Category: it

Category was added automatically. Read all entries about "it".

Милости просим.

Здравствуй, прорвавшийся сюда через горы копипасты в ЖЖ, ЧИТАТЕЛЬ. Посты в моем бложике про самолетики и машинки. C авиацией все просто - тыкай в тег spotting и наслаждайся.



Постов про машинки значительно больше. Есть про российский автоспорт, есть про любительские покатушки и ралли. Отдельный раздел про субариные новости и достижения. Редко, но продолжают появляться, посты про исторические автомобили. Автоспортивное кино и гонки: что смотреть?



Иногда тут появляются посты по котиков и девушек. Чаще всего они c тегом photo.



Слава-яйцам: госпожа Арефьева вставила пистон технарям в ЖЖ и на журнал пошел трафик с поиска. Не пойму как так получилось, но вот почему то Яндекс и Гугль считают меня жутко авторитетным источником про рыбалку в Териберке. Иногда народ заходит почитать мои ИТ-посты.

Посты ниачом, но почему то комментов там больше всего.

Не тупи, добавляйся в читатели!

ЖЖ умирает. Если Вы не такой ретроград как я, то посты можно читать в Zen под легким адресом тут.
Моя тележка оранжевый огурец. Там анонсы постов из ЖЖ.

Отдал в хорошие руки

DSC_0348-2

В воскресенье позвонил человек по авитовскому объявлению. В понедельник доставил хорошему человеку прям на работу коробочки.

OS/2 Warp v3 - в коробке с дискетами и сидиромом.
OS/2 Warp Server standart - в коробке с сидиромом.
Софт какой то для разработки, что ли, то же под OS/2.

Warp 4 (Мерлин) (сентябрь 1996 года)

Переработан интерфейс Workplace Shell, добавлена поддержка выполнения программ на языке программирования Java, функции голосовой навигации и голосового ввода информации VoiceType Navigation and Dictation. Сетевые средства Warp 4 позволяли ей работать с большим количеством сетей: LAN Server, Windows, Novell Netware, PCLAN, IPX-SPX, LANtastic и т. д. Поддерживались протоколы TCP/IP, SNA, NetBIOS.

Блин, какая там в комплекте печатная документация...

Наберут, блин, по объявлению.

photo_2021-03-10_11-49-55

photo_2021-03-10_11-49-45

Роскомнадзор объявил, что начал замедлять скорость работы Twitter в России

10:12, 10 марта 2021. Источник: Роскомнадзор. С 10 марта на территории России замедляется скорость работы Twitter — из-за того, что соцсеть не удаляет противоправный контент. Об этом заявили в Роскомнадзоре.

upd.
Исход атаки Роскомнадзора на Twitter полностью повторил первую атаку на Telegram («интернет-геноцид»).

🔸упал крупнейший в России провайдер Ростелеком;

🔸упали сайты Госдумы и Кремля;

🔸упал сайт Роскомнадзора;

🔸упал сайт правительства;

🔸упал сайт МВД;

🔸упал сайт Следкома.

Беспощадный пиарщик.
Девочки, судя по тому, как кучно прилегли сайты Кремля, Госдумы и Роскомнадзора, есть мнение, что это американцы выполняют свое обещание недельной давности нанести киберудар по российским информационным ресурсам и инфраструктуре в ответ на проникновение российских хакеров в почтовые ящики американских госслужащих госслужащих.

Результаты работы Test-ProxyLogon.ps1


Untitled-2


Читаем статью на Хабре про 0-day уязвимость Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Ставим заплаточку KB5000871.
В качестве развития кругозора запускаем скрипт от MS для детектирования попыток взлома Test-ProxyLogon.ps1.
Инструкция по запуску:
Для проверки всех серверов Exchange в организации и сохранения журналов и логов на рабочем столе, системный администратор должен ввести следующую команду в Exchange Management Shell: Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.
Если необходимо проверить только локальный сервер и сохранить логи, то нужно ввести следующую команду:.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs.
Чтобы проверить только локальный сервер и отобразить результаты без их сохранения, нужно запустить следующую команду:.\Test-ProxyLogon.ps1.

Смотрим в вывод скрипта и задаемся вопросом: что же это значит? Читаем статью от исследователей безопасности rapid7.com с их трактовкой событий.



Технический анализ деятельности злоумышленников при атаке Exchange в марте 2021 года

Сканирование для обнаружения уязвимых серверов Exchange со следующих IP-адресов DigitalOcean:

165.232.154.116
157.230.221.198
161.35.45.41

Анализ журналов Internet Information Services (IIS) показывает, что затем выполняется запрос POST со сканирующего IP-адреса на несколько путей и файлов:

/ecp/y.js
/rpc/
/owa/auth/signon.aspx
/aspnet_client/system_web/<случайное_имя >.aspx
Путь IIS ex: /aspnet_client/system_web/TInpB9PE.aspx

В некоторых случаях дополнительные библиотеки динамической компоновки (DLL) и скомпилированные файлы aspx создаются вскоре после первого взаимодействия с веб-оболочками через запросы POST в следующих местах:

C:\Windows\Microsoft.NET\Framework64\<версия>\Временные файлы ASP.NET\root\
C:\Windows\Microsoft.NET\Framework64\<версия>\Временные файлы ASP.NET\owa\

3. Далее выполняется команда, пытающаяся удалить «Администратора» из группы «Администраторы организации Exchange»:

cmd / c cd / d C: \\inetpub\\wwwroot\\aspnet_client\\system_web&net группа «Администраторы организации Exchange» администратор /del/domain & echo [S] & cd & echo [E]

4. После выполнения команды и успешной загрузки веб-оболочки взаимодействие с веб-оболочкой начнется с другого IP-адреса.

Мы отслеживали взаимодействие с 45.77.252 [.] 175

5. После запроса POST над активом выполняется несколько команд:

а. Дамп Lsass.exe с использованием procdump64.exe и C:\Temp\update.exe
(MD5: f557a178550733c229f1087f2396f782 ):

cmd / c cd / d C: \\ root & procdump64.exe -accepteula -ma lsass.exe lsass.dmp & echo [S] & cd & echo [E]

б. Команды разведки:

whoami.exe
ping.exe
tasklist.exe
quser.exe
query.exe

Индикаторы компрометации

Тип Значение
ip 165.232.154.116
ip 157.230.221.198
ip 161.35.45.41
ip 45.77.252.175
ip 104.248.49 [.] 97
ip, который взаимодействует с загруженными веб-оболочками 194,87,69 [.] 35
URL /ecp/y.js
URL /ecp/DDI/DDIService.svc/GetList
URL /ecp/DDI/DDIService.svc/SetObject
URL /owa/auth/errorEE.aspx
URL /owa/auth/logon.aspx
URL /owa/auth/errorFE.aspx
URL /aspnet_client/aa.aspx
URL /aspnet_client/iis
URL /iistart.aaa
URL /owa/iistart.aaa
Пользовательский агент python-запросы / 2.25.1
Пользовательский агент antSword / v2.1

upd-01.
Технические подробности от MS в их блоге.

upd-02.
Скрипт проверки и латания уязвимости от MS.

Как правильно готовить 1с.

DSC_6764

Дополнение к посту про настройку сервера базы данных для 1с. На хабре статья. Нового ничего нет, это если прочитал толстый учебник "Настольная книга по технологическим вопросам". Ссылочку запостил сюда, что бы не лазить когда жареный петух клюнет в кучу разных мест.

Наберут, блин, по объявлению.

Untitled-2

Скачал с MS сайта дистрибутив Hyper-V Server 2019. Он, типа, свободный, "бери - не хочу". При раздаче только просят заполнить данные о компании. Через полчаса после регистрации получаю звонок:
- Здрасте, мы продаем облако mail.ru, приходи к нам!
- Здрасте, а хранилка мейла умеет прикидываться репозиторием для veeam backup?
- Ой, а мы не знаем. Мы сейчас у умных спросим. Можно мы тебе перезвоним?
- Ок.

На следующее утро звонок уже с другого телефона:
- Здрасте, мы продаем облако mail.ru, приходи к нам!
- Вы же вчера звонили? Хрен с Вами, лид пошел по рукам. Здрасте, а хранилка мейла умеет прикидываться репозиторием для veeam backup?
- Ой, а мы не знаем. Можно мы тебе перезвоним?

Еще через пару дней:
- Здрасте, мы продаем облако mail.ru, приходи к нам!
- Вы заколебали, я знаю, что вы не знаете про "хранилка мейла умеет прикидываться репозиторием для veeam backup". Давайте учётку и насыпьте туда не много тестовых ресурсов, сам посмотрю и почитаю доки.
- Ок.

На следующий день:
- Мы звонили пару дней назад про облако mail.ru. На какую почту прислать тестовый доступ?
- leha@firma.com
- ок, до созвона.

Пару дней не этого было, но всё же открыл письмо с ссылкой. Та-дам: "данный тестовый аккаунт истек..."
На следующий день прислали новый, исправный. Я тянуть не стал, сразу зашел, как получил. Полез в документацию, смотреть чего там и как. Получил ответ прям на первом экране.

И это, диски Seagate такие прикольные звуки под нагрузкой издают... При Советском Союзе были такие лампы для расслабления, что ли. Там шняга в толще жидкости плавала и лампа низкие булькающие звуки издавала, типа аквариум она. Так вот SATA 3.5" Seagate Enterprise так же "булькает".

Чего то я очкую, Славик!

12

Тут новость приехала волнительная. Сертификат безопасности Microsoft истекает 31 декабря. Корневой. Выданный в 1997 году. Блин.

Проверил свой зоопарк: на серверах от 2008 до 2019 он присутствует в доверенных корневых центрах сертификации. И в Windows 10 тоже.

Что бы спокойно упасть под йолочку в новогоднюю ночь пойду проведу эксперимент: загоню тестовую машину в 13 января 2021 и посмотрю чего будет.

Adobe Flash всё!

Untitled-2

Слава богу, наконец то! Сколько было потрачено времени на постоянное обновление этого поделия Адоба. Особенно сейчас подгорает у клиентов платформ обучений и вебинаров отдающих картинку через вот это. Оно и так не работало на эпловой платформе, а с нового года везде превращается в тыкву.

Слава яйцам сообщество решило стандартизировать видео в HTML 5, а крупнейшие видеохостинги отказались от Flash.

Пишем на страничке и готово.


Untitled-3jpg

Бурная неделя выдалась

DSC_9073

В Москве закончилось лето, железки перестали слать алёрты по температуре. Это хорошо.

Хонда заявила, что она "не шмогла" и больше не будет строить моторы для Ред Булла, Альфа Таури и вообще для кого бы то ни было в F1. Что делать производителю газировки в 2021 году без моторов разъяснений пока не последовало.

Не последний человек в отрасли заявил, что ядро Windows перейдёт на Linux. Типа основные всплывающие  уязвимости в проприетарном ядре от Microsoft и птчить их уже все подзаколебались. Решение простое: берём вылизанный сообществом код линуха, делаем над ним надстройку для запуска Windows-приложений и профит! Ну и еще, наверное, свежий MS Edge на коде Chromium майкрософтам понравился.

Пятница завершилась очередным успешным переносом 100+ килограммов серверов из одной серверной в более другую. И это что бы владельцы здания съэкономили денег на установке противопожарной двери. Пожарный инспектор пришел проверять коммуникацинное помещение, а там хоба: одни свичи-атс и кроссы, а серверов ни разу нет! Спец. дверь то уже можно и не ставить!

Ну как так то?

Untitled-2

Есть в обширном хозяйстве ноут для подключения к дюже секретной военной торговой площадке. Пришла новая ежегодная ЭЦП и её понадобилось зарегистрировать. Сотрудник сам попытался, а оно не взлетело. Пришлось вспоминать как оно там устроено.

Как устроена электронная торговая площадка здрового человека? Сайт в интернете, заходишь выбираешь что хочешь купить-продать, авторизуешься и дальше уже по букве законодательства: загружаешь свои документы, подписываешь их своей цифровой подписью и ждешь результатов. Как то так это выглядит со стороны ИТ. У секретных торговых площадок птица обломинго пролетает уже прямо перед первым шагом.

Сайт нельзя выставлять в интернет по https. Источники общепризнаваемых сертификатов в руках вероятного противника, следовательно заходим на сайт площадки по не шифрованному соединению. Там в открытой части инструкции по подключению и всё. Читаем инструкции (да, как раз там про сертифицированный ФСТЭК антивирус и физические ограничения  по доступу к рабочей станции с которой будет доступ к площадке), заполняем кучу формуляров и отправляем гонца с бумажными документами и синими печатями к администратору площадки. Через Х-дней получаем персональный комплект ПО на компакт-диске. Мы подключались несколько лет назад и нам повезло - исправный сидюк в офисе был найден.

На машину ставиться ViPNet Client (это такой наш отечественный типа OpenVPN если кто не сталкивался еще с этим продуктом Инфотекс), он поднимает VPN до администратора площадки и уже после этого мы сможем посмотреть чего кто хочет купить. То есть без оформления всех доступов фиг посмотришь. Борцы с коррупцией и иностранные шпионы в трауре!

Еще из технических особенностей: доменные имена сайта в большой интернет тоже не отдаются. Firefox может разрешить имя только если в свойствах подключения ручками вбить DNS 172.16.50.10. И при этом, пабам, остальной большой интернет становится не доступным.

Ну а в завершении про сертифицированный антивирус, который в случае траблшутинга проблем подключения, техподдержка советует отключить. Список софта ФСТЭК. Ищем антивирусы. Находим AVP 8.0. Дата окончания сертификата 31.12.2018

Untitled-5

upd. Если искать по списку не слово антивирус, а посмотреть всё заявленное Каспреским, то там есть актуальные, почти, продукты с сертификатом ФСТЭК для защиты рабочих станций.