💸 HDD становится снова в моде. Разрыв в цене между SSD и HDD достиг 16 раз

Согласно данным VDURA, за последние полгода флеш подорожал на 257%, в то время как механика на 35%. В итоге мы получили ситуацию, где один терабайт на SSD стоит в 16 раз дороже, чем на HDD, так что похоже, звук вращающихся блинов в серверной останется с нами еще очень надолго.

Типичный 🎄 Сисадмин

🐸 Cloudflare молча сменил сертификаты и отключил интернеты владельцам MikroTik.

Тут cлучилась классическая драма на стыке гигантов и вендоров. Cloudflare, особо никого не предупреждая, решил сменить удостоверяющий центр для своих DoH-эндпоинтов (1.1.1.1). Они переехали с DigiCert на SSL.com

Казалось бы, рутина, но есть нюанс. Выяснилось, что в дефолтном хранилище корневых сертификатов MikroTik RouterOS (начиная с версий 7.19 и выше) доверия к SSL.com нет. Вообще. Как результат, у тысяч людей по всему миру DoH-соединения отвалились с ошибкой SSL: no trusted CA certificate found 🎩

Теперь, чтобы оживить DoH на Микротах, нужно вручную скормить ему корневой сертификат.

Временно отключаем проверку серта и ставим резерв:

ip dns set verify-doh-cert=no servers=1.1.1.1

Тянем сертификат с сайта SSL.com:

/tool fetch url="https://ssl.com/repo/certs/SSLcomRootCertificationAuthorityECC.pem"
/certificate import file-name=SSLcomRootCertificationAuthorityECC.pem

Возвращаем всё как было, но уже с рабочим трастом:

ip dns set verify-doh-cert=yes servers=""

Типичный 💊 Сисадмин

Выглядит как мечта любого торговца дисками у метро в 2005 году.

Генеральный директор ООО "Фаргус" и ЗАО "7 Волк" одобряют эту сборку 😂

Типичный 🎄 Сисадмин

Пользователь столкнулся с суровой реальностью, совершив ошибку проектирования на этапе закупки 😬

Типичный 🎄 Сисадмин

Официальный дресс-код для посещения дома престарелых Сисадминов 👨‍🦳

Если ты помнишь боль этой картинки, значит, тебе пора записываться не на курсы DevOps, а на колоноскопию и проверку простаты 🏥 Извини, брат, время беспощадно, как и всё легаси.

Типичный 🎄 Сисадмин

Принесли ПК на диагностику. Смотришь на это и понимаешь, что у человека была цель, и он к ней шел 🏥
#предложка

Походу был единственный рабочий шнур (он оказался угловым) и пришлось собрать систему вокруг кабеля.

Типичный 🎄 Сисадмин

Спасибо, добрый незнакомец. Теперь ты можешь отдохнуть.

Типичный 🎄 Сисадмин

Артефакт эпохи прошлого. Январь 1988 года, Эстонская ССР. Перфокарты.
#предложка

Экспериментальный комбинат БИТ... Звучит как что-то из ранних Стругацких. Романтика НИИ, понедельник начинается в субботу, и вера в то, что ЭВМ решат все проблемы человечества 😭

Типичный 🥸 Сисадмин

Когда попросил эникея аккуратно закрепить всё под столом, но не уточнил метод 😬

Типичный 🥸 Сисадмин

Очередной день, очередной факап в экосистеме Microsoft. Неизвестные группировки массово ломают энергетические компании по всему миру, используя в качестве тарана SharePoint.

Атакующие используют уже угнанные учетки, чтобы размещать фишинговые страницы прямо на легитимных сайтах SharePoint или генерировать ссылки на файлы, требующие аутентификации. Затем рассылаются письма с важными темами. Пользователь, которого годами дрессировали проверять адресную строку, видит родной корпоративный домен или доверенный sharepoint.com, расслабляется и вводит пароль.

Дальше, чтобы жертва не заметила, что с её почты прямо сейчас улетает 600 писем партнерам, скрипты мгновенно создают вредоносные правила. Все входящие ответы, отчеты о недоставке и вопросы коллег (Тебя шо, взломали?) молча удаляются или помечаются прочитанными и скрываются в архив. Админы, у которых не настроен алерт на событие New-InboxRule в Exchange Online, узнают об инциденте последними 😬

Типичный 🎄 Сисадмин

⌨️ Новая волна атак, нацеленная на российский корпоративный сектор

Бухгалтериям рассылают архив с файлом Задание_для_бухгалтера_02отдела.txt.lnk. Расчет строится на том, что условная Марьванна увидит знакомые слова, иконку текстового документа и рефлекторно кликнет дважды, запустив цепочку уничтожения всей инфры 💥

Внутри ярлыка спрятан запуск PowerShell с командой обхода политик выполнения. Это классический загрузчик, который тянет скрипт прямо с репозитория на GitHub. Малварь действует аккуратно... прячет черное окно консоли, создает в папке пользователя настоящий текстовый документ-приманку с инструкциями, открывает его, чтобы усыпить бдительность Марьванны, и тут же стучит в бот Телеги, докладывая хозяину об успешном запуске.

Далее стартует VBScript. Он проверяет, есть ли у текущего пользователя права админа. Если прав нет, то запускается бесконечный цикл запросов. Окна контроля учетных записей (UAC) начинают выскакивать каждые 3 секунды, пока доведенная до истерики Марьванна не нажмет (Да), просто чтобы это прекратилось 🤬

Как только права получены, вирус начинает выжигать средства защиты. Через PowerShell отключается защита в реальном времени, а папки с временными файлами добавляются в исключения. Но самый прикольный трюк с использование утилиты Defendnot. Загрузчик внедряется в доверенный системный процесс Taskmgr.exe, который затем регистрирует в Центре безопасности Windows фейковый антивирус. Система видит новую защиту и сама, штатно отключает родной Defender, чтобы избежать конфликтов ПО 🎩

Закрепление и зачистка следов тоже выполнены на уровне параноика. Через реестр блокируются запуск Диспетчера задач, редактора реестра и командной строки. Командой reagentc убивается среда восстановления, а следом сносятся все теневые копии, чтобы вы не смогли откатить систему назад. В завершении закачивается троян Amnesia, который специализируется на краже сессий десктопной Телеги (папка tdata), сохраненных паролей браузеров и крипты. После кражи данных запускается шифровальщик Hakuna Matata, который полирует всё это дело тотальным локером системы ⚰️

Вот такая нехитрая получилась атака, которая на 90% состоит из легитимных админских действий (PowerShell, WMI, правка реестра) и трафика на белые ресурсы. Единственная реальная защита здесь - это жесткие политики ограничения программ, запрет запуска скриптов из папок пользователя и, конечно, лишение бухгалтерии прав... отберите же у них права локальных админов, если вы этого еще не сделали 😱

Типичный 🥸 Сисадмин

🪣 Зимняя оттепель снова нашла уязвимость в гидроизоляции, приходится разворачивать временное аппаратное решение, типа ведро.
#предложка

Теперь главная задача с утра - мониторить буфер на предмет переполнения.

Типичный 🥸 Сисадмин

Умная духовка Miele выкачала почти 5 ГБ трафика за последнюю неделю... может быть она стала частью некого ботнета ⌨️
#предложка

Типичный 🥸 Сисадмин

😬 Когда увидел на Авитах неплохое предложение... будем поднимать домашний прод с новым обогревателем.

Типичный 🥸 Сисадмин

cd
ls
cd

Linux / Линукс 🥸

👨‍🔬 Microsoft случайно показала будущее, где блокнот не работает без интернетов

Тут некоторые легальные пользователи Win 11 внезапно обнаружили, что не могут открыть Блокнот, Paint, Ножницы и Windows Security. Приложения падали с ошибкой 0x803F8001, требуя проверить учетную запись в Microsoft Store.

Получается, чтобы просто отредактировать txt файл или обрезать скриншот, винда стучалась на свои сервера и проверяла цифровую подпись. Из-за сбоя на стороне Store (проблема была серверная) прилипли тысячи пользователей. Окна с ошибками лицензирования постоянно перехватывали фокус, делая работу невозможной, а особо ретивые пользователи, которые попытались переустановить софт, обнаружили, что скачать его обратно тоже нельзя 🤪

Microsoft пояснила, что проблему уже пофиксили на своей стороне, и накатывать патчи не нужно.

Представьте лицо Столлмана, если бы ему сказали, что для редактирования конфига нужно залогиниться в магазин приложений 😂

Типичный 🥸 Сисадмин