🧠 Задание для опытных Linux-администраторов: «Служба-зомби и ловушка systemd»
📘 Суть задачи
У тебя есть unit-файл systemd по адресу /etc/systemd/system/fake-backup.service:
[Unit]
Description=Fake Backup Daemon
After=network.target
[Service]
ExecStart=/usr/local/bin/fake-backup.sh
Type=forking
PIDFile=/var/run/fake-backup.pid
Restart=always
[Install]
WantedBy=multi-user.target
А вот сам скрипт fake-backup.sh:
#!/bin/bash
echo $$ > /var/run/fake-backup.pid
sleep 300
Ты выполняешь команды:
systemctl daemon-reload
systemctl enable fake-backup
systemctl start fake-backup
И через несколько секунд запускаешь:
systemctl status fake-backup
В ответ видишь:
• active (exited)
• или в логах: Main PID exited, but service still running.
• или PID не совпадает с реальным процессом.
❓ Вопросы
1) Почему systemd считает, что служба завершилась?
2) Что не так в этом скрипте и unit-файле?
3) Как исправить ситуацию, чтобы служба правильно отслеживалась и автоматически перезапускалась?
✅ Анализ и подвох
💣 Проблема №1: Type=forking требует форка
Параметр Type=forking говорит systemd:
> «Я ожидаю, что процесс, запущенный через ExecStart, создаст дочерний процесс (форкнется), а родительский процесс завершится. Я буду отслеживать PID дочернего процесса.»
Но здесь fake-backup.sh не создает форк, он просто записывает свой PID и засыпает.
Что происходит:
• systemd запускает скрипт
• скрипт не делает форк → родительский процесс завершается → systemd считает службу завершённой.
💥 Проблема №2: PIDFile не помогает
Даже если указан PIDFile, systemd не сможет точно следить за процессом, если:
• PID-файл создается слишком поздно,
• процесс не демонтизируется должным образом,
• отсутствует настоящий двойной форк и setsid.
✅ Правильные решения
🔧 Вариант 1: изменить тип службы
Самый простой способ:
```ini
[Service]
Type=simple
ExecStart=/usr/local/bin/fake-backup.sh
Restart=always
```
В этом случае systemd будет считать службу активной, пока скрипт запущен.
🔧 Вариант 2: сделать настоящий демон
Перепиши скрипт, чтобы он корректно демонизировался, например:
```bash
#!/bin/bash
(
echo $$ > /var/run/fake-backup.pid
exec sleep 300
) &
```
Или используй утилиты `daemon`, `start-stop-daemon` или напиши демон на C с двойным форком.
🎯 Проверка
```bash
systemctl status fake-backup
ps aux | grep fake-backup
```
Если systemd правильно отслеживает PID — всё работает корректно.
Если служба переходит в состояние `exited`, значит systemd считает, что она завершилась.
⚠️ Подвох
Многие думают, что `Type=forking` означает просто «запуск в фоне».
На самом деле этот тип требует **правильного поведения демона**, иначе systemd не сможет понять состояние службы.
Поэтому:
• не применяй `forking` без настоящей демонизации,
• `simple` — более безопасный тип для большинства скриптов.
@linux_education
📘 Суть задачи
У тебя есть unit-файл systemd по адресу /etc/systemd/system/fake-backup.service:
[Unit]
Description=Fake Backup Daemon
After=network.target
[Service]
ExecStart=/usr/local/bin/fake-backup.sh
Type=forking
PIDFile=/var/run/fake-backup.pid
Restart=always
[Install]
WantedBy=multi-user.target
А вот сам скрипт fake-backup.sh:
#!/bin/bash
echo $$ > /var/run/fake-backup.pid
sleep 300
Ты выполняешь команды:
systemctl daemon-reload
systemctl enable fake-backup
systemctl start fake-backup
И через несколько секунд запускаешь:
systemctl status fake-backup
В ответ видишь:
• active (exited)
• или в логах: Main PID exited, but service still running.
• или PID не совпадает с реальным процессом.
❓ Вопросы
1) Почему systemd считает, что служба завершилась?
2) Что не так в этом скрипте и unit-файле?
3) Как исправить ситуацию, чтобы служба правильно отслеживалась и автоматически перезапускалась?
✅ Анализ и подвох
💣 Проблема №1: Type=forking требует форка
Параметр Type=forking говорит systemd:
> «Я ожидаю, что процесс, запущенный через ExecStart, создаст дочерний процесс (форкнется), а родительский процесс завершится. Я буду отслеживать PID дочернего процесса.»
Но здесь fake-backup.sh не создает форк, он просто записывает свой PID и засыпает.
Что происходит:
• systemd запускает скрипт
• скрипт не делает форк → родительский процесс завершается → systemd считает службу завершённой.
💥 Проблема №2: PIDFile не помогает
Даже если указан PIDFile, systemd не сможет точно следить за процессом, если:
• PID-файл создается слишком поздно,
• процесс не демонтизируется должным образом,
• отсутствует настоящий двойной форк и setsid.
✅ Правильные решения
🔧 Вариант 1: изменить тип службы
Самый простой способ:
```ini
[Service]
Type=simple
ExecStart=/usr/local/bin/fake-backup.sh
Restart=always
```
В этом случае systemd будет считать службу активной, пока скрипт запущен.
🔧 Вариант 2: сделать настоящий демон
Перепиши скрипт, чтобы он корректно демонизировался, например:
```bash
#!/bin/bash
(
echo $$ > /var/run/fake-backup.pid
exec sleep 300
) &
```
Или используй утилиты `daemon`, `start-stop-daemon` или напиши демон на C с двойным форком.
🎯 Проверка
```bash
systemctl status fake-backup
ps aux | grep fake-backup
```
Если systemd правильно отслеживает PID — всё работает корректно.
Если служба переходит в состояние `exited`, значит systemd считает, что она завершилась.
⚠️ Подвох
Многие думают, что `Type=forking` означает просто «запуск в фоне».
На самом деле этот тип требует **правильного поведения демона**, иначе systemd не сможет понять состояние службы.
Поэтому:
• не применяй `forking` без настоящей демонизации,
• `simple` — более безопасный тип для большинства скриптов.
@linux_education
👍8
🕵️♂️ API-s-for-OSINT — каталог API для разведки по открытым источникам
Если ты занимаешься OSINT, кибербезопасностью или просто хочешь автоматизировать сбор данных — этот репозиторий (https://github.com/cipher387) станет для тебя настоящей сокровищницей.
📦 Что внутри:
Каталог разбит по тематикам, в каждой — список полезных API с описанием и ссылками. Вот лишь малая часть:
• Поиск устройств и IP: Shodan, Censys, Netlas
• Проверка email и доменов: WhoisXML, Kickbox
• Телефонные API: Numverify, Twilio
• Геолокация: Google Geocoding, Zipcodebase
• Даркнет и утечки: Onion Lookup, Darksearch
• Социальные сети, блокчейн, хэши, Wi-Fi и многое другое
🧠 Как использовать:
• Автоматизация с Python, Bash, Telegram-ботами
• Проверка подозрительных email и IP
• Интеграция в OSINT-дашборды или Google Sheets
• Быстрый доступ к API через curl или Postman
📎 Полезно каждому, кто хочет собирать, проверять и кросс-референсить данные в интернете — от хактивиста до журналиста.
🔗 Ссылка (https://github.com/cipher387/API-s-for-OSINT)
@linux_education
Если ты занимаешься OSINT, кибербезопасностью или просто хочешь автоматизировать сбор данных — этот репозиторий (https://github.com/cipher387) станет для тебя настоящей сокровищницей.
📦 Что внутри:
Каталог разбит по тематикам, в каждой — список полезных API с описанием и ссылками. Вот лишь малая часть:
• Поиск устройств и IP: Shodan, Censys, Netlas
• Проверка email и доменов: WhoisXML, Kickbox
• Телефонные API: Numverify, Twilio
• Геолокация: Google Geocoding, Zipcodebase
• Даркнет и утечки: Onion Lookup, Darksearch
• Социальные сети, блокчейн, хэши, Wi-Fi и многое другое
🧠 Как использовать:
• Автоматизация с Python, Bash, Telegram-ботами
• Проверка подозрительных email и IP
• Интеграция в OSINT-дашборды или Google Sheets
• Быстрый доступ к API через curl или Postman
📎 Полезно каждому, кто хочет собирать, проверять и кросс-референсить данные в интернете — от хактивиста до журналиста.
🔗 Ссылка (https://github.com/cipher387/API-s-for-OSINT)
@linux_education
💥 В даркнете появилась база с данными 89 млн аккаунтов Steam — возможная утечка из Twilio
На одной из даркнет-площадок выставлен на продажу файл, содержащий якобы 89 миллионов записей пользователей Steam — это около двух третей всех аккаунтов на платформе.
Продавец с ником Machine1337 запросил $5000 за доступ к базе и опубликовал примерку из 3000 строк в качестве доказательства.
Содержимое файла включает:
- SMS-сообщения с одноразовыми кодами Steam Guard
- номера телефонов, на которые были отправлены эти коды
По оценкам экспертов, утечка вряд ли произошла со стороны Valve — куда более вероятной выглядит компрометация облачного провайдера Twilio, который занимается отправкой SMS для двухфакторной аутентификации.
📌 Если у вас включён Steam Guard через мобильное приложение, серьёзных причин для беспокойства нет — коды, отправленные по SMS, считаются менее защищённым методом.
@linux_education
На одной из даркнет-площадок выставлен на продажу файл, содержащий якобы 89 миллионов записей пользователей Steam — это около двух третей всех аккаунтов на платформе.
Продавец с ником Machine1337 запросил $5000 за доступ к базе и опубликовал примерку из 3000 строк в качестве доказательства.
Содержимое файла включает:
- SMS-сообщения с одноразовыми кодами Steam Guard
- номера телефонов, на которые были отправлены эти коды
По оценкам экспертов, утечка вряд ли произошла со стороны Valve — куда более вероятной выглядит компрометация облачного провайдера Twilio, который занимается отправкой SMS для двухфакторной аутентификации.
📌 Если у вас включён Steam Guard через мобильное приложение, серьёзных причин для беспокойства нет — коды, отправленные по SMS, считаются менее защищённым методом.
@linux_education
👾 Новые атаки Spectre-v2: Training Solo обходит защиту Intel. Исследователи из Амстердамского свободного университета обнаружили серию уязвимостей в процессорах Intel, связанных с атаками Spectre-v2. Метод, получивший название Training Solo, позволяет обходить механизмы изоляции памяти, такие как IBPB и eIBRS, и извлекать данные из ядра или гипервизора со скоростью до 17 КБ/с**.
В отличие от классических атак Spectre, Training Solo использует не подконтрольный злоумышленнику код, а уже существующие фрагменты в привилегированных областях. Эксплуатация возможна благодаря аппаратным уязвимостям CVE-2024-28956 и CVE-2025-24495, затрагивающим процессоры Intel от Coffee Lake до Lunar Lake.
Intel уже выпустила обновление микрокода с новой инструкцией IBHF, а в Linux добавлены патчи для блокировки атак через cBPF. AMD и ARM заявили, что их современные процессоры не подвержены угрозе.
🔗 Ссылка - *клик* (https://download.vusec.net/papers/trainingsolo_sp25.pdf)
@linux_education
В отличие от классических атак Spectre, Training Solo использует не подконтрольный злоумышленнику код, а уже существующие фрагменты в привилегированных областях. Эксплуатация возможна благодаря аппаратным уязвимостям CVE-2024-28956 и CVE-2025-24495, затрагивающим процессоры Intel от Coffee Lake до Lunar Lake.
Intel уже выпустила обновление микрокода с новой инструкцией IBHF, а в Linux добавлены патчи для блокировки атак через cBPF. AMD и ARM заявили, что их современные процессоры не подвержены угрозе.
🔗 Ссылка - *клик* (https://download.vusec.net/papers/trainingsolo_sp25.pdf)
@linux_education
👁️ Nmap 7.96: легендарный сетевой сканер получил крупное обновление после года разработки. Теперь сканирование миллионов хостов занимает в 50 раз меньше времени благодаря параллельной обработке DNS-запросов — там, где раньше требовалось двое суток, теперь хватает часа.
Среди любопытных нововведений: тёмная тема для Zenmap, скрипты для работы с MikroTik и генерация IPv6-адресов по MAC-адресу. При этом проект сохранил свой фирменный баланс между мощью и гибкостью, оставаясь инструментом как для пентестеров, так и для системных администраторов.
🔗 Ссылка - *клик* (https://nmap.org/)
@linux_education
Среди любопытных нововведений: тёмная тема для Zenmap, скрипты для работы с MikroTik и генерация IPv6-адресов по MAC-адресу. При этом проект сохранил свой фирменный баланс между мощью и гибкостью, оставаясь инструментом как для пентестеров, так и для системных администраторов.
🔗 Ссылка - *клик* (https://nmap.org/)
@linux_education
👍16
Auditor.codes — это интерактивная платформа для прокачки навыков в аудите исходного кода и кибербезопасности.
🔍 Что предлагает:
🧠 8 000+ задач на поиск реальных уязвимостей в C/C++ (буферные переполнения, UAF, integer overflow и др.)
📚 Обучение безопасному кодингу и методам аудита
🏆 Таблица лидеров и соревновательная среда
Подходит и новичкам, и профессионалам. Учись искать уязвимости — как настоящий white-hat!
https://auditor.codes/
@linux_education
🔍 Что предлагает:
🧠 8 000+ задач на поиск реальных уязвимостей в C/C++ (буферные переполнения, UAF, integer overflow и др.)
📚 Обучение безопасному кодингу и методам аудита
🏆 Таблица лидеров и соревновательная среда
Подходит и новичкам, и профессионалам. Учись искать уязвимости — как настоящий white-hat!
https://auditor.codes/
@linux_education
👍1
🛡️ DDoSecrets опубликовали 410 ГБ дампов памяти с сервера TeleMessage
Что произошло:
Киберактивисты из Distributed Denial of Secrets обнародовали около 410 ГБ файлов heap dump, которые были получены хакерами с архива сервера TeleMessage — компании, предоставляющей “модифицированные” версии Signal, WhatsApp, Telegram и WeChat с централизованным архивированием сообщений :contentReference[oaicite:0]{index=0}.
Кто такая DDoSecrets:
Это некоммерческая организация, действующая с 2018 года. Как своего рода "преемник WikiLeaks", она публикует утечки каналов властей, компаний и общественных институтов, часто в сотрудничестве с расследователями и журналистами :contentReference[oaicite:1]{index=1}.
Хронология инцидента:
1. 1 мая — бывший советник по нацбезопасности (Mike Waltz) используют TeleMessage вместо обычного Signal при общении с чиновниками и политиками.
2. 3–5 мая — вскрыты исходники TM SGNL и случаи с утечкой данных.
3. 4 мая — произошла компрометация архива TeleMessage через endpoint /heapdump, доступный публично, что позволило скачать дампы памяти с личными и служебными данными.
4. 19 мая — DDoSecrets публикуют эти дампы (переданные журналистам и исследователям) с объемом ~410 ГБ :contentReference[oaicite:2]{index=2}.
Что содержат дампы:
- Текстовые сообщения (plain-text chats)
- Метаданные: отправители/получатели, временные метки, названия групп
- Часть архива содержит только metadata :contentReference[oaicite:3]{index=3}
Зачем это важно:
- Подтверждается, что TeleMessage обещает “end-to-end encryption”, но на самом деле реализует централизованный архив. Архивы доступны в открытом виде — без шифрования.
- Потенциально скомпрометированы и госслужащие (в том числе из США), и криптокомпании — включая Coinbase :contentReference[oaicite:4]{index=4}.
- Проблема носит системный характер: endpoint Spring Boot Actuator (`/heapdump`) экспортирует чувствительные данные, что является классической и давно известной ошибкой конфигурации :contentReference[oaicite:5]{index=5}.
Как это работает (технически):
TeleMessage-разработчики оставили endpoint /heapdump доступным в продакшн-среде. Spring Boot по умолчанию включал этот endpoint до версии 1.5, когда он ещё требовал аутентификации — но в проде этот механизм был отключён или не настроен :contentReference[oaicite:6]{index=6}.
Риски и выводы:
- Утечка персональных и корпоративных сообщений через незащищённый endpoint.
- Масштабный компромисс доверия: официальное ПО использовалось государственными служащими, но оказалось уязвимым.
- Опасность misconfiguration в production: включённые debug-инструменты, забытые эндпойнты приводят к масштабным утечкам.
🧠 Итог:
Данный инцидент — наглядный пример того, как даже простая конфигурационная ошибка может привести к раскрытию сотен гигабайт конфиденциальных данных. А обнародование дампов организацией DDoSecrets повышает прозрачность и ставит под вопрос безопасность TeleMessage как платформы, заявляющей о надёжной защите переписок.
@linux_education
Что произошло:
Киберактивисты из Distributed Denial of Secrets обнародовали около 410 ГБ файлов heap dump, которые были получены хакерами с архива сервера TeleMessage — компании, предоставляющей “модифицированные” версии Signal, WhatsApp, Telegram и WeChat с централизованным архивированием сообщений :contentReference[oaicite:0]{index=0}.
Кто такая DDoSecrets:
Это некоммерческая организация, действующая с 2018 года. Как своего рода "преемник WikiLeaks", она публикует утечки каналов властей, компаний и общественных институтов, часто в сотрудничестве с расследователями и журналистами :contentReference[oaicite:1]{index=1}.
Хронология инцидента:
1. 1 мая — бывший советник по нацбезопасности (Mike Waltz) используют TeleMessage вместо обычного Signal при общении с чиновниками и политиками.
2. 3–5 мая — вскрыты исходники TM SGNL и случаи с утечкой данных.
3. 4 мая — произошла компрометация архива TeleMessage через endpoint /heapdump, доступный публично, что позволило скачать дампы памяти с личными и служебными данными.
4. 19 мая — DDoSecrets публикуют эти дампы (переданные журналистам и исследователям) с объемом ~410 ГБ :contentReference[oaicite:2]{index=2}.
Что содержат дампы:
- Текстовые сообщения (plain-text chats)
- Метаданные: отправители/получатели, временные метки, названия групп
- Часть архива содержит только metadata :contentReference[oaicite:3]{index=3}
Зачем это важно:
- Подтверждается, что TeleMessage обещает “end-to-end encryption”, но на самом деле реализует централизованный архив. Архивы доступны в открытом виде — без шифрования.
- Потенциально скомпрометированы и госслужащие (в том числе из США), и криптокомпании — включая Coinbase :contentReference[oaicite:4]{index=4}.
- Проблема носит системный характер: endpoint Spring Boot Actuator (`/heapdump`) экспортирует чувствительные данные, что является классической и давно известной ошибкой конфигурации :contentReference[oaicite:5]{index=5}.
Как это работает (технически):
TeleMessage-разработчики оставили endpoint /heapdump доступным в продакшн-среде. Spring Boot по умолчанию включал этот endpoint до версии 1.5, когда он ещё требовал аутентификации — но в проде этот механизм был отключён или не настроен :contentReference[oaicite:6]{index=6}.
Риски и выводы:
- Утечка персональных и корпоративных сообщений через незащищённый endpoint.
- Масштабный компромисс доверия: официальное ПО использовалось государственными служащими, но оказалось уязвимым.
- Опасность misconfiguration в production: включённые debug-инструменты, забытые эндпойнты приводят к масштабным утечкам.
🧠 Итог:
Данный инцидент — наглядный пример того, как даже простая конфигурационная ошибка может привести к раскрытию сотен гигабайт конфиденциальных данных. А обнародование дампов организацией DDoSecrets повышает прозрачность и ставит под вопрос безопасность TeleMessage как платформы, заявляющей о надёжной защите переписок.
@linux_education
❤2
🛠 Backdoor — Python Reverse Shell & Listener Tool
Проект [ceodaniyal/Backdoor](https://github.com/ceodaniyal/Backdoor) — это обучающий инструмент на Python, сочетающий сервер-листенер и обратную шелл-связь. Он создан для практики в этическом хакинге и работе с обратными
🔧 Структура проекта
- server.py — слушает входящие соединения, выполняет команды на целевой машине и обрабатывает файлы
- backdoor.py — клиент на стороне «жертвы»: подключается к серверу и ждёт команд
- README.md — объясняет, как настроить IP и порты и показывает список команд
🚀 Ключевые возможности
- Reverse shell — удалённое выполнение команд
- File transfer — upload и download между машинами
- Реество JSON-коммуникации — структуры сообщений для надёжности
- Автоматическая переподключаемость — клиент пытается заново соединиться
- CLI-интерфейс — команды: cd, upload, download, clear, quit, другие
:contentReference[oaicite:1]{index=1}
🧠 Зачем это нужно?
- Учебные цели: лучший способ разобраться, как устроена обратная шелл-связь и socket-программирование
- Pentest / CTF-практика: отработка навыков удалённого доступа и передачи файлов
- Этичный хакинг: понимание механики и защиты подобных инструментов
⚠️ Важно: этический аспект
Автор подчёркивает: используйте только в образовательных целях, и только на разрешённых окружениях. Несанкционированное использование может считаться незаконным.
👨💻 Быстрый старт
1. Настройте IP в server.py, запустите:
python server.py
2. Настройте IP в backdoor.py, запустите на целевой машине:
python backdoor.py
3. Управляйте:
- cd — смена директории
- upload / download
- clear, quit или выполнить системную команду
🧭 Возможности для прокачки
- Добавить TLS-шифрование — для безопасности канала
- Реализовать аутентификацию, чтобы фильтровать подключающиеся клиенты
- Перевести на асинхронный asyncio для масштабируемости
- Добавить односторонний канал контроля через HTTP/WebSocket (C2 командный центр)
- Интегрировать в CI для учёбы — автоматически развёртывать sandbox и отрабатывать команды
📌 Github (https://github.com/ceodaniyal/Backdoor)
@linux_education
Проект [ceodaniyal/Backdoor](https://github.com/ceodaniyal/Backdoor) — это обучающий инструмент на Python, сочетающий сервер-листенер и обратную шелл-связь. Он создан для практики в этическом хакинге и работе с обратными
🔧 Структура проекта
- server.py — слушает входящие соединения, выполняет команды на целевой машине и обрабатывает файлы
- backdoor.py — клиент на стороне «жертвы»: подключается к серверу и ждёт команд
- README.md — объясняет, как настроить IP и порты и показывает список команд
🚀 Ключевые возможности
- Reverse shell — удалённое выполнение команд
- File transfer — upload и download между машинами
- Реество JSON-коммуникации — структуры сообщений для надёжности
- Автоматическая переподключаемость — клиент пытается заново соединиться
- CLI-интерфейс — команды: cd, upload, download, clear, quit, другие
:contentReference[oaicite:1]{index=1}
🧠 Зачем это нужно?
- Учебные цели: лучший способ разобраться, как устроена обратная шелл-связь и socket-программирование
- Pentest / CTF-практика: отработка навыков удалённого доступа и передачи файлов
- Этичный хакинг: понимание механики и защиты подобных инструментов
⚠️ Важно: этический аспект
Автор подчёркивает: используйте только в образовательных целях, и только на разрешённых окружениях. Несанкционированное использование может считаться незаконным.
👨💻 Быстрый старт
1. Настройте IP в server.py, запустите:
python server.py
2. Настройте IP в backdoor.py, запустите на целевой машине:
python backdoor.py
3. Управляйте:
- cd — смена директории
- upload / download
- clear, quit или выполнить системную команду
🧭 Возможности для прокачки
- Добавить TLS-шифрование — для безопасности канала
- Реализовать аутентификацию, чтобы фильтровать подключающиеся клиенты
- Перевести на асинхронный asyncio для масштабируемости
- Добавить односторонний канал контроля через HTTP/WebSocket (C2 командный центр)
- Интегрировать в CI для учёбы — автоматически развёртывать sandbox и отрабатывать команды
📌 Github (https://github.com/ceodaniyal/Backdoor)
@linux_education
❤1
🛡️ Утечка 184 миллионов логинов: открытая база с данными пользователей Apple, Google, Facebook и даже госслужб
Исследователь Jeremiah Fowler обнаружил огромную незащищённую базу Elastic — 184+ миллионов записей (~47 ГБ), свободно доступных в интернете. Данные включали логины, пароли, адреса и ключевые слова вроде "wallet", "bank", "PayPal", "Netflix", "Discord".
🌍 Кто пострадал:
• Аккаунты пользователей из 29+ стран
• 220+ адресов .gov — включая США, Канаду, Австралию, Индию и Китай
• Учётные записи: Google, Facebook, Instagram, Apple, Amazon, PayPal и др.
🔎 Что произошло:
• Сервер находился у провайдера World Host Group, но владелец не установлен
• Судя по данным — это сборка из вредоносного ПО-инфостилера или логов скомпрометированных машин
• После уведомления — база была оперативно отключена
⚠️ Почему это важно:
• Утечка включает учётки правительств, что может представлять угрозу нацбезопасности
• Доступ был открыт публично — неизвестно, кто успел воспользоваться
• Это напоминает, насколько важна защита серверов и баз данных
🔐 Что делать:
✅ Смените пароли в ключевых сервисах
✅ Включите 2FA (двухфакторную авторизацию)
✅ Используйте менеджеры паролей и не повторяйте один пароль на разных сайтах
✅ Не храните API-ключи или токены в незашифрованных файлах
📎 Источник (https://www.wired.com/story/mysterious-database-logins-governments-social-media/)
#CyberSecurity #DataLeak #Infostealer #Elastic #SecurityBreach #GovLeak #DigitalPrivacy #JeremiahFowler
@linux_education
Исследователь Jeremiah Fowler обнаружил огромную незащищённую базу Elastic — 184+ миллионов записей (~47 ГБ), свободно доступных в интернете. Данные включали логины, пароли, адреса и ключевые слова вроде "wallet", "bank", "PayPal", "Netflix", "Discord".
🌍 Кто пострадал:
• Аккаунты пользователей из 29+ стран
• 220+ адресов .gov — включая США, Канаду, Австралию, Индию и Китай
• Учётные записи: Google, Facebook, Instagram, Apple, Amazon, PayPal и др.
🔎 Что произошло:
• Сервер находился у провайдера World Host Group, но владелец не установлен
• Судя по данным — это сборка из вредоносного ПО-инфостилера или логов скомпрометированных машин
• После уведомления — база была оперативно отключена
⚠️ Почему это важно:
• Утечка включает учётки правительств, что может представлять угрозу нацбезопасности
• Доступ был открыт публично — неизвестно, кто успел воспользоваться
• Это напоминает, насколько важна защита серверов и баз данных
🔐 Что делать:
✅ Смените пароли в ключевых сервисах
✅ Включите 2FA (двухфакторную авторизацию)
✅ Используйте менеджеры паролей и не повторяйте один пароль на разных сайтах
✅ Не храните API-ключи или токены в незашифрованных файлах
📎 Источник (https://www.wired.com/story/mysterious-database-logins-governments-social-media/)
#CyberSecurity #DataLeak #Infostealer #Elastic #SecurityBreach #GovLeak #DigitalPrivacy #JeremiahFowler
@linux_education
👍3
🕵️♂️ Pinkerton — инструмент для поиска секретов в JavaScript
Это мощный open-source сканер, созданный для автоматического поиска чувствительных данных (API-ключей, токенов, паролей) в JavaScript-файлах на веб-сайтах.
🔍 Что делает Pinkerton:
• Краулит сайт, собирая все JS-файлы
• Ищет утечки с помощью регулярных выражений
• Находит API-ключи, JWT, access tokens, пароли и многое другое
⚙️ Как использовать:
git clone https://github.com/000pp/Pinkerton.git
pip3 install -r requirements.txt
python3 main.py -u https://example.com
🧠 Кому подойдёт:
• Пентестерам и багхантером
• DevSecOps специалистам
• Любому, кто хочет проверить, не утекли ли ключи в фронт-коде
📦 Поддерживается в BlackArch Linux
🔓 Лицензия: MIT
🌟 300+ звёзд на GitHub
💬 Pinkerton — отличный инструмент для тех, кто хочет автоматизировать безопасность своего фронта и не допустить утечек ключей.
#pentest #security #bugbounty #opensource #js #infosec #Pinkerton
https://github.com/000pp/Pinkerton
@linux_education
Это мощный open-source сканер, созданный для автоматического поиска чувствительных данных (API-ключей, токенов, паролей) в JavaScript-файлах на веб-сайтах.
🔍 Что делает Pinkerton:
• Краулит сайт, собирая все JS-файлы
• Ищет утечки с помощью регулярных выражений
• Находит API-ключи, JWT, access tokens, пароли и многое другое
⚙️ Как использовать:
git clone https://github.com/000pp/Pinkerton.git
pip3 install -r requirements.txt
python3 main.py -u https://example.com
🧠 Кому подойдёт:
• Пентестерам и багхантером
• DevSecOps специалистам
• Любому, кто хочет проверить, не утекли ли ключи в фронт-коде
📦 Поддерживается в BlackArch Linux
🔓 Лицензия: MIT
🌟 300+ звёзд на GitHub
💬 Pinkerton — отличный инструмент для тех, кто хочет автоматизировать безопасность своего фронта и не допустить утечек ключей.
#pentest #security #bugbounty #opensource #js #infosec #Pinkerton
https://github.com/000pp/Pinkerton
@linux_education
👍1
✅ Beelzebub Honeypot - платформа для анализа киберугроз, специализирующуюся на выявлении и изучении криптоджекинга — скрытого майнинга криптовалюты на чужих устройствах без ведома владельцев.
🔍 Как работает Beelzebub Honeypot (https://beelzebub-honeypot.com/blog/how-cybercriminals-make-money-with-cryptojacking/)
Beelzebub — это низкокодовая honeypot-фреймворк, позволяющая быстро развернуть ловушки для киберпреступников. Особенность проекта — интеграция с моделью GPT-4o, что обеспечивает реалистичное поведение системы и привлекает злоумышленников для более глубокого анализа их действий.
💰 Исследование криптоджекинга
В рамках одного из экспериментов Beelzebub была зафиксирована атака, при которой злоумышленник использовал вредоносное ПО для:
- Удаления конкурирующих майнеров с системы жертвы.
- Установки собственного майнера xmrig через скрипт с сервера c3pool.org.
beelzebub-honeypot.com
- Майнинга криптовалюты Monero (XMR) на свой кошелек.
За короткий период злоумышленнику удалось добыть 20 XMR, что эквивалентно примерно $4126.
🛡️ Противодействие угрозам
После обнаружения атаки команда Beelzebub:
- Заблокировала вредоносный кошелек в пуле c3pool.
beelzebub-honeypot.com
- Удалили все связанные с ним майнеры, предотвращая дальнейшее распространение угрозы.
📌 Основные преимущества Beelzebub
Быстрая настройка honeypot-серверов через YAML-конфигурации.
- Интеграция с LLM (GPT-4o) для реалистичного взаимодействия с атакующими.
- Открытый исходный код и активное сообщество разработчиков.
- Поддержка различных протоколов (SSH, HTTP, TCP) и интеграция с Docker и Kubernetes.
Beelzebub Honeypot — мощный инструмент для специалистов по кибербезопасности, позволяющий не только выявлять, но и глубоко анализировать современные угрозы, такие как криптоджекинг, и эффективно им противодействовать.
https://beelzebub-honeypot.com/blog/how-cybercriminals-make-money-with-cryptojacking/
@linux_education
🔍 Как работает Beelzebub Honeypot (https://beelzebub-honeypot.com/blog/how-cybercriminals-make-money-with-cryptojacking/)
Beelzebub — это низкокодовая honeypot-фреймворк, позволяющая быстро развернуть ловушки для киберпреступников. Особенность проекта — интеграция с моделью GPT-4o, что обеспечивает реалистичное поведение системы и привлекает злоумышленников для более глубокого анализа их действий.
💰 Исследование криптоджекинга
В рамках одного из экспериментов Beelzebub была зафиксирована атака, при которой злоумышленник использовал вредоносное ПО для:
- Удаления конкурирующих майнеров с системы жертвы.
- Установки собственного майнера xmrig через скрипт с сервера c3pool.org.
beelzebub-honeypot.com
- Майнинга криптовалюты Monero (XMR) на свой кошелек.
За короткий период злоумышленнику удалось добыть 20 XMR, что эквивалентно примерно $4126.
🛡️ Противодействие угрозам
После обнаружения атаки команда Beelzebub:
- Заблокировала вредоносный кошелек в пуле c3pool.
beelzebub-honeypot.com
- Удалили все связанные с ним майнеры, предотвращая дальнейшее распространение угрозы.
📌 Основные преимущества Beelzebub
Быстрая настройка honeypot-серверов через YAML-конфигурации.
- Интеграция с LLM (GPT-4o) для реалистичного взаимодействия с атакующими.
- Открытый исходный код и активное сообщество разработчиков.
- Поддержка различных протоколов (SSH, HTTP, TCP) и интеграция с Docker и Kubernetes.
Beelzebub Honeypot — мощный инструмент для специалистов по кибербезопасности, позволяющий не только выявлять, но и глубоко анализировать современные угрозы, такие как криптоджекинг, и эффективно им противодействовать.
https://beelzebub-honeypot.com/blog/how-cybercriminals-make-money-with-cryptojacking/
@linux_education
Руководство_по_пентесту_и_защите_от_киберугроз_на_Linux_и_Kali_L.pdf
1.3 MB
Руководство по пентесту и защите от киберугроз на Linux и Kali Linux
➡️ Онлайн-версия (https://uproger.com/rukovodstvo-po-pentestu-i-zashhite-ot-kiberugroz-na-linux-i-kali-linux/)
@linux_education
➡️ Онлайн-версия (https://uproger.com/rukovodstvo-po-pentestu-i-zashhite-ot-kiberugroz-na-linux-i-kali-linux/)
@linux_education
🔥3
🛡️ Awesome Threat Actor Resources — подборка лучших открытых источников о киберугрозах и APT-группах от команды RST Cloud
📚 Репозиторий собирает ссылки на проверенные базы данных, проекты и ресурсы, посвящённые профилям киберпреступных группировок, их инструментам, тактикам и активностям.
🔍 В списке:
• Malpedia — описания и ссылки на 800+ групп
• MISP Galaxy — акторы угроз и их алиасы
• MITRE Threat Actor Encyclopedia — поведенческие профили с TTPs
• APTnotes — архив APT-отчётов
• APTMap — интерактивная карта группировок
• FireEye APT Groups — классификация и структура известных APT
🎯 Полезно для:
• Аналитиков киберугроз
• Исследователей безопасности
• Разработчиков SOC/EDR/Threat Intel-систем
• Всех, кто хочет глубже понимать поведение реальных атакующих
📎 GitHub: https://github.com/rstcloud/awesome-threat-actor-resources
📝 Лицензия: CC0 — можно использовать где угодно
@linux_education
📚 Репозиторий собирает ссылки на проверенные базы данных, проекты и ресурсы, посвящённые профилям киберпреступных группировок, их инструментам, тактикам и активностям.
🔍 В списке:
• Malpedia — описания и ссылки на 800+ групп
• MISP Galaxy — акторы угроз и их алиасы
• MITRE Threat Actor Encyclopedia — поведенческие профили с TTPs
• APTnotes — архив APT-отчётов
• APTMap — интерактивная карта группировок
• FireEye APT Groups — классификация и структура известных APT
🎯 Полезно для:
• Аналитиков киберугроз
• Исследователей безопасности
• Разработчиков SOC/EDR/Threat Intel-систем
• Всех, кто хочет глубже понимать поведение реальных атакующих
📎 GitHub: https://github.com/rstcloud/awesome-threat-actor-resources
📝 Лицензия: CC0 — можно использовать где угодно
@linux_education
🔐 FrodoKEM — квантово-устойчивая криптография "старой школы" от Microsoft
Microsoft представила подробный разбор алгоритма FrodoKEM — одного из главных кандидатов на роль стандарта постквантовой криптографии.
В эпоху приближающихся квантовых компьютеров, FrodoKEM предлагает максимально консервативную и проверяемую альтернативу.
📌 Что такое FrodoKEM?
FrodoKEM (Frodo Key Encapsulation Mechanism) — это криптографическая схема, основанная на сложной математической задаче Learning With Errors (LWE) без применения каких-либо дополнительных алгебраических структур, вроде решёток в кольцах или модулярной арифметики.
🔹 В отличие от популярных решений (например, Kyber), FrodoKEM:
- Не использует оптимизации через кольца
- Не зависит от нестабильных алгебраических допущений
- Основан на классических, хорошо изученных матричных операциях
🧠 Почему это важно?
Ближайшее будущее — это угроза квантового взлома. Алгоритмы вроде RSA и ECC станут уязвимыми после появления рабочих квантовых компьютеров. Многие постквантовые схемы стараются быть быстрыми, но жертвуют прозрачностью и простотой анализа.
Microsoft выбрала другой путь: надёжность, понятность, доверие.
🛡 FrodoKEM:
- Устойчив даже при пессимистичных криптоанализах
- Обеспечивает строгий уровень безопасности (до 192-битной стойкости)
- Уже участвует в финальном раунде отбора NIST
⚙️ Технические детали
- Основан на стандартной LWE-задаче с гауссовыми ошибками
- Полностью реализован на C (open-source)
- Поддерживает несколько уровней безопасности (FrodoKEM-640, -976, -1344)
- Не требует дополнительных предположений, кроме LWE
📦 Репозиторий: https://github.com/Microsoft/PQCrypto-LWEKE
🔍 Что пишет Microsoft?
> "Мы хотели создать решение, которому можно доверять даже спустя 20 лет. FrodoKEM может быть медленнее, но это цена за прозрачность и проверяемость."
🧩 Где это может применяться?
- Встраиваемые устройства, где важна безопасность, а не скорость
- Долгосрочное шифрование архивов и переписки
- Системы, где необходима формальная верификация безопасности
📚 Полный разбор от Microsoft:
https://www.microsoft.com/en-us/research/blog/frodokem-a-conservative-quantum-safe-cryptographic-algorithm/
#postquantum #crypto #FrodoKEM #MicrosoftResearch
@linux_education
Microsoft представила подробный разбор алгоритма FrodoKEM — одного из главных кандидатов на роль стандарта постквантовой криптографии.
В эпоху приближающихся квантовых компьютеров, FrodoKEM предлагает максимально консервативную и проверяемую альтернативу.
📌 Что такое FrodoKEM?
FrodoKEM (Frodo Key Encapsulation Mechanism) — это криптографическая схема, основанная на сложной математической задаче Learning With Errors (LWE) без применения каких-либо дополнительных алгебраических структур, вроде решёток в кольцах или модулярной арифметики.
🔹 В отличие от популярных решений (например, Kyber), FrodoKEM:
- Не использует оптимизации через кольца
- Не зависит от нестабильных алгебраических допущений
- Основан на классических, хорошо изученных матричных операциях
🧠 Почему это важно?
Ближайшее будущее — это угроза квантового взлома. Алгоритмы вроде RSA и ECC станут уязвимыми после появления рабочих квантовых компьютеров. Многие постквантовые схемы стараются быть быстрыми, но жертвуют прозрачностью и простотой анализа.
Microsoft выбрала другой путь: надёжность, понятность, доверие.
🛡 FrodoKEM:
- Устойчив даже при пессимистичных криптоанализах
- Обеспечивает строгий уровень безопасности (до 192-битной стойкости)
- Уже участвует в финальном раунде отбора NIST
⚙️ Технические детали
- Основан на стандартной LWE-задаче с гауссовыми ошибками
- Полностью реализован на C (open-source)
- Поддерживает несколько уровней безопасности (FrodoKEM-640, -976, -1344)
- Не требует дополнительных предположений, кроме LWE
📦 Репозиторий: https://github.com/Microsoft/PQCrypto-LWEKE
🔍 Что пишет Microsoft?
> "Мы хотели создать решение, которому можно доверять даже спустя 20 лет. FrodoKEM может быть медленнее, но это цена за прозрачность и проверяемость."
🧩 Где это может применяться?
- Встраиваемые устройства, где важна безопасность, а не скорость
- Долгосрочное шифрование архивов и переписки
- Системы, где необходима формальная верификация безопасности
📚 Полный разбор от Microsoft:
https://www.microsoft.com/en-us/research/blog/frodokem-a-conservative-quantum-safe-cryptographic-algorithm/
#postquantum #crypto #FrodoKEM #MicrosoftResearch
@linux_education
❤1
🛡️ Sentry — локальный firewall для macOS с графическим интерфейсом
Sentry (https://github.com/Lakr233/Sentry) — это элегантное и мощное приложение с открытым исходным кодом, которое даёт тебе полный контроль над входящими и исходящими соединениями на macOS.
🔥 Возможности:
▪ Локальный сетевой фильтр уровня ядра
▪ Управление интернет-доступом для любых приложений
▪ Красивый и понятный GUI на SwiftUI
▪ Работа без сторонних зависимостей
▪ Поддержка push-уведомлений при блокировке
▪ Абсолютно офлайн и приватно — данные никуда не уходят
⚙️ Под капотом:
• Использует NetworkExtension Framework
• Написан на Swift и C++
• Поддерживает macOS 13 Ventura и выше
👨💻 Для разработчиков и параноиков:
Sentry — альтернатива Little Snitch, только open-source, бесплатная и без трекинга.
🔐 Если хочешь видеть, что и когда лезет в сеть на твоём Mac — ставь Sentry и спи спокойно.
🔗 GitHub: https://github.com/Lakr233/Sentry
@linux_education
Sentry (https://github.com/Lakr233/Sentry) — это элегантное и мощное приложение с открытым исходным кодом, которое даёт тебе полный контроль над входящими и исходящими соединениями на macOS.
🔥 Возможности:
▪ Локальный сетевой фильтр уровня ядра
▪ Управление интернет-доступом для любых приложений
▪ Красивый и понятный GUI на SwiftUI
▪ Работа без сторонних зависимостей
▪ Поддержка push-уведомлений при блокировке
▪ Абсолютно офлайн и приватно — данные никуда не уходят
⚙️ Под капотом:
• Использует NetworkExtension Framework
• Написан на Swift и C++
• Поддерживает macOS 13 Ventura и выше
👨💻 Для разработчиков и параноиков:
Sentry — альтернатива Little Snitch, только open-source, бесплатная и без трекинга.
🔐 Если хочешь видеть, что и когда лезет в сеть на твоём Mac — ставь Sentry и спи спокойно.
🔗 GitHub: https://github.com/Lakr233/Sentry
@linux_education
🔧 Задача для Linux-админов: «Невидимый сбой в продакшене»
🎯 Цель: Найти источник периодических тормозов без остановки системы
📍 Ситуация:
Пользователи жалуются: каждые 15–20 минут сервер «зависает» на 20–30 секунд.
Логи — чистые. Сеть — стабильна. Сервисы (PostgreSQL, Jenkins) — запущены, но подтормаживают.
Мониторинг (Prometheus + node_exporter) показывает всплески iowait и load average.
💾 Инфраструктура:
- OS: RHEL 9
- Используется: systemd, cron, cgroups, firewalld, podman
- Бэкап-скрипт: db-backup.sh по cron каждые 15 мин
- Установлен tmpwatch
- /var/log — без ошибок
🧩 Ваша задача:
1. Найти причину скачков iowait (при чистых логах)
2. Определить какой процесс запускается краткосрочно и грузит диск
3. Проверить, когда точно начинается деградация
4. Использовать инструменты диагностики:
iotop, atop, strace, perf, systemd-analyze, bpftrace, auditd
5. Проверить cron, tmpwatch, backup и скрытые `systemd`-таймеры
6. Не останавливать PostgreSQL и Jenkins
💡 Подсказка:
- tmpwatch может удалять десятки тысяч мелких файлов → резкий I/O
- systemd-tmpfiles-clean.timer по умолчанию может запускаться автоматически
- Проверяй journalctl, cron, audit.log, iotop -aoP
🛠 Решение:
1. Запускаем iotop -aoP и видим, что в момент зависаний работает tmpwatch:
sudo iotop -aoP
2. Проверяем таймеры systemd:
systemctl list-timers --all
Обнаруживаем systemd-tmpfiles-clean.timer с периодичностью 15 минут.
3. Смотрим, какие пути чистит tmpfiles:
cat /usr/lib/tmpfiles.d/tmp.conf
4. В /tmp накопилось >100K маленьких файлов (`.sock`, .pid, `.cache`). Удаление их — причина iowait.
5. Решение:
- Увеличить интервал у tmpfiles-clean.timer, например, до 3 часов:
sudo systemctl edit systemd-tmpfiles-clean.timer
[Timer]
OnBootSec=
OnUnitActiveSec=3h
- Временно выключить таймер, если не критично:
sudo systemctl disable --now systemd-tmpfiles-clean.timer
6. Оптимизируем tmpwatch и cron, чтобы не пересекались с бэкапами и нагрузкой.
📌 Вывод:
Скрытые таймеры systemd, массовое удаление временных файлов и конфликт с расписанием cron могут вызвать деградацию, даже если логи чисты. Только глубокая диагностика через I/O-мониторинг и анализ таймеров раскрывает источник.
💬 Это задача для собеседования DevOps/SRE уровня L3+
@linux_education
🎯 Цель: Найти источник периодических тормозов без остановки системы
📍 Ситуация:
Пользователи жалуются: каждые 15–20 минут сервер «зависает» на 20–30 секунд.
Логи — чистые. Сеть — стабильна. Сервисы (PostgreSQL, Jenkins) — запущены, но подтормаживают.
Мониторинг (Prometheus + node_exporter) показывает всплески iowait и load average.
💾 Инфраструктура:
- OS: RHEL 9
- Используется: systemd, cron, cgroups, firewalld, podman
- Бэкап-скрипт: db-backup.sh по cron каждые 15 мин
- Установлен tmpwatch
- /var/log — без ошибок
🧩 Ваша задача:
1. Найти причину скачков iowait (при чистых логах)
2. Определить какой процесс запускается краткосрочно и грузит диск
3. Проверить, когда точно начинается деградация
4. Использовать инструменты диагностики:
iotop, atop, strace, perf, systemd-analyze, bpftrace, auditd
5. Проверить cron, tmpwatch, backup и скрытые `systemd`-таймеры
6. Не останавливать PostgreSQL и Jenkins
💡 Подсказка:
- tmpwatch может удалять десятки тысяч мелких файлов → резкий I/O
- systemd-tmpfiles-clean.timer по умолчанию может запускаться автоматически
- Проверяй journalctl, cron, audit.log, iotop -aoP
🛠 Решение:
1. Запускаем iotop -aoP и видим, что в момент зависаний работает tmpwatch:
sudo iotop -aoP
2. Проверяем таймеры systemd:
systemctl list-timers --all
Обнаруживаем systemd-tmpfiles-clean.timer с периодичностью 15 минут.
3. Смотрим, какие пути чистит tmpfiles:
cat /usr/lib/tmpfiles.d/tmp.conf
4. В /tmp накопилось >100K маленьких файлов (`.sock`, .pid, `.cache`). Удаление их — причина iowait.
5. Решение:
- Увеличить интервал у tmpfiles-clean.timer, например, до 3 часов:
sudo systemctl edit systemd-tmpfiles-clean.timer
[Timer]
OnBootSec=
OnUnitActiveSec=3h
- Временно выключить таймер, если не критично:
sudo systemctl disable --now systemd-tmpfiles-clean.timer
6. Оптимизируем tmpwatch и cron, чтобы не пересекались с бэкапами и нагрузкой.
📌 Вывод:
Скрытые таймеры systemd, массовое удаление временных файлов и конфликт с расписанием cron могут вызвать деградацию, даже если логи чисты. Только глубокая диагностика через I/O-мониторинг и анализ таймеров раскрывает источник.
💬 Это задача для собеседования DevOps/SRE уровня L3+
@linux_education
👍6🔥2
🕵️♂️ ExeRay — статический анализатор PE-файлов на Python
ExeRay — это удобный инструмент для реверс-инженеров, исследователей безопасности и malware-аналитиков.
Он проводит статический анализ исполняемых файлов .exe (PE-файлов) и визуализирует их структуру в удобной форме.
🧩 Что умеет ExeRay:
✅ Анализировать PE-файл и извлекать:
- Заголовки, секции, импорты/экспорты
- Таблицы ресурсов
- Используемые API и библиотеки
- Suspicious patterns и аномалии
✅ Генерировать отчёт в HTML
✅ Работает полностью офлайн
✅ Поддержка анализа несколькими методами (pefile + custom парсеры)
📦 Пример использования:
python main.py -f malware.exe
После чего ты получаешь красивый и подробный отчёт по всем ключевым параметрам PE-файла.
💻 Технологии:
- Python 3
- pefile, matplotlib, pyvis для графов зависимостей
- Простая CLI и понятный код — легко расширить под свои задачи
🧠 Кому подойдёт:
- Reverse Engineers
- Malware Analysts
- Red/Blue Teams
- Python-разработчикам, интересующимся PE-структурой и безопасностью
🔥 Если ты работаешь с .exe, и хочешь быстро понять, что внутри — ExeRay сэкономит часы ручного анализа.
📁 Репозиторий (https://github.com/MohamedMostafa010/ExeRay):
@pythonl
@linux_education
ExeRay — это удобный инструмент для реверс-инженеров, исследователей безопасности и malware-аналитиков.
Он проводит статический анализ исполняемых файлов .exe (PE-файлов) и визуализирует их структуру в удобной форме.
🧩 Что умеет ExeRay:
✅ Анализировать PE-файл и извлекать:
- Заголовки, секции, импорты/экспорты
- Таблицы ресурсов
- Используемые API и библиотеки
- Suspicious patterns и аномалии
✅ Генерировать отчёт в HTML
✅ Работает полностью офлайн
✅ Поддержка анализа несколькими методами (pefile + custom парсеры)
📦 Пример использования:
python main.py -f malware.exe
После чего ты получаешь красивый и подробный отчёт по всем ключевым параметрам PE-файла.
💻 Технологии:
- Python 3
- pefile, matplotlib, pyvis для графов зависимостей
- Простая CLI и понятный код — легко расширить под свои задачи
🧠 Кому подойдёт:
- Reverse Engineers
- Malware Analysts
- Red/Blue Teams
- Python-разработчикам, интересующимся PE-структурой и безопасностью
🔥 Если ты работаешь с .exe, и хочешь быстро понять, что внутри — ExeRay сэкономит часы ручного анализа.
📁 Репозиторий (https://github.com/MohamedMostafa010/ExeRay):
@pythonl
@linux_education
❤1
📡 Wifite2 — автоматическая атака на Wi-Fi сети
Wifite2 (https://github.com/kimocoder/wifite2) — мощный инструмент для автоматического взлома защищённых Wi-Fi сетей, переписанный и обновлённый с учётом современных реалий. Работает поверх aircrack-ng, reaver, bully, pyrit, hashcat и других инструментов — и делает всю грязную работу за вас.
🧩 Что умеет:
✅ Атака на WPA/WPA2:
- захват handshake (4-way)
- поддержка PMKID-атаки (без клиентов)
- перебор паролей через aircrack / hashcat
✅ Атака на WPS (Reaver/Bully)
✅ Поддержка автоматической деаутентификации клиентов
✅ Работа в headless-режиме (удобно для скриптов и удалённых машин)
✅ Полностью переписан на Python 3
✅ Распознаёт и игнорирует honeypot-сети (фальшивые точки доступа)
⚙️ Поддержка чипсетов Atheros, Ralink, Realtek, Broadcom — если совместим с airmon-ng, значит работает.
📦 Пример запуска:
sudo wifite
Wifite2 просканирует доступные сети, отфильтрует слабозащищённые, и начнёт автоматическую атаку с захватом handshake, деаутентификацией и сохранением дампов для последующего взлома.
🧠 Для опытных пользователей доступны расширенные флаги и режимы:
sudo wifite --kill --timeout 20 --crack
⚠️ Только для тестирования своих сетей!
Использование против чужих Wi-Fi может нарушать закон.
📁 Репозиторий: https://github.com/kimocoder/wifite2
@linux_education
Wifite2 (https://github.com/kimocoder/wifite2) — мощный инструмент для автоматического взлома защищённых Wi-Fi сетей, переписанный и обновлённый с учётом современных реалий. Работает поверх aircrack-ng, reaver, bully, pyrit, hashcat и других инструментов — и делает всю грязную работу за вас.
🧩 Что умеет:
✅ Атака на WPA/WPA2:
- захват handshake (4-way)
- поддержка PMKID-атаки (без клиентов)
- перебор паролей через aircrack / hashcat
✅ Атака на WPS (Reaver/Bully)
✅ Поддержка автоматической деаутентификации клиентов
✅ Работа в headless-режиме (удобно для скриптов и удалённых машин)
✅ Полностью переписан на Python 3
✅ Распознаёт и игнорирует honeypot-сети (фальшивые точки доступа)
⚙️ Поддержка чипсетов Atheros, Ralink, Realtek, Broadcom — если совместим с airmon-ng, значит работает.
📦 Пример запуска:
sudo wifite
Wifite2 просканирует доступные сети, отфильтрует слабозащищённые, и начнёт автоматическую атаку с захватом handshake, деаутентификацией и сохранением дампов для последующего взлома.
🧠 Для опытных пользователей доступны расширенные флаги и режимы:
sudo wifite --kill --timeout 20 --crack
⚠️ Только для тестирования своих сетей!
Использование против чужих Wi-Fi может нарушать закон.
📁 Репозиторий: https://github.com/kimocoder/wifite2
@linux_education
👍3
This media is not supported in your browser
VIEW IN TELEGRAM
➡️ Совет дня в Linux
Чтобы добавить различные разрешения на файлы в каталог при его создании, используйте команду:
$ mkdir -m 766 new_directory
Где, -m должно получить значения, как в команде chmod
@linux_education
Чтобы добавить различные разрешения на файлы в каталог при его создании, используйте команду:
$ mkdir -m 766 new_directory
Где, -m должно получить значения, как в команде chmod
@linux_education
👍9❤1
🧨 VSCode-Backdoor — вредоносный плагин, который показывает, как легко внедрить бекдор в расширение VS Code
Проект VSCode-Backdoor (https://github.com/SaadAhla/VSCode-Backdoor) — это PoC (proof-of-concept), демонстрирующий, насколько уязвимы расширения в VS Code, если они попадают от недобросовестного разработчика.
😱 Что делает расширение:
- Работает как обычный плагин для VS Code
- А в фоне — устанавливает бекдор через reverse shell
- Подключается к атакующему, позволяя ему управлять вашей машиной
📦 Реализовано:
• На JavaScript / Node.js
• В виде расширения с обычным интерфейсом
• Работает при открытии VS Code без подозрений
🧠 Зачем это нужно?
Это не вирус, а образовательный проект, чтобы показать:
> как легко создать вредоносное VS Code-расширение и почему стоит проверять исходный код и источник любого плагина, особенно за пределами официального marketplace.
🔐 Вывод:
— Не устанавливайте неизвестные расширения
— Всегда проверяйте, что именно делает extension.js
— Используйте sandbox или виртуалку для тестов
📎 Ссылка: https://github.com/SaadAhla/VSCode-Backdoor
@linux_education
Проект VSCode-Backdoor (https://github.com/SaadAhla/VSCode-Backdoor) — это PoC (proof-of-concept), демонстрирующий, насколько уязвимы расширения в VS Code, если они попадают от недобросовестного разработчика.
😱 Что делает расширение:
- Работает как обычный плагин для VS Code
- А в фоне — устанавливает бекдор через reverse shell
- Подключается к атакующему, позволяя ему управлять вашей машиной
📦 Реализовано:
• На JavaScript / Node.js
• В виде расширения с обычным интерфейсом
• Работает при открытии VS Code без подозрений
🧠 Зачем это нужно?
Это не вирус, а образовательный проект, чтобы показать:
> как легко создать вредоносное VS Code-расширение и почему стоит проверять исходный код и источник любого плагина, особенно за пределами официального marketplace.
🔐 Вывод:
— Не устанавливайте неизвестные расширения
— Всегда проверяйте, что именно делает extension.js
— Используйте sandbox или виртуалку для тестов
📎 Ссылка: https://github.com/SaadAhla/VSCode-Backdoor
@linux_education
GitHub
GitHub - SaadAhla/VSCode-Backdoor: Backdooring VSCode Projects
Backdooring VSCode Projects. Contribute to SaadAhla/VSCode-Backdoor development by creating an account on GitHub.