пакетов до полного блокирования таких архивов с февраля 2026 года. 🖥 Эти меры — адекватный и своевременный шаг, направленный на повышение безопасности всей Python-экосистемы. ZIP-формат исторически сложен, и неоднозначности в его реализации часто становятся вектором атак. Контроль за целостностью RECORD-файлов особенно важен, так как их несоответствие открывает лазейки для злоумышленников. Защита распространяется и на tarball-архивы (.tar.gz), что показывает комплексный подход PyPI к безопасности всех дистрибутивов. 🤩 Для сообщества: 🗣Пользователям стоит обновить установщики Python (pip, setuptools, wheel) и следить за предупреждениями; 🗣Разработчикам нужно проверять корректность форматов архивов и соответствие RECORD; 🗣Авторам пакетов — учитывать новые требования, чтобы избежать проблем при публикации. Это зрелый и продуманный шаг, который повысит доверие к PyPI и укрепит общую устойчивость экосистемы к современным киберугрозам. 😈 CodeGuard | #PythonSecurity #ZipBomb

️ ⭐️ Пассивная разведка: командами и скриптами Пассивная разведка — это когда узнаешь максимум о цели, но не светишься в её логах. Вот инструменты и команды, которые помогут начать быстро и безопасно ⤵️ 1. Whois: Узнать владельца домена

whois example.com

Покажет, кто владеет доменом, даты регистрации, контактную почту и сервера. 2. Получить список поддоменов через subfinder

subfinder -d example.com -o subdomains.txt

Быстро соберёт все публичные поддомены цели. Результаты будут в файле subdomains.txt. 3. Проверить историю сайта через Wayback Machine Автоматизация через curl:

curl "http://web.archive.org/cdx/search/cdx?url=example.com&output=json&fl=timestamp,original"

Получишь список архивных копий сайта. 4. Найти IP-адрес домена

dig +short example.com

Выдает IPv4/IPv6-адрес сайта. Уже можно записывать в базу для анализа. 5. Получить info по SSL-сертификату (через openssl)

echo | openssl s_client -connect example.com:443 | openssl x509 -noout -dates -issuer -subject

Покажет дату истечения, организацию-владельца, и более подробно о сертификате. 6. Простой bash-скрипт для сбора первых фактов

#!/bin/bash
domain="example.com"
echo "WHOIS:"
whois $domain
echo "IP:"
dig +short $domain
echo "Subdomains:"
subfinder -d $domain

⚡️ Всё это — пассивно. Ты не сканируешь порты, не отправляешь подозрительных запросов, а просто работаешь с открытыми данными. ️ ⭐️ CodeGuard | #OSINT #bash #security

💻Лучшие каналы по ИБ и Хакингу! Hacking & InfoSec Base — канал действующего белого хакера. Подробные уроки по безопасности, эксплуатации уязвимостей, социальной инженерии. CyberGuard — полезные утилиты, софт и литература по информационной безопасности и Хакингу. ИБ Вакансии — вакансии от самых крупных IT компаний РФ и не только. Здесь ты найдёшь работу своей мечты linux administration — всё, что необходимо знать о Linux и его дистрибутивах. 🫵Подписывайся, здесь ты узнаешь всё об ИБ и Хакинге!

👩‍💻 Учебник для веб‑разработчиков Платформа для прокачки навыков в веб‑разработке — уроки собраны по темам и разделам Подходит для любого уровня — от новичка до профи. 🗣Полный пошаговый курс по фронтенду и бэкенду — от HTML/CSS и JavaScript до Node.js, баз данных и деплоя 🗣Уроки структурированы по темам и уровням сложности: базовый, средний, продвинутый 🗣Практические задания и проекты на каждом шаге — делай, исправляй, выкладывай в портфолио 🗣Интерактивные упражнения, тесты и автоматическая проверка кода для быстрого прогресса 🗣Гайды по рабочим инструментам: Git, Webpack, Docker, CI/CD, браузерные инструменты разработчика 🗣Разбор типичных ошибок и анти‑паттернов, советы по отладке и оптимизации производительности 🗣Карьерная поддержка: шаблоны резюме, разбор собеседований, рекомендации по росту зарплаты 🗣Постоянно обновляемый контент с учётом современных практик и трендов веб‑разработки Идеально, если хочешь системно учиться, прокачать реальные навыки и собрать портфолио. 🥡 Ссылка - andreasbm.github.io 😈 CodeGuard

📀 Подключение к нескольким Linux-серверам по SSH без ввода пароля: пошаговое руководство Привет, друзья! Я давно работаю с Linux-серверами, и одна из вещей, которая меня всегда раздражала, — это постоянный ввод паролей при подключении по SSH. Представьте: у вас несколько локальных машин, и каждый раз стучать по клавишам, вспоминая, какой там пароль... Но есть простое решение — использовать SSH-ключи. Это как цифровой пропуск: один раз настроил, и дальше всё идёт как по маслу. В этой статье я расскажу, как это сделать шаг за шагом, особенно если вы новичок в Linux или SSH. Сначала пару слов о том, что такое SSH. 👩‍💻 Это может быть полезно 😈 CodeGuard | #linux

💻 Книга: PowerShell для сисадминов Автор: Бертрам Адам Год издания: 2021

Если хочешь автоматизировать рутинные задачи и наконец-то освободить для своих повседневных дел (йога, котики чем ты там обычно занимаешься?)), то эта книга для тебя! 🧠 Что внутри? - Язык сценариев и командная оболочка PowerShell - Комбинация команд, управление потоками, обработка ошибок. - Создание систем мониторинга и автоматизация - Запуск web- и SQL-серверов с минимальным кодом 🔝 Кому подойдёт? - Системным администраторам и DevOps - Инженерам автоматизации и IT-специалистам - Всем, кто хочет научиться писать эффективные скрипты и управлять инфраструктурой Реальные примеры и лёгкий авторский юмор делают сложное простым, а теорию — близкой к жизни. Забудь про дорогие инструменты и сомнительные советы в интернете — учись работать профессионально с PowerShell. 💠 Бери книгу → [Archive] 😈 CodeGuard | #book #powershell #sysadmin

📱 Задачка Ставь 👍, для тебя это легко 😈 CodeGuard | #task #python

👩‍💻 Нежданные гости: F6 проанализировала первые масштабные атаки группы Kinsing на российские компании Весной 2025 года один из клиентов F6 зафиксировал попытку кибератаки на свои внешние сервера. Со списком IP-адресов, с которых велась атака, он обратился к аналитикам  F6 Threat Intelligence  за атрибуцией. В результате тщательной проверки индикаторов компрометации (IoCs), анализа сетевого трафика, корреляции с внешними источниками Threat Intelligence и сопоставления выявляемых тактик, техник и процедур (TTP) злоумышленника мы вышли на след группировки  Kinsing , которая прежде предпочитала действовать за пределами России, а в 2025 году устроила масштабные атаки на российские компании.

Группа Kinsing, известная также как H2Miner и Resourceful Wolf, действует с 2019 года. Специализируется на криптоджекинге, в первую очередь – на майнинге криптовалюты Monero, а также на создании и расширении ботнетов. Во втором квартале 2025 года департамент киберразведки (Threat Intelligence) компании F6 зафиксировал волну атак группировки Kinsing на российские компании из сфер финансов, логистики и телекома. Целью этих атак было заражение устройств вредоносным ПО Kinsing и Xmrig для майнинга криптовалют.

В этом отчёте мы подробно расскажем о ходе исследования – от исходных данных и применённых методов анализа до итоговой атрибуции атаки и предоставленных рекомендаций, – которое не только позволило установить злоумышленников, но и раскрыть попытки их атак на другие компании из России. 💀 Читать полностью на Хабре 😈 CodeGuard | #cybersecurity

«Сети для хакеров» разбираем ключевые сетевые протоколы, на которых строится почти вся работа в сетях — и которые часто становятся целью атак. 🗡 https://youtu.be/Tvr7aSnMVDo?si=1xC6H2yrJOb7hDbk В этом видео: DHCP — как работает автоматическая раздача IP и какие есть уязвимости ARP — основа локальных атак, в том числе ARP-spoofing FTP — устаревший, но всё ещё опасный протокол для передачи файлов NAT — принцип маскарадинга и почему он не спасает от всех угроз SSH — стандарт безопасности, который тоже подвержен атакам SMB — легендарный протокол, с которого начинались многие атаки TELNET — устаревший и крайне небезопасный протокол, который до сих пор встречается Используйте знания только в легальных тестовых стендах! 📱 Cмотреть видео на YouTube 😈 CodeGuard