• Взломали сервер. Устроили email фишинг-атаку разместив у нас свои скрипты и "лендинг". Каков алгоритм действий?

    sim3x
    @sim3x
    Лучше нанять спеца, которому можно доверять

    0. Сделать максимально полное зеркало всей системы
    1. Желательно заглушить все
    2. Придумать откуда взять чистую версию всего софта
    3. Установить на новую чистую систему, чистые магазины - неизвестно не повысил ли привелегии злоумышленник

    Из очевидного:

    убрать апач
    1 сайт = 1 юзер
    php-fmp из-под юзера сайта
    никаких 777
    изменения в сайты вносятся через гит
    отдельный гит репозиторий контроллирует состояние скриптов сайтов, которые лежат на хосте

    Настроить мониторинг
    Ответ написан
    5 комментариев
  • Взломали сервер. Устроили email фишинг-атаку разместив у нас свои скрипты и "лендинг". Каков алгоритм действий?

    BuriK666
    @BuriK666
    Компьютерный псих
    заплатить админу $$.
    Ответ написан
    Комментировать
  • Как правильно управлять парком серверов Unix?

    igortiunov
    @igortiunov
    Приветствую.
    Прежде всего, не стоит представлять себе решение задачи, как "большую кнопку", т.к. наши представления об управлении инфраструкурой несколько извращены опытом работы с продуктами MS. Интерфейс скрывает от нас стек ПО используемого для достижения цели. Например, WSUS. Под его капотом находится набор служб, каждая из которых играет определенную роль - bits для загрузки на сервер и доставки пакетов на клиента, веб-сервер для управляющих команд, база данных для хранения состояния клиентов и исправлений, .net приложение, обьединяющее все это. Для парка nix машин вам предстоит построить подобную архитектуру самому, выбирая каждый раз инструмент, который будет играть ту или иную роль.
    На втором шаге вам нужно посмотреть на задачу. Если у вас десяток инфраструктурных серверов, то Ansible действительно неплохой выбор. Но только не "скрипт". "Скрипт" - это язык, который говорит как достичь результата. Но инструменты управления конфигурацией избавляют вас от этого, с помощью декларативного языка вы описываете сам конечный результат(это ключевой момент) и не задумывайтесь о том, какой дистрибутив (читай менеджер пакетов, расположение конфигурационного файла) установлен на управляемой системе.
    Если вам нужно дать доступ большому количеству пользователей к большому количеству машин, то на первом шаге вам нужно выбрать два инструмента:
    1. управление конфигурацией.
    2. управление sudo.
    Первый инструмент с натяжкой может предоставить вам возможность решить пункт 2, т.к. в этом втором пункте вам нужно управлять теми самыми политиками: группе пользователей дать доступ на группу машин и разрешить выполнять группу команд. Здесь в игру вступает Identity Manager и этот вопрос для меня по крайней мере, открыт. Текущие тенденции ведут к развертыванию двух каталогов (MS AD и каталог для парка NIX), но не берусь сказать насколько это правильно. Обойтись без второго каталога можно и, если отбросить шелуху, то ключевой проблемой, в таком случае, является сопоставление идентификаторов безопасности пользователей в MS AD и в nix системах (просто когда один домен, сложнее когда лес, совсем не просто в случае созданных вручную доверительных отношений). Раньше этот вопрос решал winbind с набором библиотек, реализующих тот или иной алгоритм сопоставления, теперь это SSSD, реализующий два алгоритма. Опять же вопрос с выполнением привилегированных команд в такой конфигурации не решается. RedHat предлагает скомпанованные в единый продукт инструменты, которые, якобы эти задачи решают. Поддержкак от этого самого редахата стоит бешеных для нас денег, но вы посмотрите из чего состоят такие решения как Sattelit и IdM, это открытые продукты (FreeIPA, candlepin, pulp, katello, puppet и, наконец, foreman.) которые, возможно вам и нужны.
    Ответ написан
    8 комментариев
  • Как обновлять Windows 7 в текущих условиях?

    @Bobson8
    Системный администратор
    Вот список обновлений, которые нужно сносить к едрене фене. Я пользуюсь коммандой
    "wusa.exe /uninstall /kb:xxxxxx" (где хххххх номер апдейта) Или можно в центре обновления после поиска скрыть эти апдейты (тоже ищется по номерам).
    kb:2859537
    kb:2872339
    kb:2882822
    kb:2876315
    kb:2871997
    kb:2952664
    kb:2976978
    kb:3021917
    kb:3035583
    kb:3080149
    kb:3075249

    В этом списке не только Get Windows 10, но и всякие заплатки для проверки подлинности (с этим вообще песня: на абсолютно легальной корпоративной семерке после апдейта перестают запускаться почти все приложения), сервисы слежения и прочие гадости от мелкомягких. Снесите это и радуйтесь нормальной работе.
    Ответ написан
    3 комментария
  • Как обезопасит системного администратора от ответственности за пиратское ПО?

    Rsa97
    @Rsa97
    Для правильного вопроса надо знать половину ответа
    Для начала, если с проверкой придут на предприятие, то проверять будут факт покупки лицензий по бухгалтерии и соответствие установленного ПО и имеющихся лицензий. До определённой суммы дело идёт как административное и отвечать может организация. Выше этой суммы (250000р., если не ошибаюсь) дело переквалифицируется в уголовное, где подсудимым будет уже конкретный человек или группа лиц. Для того, чтобы подвести под статью достаточно, чтобы нашлись несколько свидетелей, показавших, что именно вы ставили на данный компьютер нелицензионное ПО. Какие либо письменные предупреждения от вас руководителю позволят следствию переквалифицировать дело в "совершённое по предварительному сговору группой лиц", что добавляет тяжести обвинению.
    Предприятие в любом случае будет оштрафовано на стоимость лицензий незаконно установленного ПО, кроме того на время следствия могут быть изъяты системные блоки или жёсткие диски.
    Что касается TrueCrypt'а и прочих шифровальщиков, то если не хотите начинать рабочий день с ввода паролей на всех компьютерах, значит эти пароли будут знать и сотрудники. А поскольку они пойдут по делу как свидетели, а не обвиняемые, то их отказ предоставить пароли будет трактоваться как "ст. 294 УК РФ. Воспрепятствование осуществлению правосудия и производству предварительного расследования".
    Ответ написан
  • Как отредактировать несколько файлов сразу?

    saboteur_kiev
    @saboteur_kiev Куратор тега bash
    software engineer
    Попробуйте например SED
    Ответ написан
    Комментировать
  • Мои действия, если пытаются обвинить за сообщение пользователей на форуме?

    @nirvimel
    Не стоит так боятся исков. Иск по 152 ГК создает больше проблем истцу, чем ответчику, так как ему самому придется собирать доказательства того что он "не верблюд" (если ему не понравилось быть названым верблюдом).
    В худшем для вас случае, если истец выигрывает иск по 152 ГК, то вам таки предается удалить тот текст (то, чего он требует от вас без суда), на том месте написать пару строк опровержения и более ничего.
    128.1 ГК к вам неприменима, так как она рассматривает "распространение заведомо ложных сведений", что не относится к вашему случаю, так как вы не имели представления об истинности этих сведений, и никто не предоставил вам веских доказательств ложности (слово одного человека против слова другого - не доказательство).
    С их стороны все эти угрозы - обычное "взятие на понт". Тем не менее, я рекомендую всю переписку с ними вести под руководством юриста, потому что "слово не воробей" и все сказанное вами может быть использовано против вас.
    Ответ написан
    3 комментария
  • Что мой мобильный оператор знает обо мне?

    @nirvimel
    Когда я звоню кому-то, в логах заносится местоположение (моё и принимающего звонок)?

    Да. Но для вызывающей стороны местоположение адресата известно с точностью только до сети. Но для самого адресата входящий вызов также логгируется вместе с его местоположением в этот момент, после чего эти логи можно сопоставить друг с другом.

    Операторы обязаны все данные также отправлять на СОРМ? Интересно что это за данные?

    В дополнение к метаданным, которые собираются со всех коммуникаций наземных абонентов, для мобильных абонентов логгируются также:
    1) Внутренний ID абонента у оператора (привязан к договору со всеми персональными данными);
    2) Номер телефона;
    3) IMSI симки;
    4) IMEI аппарата.
    5) CI - идентификатор соты, в которой находится абонент.

    Регистрируется моё местоположение при "лежании в кармане"?

    Да. Регистрируются местоположение в моменты: вход/выход из сети, перемещение из одной соты в другую и по ручному запросу в любой момент. Самим операторам ничего не мешает отслеживать местоположение непрерывно с записью всего трека, это остается на усмотрение оператора, практика может варьироваться в зависимости от региона.

    Хранятся ли записи разговоров у оператора?

    Прослушивание разговоров осуществляется адресно. В настоящий момент не существует системы тотальной записи всех разговоров в федеральном масштабе. В прошлом это было невозможно технически, в последнее время технических препятствий становится все меньше, но еще далеко не вся аппаратура готова к такому, особенно в регионах.

    Хранятся ли СМС у оператора?

    Существует требование, в соответствии с которым, SMS (как и метаданные о разговорах) должны храниться минимум три года. Но, поскольку хранение SMS технически не вызывает проблем, а юридически ограничен только минимальный срок хранения, то в реальности SMS хранятся практически вечно.

    Что может вызвать подозрение на рядового клиента? Если я звоню зарубеж? Или быть может пишу и говорю много "Обама, Путин, ..."?

    В реальном времени эта информация не анализируется, а только собирается. По собранной базе доступно формирование отчетов по любым фильтрам. В будущем возможна разработка специального софта, который будет осуществлять обработку собранных данных с применением методов ИИ, исходными данными для обработки послужит, собранная за все годы, информация.

    Можно ли как-то шифровать звонки/смс? Насколько я понял, если такое возможно, то только при наличии одинакового софта на обоих устройствах?

    VoIP + VPN.
    Ответ написан
    1 комментарий
  • Меня взломали! Что делать?

    @exeragub Автор вопроса
    Переустановил.
    Ответ написан
    Комментировать
  • Что мой провайдер знает обо мне?

    @nirvimel
    Когда я захожу на определенный сайт, провайдер видит URL?

    Да.

    А если я захожу на https?

    Известен IP сервера и имя домена. Больше ничего.

    Откуда провайдер узнает, что я скачиваю определенный фильм/программу через torrent?

    Торрент-клиент общается с трекером по HTTP. Все видно насквозь: конкретные торренты + вся статистика (когда начато скачивание, когда закончено, когда пошла раздача, сколько роздано). Возможно подключение к трекеру и по HTTPS, но rutracker.org такой возможности не дает (мне тоже интересно почему).

    Все пакеты которые я получаю и раздаю значит провайдер скачивает себе, чтобы узнать что это за фильм/программа?

    Провайдер не хранит у себя весь трафик. Это технически невозможно. Но трафик обрабатывается, классифицируется и ведутся логи о том какой тип трафика когда входил/уходил от абонента.

    Или он отслеживает факт скачивания .torrent файла, а затем делает вывод по идущим пакетам, что это скачивается?

    В основном отслеживаются коммуникации между торрент-клиентом и трекером (там все самое интересное). Коммуникации между пирами требуют значительных мощностей для расшифровки, поэтому логгируется только факт коммуникации с определенным пиром, но не содержимое.

    Когда я пользуюсь VPN, что видит провайдер?

    Видит шифрованный траффик на конкретный IP. По IP можно узнать, что этот диапазон продается под VPSы. Сам факт шифрованного трафика вешает абонента в списки тех, "кому есть что скрывать", а значит подозреваемых при любом розыске.

    Что я зашел на определенный IP и с него идут зашифрованные потоки?

    Дальнейшее направление трафика от VPN-сервера отследить невозможно (по крайней мере, на оборудовании провайдера в автоматическом режиме). Но при целенаправленной слежке за абонентом в принципе возможно по временным меткам сопоставить трафик абонента с трафиком любого сервера.

    OpenVPN будет работать через VPN IP и в браузере и при обновлении Windows, драйверов, ...?

    В зависимости от настройки. Но в общем случае, да, так.

    Читал, что в Windows есть такая особенность, что если провайдер как-то урезает пакет, то VPN отключается и сайту показывается мой реальный IP?

    Это не связанно с провайдером. Это особенность Windows. Когда VPN отваливается, весь трафик вылетает наружу в открытом виде. Опять же зависит от настроек. Но это еще одна цена "удобства" при использовании Windows.

    При этом провайдер видит на каком я сайте, что скачиваю?

    VPN отвалился - хацкер спалился.

    Таких фишек много?

    Смотря о чем речь. В сфере сетевой безопасности и анонимности различных нюансов вообще много.

    Как от них защитится?

    Учить мат.часть. Разбираться в сетевых протоколах и в устройстве ОС.

    Если пользуюсь каким-то расширением типа ZenMate, dotvpn, провайдер аналогично как и с VPN видит что что-то отправляется и приходит на определенный VPN IP?

    Расширения очень разные. Они могут базироваться на совершенно разных технологиях. Ни один специалист вам не скажет за все расширения. Не исключено, что многие из них, по сути - honeypot, то есть созданы с целью слежения за любителями анонимности, привлекают своим удобством и дают ложное чувство безопасности.

    При использовании Tor, кто-то пользуется моим IP, пока я пользуюсь чужим?

    Нет. Если у вас не сконфигурирован Exit Node.

    Что при этом видит провайдер, что я получаю потоки данных с определенных IP и каждый раз разный IP?

    У них есть система точного обнаружения использования Tor. Это факт остается в логах с теми же последствиями, что и для VPN.

    Провайдер видит URL?

    Через Tor и VPN - нет.

    Каким образом можно полностью управлять сетью на ПК, видеть что, куда и когда отправляется или приходит на ПК (Windows, Linux)?

    Видеть все: https://www.google.com/search?q=Wireshark
    Блокировать все лишнее: https://www.google.com/search?q=Comodo+Firewall
    Ответ написан
    22 комментария