Category: it

Category was added automatically. Read all entries about "it".

Милости просим.

Здравствуй, прорвавшийся сюда через горы копипасты в ЖЖ, ЧИТАТЕЛЬ. Посты в моем бложике про самолетики и машинки. C авиацией все просто - тыкай в тег spotting и наслаждайся.



Постов про машинки значительно больше. Есть про российский автоспорт, есть про любительские покатушки и ралли. Отдельный раздел про субариные новости и достижения. Редко, но продолжают появляться, посты про исторические автомобили. Автоспортивное кино и гонки: что смотреть?



Иногда тут появляются посты по котиков и девушек. Чаще всего они c тегом photo.



Слава-яйцам: госпожа Арефьева вставила пистон технарям в ЖЖ и на журнал пошел трафик с поиска. Не пойму как так получилось, но вот почему то Яндекс и Гугль считают меня жутко авторитетным источником про рыбалку в Териберке. Иногда народ заходит почитать мои ИТ-посты.

Посты ниачом, но почему то комментов там больше всего.

Не тупи, добавляйся в читатели!

ЖЖ умирает. Если Вы не такой ретроград как я, то посты можно читать в Zen под легким адресом тут.
Моя тележка оранжевый огурец. Там анонсы постов из ЖЖ.

Микротики завалили целый Yandex, почти.



Понедельник начался граблями откуда не ждал. Встало колом разрешение доменных имён через облако Mikrotik (засуспендили домен mynetname.net). Обычно такое бывает когда кто то забыл внести денег за пролонгацию на следующий год. Оказывается нет. Судя по постам на форуме mikrotik.com реально забыли денег заплатить.

В понедельник кто то пытался завалить инфрастуктуру Яндекса с помощью ботнета. Две уважаемые компании по безопасности указали на то что это поломанное (или криво настроенное) оборудование Mikrotik. Но всё без технических подробностей. Представители производителя на вопрос средств массовой информации дал такой комментарий.

Представитель MikroTik заявил «Ведомостям», что в их собственной операционной системе RouterOS ранее была обнаружена уязвимость, но она была устранена в 2018 г. «Многие устройства все еще работают на старом ПО, но предупредить об этом каждого пользователя на планете сложно», – отметил представитель MikroTik. Как сообщалось в блоге MikroTik, в апреле 2018 г. компания обнаружила уязвимость, которая позволяла запросить файл базы данных пользователей системы, используя специальный инструмент.
«Нам неизвестно о каких-либо новых уязвимостях, с тех пор как упомянутая была устранена, RouterOS тщательно изучается независимыми аудиторскими компаниями», – сообщил представитель MikroTik.

Активность нового ботнета Qrator Labs наблюдает не только в России, но и в Европе, США, Индии, на Ближнем Востоке, в регионе APAC, в Латинской Америке, отмечает Лямин: «Атаки коснулись крупнейших банков, e-commerce компаний, интернет-сервисов по всему миру, и ущерб от них уже вышел на уровень миллиардов рублей».



upd. Появились технические подробности от расследователей инцидентов безопасности.

Особенности ботнета Mēris:

  • Использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено)

  • Атаки ориентированы на эксплуатацию RPS (подтверждено)

  • Открытый порт 5678 (подтверждено)

  • SOCKS4-прокси на зараженном устройстве (не подтверждено, хотя мы знаем, что устройства Mikrotik используют SOCKS4)

Не работает mynetname.net

Untitled-23

Утром народ начал обрывать телефоны - не могут достучаться до офисных ресурсов. Полез смотреть и увидел, что не отдаются DNS-записи вида mac-mikrotik.sn.mynetname.net. На случай переездов очень удобно использовать штуковину в Mikrotik с названием coud (оно для отслеживания внешнего IP вашего Mikrotik).

Какая то сволочь забыла денег занести за продление домена mynetname.net. Гад ты костя Федотов!

Прикольней было только во времена динозавров, когда забыли продлить домен microsoft.com.

Windows 11 уже 5 октября

Untitled-31

Майкрософтовский блог на Хабре сообщает: обновление в строну Windows 11 начнётся 5 октября 2021 года. Под раздачу должна попасть совместимая техника.  В эту же дату должны стать доступны в магазинах и прочих местах новые железки с новой ОС от Microsoft.

ИТ сообщество, ожидаемо задало вопросы про возможности новой операционной системы.

Untitled-32

Взлом госуслуг.

DSC_0864

На неделе изучал занимательную статью на Хабре о "взломе Госуслуг". Кому лень читать полностью тут краткая выжимка о том почему это не правда и как перестать страдать и начать получать удовольствие от цифровизации государства.Collapse )

Свежий способ окирпичить все ифоны в округе. Почти.

Untitled-3
Топаем к своей точке доступа. Поднимаем сеть с названием как на картинке. Наблюдаем жжение у находящихся в округе владельцев Iphone. Лечится либо полным сбросом телефона к заводским настройкам, либо восстановлением из последнего backup (у всех есть актуальный бекап?).

Из недавних открытий про яблочные телефоны: беспроводная сеть в округе с названием "%p%s%s%s%s%n" вызывает зависание радиомодуля на свежих трубках. Лечится сбросом сетевых настроек телефона.

Информация исследователями отправлена производителю, но исправлений пока не последовало.

Из баек на конференциях по WiFi: офисы циски и эпла в соседних зданиях. Инженеры вместе тусят в кафешке и именно по этому точки доступа Cisco и клиентское оборудование Apple при беспроводных подключениях показывают чудеса производительности. При этом вот уже много лет Apple, хоть и является спонсором WiFi Alliance, сертификации своего оборудования не производит. Тот кто настраивал сети WiFi не в домашних условиях знают, что обычно нужны дополнительные "приседания" для обеспечения совместимости с надкусанными яблоками.

Отдал в хорошие руки

DSC_0348-2

В воскресенье позвонил человек по авитовскому объявлению. В понедельник доставил хорошему человеку прям на работу коробочки.

OS/2 Warp v3 - в коробке с дискетами и сидиромом.
OS/2 Warp Server standart - в коробке с сидиромом.
Софт какой то для разработки, что ли, то же под OS/2.

Warp 4 (Мерлин) (сентябрь 1996 года)

Переработан интерфейс Workplace Shell, добавлена поддержка выполнения программ на языке программирования Java, функции голосовой навигации и голосового ввода информации VoiceType Navigation and Dictation. Сетевые средства Warp 4 позволяли ей работать с большим количеством сетей: LAN Server, Windows, Novell Netware, PCLAN, IPX-SPX, LANtastic и т. д. Поддерживались протоколы TCP/IP, SNA, NetBIOS.

Блин, какая там в комплекте печатная документация...

Наберут, блин, по объявлению.

photo_2021-03-10_11-49-55

photo_2021-03-10_11-49-45

Роскомнадзор объявил, что начал замедлять скорость работы Twitter в России

10:12, 10 марта 2021. Источник: Роскомнадзор. С 10 марта на территории России замедляется скорость работы Twitter — из-за того, что соцсеть не удаляет противоправный контент. Об этом заявили в Роскомнадзоре.

upd.
Исход атаки Роскомнадзора на Twitter полностью повторил первую атаку на Telegram («интернет-геноцид»).

🔸упал крупнейший в России провайдер Ростелеком;

🔸упали сайты Госдумы и Кремля;

🔸упал сайт Роскомнадзора;

🔸упал сайт правительства;

🔸упал сайт МВД;

🔸упал сайт Следкома.

Беспощадный пиарщик.
Девочки, судя по тому, как кучно прилегли сайты Кремля, Госдумы и Роскомнадзора, есть мнение, что это американцы выполняют свое обещание недельной давности нанести киберудар по российским информационным ресурсам и инфраструктуре в ответ на проникновение российских хакеров в почтовые ящики американских госслужащих госслужащих.

Результаты работы Test-ProxyLogon.ps1


Untitled-2


Читаем статью на Хабре про 0-day уязвимость Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Ставим заплаточку KB5000871.
В качестве развития кругозора запускаем скрипт от MS для детектирования попыток взлома Test-ProxyLogon.ps1.
Инструкция по запуску:
Для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системный администратор должен ввести следующую команду в Exchange Management Shell: Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.
Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.
Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:.\Test-ProxyLogon.ps1.

Смотрим в вывод скрипта и задаемся вопросом: что же это значит? Читаем статью от исследователей безопасности rapid7.com с их трактовкой событий.



Технический анализ деятельности злоумышленников при атаке Exchange в марте 2021 года

Сканирование для обнаружения уязвимых серверов Exchange со следующих IP-адресов DigitalOcean:

165.232.154.116
157.230.221.198
161.35.45.41

Анализ журналов Internet Information Services (IIS) показывает, что затем выполняется запрос POST со сканирующего IP-адреса на несколько путей и файлов:

/ecp/y.js
/rpc/
/owa/auth/signon.aspx
/aspnet_client/system_web/<случайное_имя >.aspx
Путь IIS ex: /aspnet_client/system_web/TInpB9PE.aspx

В некоторых случаях дополнительные библиотеки динамической компоновки (DLL) и скомпилированные файлы aspx создаются вскоре после первого взаимодействия с веб-оболочками через запросы POST в следующих местах:

C:\Windows\Microsoft.NET\Framework64\<версия>\Временные файлы ASP.NET\root\
C:\Windows\Microsoft.NET\Framework64\<версия>\Временные файлы ASP.NET\owa\

3. Далее выполняется команда, пытающаяся удалить «Администратора» из группы «Администраторы организации Exchange»:

cmd / c cd / d C: \\inetpub\\wwwroot\\aspnet_client\\system_web&net группа «Администраторы организации Exchange» администратор /del/domain & echo [S] & cd & echo [E]

4. После выполнения команды и успешной загрузки веб-оболочки взаимодействие с веб-оболочкой начнется с другого IP-адреса.

Мы отслеживали взаимодействие с 45.77.252 [.] 175

5. После запроса POST над активом выполняется несколько команд:

а. Дамп Lsass.exe с использованием procdump64.exe и C:\Temp\update.exe
(MD5: f557a178550733c229f1087f2396f782 ):

cmd / c cd / d C: \\ root & procdump64.exe -accepteula -ma lsass.exe lsass.dmp & echo [S] & cd & echo [E]

б. Команды разведки:

whoami.exe
ping.exe
tasklist.exe
quser.exe
query.exe

Индикаторы компрометации

Тип Значение
ip 165.232.154.116
ip 157.230.221.198
ip 161.35.45.41
ip 45.77.252.175
ip 104.248.49 [.] 97
ip, который взаимодействует с загруженными веб-оболочками 194,87,69 [.] 35
URL /ecp/y.js
URL /ecp/DDI/DDIService.svc/GetList
URL /ecp/DDI/DDIService.svc/SetObject
URL /owa/auth/errorEE.aspx
URL /owa/auth/logon.aspx
URL /owa/auth/errorFE.aspx
URL /aspnet_client/aa.aspx
URL /aspnet_client/iis
URL /iistart.aaa
URL /owa/iistart.aaa
Пользовательский агент python-запросы / 2.25.1
Пользовательский агент antSword / v2.1

upd-01.
Технические подробности от MS в их блоге.

upd-02.
Скрипт проверки и латания уязвимости от MS.

Как правильно готовить 1с.

DSC_6764

Дополнение к посту про настройку сервера базы данных для 1с. На хабре статья. Нового ничего нет, это если прочитал толстый учебник "Настольная книга по технологическим вопросам". Ссылочку запостил сюда, что бы не лазить когда жареный петух клюнет в кучу разных мест.