Поскольку обратные прокси-серверы могут обходить ограничения брандмауэра на входящий трафик, злоумышленники, проводящие APT, используют их для pivot-атак на защищенные среды. К примеру, не так давно жертвой такой атаки стала корпоративная сеть федерального агентства. Злоумышленники использовали модификацию Invoke-SocksProxy — скрипта с открытым исходным кодом для работы с обратными прокси, который можно найти на GitHub. Вот что пишет по этому поводу Агентство по кибербезопасности и инфраструктуре (СISA): Злоумышленник установил Persistence и C2 в сети жертвы через постоянный туннель SSH/обратный прокси-сервер SOCKS… Скрипт PowerShell [Invoke-SocksProxy.ps1] создал обратный прокси-сервер SMB SOCKS, который разрешил устанавливать соединения между управляемым злоумышленником VPS… и файловым сервером организации, выбранной в качестве жертвы… Invoke-SocksProxy.ps1 создает обратный прокси-сервер между локальным устройством и инфраструктурой хакера…
Администрирование
- Новые
- Лучшие
- Все
- ≥0
- ≥10
- ≥25
- ≥50
- ≥100
Новости
Вопросы построения сети. ЛВС: стандарты и протоколы (часть 2)
В продолжение предыдущей статьи, где описали основные принципы и протоколы для построения вендор-независимой и отказоустойчивой сети, будем разбираемся дальше:
1. Рекомендации по применению базовых протоколов и стандартов
2. Общие настройки сетевого оборудования
3. Коротко и таблично уделим внимание безопасности
Врываемся в мобильный пентест (Ч1)
Всех приветствую, на связи Алексей и сегодня я расскажу как я загорелся идеей создания мобильного мультитула для пентеста! В этой части мы посмотрим на каком этапе разработка сейчас, что уже умеет приложение и что будет в будущем! Наливайте стакан лимонада, а может чего-то крепкого - это уже на ваше усмотрение, время интересных решений и костылей!)
Как управлять вашими секретами с git-crypt
Большинство программных проектов используют секреты – обычно, как ключи к удаленному API или данные для доступа к внешнему ресурсу, например к базе данных. Вашему приложению необходимы эти ключи во время работы, поэтому вам нужно предоставить их при развертывании приложения или на этапе подготовки окружения.
В данной статье я покажу вам, как использовать git-crypt так, чтобы вы могли безопасно хранить секреты ваших приложений в репозиториях исходного кода, даже публичных.
6 вещей про AI/ML-нагрузки в контейнерах, шпаргалка JavaScript и не только в нашем постоянном дайджесте #полезногопост
Мы собрали для вас лучшую подборку из вебинаров, свежих статей, книг и шпаргалок в самом полезном дайджесте на просторах #Хабр!
Коснётся ли цензура нас
Один из пользователей нашего VDS-хостинга спросил, коснутся ли нас ограничения по VPN, которые буквально недавно вызвали очередную волну волнений. Думаю, на этот вопрос нужно ответить подробно, хотя ответ и отдаёт ликбезом.
Что случилось: 17 июня Роскомнадзор ограничил VPN-сервис Opera и VyprVPN. По сообщению самого РКН, «Данные VPN-сервисы отнесены к угрозам в соответствии с постановлением Правительства РФ от 12 февраля № 127». На деле ещё раньше, 14 мая, РКН предложил добавить корпоративные VPN в белый список: «В соответствии с требованиями регламента реагирования об информировании о планируемом введении централизованного управления в отношении средств обхода ограничения». Логика данного действия в том, что Роскомнадзор блокирует гражданам России доступ к каким-то сайтам, ради чего мы заплатили целую гору налогов и поставили новое железо по блокировке оператором. А граждане России в результате этой PR-компании научились пользоваться VPN и спокойно обходят блокировки. Самым наглым видом VPN была кнопка в Опере, которая могла просто нажиматься в ответ на экран «Доступ к сайту заблокирован». Потому что пользователю даже не надо было знать, что такое VPN, и не надо было ничего никому платить.
Как автоматизировать администрирование Hadoop, чтобы не было мучительно больно
Привет, Хабр! Меня зовут Александр Черемухин, я тимлид администраторов Hadoop в Big Data МТС. Мы прошли довольно длинный эволюционный путь в автоматизации администрирования и хотелось бы им поделиться с сообществом. Возможно наш опыт пригодится и другим специалистам, работающим с Hadoop.
Оценка RISC-ов: когда ожидать серверы на ARM в дата-центрах
Игнорировать влияние ARM-архитектуры на рынке современных процессоров уже невозможно. Технология, созданная для малопроизводительных смартфонов, стала реальной угрозой гегемонии x86, которая царит на рынке последние «дцать» лет. Amazon запускает в облаке собственные серверы на базе ARM – Graviton2, заявляя, что чуть ли не 49% новых инстансов Amazon EC2 построено на базе этих серверов. А M1 от Apple показывает все большую конкурентоспособность.
Когда произойдет революция на серверном рынке? Состоится ли смещение Intel и AMD с пьедестала? Или они подстроятся под веяния рынка? Кто поднимет знамя ARM на серверном рынке и как скоро серверы с новыми процессорами заполнят дата-центры? Все эти вопросы обсудили в рамках выпуска подкаста «О чем молчит сервер» от Selectel, а я, директор по развитию продуктов Саша Тугов, зафиксировал ключевые мысли дискуссии и решил поделиться ими с Хабром. Добавлю, что это лишь мнение, которое не является истиной в последней инстанции. Хотите поделиться своими размышлениями на тему — добро пожаловать в комментарии.
Такие разные клиентские VPN. Как Secure WiFi упрощает подключение пользователей
В этой статье мы поговорим о различных вариантах удалённого подключения пользователей по VPN. Рассмотрим варианты возможных VPN туннелей, поддерживаемые Zyxel, их преимущества и недостатки, а также новую технологию Secure WiFi упрощающую построение VPN каналов.
История одного обновления. Миграция на Zabbix 5.0 LTS с минимальными потерями
Я Олег, системный администратор в команде Timeweb, и в этой статье я расскажу, как мы перешли на актуальную версию Zabbix с минимальным простоем без потери функциональности. Здесь будет описан наш опыт — опыт избавления инфраструктуры от неактуального ПО и последствий хардкода.
Обновить Zabbix или сохранить наработки? Вот в чем вопрос
Так уж сложилось, что сотрудники, ответственные за оперативное реагирование на проблемы, для наблюдения использовали один экран Zabbix с дополнительными самописными виджетами, захардкоженными в Zabbix GUI на PHP. Как, когда и почему это началось, история умалчивает… Часть данных запрашивалась из API Zabbix, часть — из сторонних систем. Всё это отображалось в виде таблицы. Кроме этого, существовала и вручную созданная таблица в базе Zabbix для хранения данных одного из виджетов.
Основной недостаток такого наслоения виджетов — невозможность обновить Zabbix на актуальные версии с сохранением наработок. Поэтому наше первое правило
Veeam ONE: проблемы измерений, или С чего начать траблшутинг
За 3 года работа в технической поддержке можно увидеть многое. Как уже было раскрыто ранее, техподдержка в Veeam - это не просто call-центр, а высококвалифицированные инженеры уже на 1й линии поддержки, способные не только предоставить готовое решение или запросить логи, но и вместе с вами покопаться в базе данных, написать пару PowerShell скриптов для сопоставления различной информации полученной из инфраструктуры и, обернув все это в читаемо-понятную форму, выслать вам на электронный ящик. Накопив довольно обширный багаж знаний, хотелось бы поделиться опытом поддержки одного из наших продуктов - приложения для мониторинга виртуальных инфраструктур и серверов резервного копирования - Veeam ONE. Довольно часто (процентов 20 от общей нагрузки) нам приходится работать с кейсами относительно сбора данных производительности и их неверным отображением (интерпретацией) в продукте, в связи с чем и возникло желание немного пролить свет на данную тему. Лёгкий научпоп с оттенком технической документации.
Липосакция почтовой базы: что бывает, когда она пухнет до 10 ТБ
Админов не устраивает, что эта база начинает пухнуть. Добавить ещё 20 ТБ дискового места в сервера не всегда так просто, потому что это будет по факту 40 ТБ: раздел по 20 ТБ должен выдаваться каждой ноде DAG, и их у заказчика две. И ещё бэкап. Полный бэкап должен делаться за ночь раз в неделю в воскресенье, и, если он выходит за окно, то это проблема.
Плюс сама по себе база Exchange —
Мы предложили перенести старые письма в архивную базу с дедупликацией, чтобы на бою осталось только 10–20 % самых «горячих» писем. При этом на месте писем в Outlook показываются их заголовки и первые N символов письма, а архивная база имеет интеграцию с клиентом и подтягивает письмо за пару секунд при обращении к нему. То есть пользователь видит свои старые письма и почти так же удобно работает с ними.
Вот так выглядит заглушка.
А ещё это очень упростило поиск (база с индексом) и подарило радость отделу ИБ.
Ниже я расскажу про оптимизацию почтовых баз.
Отслеживание метрик SSD на Linux и какой софт для этого пригодится
Сетевая пирамида изнутри при помощи Trello
Недавненько была информация о том, что поисковики просканировали открытые страницы в Trello.
Логично, что многие начали искать там номера банковских карт, пароли.
Как это делать? Вот https://www.google.com/search?q=site%3Ahttps%3A%2F%2Ftrello.com%2Fb+%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8C+%D0%BE%D1%82.
Получаем
PC park observer — система учёта комплектующих компьютеров парка, базирующегося на MS Windows
Данная система предназначена для учёта комплектующих в компьютерном парке, базирующемся на Windows. Я выложил систему под GNU/GPL v. 3 лицензией, так что денег не прошу, можете использовать как угодно... Все пожелания и т.п. обсуждаются отдельно...
Двойной VPN, или как построить цепочку из WireGuard VPN серверов на Windows
В этой статье мы рассмотрим процесс настройки цепочки VPN серверов с помощью WireGuard на Windows. В Интернете есть множество руководств, посвященных построению и настройке цепочек VPN серверов, однако большинство из них основаны на Linux и требуют определенных навыков администрирования данной ОС. В предыдущей статье мы уже узнали, как настроить WireGuard VPN Server в Windows, здесь же мы используем ту же технологию для создания цепочки WireGuard VPN из двух хостов Windows с помощью WireGuard и WireSock.
Если заинтересовал, то добро пожаловать под кат.
Мобильные дата-центры: от КАМАЗа до военных решений
О том, что такое стационарные дата-центры, на Хабре, вероятно, говорить не стоит. Но есть и мобильные ЦОД, которые, как правило, предназначены для оперативного перемещения в регион, где срочно нужно влиться в процесс обработки большого объема данных. В большинстве случаев мобильные дата-центры являются одномодульными.
Их располагают в специализированном транспортном контейнере с собственной сетевой, инженерной, энергетической и прочими инфраструктурами. Во многих случаях мобильные ЦОДы являются еще и модульными, то есть из нескольких контейнеров можно собрать достаточно серьезный в плане характеристик и возможностей дата-центр. Под катом говорим о наиболее интересных экземплярах мобильных дата-центров.
Организация распределённого хранения файлов с помощью git-annex
Разберем способ удобного хранения 35 000 файлов домашней коллекции, которая используется на 3 ПК и 2 телефонах. При этом сразу все данные на некоторых устройствах не нужны.
Ethereum приближается к долгожданной реформе, позволяющей сократить потребление электроэнергии более чем на 99%
Статья на портале Data Center Knowledge говорит о грядущих преобразованиях в механизме работы криптовалюты Ethereum: замена «доказательства работы» на «доказательство доли» избавит систему от необходимости запускать серверы майнеров для генерации валюты.
Мэтью Лейзинг (Matthew Leising) из аналитического агентства Bloomberg сообщает: “Пользователи и разработчики наиболее блокчейна часто спорят о проблеме углеродного следа (совокупности всех выбросов парниковых газов, прямо и косвенно произведенных организацией). Теперь недавние достижения наконец позволят резко сократить потребление энергии в течение года или даже раньше”.
Ethereum (Эфир) и более известный соперник Bitcoin используют для выполнения транзакций правило proof-of-work или доказательство выполнения работы, которое позволяет защитить систему от злоупотреблений. Данный механизм требует выполнения на стороне клиента некоторой достаточно длительной работы (решение задачи), результат которой легко и быстро проверяется на стороне сервера. Для реализации этого подхода необходима круглосуточно работающая глобальная сеть компьютеров.
Разработчики ПО в Ethereum годами работали над переводом блокчейна на так называемую систему доказательства доли владения, которая использует совершенно иной подход для защиты сети. Это облегчает работу системы и помимо всего прочего устраняет проблему выбросов углерода, вследствие снижения энергозатрат, необходимых для ее поддержания.
7 причин, по которым мы предпочли Apache Pulsar Apache Kafka
Наша миссия в Kesque — дать разработчикам возможность создавать распределенные облачные приложения, сделав высокопроизводительную технологию обмена сообщениями независимую от типа облака доступной для всех. Разработчики хотят писать распределенные приложения или микросервисы, но не хотят возиться с управлением сложной инфраструктурой сообщений или быть привязанными к конкретному поставщику облачных услуг. Им нужно решение, которое просто работает. Везде.
Когда вы собираетесь создать лучшую инфраструктуру службы обмена сообщениями, первым делом необходимо выбрать правильную базовую технологию обмена сообщениями. Существует множество вариантов: от различных проектов с открытым исходным кодом, таких как RabbitMQ, ActiveMQ и NATS, до проприетарных решений, таких как IBM MQ или Red Hat AMQ. И, конечно же, есть Apache Kafka, являющийся чуть ли не синонимом потоковой передачи. Но мы выбрали не Apache Kafka, мы выбрали Apache Pulsar.
Итак, почему же мы создали нашу службу обмена сообщениями с использованием Apache Pulsar? Вот семь основных причин, по которым мы выбрали Apache Pulsar вместо Apache Kafka.