Linux Education

🧨 VSCode-Backdoor — вредоносный плагин, который показывает, как легко внедрить бекдор в расширение VS Code Проект VSCode-Backdoor (https://github.com/SaadAhla/VSCode-Backdoor) — это PoC (proof-of-concept), демонстрирующий, насколько уязвимы расширения в VS Code, если они попадают от недобросовестного разработчика. 😱 Что делает расширение: - Работает как обычный плагин для VS Code - А в фоне — устанавливает бекдор через reverse shell - Подключается к атакующему, позволяя ему управлять вашей машиной 📦 Реализовано: • На JavaScript / Node.js • В виде расширения с обычным интерфейсом • Работает при открытии VS Code без подозрений 🧠 Зачем это нужно? Это не вирус, а образовательный проект, чтобы показать: > как легко создать вредоносное VS Code-расширение и почему стоит проверять исходный код и источник любого плагина, особенно за пределами официального marketplace. 🔐 Вывод: — Не устанавливайте неизвестные расширения — Всегда проверяйте, что именно делает extension.js — Используйте sandbox или виртуалку для тестов 📎 Ссылка: https://github.com/SaadAhla/VSCode-Backdoor @linux_education

➡️ Совет дня в Linux Чтобы добавить различные разрешения на файлы в каталог при его создании, используйте команду: $ mkdir -m 766 new_directory Где, -m должно получить значения, как в команде chmod @linux_education

‍📡 Wifite2 — автоматическая атака на Wi-Fi сети Wifite2 (https://github.com/kimocoder/wifite2) — мощный инструмент для автоматического взлома защищённых Wi-Fi сетей, переписанный и обновлённый с учётом современных реалий. Работает поверх aircrack-ng, reaver, bully, pyrit, hashcat и других инструментов — и делает всю грязную работу за вас. 🧩 Что умеет: ✅ Атака на WPA/WPA2: - захват handshake (4-way) - поддержка PMKID-атаки (без клиентов) - перебор паролей через aircrack / hashcat ✅ Атака на WPS (Reaver/Bully) ✅ Поддержка автоматической деаутентификации клиентов ✅ Работа в headless-режиме (удобно для скриптов и удалённых машин) ✅ Полностью переписан на Python 3 ✅ Распознаёт и игнорирует honeypot-сети (фальшивые точки доступа) ⚙️ Поддержка чипсетов Atheros, Ralink, Realtek, Broadcom — если совместим с airmon-ng, значит работает. 📦 Пример запуска: sudo wifite Wifite2 просканирует доступные сети, отфильтрует слабозащищённые, и начнёт автоматическую атаку с захватом handshake, деаутентификацией и сохранением дампов для последующего взлома. 🧠 Для опытных пользователей доступны расширенные флаги и режимы: sudo wifite --kill --timeout 20 --crack ⚠️ Только для тестирования своих сетей! Использование против чужих Wi-Fi может нарушать закон. 📁 Репозиторий: https://github.com/kimocoder/wifite2 @linux_education

Открытый практикум Kubernetes by Rebrain: Kubebuilder и Kubernetes-операторы После регистрации мы отправим вам подарок! Вы сможете найти его в ответном письме. 👉Регистрация Время проведения: 11 июня (среда), 20:00 по МСК Программа практикума: ▪️Зачем вообще нужны Kubernetes-операторы? ▫️ Реальные сценарии их использования ▪️ Создадим простой оператор с нуля Кто ведёт? Егор Гришечко — senior software engineer в Uber. Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь! Реклама. ООО "РЕБРЕИН", ИНН: 7727409582, erid: 2W5zFG1gTyr

🛡Хотите углубить свои знания в безопасности операционных систем? Присоединяйтесь к открытому уроку по журналированию в ОС Linux 10 июня в 20:00 МСК. На вебинаре мы: - Изучим источники событий в журналах. - Разберем процесс ротации журналов. - Освоим команды для просмотра журналов. Урок будет полезен системным администраторам, специалистам по информационной безопасности, разработчикам и DevOps-инженерам. Получите ценные знания, которые помогут вам в профессиональном росте. 👉Урок проходит в преддверие старта курса «Безопасность операционных систем». Все участники получат эксклюзивную скидку на обучение. Зарегистрируйтесь, чтобы не пропустить: https://clck.ru/3MPs4y Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

🚨 Атака на PyPI, npm и RubyGems: сотни вредоносных пакетов в официальных реестрах 🔍 Исследователи обнаружили массовую кампанию по размещению вредоносных библиотек в популярных экосистемах: 🧪 Что произошло: • На npm опубликованы фейковые версии библиотек вроде Hardhat, крадущие приватные ключи и .env • В PyPI появились клоны requests, urllib3 и др., с вредоносными вставками • В RubyGems — более 700 пакетов, использующих тайпосквоттинг (`activesupportt`, httpartyy и т.д.) 🎯 Цель — разработчики. Пакеты собирают: – мнемоники – приватные ключи – конфиги AWS/GCP – системную информацию 🛡 Что делать: – Проверяй названия пакетов (тайпосквоттинг — главный приём) – Запускай pip audit, npm audit, bundler audit – Используй виртуальные окружения и минимум прав – Подпиши зависимости, где это возможно (например, через Sigstore) 📌 Подробнее (https://thehackernews.com/2025/06/malicious-pypi-npm-and-ruby-packages.htm) @linux_education

‍🛰️ Как Google Dork помог найти секретные документы NASA Исследователь по кибербезопасности опубликовал отчёт о том, как с помощью обычного Google-поиска (да, просто Google!) можно было найти доступ к системе NASA P3, содержащей конфиденциальные данные. 🔍 Что такое Google Dorking? Это приёмы продвинутого поиска в Google: используя операторы вроде intitle:, site:, filetype:, можно найти скрытые файлы, папки и админ-панели, о которых владельцы забыли. 📂 В этом случае через запрос вроде: site:nasa.gov ext:pdf inurl:p3 исследователь нашёл открытые PDF-документы, содержащие: - URL-адреса внутренней системы NASA P3 - Метки безопасности - Имена пользователей и ссылки на API-интерфейсы - Указания на логи, отчёты и FTP-структуру 🚨 Это не взлом. Это OSINT — открытая разведка через поисковые системы. Но последствия могут быть критическими: злоумышленник мог бы использовать эти данные для дальнейшей атаки, доступа к конфиденциальной информации или социальной инженерии. 💡 Урок: - Никогда не считай, что "если в интернете не видно — значит, никто не найдёт" - Используй robots.txt, авторизацию, заголовки noindex и мониторинг индексации - Проверяй свою цифровую тень через Google, Shodan и др. 🔗 Полный разбор на CybersecurityWriteups: https://cybersecuritywriteups.com/nasa-p3-google-dorking-6779970b6f03 #OSINT #GoogleDorking #NASA #Cybersecurity #Инфобез @linux_education

‍📡 Провал ЦРУ в Иране: как рухнула крупнейшая шпионская сеть США В 2010-х ЦРУ выстроило масштабную сеть агентов в Иране. Но всего за пару лет она была уничтожена — десятки информаторов были арестованы, часть казнена. 🔍 Расследование Reuters раскрыло причины этого провала: 🔸 Ненадёжная связь Агентов заставляли использовать примитивную систему коммуникации через сайты с открытыми IP-адресами — иранская разведка быстро её вскрыла. 🔸 Грубые просчёты в легендах Шаблонные маршруты, повторяющиеся легенды и отсутствие гибкости — всё это позволило спецслужбам Ирана быстро выявлять агентов. 🔸 Брошенные люди Один из агентов, инженер Голамреза Хоссейни, был арестован при попытке выехать из страны. После провала он не получил никакой помощи от ЦРУ и провёл почти 10 лет в иранской тюрьме. 💬 Бывшие сотрудники ЦРУ назвали ситуацию «позором»: > *«Это не просто ошибка. Это предательство тех, кто доверился нам».* ⚠️ Этот провал стал уроком для разведок всего мира: техническая халатность + бюрократическая самоуверенность = катастрофа. 📚 Интересуешься темой шпионажа? Вот что стоит прочитать: • *Legacy of Ashes* — тёмная история ЦРУ • *The Spy and the Traitor* — про Олега Гордиевского • *Surveillance State* — современная разведка и слежка 🔗 Читай полное расследование: https://www.reuters.com/investigates/special-report/ @linux_education

‍🕵️‍♂️ ExeRay — статический анализатор PE-файлов на Python ExeRay — это удобный инструмент для реверс-инженеров, исследователей безопасности и malware-аналитиков. Он проводит статический анализ исполняемых файлов .exe (PE-файлов) и визуализирует их структуру в удобной форме. 🧩 Что умеет ExeRay: ✅ Анализировать PE-файл и извлекать: - Заголовки, секции, импорты/экспорты - Таблицы ресурсов - Используемые API и библиотеки - Suspicious patterns и аномалии ✅ Генерировать отчёт в HTML ✅ Работает полностью офлайн ✅ Поддержка анализа несколькими методами (pefile + custom парсеры) 📦 Пример использования: python main.py -f malware.exe После чего ты получаешь красивый и подробный отчёт по всем ключевым параметрам PE-файла. 💻 Технологии: - Python 3 - pefile, matplotlib, pyvis для графов зависимостей - Простая CLI и понятный код — легко расширить под свои задачи 🧠 Кому подойдёт: - Reverse Engineers - Malware Analysts - Red/Blue Teams - Python-разработчикам, интересующимся PE-структурой и безопасностью 🔥 Если ты работаешь с .exe, и хочешь быстро понять, что внутри — ExeRay сэкономит часы ручного анализа. 📁 Репозиторий (https://github.com/MohamedMostafa010/ExeRay): @pythonl @linux_education

🔧 Задача для Linux-админов: «Невидимый сбой в продакшене» 🎯 Цель: Найти источник периодических тормозов без остановки системы 📍 Ситуация: Пользователи жалуются: каждые 15–20 минут сервер «зависает» на 20–30 секунд. Логи — чистые. Сеть — стабильна. Сервисы (PostgreSQL, Jenkins) — запущены, но подтормаживают. Мониторинг (Prometheus + node_exporter) показывает всплески iowait и load average. 💾 Инфраструктура: - OS: RHEL 9 - Используется: systemd, cron, cgroups, firewalld, podman - Бэкап-скрипт: db-backup.sh по cron каждые 15 мин - Установлен tmpwatch - /var/log — без ошибок 🧩 Ваша задача: 1. Найти причину скачков iowait (при чистых логах) 2. Определить какой процесс запускается краткосрочно и грузит диск 3. Проверить, когда точно начинается деградация 4. Использовать инструменты диагностики: iotop, atop, strace, perf, systemd-analyze, bpftrace, auditd 5. Проверить cron, tmpwatch, backup и скрытые `systemd`-таймеры 6. Не останавливать PostgreSQL и Jenkins 💡 Подсказка: - tmpwatch может удалять десятки тысяч мелких файлов → резкий I/O - systemd-tmpfiles-clean.timer по умолчанию может запускаться автоматически - Проверяй journalctl, cron, audit.log, iotop -aoP 🛠 Решение: 1. Запускаем iotop -aoP и видим, что в момент зависаний работает tmpwatch: sudo iotop -aoP 2. Проверяем таймеры systemd: systemctl list-timers --all Обнаруживаем systemd-tmpfiles-clean.timer с периодичностью 15 минут. 3. Смотрим, какие пути чистит tmpfiles: cat /usr/lib/tmpfiles.d/tmp.conf 4. В /tmp накопилось >100K маленьких файлов (`.sock`, .pid, `.cache`). Удаление их — причина iowait. 5. Решение: - Увеличить интервал у tmpfiles-clean.timer, например, до 3 часов: sudo systemctl edit systemd-tmpfiles-clean.timer [Timer] OnBootSec= OnUnitActiveSec=3h - Временно выключить таймер, если не критично: sudo systemctl disable --now systemd-tmpfiles-clean.timer 6. Оптимизируем tmpwatch и cron, чтобы не пересекались с бэкапами и нагрузкой. 📌 Вывод: Скрытые таймеры systemd, массовое удаление временных файлов и конфликт с расписанием cron могут вызвать деградацию, даже если логи чисты. Только глубокая диагностика через I/O-мониторинг и анализ таймеров раскрывает источник. 💬 Это задача для собеседования DevOps/SRE уровня L3+ @linux_education

🛡️ Sentry — локальный firewall для macOS с графическим интерфейсом Sentry (https://github.com/Lakr233/Sentry) — это элегантное и мощное приложение с открытым исходным кодом, которое даёт тебе полный контроль над входящими и исходящими соединениями на macOS. 🔥 Возможности: ▪ Локальный сетевой фильтр уровня ядра ▪ Управление интернет-доступом для любых приложений ▪ Красивый и понятный GUI на SwiftUI ▪ Работа без сторонних зависимостей ▪ Поддержка push-уведомлений при блокировке ▪ Абсолютно офлайн и приватно — данные никуда не уходят ⚙️ Под капотом: • Использует NetworkExtension Framework • Написан на Swift и C++ • Поддерживает macOS 13 Ventura и выше 👨‍💻 Для разработчиков и параноиков: Sentry — альтернатива Little Snitch, только open-source, бесплатная и без трекинга. 🔐 Если хочешь видеть, что и когда лезет в сеть на твоём Mac — ставь Sentry и спи спокойно. 🔗 GitHub: https://github.com/Lakr233/Sentry @linux_education

‍🔐 FrodoKEM — квантово-устойчивая криптография "старой школы" от Microsoft Microsoft представила подробный разбор алгоритма FrodoKEM — одного из главных кандидатов на роль стандарта постквантовой криптографии. В эпоху приближающихся квантовых компьютеров, FrodoKEM предлагает максимально консервативную и проверяемую альтернативу. 📌 Что такое FrodoKEM? FrodoKEM (Frodo Key Encapsulation Mechanism) — это криптографическая схема, основанная на сложной математической задаче Learning With Errors (LWE) без применения каких-либо дополнительных алгебраических структур, вроде решёток в кольцах или модулярной арифметики. 🔹 В отличие от популярных решений (например, Kyber), FrodoKEM: - Не использует оптимизации через кольца - Не зависит от нестабильных алгебраических допущений - Основан на классических, хорошо изученных матричных операциях 🧠 Почему это важно? Ближайшее будущее — это угроза квантового взлома. Алгоритмы вроде RSA и ECC станут уязвимыми после появления рабочих квантовых компьютеров. Многие постквантовые схемы стараются быть быстрыми, но жертвуют прозрачностью и простотой анализа. Microsoft выбрала другой путь: надёжность, понятность, доверие. 🛡 FrodoKEM: - Устойчив даже при пессимистичных криптоанализах - Обеспечивает строгий уровень безопасности (до 192-битной стойкости) - Уже участвует в финальном раунде отбора NIST ⚙️ Технические детали - Основан на стандартной LWE-задаче с гауссовыми ошибками - Полностью реализован на C (open-source) - Поддерживает несколько уровней безопасности (FrodoKEM-640, -976, -1344) - Не требует дополнительных предположений, кроме LWE 📦 Репозиторий: https://github.com/Microsoft/PQCrypto-LWEKE 🔍 Что пишет Microsoft? > "Мы хотели создать решение, которому можно доверять даже спустя 20 лет. FrodoKEM может быть медленнее, но это цена за прозрачность и проверяемость." 🧩 Где это может применяться? - Встраиваемые устройства, где важна безопасность, а не скорость - Долгосрочное шифрование архивов и переписки - Системы, где необходима формальная верификация безопасности 📚 Полный разбор от Microsoft: https://www.microsoft.com/en-us/research/blog/frodokem-a-conservative-quantum-safe-cryptographic-algorithm/ #postquantum #crypto #FrodoKEM #MicrosoftResearch @linux_education

Открытый практикум Linux by Rebrain: Практика работы с RAID массивами После регистрации мы отправим вам подарок! Вы сможете найти его в ответном письме. 👉Регистрация Время проведения: 4 июня (среда) в 20:00 по МСК Программа практикума: ▫️Сборка RAID массива ▪️Перенос данных на другой сервер ▫️Сборка RAID массива при отсутствии диска ▪️Восстановление RAID5 Кто ведёт? Андрей Буранов — специалист по UNIX-системам в компании VK, входит в топ 3 лучших преподавателей образовательных порталов. 10+ лет опыта работы с ОС Linux и 8+ лет опыта преподавания. Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь! Реклама. ООО "РЕБРЕИН", ИНН: 7727409582, erid: 2W5zFH5qE2t

🛡️ Awesome Threat Actor Resources — подборка лучших открытых источников о киберугрозах и APT-группах от команды RST Cloud 📚 Репозиторий собирает ссылки на проверенные базы данных, проекты и ресурсы, посвящённые профилям киберпреступных группировок, их инструментам, тактикам и активностям. 🔍 В списке: • Malpedia — описания и ссылки на 800+ групп • MISP Galaxy — акторы угроз и их алиасы • MITRE Threat Actor Encyclopedia — поведенческие профили с TTPs • APTnotes — архив APT-отчётов • APTMap — интерактивная карта группировок • FireEye APT Groups — классификация и структура известных APT 🎯 Полезно для: • Аналитиков киберугроз • Исследователей безопасности • Разработчиков SOC/EDR/Threat Intel-систем • Всех, кто хочет глубже понимать поведение реальных атакующих 📎 GitHub: https://github.com/rstcloud/awesome-threat-actor-resources 📝 Лицензия: CC0 — можно использовать где угодно @linux_education

🔐 Поднимите защиту почтовых ящиков на новый уровень! 27 мая в 20:00 на нашем бесплатном практическом вебинаре мы научим вас развертывать сервис для автоматической проверки почтовых ящиков на вредоносное ПО. Корпоративная почта — один из самых уязвимых каналов для распространения вредоносных вложений. Защита от угроз должна быть максимально быстрой и эффективной. Мы разберем, как автоматизировать процесс проверки и научимся выявлять вредоносные индикаторы в почте. Если вы специалист по reverse инжинирингу или malware-аналитик, и хотите повысить свою эффективность в автоматической проверке почты — этот вебинар для вас. Присоединяйтесь к вебинару и получите скидку на большое обучение «Reverse engineering». 👉 Зарегистрируйтесь по ссылке: https://clck.ru/3MJJ4u Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

‍✅ Beelzebub Honeypot - платформа для анализа киберугроз, специализирующуюся на выявлении и изучении криптоджекинга — скрытого майнинга криптовалюты на чужих устройствах без ведома владельцев. 🔍 Как работает Beelzebub Honeypot (https://beelzebub-honeypot.com/blog/how-cybercriminals-make-money-with-cryptojacking/) Beelzebub — это низкокодовая honeypot-фреймворк, позволяющая быстро развернуть ловушки для киберпреступников. Особенность проекта — интеграция с моделью GPT-4o, что обеспечивает реалистичное поведение системы и привлекает злоумышленников для более глубокого анализа их действий. 💰 Исследование криптоджекинга В рамках одного из экспериментов Beelzebub была зафиксирована атака, при которой злоумышленник использовал вредоносное ПО для: - Удаления конкурирующих майнеров с системы жертвы. - Установки собственного майнера xmrig через скрипт с сервера c3pool.org. beelzebub-honeypot.com - Майнинга криптовалюты Monero (XMR) на свой кошелек. За короткий период злоумышленнику удалось добыть 20 XMR, что эквивалентно примерно $4126. 🛡️ Противодействие угрозам После обнаружения атаки команда Beelzebub: - Заблокировала вредоносный кошелек в пуле c3pool. beelzebub-honeypot.com - Удалили все связанные с ним майнеры, предотвращая дальнейшее распространение угрозы. 📌 Основные преимущества Beelzebub Быстрая настройка honeypot-серверов через YAML-конфигурации. - Интеграция с LLM (GPT-4o) для реалистичного взаимодействия с атакующими. - Открытый исходный код и активное сообщество разработчиков. - Поддержка различных протоколов (SSH, HTTP, TCP) и интеграция с Docker и Kubernetes. Beelzebub Honeypot — мощный инструмент для специалистов по кибербезопасности, позволяющий не только выявлять, но и глубоко анализировать современные угрозы, такие как криптоджекинг, и эффективно им противодействовать. https://beelzebub-honeypot.com/blog/how-cybercriminals-make-money-with-cryptojacking/ @linux_education

🕵️‍♂️ Pinkerton — инструмент для поиска секретов в JavaScript Это мощный open-source сканер, созданный для автоматического поиска чувствительных данных (API-ключей, токенов, паролей) в JavaScript-файлах на веб-сайтах. 🔍 Что делает Pinkerton: • Краулит сайт, собирая все JS-файлы • Ищет утечки с помощью регулярных выражений • Находит API-ключи, JWT, access tokens, пароли и многое другое ⚙️ Как использовать: git clone https://github.com/000pp/Pinkerton.git pip3 install -r requirements.txt python3 main.py -u https://example.com 🧠 Кому подойдёт: • Пентестерам и багхантером • DevSecOps специалистам • Любому, кто хочет проверить, не утекли ли ключи в фронт-коде 📦 Поддерживается в BlackArch Linux 🔓 Лицензия: MIT 🌟 300+ звёзд на GitHub 💬 Pinkerton — отличный инструмент для тех, кто хочет автоматизировать безопасность своего фронта и не допустить утечек ключей. #pentest #security #bugbounty #opensource #js #infosec #Pinkerton https://github.com/000pp/Pinkerton @linux_education

‍🛡️ Утечка 184 миллионов логинов: открытая база с данными пользователей Apple, Google, Facebook и даже госслужб Исследователь Jeremiah Fowler обнаружил огромную незащищённую базу Elastic — 184+ миллионов записей (~47 ГБ), свободно доступных в интернете. Данные включали логины, пароли, адреса и ключевые слова вроде "wallet", "bank", "PayPal", "Netflix", "Discord". 🌍 Кто пострадал: • Аккаунты пользователей из 29+ стран • 220+ адресов .gov — включая США, Канаду, Австралию, Индию и Китай • Учётные записи: Google, Facebook, Instagram, Apple, Amazon, PayPal и др. 🔎 Что произошло: • Сервер находился у провайдера World Host Group, но владелец не установлен • Судя по данным — это сборка из вредоносного ПО-инфостилера или логов скомпрометированных машин • После уведомления — база была оперативно отключена ⚠️ Почему это важно: • Утечка включает учётки правительств, что может представлять угрозу нацбезопасности • Доступ был открыт публично — неизвестно, кто успел воспользоваться • Это напоминает, насколько важна защита серверов и баз данных 🔐 Что делать: ✅ Смените пароли в ключевых сервисах ✅ Включите 2FA (двухфакторную авторизацию) ✅ Используйте менеджеры паролей и не повторяйте один пароль на разных сайтах ✅ Не храните API-ключи или токены в незашифрованных файлах 📎 Источник (https://www.wired.com/story/mysterious-database-logins-governments-social-media/) #CyberSecurity #DataLeak #Infostealer #Elastic #SecurityBreach #GovLeak #DigitalPrivacy #JeremiahFowler @linux_education