Сетевик Джонни // Network Admin

🥷 Проблема ботов и идея защиты, или о том как я использую zip-бомбы для защиты своего сервера(ч.2) Механизм работы zip-бомб и их реализация: Когда зловредный бот отправляет запрос, сервер имитирует успешный ответ (200 OK), но вместо реальных данных передаёт zip-бомбу. Ключевой момент — заголовок Content-Encoding: gzip, который заставляет бота автоматически распаковывать файл. Вот что происходит дальше: Ловушка для бота Большинство ботов слепо доверяют заголовкам сжатия. Получив файл, они начинают его распаковывать в память, не проверяя содержимое. Например, файл 10GB.gz весит всего 10 МБ, но содержит 10 ГБ нулевых байтов, сжатых многократно. Распаковка требует в 1000 раз больше памяти, чем исходный файл. - Боты, написанные на языках с ручным управлением памятью (например, C/C++), крашатся из-за переполнения буфера. - Скрипты на Python или Node.js выбрасывают исключения MemoryError, так как исчерпывают лимиты выделенной памяти. - Даже если бот выживает, обработка гигабайтов "мусора" затягивает время выполнения, что делает атаку невыгодной для злоумышленника. Технические нюансы создания zip-бомбы Команда dd if=/dev/zero bs=1G count=10 | gzip -c > 10GB.gz работает так: dd читает нулевые байты из /dev/zero блоками по 1 ГБ (10 блоков = 10 ГБ). gzip сжимает данные, но из-за повторяющихся нулей степень сжатия максимальна. Итоговый файл 10GB.gz будет многослойным: при распаковке он может генерировать вложенные архивы (если использовать рекурсивное сжатие), но в данном случае это простой поток нулей. Важно! Современные антивирусы и системы анализа трафика могут блокировать такие файлы. Чтобы усложнить обнаружение, можно: - Добавить случайные данные в начало файла. - Использовать формат zlib вместо gzip. - Создать бесконечно распаковывающийся архив через рекурсивное сжатие (например, с помощью pigz). Интеграция с сервером Для автоматизации защиты я добавил на сервер middleware, который: - Проверяет IP по чёрному списку (например, через Fail2ban или базы вроде AbuseIPDB). - Анализирует поведение: частоту запросов, подозрительные User-Agent (например, Python-urllib), попытки инъекций в URL. - Использует ханипоты — фейковые страницы-ловушки, на которые попадают только боты (например, скрытые ссылки). Пример логики на PHP: // Проверяем признаки бота $isMalicious = checkMaliciousPatterns($_SERVER['REQUEST_URI']) || isIPBlacklisted($_SERVER['REMOTE_ADDR']) || isUserAgentSuspicious($_SERVER['HTTP_USER_AGENT']); if ($isMalicious) { // Отправляем zip-бомбу header("HTTP/1.1 200 OK"); header("Content-Encoding: gzip"); header("Content-Type: text/html"); // Маскируем под HTML header("Content-Length: " . filesize($bombPath)); readfile($bombPath); exit(); } Zip-бомбы — это «грубая сила» в мире защиты от ботов. Они не заменят WAF (Web Application Firewall) или CAPTCHA, но станут дополнительным слоем обороны против простых атак.

AD-лабы на этом курсе сложнее, чем 90% CTF? Проверим вместе уже 29 мая! Более 30 виртуальных машин, которые не взломает 80% участников CTF: 🔸AD-сети с миксом Windows/Linux 🔸Задачи на эскалацию привилегий, persistence, stealth 🔸Разбор решений от победителей the Standoff Бросаем вызов с 29 мая 😎 🔴Регистрация

🥷 Проблема ботов и идея защиты, или о том как я использую zip-бомбы для защиты своего сервера Основной объём трафика в вебе возникает из-за ботов. По большей части, эти боты используются для обнаружения нового контента. Это читалки RSS-фидов, поисковые движки, выполняющие краулинг вашего контента, а сегодня и боты ИИ, собирающие контент, чтобы скармливать его LLM. Но есть и зловредные боты. Их создают спамеры, скрейперы контента и хакеры. На моём прежнем месте работы бот обнаружил уязвимость Wordpress и встроил в наш сервер зловредный скрипт, а затем превратил машину в ботнет, используемый для DDOS. — Один из моих первых веб-сайтов был полностью выдавлен из поиска Google из-за ботов, генерирующих спам. Мне нужно было найти способ защиты от этих ботов, поэтому я начал пользоваться zip-бомбами. Zip-бомба — маленький сжатый файл, который при распаковке перегружает систему. Исторически сжатие (gzip) ускоряло загрузку страниц, уменьшая размер текста, CSS, JS. Браузеры и боты поддерживают сжатие через заголовок Accept-Encoding: gzip, deflate. Эту же особенность можно использовать против зловредных ботов. Но как именно zip-бомбы ломают ботов? И как их создать, не навредив себе? К технической стороне перейдём в следующем посте. #ZIP | 😊 @iscode

AD-лабы на этом курсе сложнее, чем 90% CTF? Проверим вместе уже 29 мая! Более 30 виртуальных машин, которые не взломает 80% участников CTF: 🔸AD-сети с миксом Windows/Linux 🔸Задачи на эскалацию привилегий, persistence, stealth 🔸Разбор решений от победителей the Standoff Бросаем вызов с 29 мая 😎 🔴Регистрация

🥷 Джонни вещает: сказ о том, как два сервера изменили судьбу сетевой команды Жили были два сервера. Да и не сервера вовсе, а виртуальные машины. Жили не тужили, добро наживали, скриптами разными обрастали. Три года они трудились на славу облака да во имя автоматизации. Пока не наступили чёрные дни для RAID-массива на гипервизоре. ↘ habr.com #Network #CICD #Automotization | 😏 @iscode

МТС приглашает разработчиков на масштабную ИТ-конференцию True Tech Day 6 июня. Участие бесплатно Ключевая тема конференции в этом году — искусственный интеллект. Тебя ждут доклады ученых, выступления зарубежных спикеров по AI и экспертов крупных ИТ-компаний. В программе: — 4 трека и больше 40 докладов. — Выступления зарубежных спикеров с индексом Хирша более 50. — Концентрация практических кейсов: как создаются большие ML-проекты. — Доклады по архитектуре, бэкенд-разработке и построению ИТ-платформ. — AI-интерактивы и технологические квесты. — Пространство для нетворкинга, …а еще after-party со звездным лайн-апом. Когда: 6 июня Где: Москва, МТС Live Холл и онлайн Участие бесплатно. Регистрация по ссылке.

🥸 Взломай цензуру за 10 минут: искусство мимикрии в эпоху блокировок Представьте: ваш VPN становится невидимкой для цензоров, маскируясь под обычный трафик Google. Никаких блокировок, никаких подозрений. — В этой статье вы не просто узнаете, как настроить такой «стелс» за 10 минут через удобный 3x-UI интерфейс, но и поймёте, почему VLESS с XTLS-Reality — это золотой стандарт обхода запретов в 2025. дорогие сабы, просьба, поставьте ↑ на Хабре, верю в вас ⤷ habr.com/ru/users/stein_osint/ #VPN #VLESS | 😈 @secur_researcher

💻 Интеграция филиалов в корпоративную сеть через DMVPN Почти каждая крупная компания сталкивается с подключением филиалов и небольших офисов. У кого-то проблема стоит ещё жестче: сотни (тысячи) заправок, магазинов или банкоматов нужно завести в периметр ЦОД и сделать это силами полутора инженеров. Как унифицировать конфигурацию и оборудование и упростить жизнь сетевому инженеру? А если нам нужно звонить в соседний филиал напрямую, не заруливая в ЦОД?) \ На занятии: -Архитектура DMVPN - Фазы: 1, 2, 3 - Динамическая маршрутизация: что выбрать? -IPSec: PSK vs сертификаты -Резервирование: dual Hub 👉 Регистрация и подробности о курсе Network Engineer. Professional: https://otus.pw/Y6QO/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

🥷 Джонни вещает: репозиторий 101 Linux Commands eBook Содержит бесплатную электронную книгу, в которой собрано 101 базовых и продвинутых команд Linux. Она ориентирована на пользователей, желающих улучшить свои навыки работы с Linux, и включает примеры использования, объяснения и полезные советы для каждой команды. Это удобный ресурс для обучения и повседневной работы с системами на основе Linux. • Basics; - File Hierarchy Standard (FHS); - Commands; • Disk and File System Management; - General Disk Manipulation (non-LVM); - Globs (Wildcards); - Regex; - Stream redirection; • Text Readers & Editors; - Less; - VI; • User and Group Management; • File System Permissions; • SSH; • Cronjobs; • Package Management; - RPM; - YUM; • List of commands by category: - Directory Navigation; - File Commands; - File and Directory Manipulation; - Package archive and compression tools; - System commands; - Networking Commands; - Package Management; - User Information commands; - Session commands; - Getting Help; - Applications. #repository #manual | 😏 @iscode

Вебинар «Новые фичи в Kaspersky SD-WAN 2.4. Разговор с экспертами» 25 апреля, 11:00 (мск) Сотрудники «Лаборатории Касперского» перманентно работают над усовершенствованием Kaspersky SD-WAN. В новой версии 2.4 доступно проведение пилотов программно-аппаратных комплексов (ПАК) с поддержкой ГОСТ-шифрования. ПАК находится в процессе сертификации ФСБ. Это не только повышает безопасность данных, но и помогает соответствовать требованиям регуляторов. Благодаря этому еще больше организаций в России смогут воспользоваться преимуществами технологии программно-определяемых сетей. Kaspersky SD-WAN - решение, позволяющее построить отказоустойчивую, территориально распределенную филиальную сеть с централизованным управлением, а также обеспечить непрерывность бизнес-процессов. Среди других важных обновлений: • интеграция с консолью для управления продуктами «Лаборатории Касперского» Open Single Management Platform (OSMP); • возможность маршрутизации на основе политик (Policy-Based Routing с централизованным управлением); • централизованное управление статическим резервированием IP адресов, выдаваемых по DHCP. Хотите узнать, как работают эти функции и какие еще возможности предлагает обновленная версия? Присоединяйтесь к стриму! Зарегистрироваться

Обычный день с СДВГ #meme | 😊 @iscode

Кибератака на SolarWinds в 2020 году потрясла мир ИБ, показав уязвимость даже самых защищённых систем. Но угрозы для Active Directory не исчезли — в 2025 году обнаружена новая критическая уязвимость CVE-2025-21293, позволяющая злоумышленникам получать права SYSTEM. В статье разбираем: 🔸Как хакеры использовали Zerologon в атаке SolarWinds 🔸Технический анализ новой уязвимости CVE-2025-21293 🔸Почему стандартные меры защиты уже не работают 🔸4 ключевых принципа защиты AD в 2025 году Особенно актуально для: ✅ ИБ-специалистов ✅ Администраторов Active Directory ✅ Руководителей ИТ-инфраструктуры 🔗 Читать полный разбор ➡️ Хотите научиться защищать AD на практике? Специально для профессионалов — интенсивный курс с лабораторией из 30+ виртуальных машин. Подробнее

🥷 Джонни вещает: Студент разработал проект открытого ноутбука за полгода 🔧 Байран Хуан, студент Академии Филлипса, собрал ноутбук с открытой архитектурой за один семестр. Устройство получило название anyon_e, оно оснащено дисплеем AMOLED 4K, механической клавиатурой Cherry MX и батареей, которая обеспечивает около семи часов автономной работы. По словам Хуана, он хотел с нуля создать гаджет, «который бы обладал всеми качествами современного коммерческого тонкого и лёгкого ноутбука». — Rockchip RK3588 SoC был встроен в систему-на-модуле FriendlyElec CM3588 с 16 ГБ памяти LPDDR4X. Спецификации SoC включали четырёхъядерные Cortex-A76 и Cortex-A55 CPU, Mali-G10 GPU и NPU, который выводит 6TOPS. — Некоторые детали студент создал сам, например материнскую плату ноутбука и его корпус. — Ноутбук может воспроизводить 8K-видео со скоростью 60 кадров в секунду, а его порты ввода-вывода включают два USB3.1, PCIe 3.0 x4 и HDMI 2.1/eDP 1.4. — Для разработки операционной системы Байран применил ядро/дистрибутив ubuntu-rockchip. 🍒 В итоге Байран показал ноутбук, который внешне напоминает устройства Asus и Apple. При этом anyon_e загружается на три секунды быстрее, чем собственный MacBook Pro Хуана. #News | 😏 @iscode

Приглашаем на конференцию по сетевым технологиям “Корпоративные Сети 2025” (КС-2025) во время выставки Связь-2025 23 апреля с 11:50  Москва, ЦВК «ЭКСПОЦЕНТР», Метро «Деловой центр» Павильон № 8, Конференц зал (зал 4) Участие бесплатно! ✅ Регистрация >> Без рекламы. Сетевые инженеры, ИТ руководители расскажут о своем опыте решения задач. 7 экспертов поделятся реальным опытом проектирования, эксплуатации или масштабирования корпоративных сетей передачи данных в разрезе поставленных задач или возникнувших проблем. Программа конференции >> Конференция пройдет в рамках выставки Связь-2025, таким образом, будет возможность посетить выставку и конференцию. #eltex #eltexcm #связь #связь2025 #кс #кс2025 @eltexcm #реклама О рекламодателе

🔍 Поиск, который длился 20 лет: как OSINT помог найти боевого товарища Открываем серию постов про OSINT первым кейсом о поиске старого друга! 🔴Найти разгадку Билл Стивенс 10 лет искал своего друга-ветерана Эрика, с которым потерял связь после службы. Все попытки через соцсети провалились — пока за дело не взялся OSINT-специалист. Что помогло найти человека? ✨ Анализ старых фотографий с распознаванием лиц ✨ Поиск по свадебным хэштегам ✨ Перекрестная проверка через соцсети и LinkedIn ✨ Главная находка: что это могло быть?... 🔴 Читайте полное расследование 🔴 Хотите научиться такому? Стартуем 12 мая! 4 месяца практики расследований на курсе «OSINT: технология боевой разведки». Подробнее

Друзья, уже сегодня в 19:00 по МСК пройдет бесплатный вебинар, где мы разберем, как обычный планшет или смартфон можно превратить в мощный инструмент для пентеста! Что будет на вебинаре? 🔴 Покажем, как развернуть Kali Linux/Nethunter и использовать его для реальных задач. Спикер: Андрей Бирюков 🌟 CISSP, 15+ лет в ИБ 🌟 Руководитель защиты АСУ ТП 🌟 Автор 4 книг и 200+ статей по кибербезопасности Сегодня в 19:00 по МСК — бонусы для всех участников. 🔴 Регистрируйтесь здесь и получите ссылку на эфир и подарок в ответном письме. 🚀 По всем вопросам пишите @Codeby_Academy

🥷 Джонни вещает: но как же посмотреть наш конфиг? (ч.3) Если моя мысль верна и проблема только в переменной ngx_dump_config попробуем установить её c помощью gdb, благо ключик --with-cc-opt -g присутствует и надеемся, что оптимизация -O2 нам не помешает. При этом, раз я не знаю как ngx_dump_config могла быть обработана в case 'T':, не будем вызывать этот блок, а установим её используя case 't': По шагам: — устанавливаем точку останова в функции main() — запускаем программу — изменяем значение переменной определяющей вывод конфига ngx_dump_config=1 — продолжаем/завершаем программу Как видим реальный конфиг отличается от нашего, выделяем из него паразитный кусок: map $http_user_agent $sign_user_agent { "~*yandex.com/bots" 1; "~*www.google.com/bot.html" 1; default 0; } map $uri $sign_uri { "~*/wp-" 1; default 0; } map о:$sign_user_agent:$sign_uri $sign_o { о:1:0 o; default о; } map а:$sign_user_agent:$sign_uri $sign_a { а:1:0 a; default а; } sub_filter_once off; sub_filter 'о' $sign_o; sub_filter 'а' $sign_a; Рассмотрим по порядку что же здесь происходит, итак, определяются User-Agent'ы yandex/google: map $http_user_agent $sign_user_agent { "~*yandex.com/bots" 1; "~*www.google.com/bot.html" 1; default 0; } Исключаются служебные страницы wordpress: map $uri $sign_uri { "~*/wp-" 1; default 0; } И для тех, кто попал под оба условия: map о:$sign_user_agent:$sign_uri $sign_o { о:1:0 o; default о; } map а:$sign_user_agent:$sign_uri $sign_a { а:1:0 a; default а; } в тексте html-страницы изменяется 'о' на 'o' и 'а' на 'a': sub_filter_once off; sub_filter 'о' $sign_o; sub_filter 'а' $sign_a; Именно так, тонкость только в том что 'а' != 'a' так же как и 'о' != 'o'(см. прикреплённое фото). Таким образом боты поисковых систем получают вместо нормального 100%-кириллического текста модифицированный мусор разбавленный латинскими 'a' и 'o'. Не берусь рассуждать, как это влияет на SEO, но вряд ли такая буквенная мешанина позитивно скажется на позициях в выдаче. #Linux #nginx #unix | ✋ @iscode

Запускаем цикл вебинаров и открытых демонстраций – «Basisный интенсив с Merlion»! В течение года мы разберем функциональные особенности экосистемы продуктов ведущего российского разработчика решений для оказания облачных услуг, платформы динамической инфраструктуры и виртуализации – Basis: ∙ Basis Dynamix Standard – гибкая платформа управления виртуализацией для контроля гипервизоров и виртуальных ЦОД на базе виртуальных машин. ∙ Basis Dynamix Enterprise – высокопроизводительная платформа на базе динамической инфраструктуры для управления виртуальными серверами и контейнерами. ∙ Basis Workplace – ПО для создания инфраструктуры виртуальных рабочих столов с возможностью выбора сценария использования. Вы узнаете, как решения помогают управлять виртуальными серверами, обеспечивать контроль гипервизоров и создавать инфраструктуры виртуальных рабочих столов. Регистрация осуществляется 1 раз – и вы получаете доступ ко всей серии вебинаров. Реклама. ООО "МЕРЛИОН". ИНН 7719269331.

🥷 Джонни вещает: в поисках возможного взлома (ч.2) Пренеприятнейшая история случилась с одним моим знакомым. Но насколько она оказалась неприятной для Михаила, настолько же занимательной для меня. Запускаю сервер, сначала в rescue-mode. Монтирую диски, пролистываю auth-логи, history, системные логи и т.п., по возможности проверяю даты создания файлов, хотя понимаю, что нормальный взломщик «подмел» бы за собой, да и Миша уже знатно «натоптал» пока искал сам. — Стартую в нормальном режиме, особо пока не понимая что искать, изучаю конфиги. В первую очередь интересует nginx так как, в общем-то, на фронтенде кроме него и нет ничего. Конфиги небольшие, хорошо структурированые в десяток файлов, просматриваю их просто cat'ом по очереди. Вроде всё чисто, но мало-ли упустил какой-то include, сделаю-ка я полный листинг: $ nginx -T nginx: the configuration file /usr/local/etc/nginx/nginx.conf syntax is ok nginx: configuration file /usr/local/etc/nginx/nginx.conf test is successful 🤔 Не понял: «Где листинг-то?» $ nginx -V nginx version: nginx/1.10.3 TLS SNI support enabled configure arguments: --with-cc-opt='-g -O2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-ipv6 --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_addition_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_sub_module --with-stream=dynamic --with-stream_ssl_module --with-mail=dynamic --with-mail_ssl_module 😌 К вопросу о листинге добавляется второй: «Почему такая древняя версия nginx?» К тому же система считает, что версия установлена свежее: $ dpkg -l nginx | grep "[n]ginx" ii nginx 1.14.2-2+deb10u1 all small, powerful, scalable web/proxy server

— Миш, ты зачем пересобирал nginx? — Окстись, я даже не знаю как это сделать! — Ok, ну, спи…

Nginx однозначно пересобран и вывод листинга по "-T" скрыт неспроста. Сомнений во взломе уже нет и можно это просто принять и (раз уж Миша всё-равно заменил сервер новым) посчитать проблему решенной. — И действительно, раз уж некто получил права root'а, то имеет смысл делать только system reinstall, а искать, что там было набедокурено бесполезно, но в этот раз любопытство победило сон. Как же узнать что от нас хотели скрыть? Попробуем оттрассировать: $ strace nginx -T Просматриваем, в трассировке явно не хватает строк а-ля write(1, "/etc/nginx/nginx.conf", 21/etc/nginx/nginx.conf) = 21 write(1, "... write(1, "\n", 1 Ради интереса сравниваем выводы $ strace nginx -T 2>&1 | wc -l 264 $ strace nginx -t 2>&1 | wc -l 264 Думаю, что часть кода /src/core/nginx.c case 't': ngx_test_config = 1; break; case 'T': ngx_test_config = 1; ngx_dump_config = 1; break; была приведена к виду: case 't': ngx_test_config = 1; break; case 'T': ngx_test_config = 1; //ngx_dump_config = 1; break; или case 't': ngx_test_config = 1; break; case 'T': ngx_test_config = 1; ngx_dump_config = 0; break; поэтому листинг по "-T" не отображается. Жду от вас реакшена и выкладываю уже третью часть этой истории 💵 #Linux #nginx #unix | ✋ @iscode

Вебинар Развитие программных продуктов Eltex 🗓 11.04.2025 🕒 14:00 по МСК Часть 1. TACACS сервер в Eltex NAICE - решаемые задачи - возможности - демонстрация работы Часть 2. Система управления ECCM и мониторинг Wi-Fi сети предприятия - как настроить контроллеры WLC для централизованного мониторинга - мониторинг точек доступа в ЕССМ - мониторинг клиентов 👉 Регистрация Ведущий вебинара: Алексей Листаров - инженер с многолетним опытом работы в крупном операторе связи. Сертифицированный преподаватель авторизованного центра Академии Eltex. #eltex #eltexcm #webinar #вебинар #naice #eccm @eltexcm #реклама О рекламодателе