Типичный Сисадмин

Как потерять сервер, просто переподключив сессию. Гайд по потере связности от первого лица 🤙 На Хабре вышел лонгрид, который читается как сценарий ночного кошмара любого админа. Автор, находясь в Москве, полностью потерял управление над своим сервером в Казани, и виной тому стала фатальная цепочка событий... срабатывание фильтров по ключевым словам, собственное губительное любопытство и бюрократический ад регистратора. Всё началось с того, что автоматика регулятора, судя по всему, начала отрабатывать блокировку по сигнатурам в доменных именах. Автор имел неосторожность держать сервисные поддомены вида vpn.domain.ru и vpn-kg.... Система фильтрации, увидев триггер (vpn) в SNI на 443 порту, начала дропать SSL-хендшейки. И здесь админ совершает ошибку, за которую в приличном обществе бьют патч-кордом 😬... имея активную, чудом выжившую сессию через Cisco SSL VPN, он решает проверить гипотезу и своими руками разрывает соединение. Обратно, разумеется, его уже не пустило. Классическая ошибка выжившего... никогда не рубите единственный линк, на котором сидите, даже ради диагностики, если у вас нет обходного пути для доступа. Но дно было еще впереди. Пока Автор пытался пробить стену блокировок, удар в спину нанес регистратор REG.RU, внезапно сняв домен с делегирования 😭. Причина в несовпадение анкетных данных, которые криво передал партнер-реселлер (перепутанные поля ФИО и адреса). В одну секунду инфраструктура превратилась в ничто... легли NS-сервера, перестала ходить корпоративная почта, отвалились SSL-сертификаты. Процесс восстановления превратился в сюрреализм с требованием подписать кабальные бумаги о возмещении убытков регистратору и бесполезной верификацией через Госуслуги, пока техподдержка отвечала скриптами раз в восемь часов. Спасло ситуацию только чудо в виде забытой тестовой виртуалки, которая торчала наружу через чистый SSH и не попала под раздачу. Через неё удалось прокинуть туннель с помощью sshuttle и вернуть управление 🥳 Итого... получается, использовать в 2026 году слова vpn, proxy или shadowsocks в именах хостов - это уже технический суицид. А критическую инфраструктуру (DNS, почта, шлюзы и тд.) неплохо бы разнести по разным доменам и регистраторам. Типичный 🥸 Сисадмин

Хакеры платили за вход на форум, который, похоже, держали спецслужбы. Ханипот за $500. 🍯 На днях ФБР официально закрыло форум RAMP, повесив на домене свою любимую заглушку "This website has been seized". Для непосвященных это просто очередная победа над киберпреступностью. Но для тех, кто в теме, ситуация выглядит как финал грандиозной спецоперации, где главный злодей оказался двойным (или тройным) агентом. Админ форума под ником Stallman (не путать с Ричардом😁) - личность легендарная и мутная. Сообщество давно подозревало неладное... чувак открыто скупал доступы к критической инфраструктуре США, но... ничего не происходило. Компании не шифровались, данные не утекали. Складывалось ощущение, что он выкупал уязвимости, чтобы их патчить, а не эксплуатировать. При этом на других форумах (типа XSS) его банили за нарушение правил, но потом таинственным образом разбанивали, словно кто-то сверху звонил админу и просил не трогать нашего человечка 👮‍♂️ Самое интересное всплыло сейчас. В официальных отчетах ФБР о закрытии форума нет ни слова про арест или розыск самого Сталлмана. Его имя просто исчезло из документов, будто форум управлял сам собой. Комьюнити уверено, что Сталлман это либо проект спецслужб, либо завербованный хакер Severa, который уже давно сотрудничает с федералами. Схема гениальная... создать ханипот для элиты рансомвари, собирать с них досье при регистрации (вход стоил $500 + деанон профилей), скупать опасные доступы, чтобы их не купили реальные хакеры-отморозки, а потом красиво закрыть лавочку, когда база данных наполнилась 😗 Получается, если в даркнете кто-то слишком громко кричит о своей крутости, нарушает понятия и при этом не садится годами, то скорее всего, он носит погоны под худи. А те, кто регистрировался на RAMP, думая, что попали в закрытый клуб, на самом деле добровольно заполнили анкету для майора. OpSec высшего уровня... вот вам и илита 🧠 ☢️ @zeroday_log

Roadmap внедрения DevSecOps. Бесплатный вебинар — 19 февраля в OTUS Внедрение DevSecOps часто ломается не на инструментах, а на отсутствии плана. Без чётких ролей, целей и этапов безопасность либо тормозит разработку, либо остаётся на бумаге. → На открытом уроке разберём, как спланировать и запустить DevSecOps без хаоса. → Обсудим, с чего начинать внедрение, как формировать цели, KPI и критерии готовности, какие роли и зоны ответственности нужны в процессе. → Пошагово пройдём этапы от пилота до масштабирования и эксплуатации, а также разберём, как вписать SAST, SCA, DAST, Secrets и IaC-проверки в общий контур разработки.

Урок будет полезен CISO, руководителям разработки, DevSecOps и DevOps-инженерам, тимлидам и менеджерам, которые хотят системно встроить безопасность в SDLC.

👉 Записаться: https://otus.ru/lessons/devsecops Этот вебинар проходит в формате открытого урока в прямом эфире курса «Внедрение и работа в DevSecOps». Реклама. ООО «Отус онлайн‑образование», ОГРН 1177746618576

Симулятор карьерного роста. Ты можешь метить в DevOps, но рандом (и вакансии в твоем городе) решат, что ты рожден быть Сисадмином в бюджетной поликлинике 😂 MemOps 😃

🔐Проблема 2026 года пришла в железо. Корневые сертификаты в UEFI истекают Давайте вспомним занимательную математику. Технология Secure Boot массово пошла в продакшн в 2011 году, а срок жизни корневых сертификатов, зашитых в UEFI, составляет ровно 15 лет. Складываем числа и получаем июнь 2026 года 😱. Сертификаты доверия (KEK, DB, DBX) начинают массово истекать. В теории это означает, что загрузчик ОС перестанет проходить проверку подлинности, и система либо не загрузится, либо перестанет принимать обновы безопасности (включая патчи против буткитов). Под раздачу попадает вообще всё железо и виртуалки, выпущенные с 2012 года, от Windows Server 2012 и древних LTSC сборок до Windows 11. Microsoft, осознавая масштаб грядущего кирпичного завода 🧱, выкатила инструмент диагностики, но сделала это как всегда через одно место... через облачный Intune и Windows Autopatch 😂 Звучит прекрасно... у нас половина парка сидит в закрытых контурах, вторая половина на трофейных лицензиях без доступа к облакам Azure, а третья - это зоопарк из китайских ноутбуков и серверов, ввезенных параллельным импортом. Отчет в Intune нам не поможет, потому что доступа к нему нет. А проблема есть. И решается она обновлением BIOS/UEFI на каждом конкретном устройстве. Представьте перспективу искать свежие прошивки на материнки десятилетней давности 😭 Кого-то ждет веселый квест. Вместо того чтобы заниматься безопасностью (иллюзией 😬), мы будем вынуждены либо бегать с флешками и шить BIOS (если найдем прошивку), либо, что гораздо вероятнее, массово отключать Secure Boot в BIOS, ибо проще отключить, чем найти апдейт на старую мать. Типичный 🥸 Сисадмин

Хакеры проверяют конфиг Nginx через nginx -t, чтобы не уронить ваш прод 🎩 Исследователи из Datadog обнаружили схему, где веб-сервер захватывают не чтобы зашифровать, а чтобы превратить в умный прокси. Проникают через уязвимость React2Shell (CVE-2025-55182), после чего загружают скрипты, которые парсят директорию /etc/nginx/ (или пути панели Baota) и внедряют в конфиги вредоносные блоки location. В конфиг добавляются локейшены типа /game/, /help/, /news/, внутри которых стоит proxy_pass на сервер хацкеров. Пользователь заходит на легитимный, доверенный домен, видит зеленый замок SSL, но контент ему отдает сервер хацкеров. Чаще всего это реклама казино или скам, который идеально индексируется поисковиками за счет репутации вашего домена. Скрипт-инжектор (4zdh.sh) написан профессионально... перед тем как применить изменения, он запускает nginx -t. Если новый конфиг не проходит валидацию, малварь не перезагружает Nginx, чтобы не уронить прод и не привлечь внимание админа падением сервиса. Более того, если на сервере выпилены curl и wget, скрипт умеет качать пейлоады через нативные возможности Bash (/dev/tcp) 😎 Так что если ваши маркетологи жалуются, что сайт начал ранжироваться по запросам "слоты онлайн крутить" 🎰, не спешите винить контент-манагера. Сделайте grep -r "proxy_pass" /etc/nginx и посмотрите, куда на самом деле смотрит ваш реверс-прокси. Типичный 🥸 Сисадмин

Мотивации пост. Не откладывай на завтра то, что может разлететься на тысячу осколков сегодня

Сначала ты видишь провода. Потом ты видишь полотенца, похожие на гигантские трусы, которые натянули на угол комнаты 🏥 Развидеть это невозможно. Типичный 🥸 Сисадмин

🚀 BroCapGPT — AI-сервис автоматического решения CAPTCHA для разработчиков, автоматизаторов, QA-специалистов и DevOps. Если распознавание капч тормозит ваши процессы, этот сервис решает проблему с помощью AI-алгоритмов и облачной инфраструктуры, обеспечивая быструю и точную обработку популярных типов CAPTCHA. 🔧 Что получает IT-аудитория: • ⚡ Высокая скорость — большинство капч решаются за секунды • 📈 Стабильная работа под нагрузкой • 🧠 Поддержка популярных видов капч • 💰 Оплата за разгаданные капчи 📣 Пользователи отмечают удобство API, стабильную скорость и выгодное соотношение цены и качества. 👉 Подходит для автоматизации, парсинга данных, авторегов, QA-тестирования, backend-скриптов и других задач, где CAPTCHA мешает работе. 🔗 Telegram - https://t.me/brocapgptbot?start=tg2 erid: 2W5zFHjSGFr

Это должно было быть временным решением ... 2 года назад 😬 Типичный 🥸 Сисадмин

😮 Шифровальщик Nitrogen из-за бага в собственном коде просто уничтожает файлы жертв Специалисты Coveware раскопали эпичный фейл. Версия Nitrogen для VMware ESXi содержит ошибку, из-за которой расшифровка файлов невозможна в принципе, даже если жертва заплатит выкуп и получит дешифратор. Суть бага в том, что малварь записывает 8-байтовое значение QWORD по адресу, который частично перекрывает публичный ключ шифрования. Первые четыре байта ключа перезаписываются мусором. В итоге файлы шифруются ключом-мутантом, к которому в природе не существует парного приватного ключа, так что даже сами хакеры не смогут расшифровать данные 🎩 Можно подумать, что ошибка намеренная, однако всё время существования группировка Nitrogen была финансово мотивирована и выросла на утекших исходниках Conti. Они хотели просто заработать на корпоративном шантаже, но из-за отсутствия QA-тестирования превратили свой софт в деструктивный вайпер. В итоге хацкеры без денег, жертвы без данных, а вся надежда теперь только на бэкапы... если они есть 😬 Типичный 🥸 Сисадмин

- Вася, ты зачем дунул в принтер?! - Я хотел пыль сдуть... 😬 Типичный 🥸 Сисадмин

Synology, подвинься. Это не колхоз, это модульная архитектура.

Microsoft шесть раз пытались сделать виджеты, и только сейчас, кажется, разобрались 🥹 Павел Осадчук из XacPC Dev Labs копнул историю виджетов и насчитал целых шесть попыток внедрения интерактивных плиток в Windows за последние 30 лет. Каждый раз всё разбивалось о суровую реальность, то железо не тянет, то хакеры ломают, то пользователи просто не понимают, зачем им это нужно. Всё началось в 1997 году с Active Desktop в IE 4.0. Идея была революционной, превратить рабочий стол в живой веб-сайт. Но на практике Pentium II захлебывался, пытаясь отрендерить HTML вместо обоев, а падение виджета роняло весь проводник в экран смерти. Потом была Vista с её боковой панелью и гаджетами, которые жрали оперативку как не в себя и были дырявыми, как дуршлаг. Затем пришли живые плитки в Windows 8, которые никто не любил, потому что ради прогноза погоды нужно было открывать полноэкранное меню. Cortana пыталась быть полезной, но слишком много знала о пользователе, и её отключили. Только к 2026 году, спустя шесть неудачных итераций, Microsoft, кажется, нащупала дзен. Переход с прожорливого WebView2 на нативный WinUI 3 сотворил чудо, панель виджетов перестала весить сотни мегабайт и тормозить систему. Теперь карточки погоды, пробок и акций живут в песочнице, не угрожая безопасности, и умеют показываться даже на экране блокировки. Тот самый сценарий, глянул и пошел, о котором мечтали в 90-х, но который тогда не тянуло железо 🤝 🥸 godnoTECH - Новости IT

Когда прораб прислал толкового помощника побыстрее расшить кросс 🦥 🥸 @montajniklvs

Где вы окажетесь завтра, зависит от того, что вы изучаете сегодня. PostgreSQL — инструмент, который ищут компании, а грамотных специалистов по нему все еще немного. Почему именно PostgreSQL? Потому что это не просто база данных, а сердце ваших проектов. Если вы администратор БД, разработчик, DevOps или администратор Linux, этот курс — ваш апгрейд. Мы научим настраивать кластеры, оптимизировать производительность, разбираться с блокировками и решать задачи работы с большими объемами данных. А также живые лекции, практические задания и диплом, который признают лидеры рынка. Учитесь у практиков, которые знают, как решать реальные задачи, и получите навыки, за которые платят топовые компании. Присоединяйтесь к курсу «PostgreSQL для администраторов баз данных и разработчиков» сейчас и начните свой путь к высокооплачиваемой карьере! Оставить заявку: https://otus.ru/lessons/postgresql-dba 🎁Бонус: скидка 5% на обучение по промокоду go_dba. Предложение действительно до 12.02 Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Одно из немногих уведомлений, которое вызывает улыбку, а не микроинсульт 🏥 Типичный 🥸 Сисадмин

⌨️ ФСТЭК выпустила гайд по защите VMware. В 2026 году. Похоже, импортозамещение немного затянулось. Федеральная служба по техническому и экспортному контролю внезапно выкатила рекомендации по безопасной настройке виртуальной инфраструктуры на базе VMware. Тот факт, что на дворе 2026 год, а Broadcom (владелец VMware) ушел из России в марте 2022, уже никого не смущает 👨‍🦳 Документ, кстати, толковый. Никакой воды, а только суровый харднинг. Ниже вычленил ключевые требования, которые теперь станут обязательными для КИИ: 🟢Нужен тотальный логгинг... Необходимо настроить отправку Syslog на удаленный сервер (TCP 514). Хранить логи локально - завязывайте. Прямо указано мониторить /var/log/shell.log и /var/log/auth.log на предмет выполнения команд типа sudo ./encryptor (на чек шифровальщиков). 🟢Запрет на запуск левого кода... Требуется включить режим execInstalledOnly и Secure Boot через TPM. Если VIB-пакет не подписан сертификатом VMware, то он не должен запуститься. Это реально мощная защита от малвари, которая пытается пролезть в гипервизор 👍 🟢Доступ по SSH для root должен быть выпилен (esxcli system ssh set --enabled=false). Если очень надо, то только по ключам и с тайм-аутом сессии. 🟢Правило 3-2-1 теперь закон... Регулятор официально требует хранить три копии данных на двух разных носителях, и одну копию - в изолированном сегменте. Наконец-то здравый смысл победил экономию на дисках 🎩, можно смело показывать это требование руководству. А на вкусное - самый смешной пункт с требованием осуществлять регулярные обновления ПО. Как именно обновлять ESXi, который нельзя скачать без VPN и действующего контракта, ФСТЭК тактично умалчивает... Видимо, подразумевается метод Parallel Import & Torrent Edition 😂 В общем, если у вас в контуре до сих пор крутится Сфера... ой, простите 😬, vSphere 7.0 или 8.0, то смело забирайте документ в работу. Там есть готовые команды для esxcli, чтобы закрыть периметр. Типичный 🥸 Сисадмин

В файлах Эпштейна нашли справочник Bash на 158 страниц. Вот и думайте... Linux / Линукс 🥸

Решил на всякий случай пробить юзернейм канала... чисто. А вот по запросу sysadmin найдено аж 3 совпадения... Видимо, кого-то всё-таки возили на частный остров, походу даже там нужно было срочно пропатчить KDE под FreeBSD 🤙 Типичный 🥸 Сисадмин