- Вася, ты зачем дунул в принтер?!
- Я хотел пыль сдуть... 😬

Типичный 🥸 Сисадмин

😮 Шифровальщик Nitrogen из-за бага в собственном коде просто уничтожает файлы жертв

Специалисты Coveware раскопали эпичный фейл. Версия Nitrogen для VMware ESXi содержит ошибку, из-за которой расшифровка файлов невозможна в принципе, даже если жертва заплатит выкуп и получит дешифратор.

Суть бага в том, что малварь записывает 8-байтовое значение QWORD по адресу, который частично перекрывает публичный ключ шифрования. Первые четыре байта ключа перезаписываются мусором. В итоге файлы шифруются ключом-мутантом, к которому в природе не существует парного приватного ключа, так что даже сами хакеры не смогут расшифровать данные 🎩

Можно подумать, что ошибка намеренная, однако всё время существования группировка Nitrogen была финансово мотивирована и выросла на утекших исходниках Conti. Они хотели просто заработать на корпоративном шантаже, но из-за отсутствия QA-тестирования превратили свой софт в деструктивный вайпер. В итоге хацкеры без денег, жертвы без данных, а вся надежда теперь только на бэкапы... если они есть 😬

Типичный 🥸 Сисадмин

Это должно было быть временным решением ... 2 года назад 😬

Типичный 🥸 Сисадмин

Сначала ты видишь провода.
Потом ты видишь полотенца, похожие на гигантские трусы, которые натянули на угол комнаты 🏥

Развидеть это невозможно.

Типичный 🥸 Сисадмин

Мотивации пост.

Не откладывай на завтра то, что может разлететься на тысячу осколков сегодня

Типичный 🥸 Сисадмин

Хакеры проверяют конфиг Nginx через nginx -t, чтобы не уронить ваш прод 🎩

Исследователи из Datadog обнаружили схему, где веб-сервер захватывают не чтобы зашифровать, а чтобы превратить в умный прокси. Проникают через уязвимость React2Shell (CVE-2025-55182), после чего загружают скрипты, которые парсят директорию /etc/nginx/ (или пути панели Baota) и внедряют в конфиги вредоносные блоки location.

В конфиг добавляются локейшены типа /game/, /help/, /news/, внутри которых стоит proxy_pass на сервер хацкеров. Пользователь заходит на легитимный, доверенный домен, видит зеленый замок SSL, но контент ему отдает сервер хацкеров. Чаще всего это реклама казино или скам, который идеально индексируется поисковиками за счет репутации вашего домена.

Скрипт-инжектор (4zdh.sh) написан профессионально... перед тем как применить изменения, он запускает nginx -t. Если новый конфиг не проходит валидацию, малварь не перезагружает Nginx, чтобы не уронить прод и не привлечь внимание админа падением сервиса. Более того, если на сервере выпилены curl и wget, скрипт умеет качать пейлоады через нативные возможности Bash (/dev/tcp) 😎

Так что если ваши маркетологи жалуются, что сайт начал ранжироваться по запросам "слоты онлайн крутить" 🎰, не спешите винить контент-манагера. Сделайте grep -r "proxy_pass" /etc/nginx и посмотрите, куда на самом деле смотрит ваш реверс-прокси.

Типичный 🥸 Сисадмин

🔐Проблема 2026 года пришла в железо. Корневые сертификаты в UEFI истекают

Давайте вспомним занимательную математику. Технология Secure Boot массово пошла в продакшн в 2011 году, а срок жизни корневых сертификатов, зашитых в UEFI, составляет ровно 15 лет. Складываем числа и получаем июнь 2026 года 😱. Сертификаты доверия (KEK, DB, DBX) начинают массово истекать. В теории это означает, что загрузчик ОС перестанет проходить проверку подлинности, и система либо не загрузится, либо перестанет принимать обновы безопасности (включая патчи против буткитов). Под раздачу попадает вообще всё железо и виртуалки, выпущенные с 2012 года, от Windows Server 2012 и древних LTSC сборок до Windows 11.

Microsoft, осознавая масштаб грядущего кирпичного завода 🧱, выкатила инструмент диагностики, но сделала это как всегда через одно место... через облачный Intune и Windows Autopatch 😂

Звучит прекрасно... у нас половина парка сидит в закрытых контурах, вторая половина на трофейных лицензиях без доступа к облакам Azure, а третья - это зоопарк из китайских ноутбуков и серверов, ввезенных параллельным импортом. Отчет в Intune нам не поможет, потому что доступа к нему нет. А проблема есть. И решается она обновлением BIOS/UEFI на каждом конкретном устройстве. Представьте перспективу искать свежие прошивки на материнки десятилетней давности 😭

Кого-то ждет веселый квест. Вместо того чтобы заниматься безопасностью (иллюзией 😬), мы будем вынуждены либо бегать с флешками и шить BIOS (если найдем прошивку), либо, что гораздо вероятнее, массово отключать Secure Boot в BIOS, ибо проще отключить, чем найти апдейт на старую мать.

Типичный 🥸 Сисадмин

Симулятор карьерного роста.

Ты можешь метить в DevOps, но рандом (и вакансии в твоем городе) решат, что ты рожден быть Сисадмином в бюджетной поликлинике 😂

MemOps 😃

Хакеры платили за вход на форум, который, похоже, держали спецслужбы. Ханипот за $500. 🍯

На днях ФБР официально закрыло форум RAMP, повесив на домене свою любимую заглушку "This website has been seized". Для непосвященных это просто очередная победа над киберпреступностью. Но для тех, кто в теме, ситуация выглядит как финал грандиозной спецоперации, где главный злодей оказался двойным (или тройным) агентом.

Админ форума под ником Stallman (не путать с Ричардом😁) - личность легендарная и мутная. Сообщество давно подозревало неладное... чувак открыто скупал доступы к критической инфраструктуре США, но... ничего не происходило. Компании не шифровались, данные не утекали. Складывалось ощущение, что он выкупал уязвимости, чтобы их патчить, а не эксплуатировать. При этом на других форумах (типа XSS) его банили за нарушение правил, но потом таинственным образом разбанивали, словно кто-то сверху звонил админу и просил не трогать нашего человечка 👮‍♂️

Самое интересное всплыло сейчас. В официальных отчетах ФБР о закрытии форума нет ни слова про арест или розыск самого Сталлмана. Его имя просто исчезло из документов, будто форум управлял сам собой. Комьюнити уверено, что Сталлман это либо проект спецслужб, либо завербованный хакер Severa, который уже давно сотрудничает с федералами. Схема гениальная... создать ханипот для элиты рансомвари, собирать с них досье при регистрации (вход стоил $500 + деанон профилей), скупать опасные доступы, чтобы их не купили реальные хакеры-отморозки, а потом красиво закрыть лавочку, когда база данных наполнилась 😗

Получается, если в даркнете кто-то слишком громко кричит о своей крутости, нарушает понятия и при этом не садится годами, то скорее всего, он носит погоны под худи. А те, кто регистрировался на RAMP, думая, что попали в закрытый клуб, на самом деле добровольно заполнили анкету для майора. OpSec высшего уровня... вот вам и илита 🧠

☢️ @zeroday_log

Как потерять сервер, просто переподключив сессию. Гайд по потере связности от первого лица 🤙

На Хабре вышел лонгрид, который читается как сценарий ночного кошмара любого админа. Автор, находясь в Москве, полностью потерял управление над своим сервером в Казани, и виной тому стала фатальная цепочка событий... срабатывание фильтров по ключевым словам, собственное губительное любопытство и бюрократический ад регистратора.

Всё началось с того, что автоматика регулятора, судя по всему, начала отрабатывать блокировку по сигнатурам в доменных именах. Автор имел неосторожность держать сервисные поддомены вида vpn.domain.ru и vpn-kg.... Система фильтрации, увидев триггер (vpn) в SNI на 443 порту, начала дропать SSL-хендшейки. И здесь админ совершает ошибку, за которую в приличном обществе бьют патч-кордом 😬... имея активную, чудом выжившую сессию через Cisco SSL VPN, он решает проверить гипотезу и своими руками разрывает соединение. Обратно, разумеется, его уже не пустило. Классическая ошибка выжившего... никогда не рубите единственный линк, на котором сидите, даже ради диагностики, если у вас нет обходного пути для доступа.

Но дно было еще впереди. Пока Автор пытался пробить стену блокировок, удар в спину нанес регистратор REG.RU, внезапно сняв домен с делегирования 😭. Причина в несовпадение анкетных данных, которые криво передал партнер-реселлер (перепутанные поля ФИО и адреса). В одну секунду инфраструктура превратилась в ничто... легли NS-сервера, перестала ходить корпоративная почта, отвалились SSL-сертификаты. Процесс восстановления превратился в сюрреализм с требованием подписать кабальные бумаги о возмещении убытков регистратору и бесполезной верификацией через Госуслуги, пока техподдержка отвечала скриптами раз в восемь часов.

Спасло ситуацию только чудо в виде забытой тестовой виртуалки, которая торчала наружу через чистый SSH и не попала под раздачу. Через неё удалось прокинуть туннель с помощью sshuttle и вернуть управление 🥳

Итого... получается, использовать в 2026 году слова vpn, proxy или shadowsocks в именах хостов - это уже технический суицид. А критическую инфраструктуру (DNS, почта, шлюзы и тд.) неплохо бы разнести по разным доменам и регистраторам.

Типичный 🥸 Сисадмин

Визуализация того, почему uBlock Origin перестал работать в Chrome. Смотрите на колонку Search advertising ($224.5B). Они будут бороться за эти деньги до последнего блокировщика.

И еще... Traffic acquisition costs: $59.9B.
Это те деньги, которые Гугл платит Эплу и Мозиле, чтобы оставаться поиском по умолчанию. По сути, это налог на лень пользователей, которые не меняют дефольные настройки 👩‍🦰

Типичный 🥸 Сисадмин

В популярных шлюзах TP-Link ER605 (серия Omada, которую вендор позиционирует как серьезный SMB/Enterprise) нашли зияющую дыру 😬

Исследователи раскопали цепочку уязвимостей (CVE-2024-5242, 5243, 5244), позволяющую получить удалённое выполнение кода с правами root без какой-либо авторизации. Вся проблема кроется в демоне cmxddnsd, который отвечает за динамический DNS. Мало того, что этот процесс крутится с максимальными привилегиями (зачем?), так он еще и написан с пренебрежением ко всем правилам безопасной разработки.

TP-Link решила изобрести свой велосипед для шифрования трафика DDNS, используя модифицированный Base64 и... алгоритм DES. Да, в 2026 году они используют DES 🏥 Но самое волшебное - ключ шифрования был просто захардкожен в бинарнике демона. Это позволило исследователям среверсить протокол и научиться генерировать валидные ответы от имени сервера. Атака требует позиции человека посередине (например, через поддельный DHCP в локалке), чтобы перехватить запрос роутера к DDNS и подсунуть ему свой ответ.

Дальше начинается классика эксплуатации памяти. Поскольку разрабы забыли проверить длину полей, атакующий сначала отправляет раздутый пакет, чтобы вызвать переполнение глобальных структур и получить утечку адресов памяти - это элегантно обходит защиту ASLR. А вторым этапом в поле ErrorCode запихивается полезная нагрузка, которая переполняет стек, перезаписывает адрес возврата для последовательного вызова программных инструкций. В итоге демон, вместо обработки ошибки, исполняет шелл-код атакующего ⌨️

Если у вас в филиалах стоят эти ТП-линки с прошивкой ниже 2.2.4, то разумно накатить обновление, которое вышло еще некоторое время назад, но про которое, как обычно, забыли. Ну и изолировать Management VLAN, хотя в данном случае атака может прилететь и из LAN-сегмента.

Типичный 🥸 Сисадмин

Когда адаптер салазок стоит 500 рублей да еще и ждать 3 дня.
#предложка

Типичный 🥸 Сисадмин

Торвальдс выпустил ядро 6.19 и сразу же обнулил нумерацию. Следующая версия получит индекс 7.0, и причина этого решения чисто человеческая: Линус пошутил, что его сбивают с толку большие числа для которых не хватает пальцев на руках и ногах.

В новой версии 15657 исправлений от 2237 разработчиков, патч на 52 МБ. Старые видеокарты AMD GCN 1.0/1.1 переехали на драйвер AMDGPU, что означает нормальный Vulkan из коробки и прирост FPS. Также мониторинг температуры для Steam Deck, Intel LASS для защиты от Spectre, поддержка Rust на стабильных фичах языка. EXT4 научился работать с блоками больше размера страницы, сетевой стек ускорили в 4 раза. Valve продолжает финансировать HDR-поддержку, и DRM Color Pipeline наконец влили в основное ядро.

Также готовят почву для Intel Nova Lake (Xe3P графика), AMD Zen 6 RAS, начали поддержку LoongArch32. Драйвер Nouveau получил сжатие, а для будущих NVIDIA GPU стартовала работа над драйвером Nova. Тем временем Arm Ethos NPU добавили в подсистему ускорителей.

Linux / Линукс 🥸