CodeGuard: CyberSec Edition

🐙 Awesome Infosec Courses — коллекция бесплатного обучения по кибербезопасности Хотите прокачать скиллы, но не знаете, где взять качественные материалы? Готовый список курсов и тренингов. 🔗 GitHub Что внутри (4 928 звёзд): Кураторская подборка лучших ресурсов для обучения информационной безопасности. Всё разбито по категориям:

🔵Penetration Testing — курсы по пентесту от новичка до эксперта 🔵Offensive Security — материалы по OSCP, эксплуатации и Red Team 🔵Blue Team — защита, мониторинг, анализ логов 🔵DFIR — цифровая криминалистика и реагирование на инциденты 🔵Malware Analysis — анализ вредоносного ПО 🔵CTF — подготовка к соревнованиям

Почему репозиторий ценен: Это не просто список ссылок. Авторы отобрали только проверенные и качественные материалы — бесплатные и платные, с чёткими описаниями что вас ждёт и для какого уровня сложности. 🔖 Сохраните себе — это навигатор по миру ИБ-образования. 😈 CodeGuard: PySec Edition | Чат

🔥 Мастхев подборка для каждого айтишника Держите подборку авторских IT-каналов по всем направлениям: курсы, книги, статьи, практики, примеры кода, шпаргалки и прохождение собесов. ▪️ Python ▪️ Java ▪️ Frontend ▪️ C / C++ ▪️ ИБ & Хакинг ▪️ DevOps ▪️ Data Science ▪️ Linux ▪️ C# & GameDev ▪️ Курсы IT ▪️ ИИ-бот для IT ▪️ Весь IT 👉🏻 Подписывайся и прокачивай свои навыки

🔥 Уязвимость в Firefox и Tor Browser — трекинг в приватном режиме Специалисты компании Fingerprint обнаружили уязвимость в браузерах Firefox и Tor Browser. Она позволяла сайтам отслеживать пользователей даже в режиме приватной навигации. Mozilla закрыла проблему в версии Firefox 150, выпущенной 21 апреля 2026 года . Суть уязвимости:

➡️ Проблема кроется в том, как браузеры извлекают хранящиеся метаданные. Порядок извлечения данных из базы может быть уникальным для каждого пользователя. Это позволяет создать "цифровой отпечаток" браузера — fingerprint — и отслеживать человека даже при включённом режиме приватного просмотра.

Кого затронуло:

🟠Все пользователи Firefox (до версии 150) 🟠Пользователи Tor Browser (до выхода обновлённой версии)

Почему это важно: Использование Tor Browser и приватных окон — один из главных способов сохранить анонимность. Эта уязвимость частично подрывала такие меры защиты. Что делать: Обновить Firefox до версии 150 или выше. Пользователям Tor Browser — дождаться обновления, включающего исправленный движок Firefox. Прогноз: Ожидается, что подобные уязвимости будут находить чаще с выходом новых поколений AI-моделей, таких как Claude Mythos от Anthropic. 😈 CodeGuard: PySec Edition | Чат

⚡️ 7 малоизвестных команд Linux, которые сэкономят часы работы Вот уникальная подборка полезных команд, которые не используются в школьных курсах, но реально ускоряют работу. 1. tldr — понятные примеры вместо документации

➡️Устали от мануалов на десятки страниц? tldr показывает самые востребованные примеры использования команды. Установка: npm install -g tldr или sudo apt install tldr.

2. ncdu — интерактивный анализ диска

➡️

Вместо скучного

du -sh, ncdu показывает графическую карту использования места, по которой можно кликать и перемещаться. Идеально для очистки диска.

3. tac — cat наоборот

➡️

Читает файл с конца.

Полезно для просмотра самых свежих логов: tac /var/log/syslog | head.

4. watch — автоматическое обновление вывода

➡️

Запускаете команду раз

в несколько секунд и наблюдаете за изменениями в реальном времени. Пример: watch -n 10 free показывает память в интерактиве.

5. timeout — таймер для команд

➡️

Запустили потенциально

зависающую команду? timeout 10s ping google.com остановит её автоматически через 10 секунд.

6. shuf — рандомизатор данных

➡️

Перемешивает строки в файле

или генерирует случайные пароли. Пример: shuf -zer -n12 {A..Z} {a..z} {0..9} | tr -d '\0' выдаст 12 случайных символов.

7. xargs — массовая обработка файлов

➡️

Берёт вывод одной команды

и превращает в аргументы для другой. Удалить все .log файлы: ls *.log | xargs rm.

🔥 Бонус: jot (Unix) или seq (Linux) — генераторы последовательностей чисел для пакетных задач. 😈 CodeGuard: PySec Edition | Чат

🐧 Linux Basics for Hackers, 2nd Edition (2025) — старт в мир пентеста Если вы хотите научиться этичному хакингу, но не знаете, с чего начать — эта книга создана для вас. Практическое руководство, которое использует Kali Linux для обучения основам с фокусом на то, как хакеры применяют эти знания на практике. О чём книга:

➡️Вы познакомитесь с командной строкой Linux, файловыми системами, сетевыми основами, BASH-скриптингом, управлением пакетами, логированием, а также ядром Linux и драйверами. Это не сухая теория, а практические туториалы, которые сразу можно применить.

Почему стоит прочитать: Это отличный первый шаг для погружения в кибербезопасность, пентестинг и хакинг. Книга построена так, чтобы вы не просто читали, а сразу пробовали на своей виртуальной машине. Ссылка на архив (pdf): 🔗 Ссылка Ссылка на архив (pdf), альтернатива: 🔗 Ссылка 😈 CodeGuard: PySec Edition | Чат

Нам тут написали, что в СНГ вообще нет работы 😱 Смешно! Потому что за сегодня в канале Удаленка в долларах вышло 15+ вакансий для русскоговорящих профи с ЗП от 2000$ 💸 Хватит и самим поесть, и семью прокормить. Смотри, чем хочешь заниматься в канале: ⤵️ ▪️SMM-менеджер ▪️маркетолог ▪️дизайнер ▪️таргетолог ▪️разработчик Осталось только выбрать и откликнуться (это бесплатно) 👉 https://t.me/+W7-fdHlXAcMxNDUy

😅 Как я 3 часа подбирал пароль от своего архива (и что понял) Жесткий диск умер, а на флешке — старый ZIP-архив с важными файлами. Открыть не могу — пароль забыл. И тут я понял, что сам попал в ловушку, от которой предупреждаю других. Эксперимент: Взломать свой же архив с помощью John the Ripper. Что было:

⚫️ZIP с сильным паролем (я тогда умничал). Джон начал атаку по словарю rockyou — мимо. Маска ?l?l?l?l?l?l?l?l (8 букв) — слишком долго. В итоге я вспомнил, что пароль был именем кота + год. Подобрал вручную за 20 секунд.

Вывод:

➡️Человеческая память ненадёжна. Менеджеры паролей нужны не только для безопасности, но и для вашего спокойствия. ➡️Сложный пароль = сложность восстановления. Балансируйте. ➡️Не полагайтесь на один метод восстановления. Сделайте бекап паролей.

А теперь честно: какой самый глупый пароль у вас был? У меня — qwerty123 на школьном аккаунте 😈 CodeGuard: PySec Edition | Чат

Совет на 2026 год — переходите на Go. На Go собирают банки, маркетплейсы и highload-сервисы. Зарплаты мидлов начинаются от 200 000 ₽, а у сеньоров доходят до 600 000 ₽. А чтобы освоить его всего за 3 месяца — изучите канал Максима Аверина. Его бэкграунд: Senior Golang/Python (X5, Lamoda, BestDoctor), 7 лет в бэкенде, экс-тимлид и PM, 300+ собеседований с 2018 На канале вы найдёте: — Советы, которые в разы повысят ваши шансы на перекат в Go — Как легко выбивать себе ту ЗП, которую желаете: скрипты переговоров и шаблоны писем — Как сделать мощный проект с code-review и уже через три недели пойти на собесы. Огромный опыт, который ты можешь перенять абсолютно бесплатно. Переходи и изучай: @maksim_golang

🐙 SecLists — коллекция словарей и пейлоадов, которую используют все пентестеры мира Когда нужен словарь паролей, список поддоменов или пейлоады для XSS — открываете Google? Нет, открываете SecLists. 🔗 GitHub Что внутри: Огромная база для фаззинга, брутфорса и обнаружения уязвимостей. Поддерживается и обновляется сообществом. Основные разделы:

🟣Passwords — огромные коллекции реальных паролей из утечек (rockyou.txt, 10-million-passwords и др.) 🟣Usernames — списки логинов, админов, ботов 🟣Discovery — папки, файлы, поддомены для веб-фаззинга 🟣Fuzzing — пейлоады для SQLi, XSS, LFI, SSRF, XXE и других атак 🟣Pattern-Matching — регулярные выражения для поиска API-ключей, email, номеров карт 🟣Web-Shells — коллекция готовых веб-шеллов

Как использовать: Склонируйте репозиторий:

git clone https://github.com/danielmiessler/SecLists.git
cd SecLists

Затем подставляйте словари в свои инструменты: gobuster, ffuf, hydra, wfuzz и др. Пример с ffuf:

ffuf -u https://target.com/FUZZ -w SecLists/Discovery/Web-Content/raft-medium-directories.txt

Вывод: Этот репозиторий — маст-хэв для любого, кто занимается пентестом. Сохраните в закладки. 😈 CodeGuard: PySec Edition | Чат

НИКОГДА НЕ ПОКУПАЙ КУРСЫ! А ТЕМ БОЛЕЕ НЕ ИДИ В ВУЗ! ❌Курсы — платный пересказ видео с ютуба ❌В ВУЗЕ будешь писать код на листочке А ещё пообещают трудоустройство😂(его не будет) Выбери — тимлида Артёма Все свои знания об айтишке он БЕСПЛАТНО рассказывает в своём канале. Советую подписаться на канал и не просрать деньги на обучение👇 https://t.me/+H7sFcqem5lRkZWQy

🛠 5 свежих open-source инструментов для пентеста (апрель 2026) На пентесте важно иметь под рукой не только классику вроде Nmap и Metasploit. Вот несколько новых и неочевидных утилит, которые сэкономят часы работы. 1. BlacksmithAI AI-фреймворк с несколькими агентами, которые автономно проводят оценку защищённости. Помогает там, где ручной тест затягивается. Ссылка 2. Nuclei Быстрый сканер уязвимостей на YAML-шаблонах. Тысячи готовых проверок, от CVE до некорректных конфигураций. Ссылка 3. Guardian Объединяет 19 инструментов (Nmap, Masscan, httpx и другие) под управлением AI. Запускает цепочки проверок, сам решает, что сканировать. Ссылка 4. mquire Инструмент для форензики памяти Linux. Находит скрытые процессы, руткиты и извлечённые данные из дампов. Ссылка 5. OpenAEV Автоматическая оценка уязвимостей с генерацией отчётов. Полезно, когда нужно быстро показать клиенту «что и где». Ссылка Бонус-совет: Все эти инструменты open-source и бесплатны. Тестируйте на своих виртуалках, а не на живых системах без разрешения. 😈 CodeGuard: PySec Edition | Чат

🕵️‍♂️ OSINT в деле: пошаговый разбор реального кейса от разведки до эксплуатации Как превратить открытые данные в точку входа на цель? Этот текстовый разбор проведёт вас через все этапы: от пассивной разведки до компрометации системы. 🔗 Ссылка на разбор О чём кейс: Автор на живом примере показывает, как утекший пароль сотрудника из публичного дампа превращается в полный доступ к инфраструктуре компании. Что вы узнаете:

🔵От email к уязвимости: как через сервис Have I Been Pwned найти учётные данные из старых утечек. 🔵Сборка мозаики: анализ сливов в DeHashed и архивах GitHub для получения паролей и токенов доступа. 🔵Развитие успеха: использование скомпрометированных данных для входа в Jenkins и получения доступа к переменным окружения. 🔵Цепная реакция: как токен из публичного репозитория открыл доступ к рабочему пространству Slack и ключу от staging-среды. 🔵Глубже некуда: на примере утечки с форума Exploit.in показан поиск учётки IT-сотрудника, доступ к GitLab и, в итоге, приватный SSH-ключ к серверу.

Главный вывод: то, что утекло в 2016 году, может работать в 2025-м. Без процессов мониторинга и ротации секретов даже старые базы остаются смертельным оружием. 😈 CodeGuard: PySec Edition | Чат

💻Знаешь что такое Вайб-кодинг? Если ты понимаешь как с этим работать, то как минимум можешь быть Middle или даже Senior разработчиком. ❗️Узнай как реализовать знания чтобы выйти на оффер в 200-500к с помощью канала Прикинь?! - Новости IT Буквально 10 минут в канале каждый день, натаскают твои знания так, что сможешь запросто повысить свой уровень заработка. Ну что, знаешь, в чем суть Вайб-кодинга? ⤵️

🧰 5 сайтов для пентестера, которые заменяют кучу утилит Не всегда под рукой есть Kali Linux. Иногда достаточно браузера. Вот подборка онлайн-ресурсов, которыми пользуюсь сам.

1. Exploit-DB Огромная база готовых эксплойтов и шелл-кодов. Поиск по CVE, платформе, типу уязвимости. Можно скачать .py или .txt и запустить. 2. CVE Details Альтернатива NVD с удобным поиском по продукту. Показывает все уязвимости для конкретной версии софта, ссылки на эксплойты и патчи. 3. CyberChef Швейцарский нож для данных. Декодирует Base64, Hex, URL, шифрует AES, делает хеши, парсит JSON — всё в браузере, без отправки данных на сервер. 4. Dehashed Поиск по утекшим базам данных. Вводите email или логин — узнаёте, в каких сливах он засветился. Часть функций платная, но бесплатный поиск тоже полезен. 5. Shodan Поисковик по подключённым к интернету устройствам. Видите, какие порты открыты у вашего сервера, и находите чужие уязвимые системы (только в образовательных целях).

📌 Совет: Добавьте их в закладки папкой «PenTest Tools». Когда нужно быстро что-то проверить — всё под рукой. 😈 CodeGuard: PySec Edition | Чат

🔍 Как найти скрытые подключения к серверу — гайд по ss и lsof Представьте: на сервере что-то шумит, но вы не знаете, что именно. Злоумышленник мог открыть обратную shell. Показываю, как вычислить. Шаг 1. Смотрим все активные сетевые соединения

ss -tunap

Что видим: 🔵t — TCP 🔵u — UDP 🔵n — не резолвить имена 🔵a — все (слушающие и установленные) 🔵p — показать процессы Ищите подозрительные внешние IP и нестандартные порты (4444, 1337, 9999). Шаг 2. Фильтруем только установленные соединения (ESTABLISHED)

ss -tunap state established

Шаг 3. Смотрим, какие процессы слушают порты извне

lsof -i -P -n | grep LISTEN

Флаги: 🔵-i — сетевые файлы 🔵-P — не конвертировать порты в имена 🔵-n — не резолвить IP Шаг 4. Проверяем подозрительные процессы по PID

ps aux | grep [PID]
lsof -p [PID]

Шаг 5. Автоматизируем поиск необычных портов Скрипт одной строкой:

ss -tunap | grep -E ':(4444|1337|6666|7777|9001)' 

Шаг 6. Смотрим историю подключений (кто заходил)

last -n 20

И текущих пользователей:

who

🔥 Бонус: Используйте netstat на старых системах: netstat -tunap Вывод: Эти команды должны быть в арсенале каждого админа. Проверяйте сервер ежедневно, особенно если заметили подозрительную активность. 😈 CodeGuard: PySec Edition | Чат

🚨Подборка каналов для технарей от наших друзей: 📱https://t.me/Geek_book_hub Бесплатная библиотека с книгами - программирование, электроника, айти. 📱https://t.me/club_arduino Мемы и полезные материалы для ардуинщика, электронщика, DIY'щика. 📱https://t.me/forprinting3D Если у тебя есть 3д принтер, тогда тебе сюда, тут лучшие модели и идеи для печати. 📱 https://t.me/Ali_radio_top Лучшие предложения, скидки и акции с алиэкспресс. 📱 https://t.me/Pirate_Gram - Бесплатные андроид премиум приложения.

🧰 5 сайтов для пентестера, которые заменяют кучу утилит Не всегда под рукой есть Kali Linux. Иногда достаточно браузера. Вот подборка онлайн-ресурсов, которыми пользуюсь сам.

1. Exploit-DB Огромная база готовых эксплойтов и шелл-кодов. Поиск по CVE, платформе, типу уязвимости. Можно скачать .py или .txt и запустить. 2. CVE Details Альтернатива NVD с удобным поиском по продукту. Показывает все уязвимости для конкретной версии софта, ссылки на эксплойты и патчи. 3. CyberChef Швейцарский нож для данных. Декодирует Base64, Hex, URL, шифрует AES, делает хеши, парсит JSON — всё в браузере, без отправки данных на сервер. 4. Dehashed Поиск по утекшим базам данных. Вводите email или логин — узнаёте, в каких сливах он засветился. Часть функций платная, но бесплатный поиск тоже полезен. 5. Shodan Поисковик по подключённым к интернету устройствам. Видите, какие порты открыты у вашего сервера, и находите чужие уязвимые системы (только в образовательных целях).

📌 Совет: Добавьте их в закладки папкой «PenTest Tools». Когда нужно быстро что-то проверить — всё под рукой. 😈 CodeGuard: PySec Edition | Чат

🛡 Как защитить SSH от брутфорса с помощью fail2ban — пошагово Каждую минуту сотни ботов ломятся на ваш сервер по SSH. Стандартный пароль сливают за час. Выход — fail2ban. Пошаговая инструкция по установке и настройке: Шаг 1. Устанавливаем fail2ban

sudo apt update
sudo apt install fail2ban -y

Шаг 2. Создаём локальный конфиг (чтобы не сломать настройки при обновлении)

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

Шаг 3. Настраиваем защиту SSH В файле найдите секцию [sshd] и приведите к такому виду:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600
findtime = 600

Что означает:

⚫️maxretry = 5 — 5 неудачных попыток ⚫️bantime = 3600 — блокировка на час (3600 секунд) ⚫️findtime = 600 — проверяем за последние 10 минут

Шаг 4. Разрешаем свои IP (чтобы не заблокировать себя) Добавьте в jail.local в конец файла:

[DEFAULT]
ignoreip = 127.0.0.1/8 ::1 192.168.1.100

Вместо 192.168.1.100 — ваш IP. Шаг 5. Запускаем и проверяем

sudo systemctl start fail2ban
sudo systemctl enable fail2ban
sudo fail2ban-client status sshd

Шаг 6. Смотрим, кого заблокировало

sudo fail2ban-client status sshd

А для разблокировки:

sudo fail2ban-client set sshd unbanip IP_адрес

🔥 Бонус: Можно защитить не только SSH, но и веб-сервер (Apache/Nginx) от брутфорса форм входа. Итог: Ваш сервер теперь отбивает автоматические атаки. fail2ban работает в фоне и не грузит систему. 😈 CodeGuard: PySec Edition | Чат

🚨 CVE-2024-3094 — backdoor в XZ Utils, который чуть не взломал весь Linux Март 2024 года. В XZ Utils — библиотеке сжатия, встроенной почти во все дистрибутивы Linux — нашли закладку уровня государственной атаки. Суть уязвимости:

➡️ Злоумышленник (пользователь JiaT75) несколько лет втирался в доверие к мейнтейнерам, а затем добавил в код бэкдор, который подменяет SSH-аутентификацию. Атакующий с определённым ключом мог заходить на сервер без пароля. CVSS: 10.0 (критическая)

Где искать: Проверьте версию XZ Utils:

xz --version

Уязвимы версии 5.6.0 и 5.6.1 (в большинстве дистрибутивов не попали из-за быстрого обнаружения). Но если вы ставили софт из тестовых репозиториев — проверьте. Что искать в логах SSH:

➡️Необычные записи об аутентификации без ключа. Но бэкдор был очень хитрым — мог не оставлять следов.

Как защититься:

🔵Понизить XZ Utils до версии 5.4.6 или ниже 🔵Проверить целостность системных библиотек 🔵Следить за новостями — атака вскрыта, но подобные инциденты могут повториться

Почему это страшно:

Бэкдор добавил один человек, которого долго не проверяли. Это тревожный звонок для open-source экосистемы.

📌 Итог: Обновляйте софт, но не спешите ставить свежие версии из недоверенных источников. 😈 CodeGuard: PySec Edition | Чат

Привет. Вот тебе самые топовые каналы по IT! ⚙️ Dev Boost — Самая огромная коллекция платных курсов, которые можно скачать бесплатно; 👩‍💻 IT Books — Самая огромная библиотека книг; 💻 Hacking & InfoSec Base — Крутой блог белого хакера; 🛡 CyberGuard — Всё про ИБ; 🤔 ИБ Вакансии — Всё, чтобы найти работу в ИБ; 👩‍💻 linux administration — Всё про Линукс; 📲 В Max тоже есть место для линуксоидов; 👩‍💻 Программистика — Python, python и ещё раз python; 👩‍💻 GameDev Base — Всё про GameDev; 😆 //code — Самые топовые мемы по IT: 📲 Мы в Max; Подпишись, чтобы не потерять!