Добрый день.

У клиента на хостинге завёлся зловред, грузит процессор под 10)% и сканирует все машины по локальной сети. Был создан пользователь httpd с UID 0 и GID 0, заведён пароль, от имени этого пользователя запускался python2 vnc.sh (очень смешно).

На самом деле python2 — это брутфорсер, а vnc.sh это список паролей, ну не суть.

Открываю логи.

окт 11 00:53:12 client systemd[1]: Started User Manager for UID 0.
окт 11 00:53:12 client systemd[1]: Started Session 6 of user root.
окт 11 00:53:12 client login[1496]: ROOT LOGIN  on '/dev/tty1'

Дальше происходит эпичное:

окт 11 00:54:43 client sshd[1513]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=193.124.184.41  user=httpd
окт 11 00:54:45 client sshd[1513]: Failed password for httpd from 193.124.184.41 port 33768 ssh2
окт 11 00:55:00 client systemd[1]: Stopping OpenBSD Secure Shell server...
окт 11 00:55:00 client sshd[757]: Received signal 15; terminating.

Злоумышленник попытался зайти пользователем httpd через ssh, но в sshd отключен вход руту по паролю, поэтому ему пришлось поправить sshd.conf, в корне остался файл .bash_history примерно такого содержания:

curl ifconfig.me
nano /etc/ssh/sshd_config
service sshd restart
exit

Хостинг виртуальный. Используется KVM. /dev/tty1 — это первая виртуальная консоль, доступная только со стороны гипервизора. В эту консоль можно попасть через веб-панель управления хостера, там VNC-клиент в браузере. В веб-панели есть журнал входов и журнал подключений, за 11-е число оба чистые.

Моя мысль: сотрудник хостинга охренел на столько, что подключился к VNC, применил init=/bin/bash, завёл пользователя, залогинился, всунул зловред и ушёл. С этой мыслью я написал в ТП хостера от имени клиента.

Ответ хостера: «Если у вас есть подозрения на странную активность внутри сервера- рекомендуем сменить пароль и провести ряд мероприятий по настройке безопасности сервера.». На вопрос, а вдруг кто-то из сотрудников шалит: «Я не могу себе представить ситуацию, при которой кому-то из сотрудников пришло в голову зайти на ваш сервер, еще и таким образом.». И на вопрос, а вдруг кто-то со стороны взломал вашу панель: «Нет, нашу инфраструктуру не взламывали.».

Внимание, вопрос:

На /dev/tty1 действительно можно зайти только со стороны гипервизора, или я тупой? И есть какая-то уязвимость в ssh/nginx/openvpn, через которую можно зайти рутом на /dev/tty1?

Потому что если я не тупой, от этого хостера надо бежать как можно быстрее и как можно дальше.

P.S. Пока этот вопрос не прояснён, название хостера скрою.

Всем привет.

Итак, летом этого года мы с другом пошли в горы и упали (зачёркнуто) пошли на сплав и перевернулись. Мой старый кнопочный водонепроницаемый кирпич оказался недостаточно водонепроницаем и умер. Ну не могу же я после этого просто купить обычный телефон, правда? Надо ж купить что-то эдакое.

Встречаем: F+ R570E, аврора ОС, 15000 р. + TWS наушники в подарок. Из коробки стояла 4.0.2.303 вроде бы, потом обновился, сейчас стоит 5.1.1.60.

Что такое аврора? Это потомок Sailfish, который потомок Mer, который потомок MeeGO, который потомок Moblin, который потомок Maemo, который стоял на легендарной Nokia 770. Но с сильным корпоративным уклоном.

Если вы пользовались, например, android, забудьте. Дело не в том, что жесты другие — другая система в принципе обновления и установки софта. Посколько это корпоративный телефон, то обновлением занимаются сисадмины из Центра. Например, центр РЖД или центр ВТБ для сотрудников соответствующих компаний.

А значит, если вы купили телефон в розницу, вам надо привязывать телефон к какому-то центру обновлений. Я купил во всёсмарт, поэтому надо написать письмо во всёсмарт, приложить номера S/N и IMEI и получить в ответ QR-код для подключения. С момента подключения телефон управляется управляющей организацией, которая обновит аппарат удалённой командой.

К счастью, привязку аппарата в любой момент можно отключить (в корпоративной версии нельзя), а также включить режим разработчика и получить рута, SSH и возможность ставить rpm-пакеты. Можно подключить, обновиться и отключить. Будем надеяться, в будущем ещё упростят процесс обновления.

UPD: есть способ обновления через консольный менеджер обновлений, без участия центра управления, за подробностями на 4pda.

Есть версия R570E с Android 13, разработчики смогут тестировать свой софт на разных платформах на одинаково тормозном железе. Полезно, я считаю :-) Сам процесс разработчки не отличается — по SSH заходишь, закидываешь rpm-ник ставишь, тестируешь, сносишь. Прям что твой десктоп.

Обновление принесло самое главное — приложение RuStore, через которое теперь можно ставить другие приложения также, как и в андроиде. Даже выглядит оно примерно также. То есть идёт постепенный переход от жёсткой корпоративной привязки к более пользовательскому, массовому аппарату.

В остальном, это обычный бюджетный смарт, с внезапно приличной камерой, автономностью и прочным корпусом. Водозащита IP54 вроде, но не проверял. В целом, в качестве походного аппарата сойдёт.

Из софта. Нафигатр Citygid, работает тормозно. Не думаю, что на этом же аппарате под андроид будет работать быстрее. Из банков присутствует официальный (!) клиент банка Т-банк. NFC присутствует, платежи не проверял. Телеграм-клиентов два — Телеграфъ из рустора и Tavro от разрабочткиов мойофиса. Мойофис, кстати, тоже присутствует, в русторе демо-версия, но можно купить полную. Штатные галерея, звонилка, SMS-силка, музыкальный плеер имеют минимальную функциональность.

Браузер рапортует, что он Firefox 60. Возможно, так и есть. Почта: Из коробки интеграция с яндекс, мейл.ру и рамблер. А также mailion и MS exchange. Никаких гуглов. Календарь тоже, но у меня интеграция календаря с яндексом не заработала. Погода тоже берёт данные с гисметео, но в русторе есть ещё приложение Openweather.

В общем и в целом, в качестве походного телефона сойдёт. А также для тех, кто хочет почти настольный GNU/Linux в кармане.

P.S. Wayland, systemd.

Китайская компания Radxa уже представляла интересные разработки в области одноплатных компьютеров. Например, они представили линейку Radxa Rock на базе процессора Rockchip, выгодно отличающуюся от Raspberry Pi5 наличием слота M.2 с поддержкой установки SSD.

Новый Radxa X4 — это одноплатный компьютер такого же форм-фактора, что и Raspberry Pi5, с таким же размещением разъёмов, и, скорее всего, совместимый с большинством аксессуаров и корпусов Raspberry Pi5, но на базе процессора Intel серии Alder Lake.

( читать дальше... )

>>> Подробности

Хочу расширить своё хозяйство, взять винт на 8Тб или больше. Меня недавно упрекнули в том, что я не в курсе про SMR на современных винтах и знаете что? Да, не в курсе.

Просветите меня, пожалуйста, что сегодня имеет смысл брать в домашнюю машину. Требования — чтобы шумел негромка, чтобы не черепичка (ибо торренты там тоже будут), чтобы прожил долго и счастливо.

Ушла эпоха. ICQ всё. (комментарий)

Это только у меня цифры ушли налево?

Сервис ICQ приостановит работу с 26 июня.

Уведомление на главной.

А ты помнишь свой шестизнак, %USERNAME%?

Я ссылка.

!Ъ: «Microsoft, судя по всему, утвердил список продуктов к отключению. Со вчерашнего вечера начались веерные остановки подписок в CSP, партиями отключают по 5-10 заказчиков. Под остановку попали подписки Power BI, Visio, Project».

Linux тут при том, что после такого пенделя идти, в общем-то, больше некуда. ИМХО, MS + Red Hat сделали для становления и роста российского IT больше, чем минкомсвязи и роскомнадзор вместе взятые.

Привет.

Наблюдаю подземный стук:

Имеется домашняя сеть. В сети роутер на базе OpenWRT, который одновременно является NAS (воткнут HDD в USB), точкой доступа и собственно, интернетом. В него воткнут настольный компьютер, который по NFS имеет доступ к HDD. Также есть несколько клиентов по WiFi. Из сервисов также присутствуют ssh, luci и dhcp/dns.

Симптомы: при интенсивных сетевых операциях по NFS или загрузке торрентов роутер банит настольный компьютер. Выглядит это так: всё продолжает работать, кроме соединений с роутером. То есть связь настольный компьютер - интернет, настольный компьютер - другие клиенты WiFi продолжает работать. На настольном компьютере при этом отваливаются NFS, DHCP, SSH и так далее, вплоть до консоли управления Luci - то есть все соединения с самим роутером. С других клиентов все вышеперечисленные службы остаются доступны. Можно зайти, например, с телефона в Luci и перезагрузить роутер. Можно настроить на настольном компе статический IP (если время аренды DHCP истекло) и продолжать сидеть в интернете без NFS.

Что это может быть? В OpenWRT-шном iptables чёрт ногу сломит. Syn-flood protection? Я пока его отключил. Есть ли возможность отключить Syn-flood protection для внутренних интерфейсов, оставив для наружных?

Если в openwrt есть какой-то более человекочитаемый способ получить содержимое netfilter, скажите мне, я вечером выложу.

Palm Pilot, это, конечно, ностальгия, но что-то поменялось за последние 20 лет.

https://www.kommersant.ru/doc/6577616

!Ъ: Компании Microsoft, Amazon и Google с 20 марта приостановят доступ к облачным продуктам для организаций на территории России, сообщила Softline. Речь, в частности, идет про сервисы Power BI и Dynamics CRM. Решение принято в связи с санкциями.

Ну серьёзно, почему Microsoft может запретить, а минцифры не может?

У меня ноутбук с OLED-дисплеем, поддерживающим DCI-P3 и с видеокартой AMD. И в ходе недавнего обсуждения всплыл вопрос про HDR в Linux.

А ведь две недели назад вышел KDE 6.0, в котором обещали начальную поддержку HDR в сеансе Wayland. Ну, я и скачал. Ну я и запустил.

А оно взяло и заработало. Цвета поехали, яркости маппинга SDR пришлось добавить, цветности тоже. К сожалению, вы этого не заметите, потому что Spectacle мапит HDR скриншоты обратно в SDR, чтобы они влезли в PNG, и не кладёт ICC. Непорядок. Всё, что вы можете увидеть, это заветную галочку и слегка вырвиглазные цвета иконок.

Придётся поверить мне на слово: оно работает. Осталось дождаться стабилизации, поддержки со стороны браузера, медиаплеера, игрушек и всего такого.

В чём заключается начальность поддержки HDR я не понял, поддержка HDR лучше чем в винде 10, там таких регулировок нет :-)

P.S. KDE Neon unstable, live USB.

>>> Просмотр (2881x1801, 956 Kb)

Попробовал - понравилось.

Я люблю беседкины игры, мне зашли и FO4 (особенно с модами), и Skyrim (тем более с модами), а также их VR версии. Все они нормально игрались в wine, кроме VR версий, VR под офтопик.

Для запуска старфилд надо поставить VKD3D_SHADER_MODEL=6_6 %command% в свойствах игры, запускать под proton_experimental, но можно посмотреть и другие отчёты. Starfield отсутствует в стиме, поэтому пришлось ставить методом Крамера.

Из глюков — иногда пропадают текстуры на полсекунды. Глюк только в помещениях, а по сюжету, игрок мало времени проводит в помещениях :-) Неприятно, но жить не мешает. Глюков со звуком, как пишут на протонДБ, я не заметил. Ещё при переключении в оконный режим падает, поэтому скриншот пришлось делать в оверлее. Прошёл основную кампанию, Vanguard, Sysdef и Freestar Rangers. О том, что там есть ещё одна кампания, даже не знал ))).

В остальном как обычно, дистрибутив ALT Sisyphus, ядро 6.6.7, Gnome3, Wayland, свежайший стим из epm, монитор, пиксели. Ноутбук Lenovo Yoga 7 g7, процессор+видеокарта Ryzen 7 6800U. Заведомо ниже системных требований, а поди ж ты. Впрочем, разрешение, конечно, не родное.

На взлётной площадке мой звездолёт, я назвал его Mr.Gun, потому что у него 10 пушек )) Вообще, Vangard Obliterator это имба, потому что доступен уже начиная с 14 уровня после выполнения одной миссии за Vanguard, а очень низкое энергопотребление позволяет поставить сразу шесть штук и выносить в космосе всё что движется примерно до 60-го уровня. Vanguard Bulwark Shield примерно то же самое — даёт невероятные 1600 щита почти в начале игры, надо только класс пилотирования прокачать. И движки Slayton SA-3440, вот они уже довольно поздно появляются, но и на ранних стадиях они самые быстрые и манёвренные за 4 ед. энергии. Итого 28 ед. энергии на всё, летай не хочу, никто тебя не сможет задеть, а ты выносишь всё любое за пять-шесть выстрелов.

В общем, стройте корабли как я, и всё у вас будет хорошо :-)

>>> Просмотр (2880x1800, 2636 Kb)

В плагине-приложении graphapi обнаружена уязвимость: становится доступен URL: «owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php»

( читать дальше... )

>>> Подробности

Если вдруг кто-то ещё не знал, в прошлом году из-за того, что западные центры сертификации отказались продлевать сертификаты для таких организаций, как Сбербанк, ВТБ и других, попавших под санкции, Минцифры РФ выпустила свой корневой сертификат безопасности. Получить его можно здесь.

Появление нового удостоверяющего центра вызывало интенсивные дискуссии. Давайте посмотрим, что получилось в реальности.

Компания Google опубликовала информацию и уже закрыла уязвимость в библиотеке libwebp, которая могла приводить к удалённому выполнению кода, когда пользовать просто открывает сайт. Библиотека libwebp используется во всех браузерах на движке Chromium, а также в приложениях на базе electron, в браузере Mozilla Firefox, Gimp, Inkscape, LibreOffice, Telegram, Thunderbird, ffmpeg и другом программном обеспечении. Затронуты также и другие операционные системы.

Суть уязвимости в переполнении буфера, которая позволяет злоумышленнику подготовить специальное WebP изображение, при открытии которого на машине пользователя выполнится код. Google не раскрывает подробности механизма эксплуатации уязвимости, но утверждает, что в сети уже доступны рабочие эксплоиты, основанные на ней.

Всем пользователям рекомендуется обновиться как можно скорее.

>>> Подробности

Глядя на сегодняшнюю вакханалию в текстовых онлайн СМИ, где роботы пишут для роботов, я подумал, что тест Тьюринга можно пройти и с другой стороны.

Новости в сегодняшнем мире пишутся следующим образом: сначала максимально хайповый заголовок, затем завлекательный абзац, обещающий подробности, потом абзац, повторяющий завлекательный, но содержащий скучные подробности, и в конце автоматически сгенерированный абзац вида «ранее стало известно, что <максимально хайповый заголовок>. <завлекательный абзац>». Заголовок ссылкой.

Такие новости пишутся не для людей. Такие новости пишутся для того, чтобы робот Яндекс новостей, или Рамблер новостей, или какого-то ещё агрегатора, подсунул эту новость наверх. Чем выше, тем лучше.

Сегодня у каждого человека в кармане может быть свой маленький Яндекс GPT, который с лёгкостью перескажет вам длинный сложный текст новости в трёх словах. А значит, его возможностей уже сегодня хватит и для того, чтобы написать первый и второй абзацы новости (третий, напомню, уже пишется автоматически). Осталось натренировать модель на написание хайповых заголовков, о, это несложно.

И тогда сможем ли мы отличить текст, написанный искусственным интеллектом, от текста, написанного временно исполняющим обязанности ИИ в редакции? Не получится ли так, что искин начнёт с лёгкостью проходить тест Тьюринга, но не потому что ИИ стал таком продвинутым, а потому, что люди привыкнут к тому, что всё вокруг написано ИИ, и сами станут общаться также?

Microsoft после 30 сентября перестанет продлевать лицензии российским компаниям.

Однако, здравствуйте: «Корпорация Microsoft больше не может принимать платежи банковским переводом на местный банковский счет в качестве способа оплаты услуг Microsoft в России. В связи с этим, направляя вам уведомление за 60 дней, корпорация Microsoft настоящим уведомляет вас о том, что после 30 сентября 2023 года (дата вступления в силу) вы больше не сможете продлевать свои существующие подпискиё».

Минкомсвязи годами нежно упрашивало крупный и не очень бизнес, школы, университеты, медицину, муниципалитеты. Ну давайте, давайте перейдём с Microsoft на что-нибудь отечественное, своё, родное.

В 2023-м году в процесс врывается Microsoft, и со словами «подержите моё пиво» показывает, как надо пересаживать целую страну с продуктов Microsoft.

У нас тут форум линуксоидов, которые, по некоторым представлениям, должны уметь, мочь и любить использовать разные устройства по полной программе, в том числе запускать шахматы на роутере, рулить IP камерами с кофеварки и пускать торренты с бабушкофона.

К тому же телефон без рутовых прав как бы и не свой вовсе. Вот и узнаем.

Волею заказчика нахожусь в командировке в другом городе, внедряю Linux на крупном предприятии. Процесс этот небыстрый, поэтому я тут надолго. Чтобы скоротать себе долгие зимние вечера, завёл себе Steam Deck, чтобы игрушки на нём гонять. В том числе в самолёте.

В некоторые игрушки на джойстиках играть даже лучше, чем на мыши, например, Assetto Corsa намного лучше рулится на деке, чем на клавиатуре-мыши. Некоторые, соответственно, наоборот. Skyrim, к примеру, чисто походить и пообщаться - хватает, но когда начинается боевая часть, начинаешь мазать мимо и материться.

Поэтому. Используя возможности Steam для трансляции игр на другие устройства, подключаю деку к ноутбуку, на котором есть клавиатура-мышь, и играю. Пробовал через WiFi, но там нестабильное качество сигнала. Провод даёт хуже качество, но стабильнее задержки, что для игры важнее.

Что касается конкретно Skyrim, то работает skse, работает даже nexus mods, но не работает FNIS. Поэтому моды с кастомной анимацией в пролёте. Но, может, это я ещё не нашёл правильного гайда )

Ноутбук чисто рабочий, на нём игрушек нет.

>>> Просмотр (1600x1200, 298 Kb)

Заказчик опять хочет странного, и мы не можем ему отказать :-)

Ищется софтина для исследования статистики использования элементов UI. Т.е. если пользователь полез в меню — надо зафиксировать факт нажатия пункта меню. Если пользователь ткнул на OK, надо зафиксировать ID этой кнопки OK. Если пользователь вызвал контекстное меню, ну вы поняли. Хоткеи тоже должны считаться. Интересует частота вызова, хотя, если будут отметки времени, тоже хорошо. Исследование планируется длинным, полгода минимум, поэтому желательно иметь возможность экспорта промежуточных результатов для бекапа.

Софтина для исследования обязательно должна быть опенсорсной, это требование заказчика, поскольку там чувствительные данные, которые могут и утечь. Но если статистика складывается на свой сервер в изолированном контуре, то я думаю, пойдёт.

Софт, который мы исследуем, разный. Есть Qt, есть Gtk, есть java. Исходников софта по большей части нет, надо выдирать как-то через strace или через не знаю что. Отсюда, колхозить что-то самостоятельно представляется затратной идеей. Вариант «писать видео и потом расшифровывать движение курсора мыши» не предлагать.

Есть что-то готовое, что можно курочить по вкусу дальше?