🧠 Задача для продвинутых Linux-администраторов: “Служба-зомби и ловушка systemd”

📘 Условие

У тебя есть systemd unit-файл /etc/systemd/system/fake-backup.service:

[Unit]
Description=Fake Backup Daemon
After=network.target

[Service]
ExecStart=/usr/local/bin/fake-backup.sh
Type=forking
PIDFile=/var/run/fake-backup.pid
Restart=always

[Install]
WantedBy=multi-user.target

А вот скрипт fake-backup.sh:

#!/bin/bash
echo $$ > /var/run/fake-backup.pid
sleep 300

Ты выполняешь команды:

systemctl daemon-reload
systemctl enable fake-backup
systemctl start fake-backup

И через несколько секунд команда:

systemctl status fake-backup

показывает:

• active (exited)
• или в логах: Main PID exited, but service still running.
• или PID не соответствует реальному процессу

❓ Вопрос

1) Почему systemd считает службу завершённой?
2) Что не так с этим скриптом и unit-файлом?
3) Как исправить поведение, чтобы служба отслеживалась корректно и перезапускалась?

✅ Разбор и подвох

💣 Проблема №1: Type=forking требует форка

Type=forking говорит systemd:
> «Я ожидаю, что процесс ExecStart форкнется, и его родитель завершится. Я буду отслеживать дочерний PID.»

Но в нашем случае fake-backup.sh не форкается, а просто пишет свой PID и спит.

Что происходит:
• systemd запускает скрипт
• скрипт не форкается → родитель завершился → systemd считает службу завершённой

💥 Проблема №2: PIDFile не спасает

Даже если ты пишешь PIDFile, systemd не может точно отследить процесс, если:

• PID-файл создаётся слишком поздно
• процесс не демонится правильно
• нет настоящего двойного fork и setsid

✅ Правильные варианты

🔧 Вариант 1: изменить тип службы

Самый простой путь:

```ini
[Service]
Type=simple
ExecStart=/usr/local/bin/fake-backup.sh
Restart=always
```

Тогда systemd просто будет держать скрипт открытым и считать его работающим.

🔧 Вариант 2: сделать реальный daemon

Переделай скрипт, чтобы он демонизировался корректно, например:

```bash
#!/bin/bash
(
echo $$ > /var/run/fake-backup.pid
exec sleep 300
) &
```

Или используй `daemon`, `start-stop-daemon`, или пиши на C с двойным fork.

🎯 Проверка

```bash
systemctl status fake-backup
ps aux | grep fake-backup
```

Если `systemd` отслеживает PID правильно — всё работает.
Если служба переходит в `exited`, то systemd считает, что она завершилась.

⚠️ Подвох

Многие считают, что `Type=forking` — это просто "для фонового режима".
Но на самом деле он требует **корректного поведения демона**, иначе systemd не будет понимать, что с ним происходит.

Поэтому:

• не используй `forking` без настоящего демонизирования
• simple — безопасный тип для большинства скриптов

@linuxkalii

💥 В даркнете появилась база с данными 89 млн аккаунтов Steam — возможная утечка из Twilio

На одной из даркнет-площадок выставлен на продажу файл, содержащий якобы 89 миллионов записей пользователей Steam — это около двух третей всех аккаунтов на платформе.

Продавец с ником Machine1337 запросил $5000 за доступ к базе и опубликовал примерку из 3000 строк в качестве доказательства.

Содержимое файла включает:

- SMS-сообщения с одноразовыми кодами Steam Guard

- номера телефонов, на которые были отправлены эти коды

По оценкам экспертов, утечка вряд ли произошла со стороны Valve — куда более вероятной выглядит компрометация облачного провайдера Twilio, который занимается отправкой SMS для двухфакторной аутентификации.

📌 Если у вас включён Steam Guard через мобильное приложение, серьёзных причин для беспокойства нет — коды, отправленные по SMS, считаются менее защищённым методом.

@linuxkalii

👾 Новые атаки Spectre-v2: Training Solo обходит защиту Intel. Исследователи из Амстердамского свободного университета обнаружили серию уязвимостей в процессорах Intel, связанных с атаками Spectre-v2. Метод, получивший название Training Solo, позволяет обходить механизмы изоляции памяти, такие как IBPB и eIBRS, и извлекать данные из ядра или гипервизора со скоростью до 17 КБ/с**.

В отличие от классических атак Spectre, Training Solo использует не подконтрольный злоумышленнику код, а уже существующие фрагменты в привилегированных областях. Эксплуатация возможна благодаря аппаратным уязвимостям CVE-2024-28956 и CVE-2025-24495, затрагивающим процессоры Intel от Coffee Lake до Lunar Lake.

Intel уже выпустила обновление микрокода с новой инструкцией IBHF, а в Linux добавлены патчи для блокировки атак через cBPF. AMD и ARM заявили, что их современные процессоры не подвержены угрозе.

🔗 Ссылка - *клик*

@linuxkalii

🧨 BitTorrent: изобретение, которое спасло интернет (и разозлило весь Голливуд)

В начале 2000-х интернет был... медленным.
Очень медленным.

📼 Один фильм — сутки загрузки.
💿 Один сервер — сотни пользователей, и он падал.
📉 Чем больше людей хотели скачать — тем медленнее всё работало.

В эпоху mp3 и AVI это была настоящая проблема.
И никто не знал, как её решить.

👨‍💻 Один человек. Один протокол.

Его зовут Брэм Коэн.
Он интроверт. Он страдает от хронической усталости.
Работает по несколько часов в день. Но думает — как гений.

В 2001 году, в одиночку, он пишет то, что в будущем станет
одним из главных изобретений интернета — BitTorrent.

---

## 🔁 Как это работает?

Вместо того чтобы тянуть файл с одного сервера,
BitTorrent разбивает его на сотни маленьких частей.

Пользователь скачивает один кусок —
и тут же раздаёт его другим.

Каждый становится одновременно клиентом и сервером.
📈 Чем больше людей качают — тем быстрее работает система.

🚫 Центров нет. Контроля нет.

Это был анти-интернет в мире централизованного интернета.
BitTorrent не зависел от Google, Amazon или дата-центров.
Он жил в миллионах домашних компьютеров.

🎬 Голливуд в панике

Появляется The Pirate Bay. Торренты заполняют форумы.
Фильмы, сериалы, музыка — всё разлетается по миру.

Американские студии лоббируют новые законы.
Закрывают Napster, LimeWire, **MegaUpload**…

Но BitTorrent невозможно закрыть.
Он не размещается на сервере. Он — протокол.
Он вшит в само тело интернета.

🤯 Самое интересное?

Брэм Коэн не стал миллиардером.
Он не создал корпорацию. Не уехал в Кремниевую долину.
Он просто дал миру инструмент — и отошёл в сторону.

Позже он начал разрабатывать криптовалюту Chia.
Но главную революцию он совершил, будучи один.

💡 BitTorrent — это не про пиратство

Это был протест. Это была децентрализация.
Это был предок Web3 и peer-to-peer культуры.

Сегодня вы обновляете Ubuntu через торрент.
Качаете дистрибутивы. Распространяете крупные архивы.

Всё это — благодаря одному человеку, который
когда-то сказал:

> _"Я просто хочу, чтобы интернет работал быстрее."_

📌 Запомните это имя: Брэм Коэн
Человек, который ускорил весь интернет — и остался в тени.

@linuxkalii

👁️ Nmap 7.96: легендарный сетевой сканер получил крупное обновление после года разработки. Теперь сканирование миллионов хостов занимает в 50 раз меньше времени благодаря параллельной обработке DNS-запросов — там, где раньше требовалось двое суток, теперь хватает часа.

Среди любопытных нововведений: тёмная тема для Zenmap, скрипты для работы с MikroTik и генерация IPv6-адресов по MAC-адресу. При этом проект сохранил свой фирменный баланс между мощью и гибкостью, оставаясь инструментом как для пентестеров, так и для системных администраторов.

🔗 Ссылка - *клик*

@linuxkalii

Auditor.codes — это интерактивная платформа для прокачки навыков в аудите исходного кода и кибербезопасности.

🔍 Что предлагает:

🧠 8 000+ задач на поиск реальных уязвимостей в C/C++ (буферные переполнения, UAF, integer overflow и др.)

📚 Обучение безопасному кодингу и методам аудита

🏆 Таблица лидеров и соревновательная среда

Подходит и новичкам, и профессионалам. Учись искать уязвимости — как настоящий white-hat!

https://auditor.codes/

@linuxkalii

🛡️ DDoSecrets опубликовали 410 ГБ дампов памяти с сервера TeleMessage

Что произошло:
Киберактивисты из Distributed Denial of Secrets обнародовали около 410 ГБ файлов heap dump, которые были получены хакерами с архива сервера TeleMessage — компании, предоставляющей “модифицированные” версии Signal, WhatsApp, Telegram и WeChat с централизованным архивированием сообщений :contentReference[oaicite:0]{index=0}.

Кто такая DDoSecrets:
Это некоммерческая организация, действующая с 2018 года. Как своего рода "преемник WikiLeaks", она публикует утечки каналов властей, компаний и общественных институтов, часто в сотрудничестве с расследователями и журналистами :contentReference[oaicite:1]{index=1}.

Хронология инцидента:
1. 1 мая — бывший советник по нацбезопасности (Mike Waltz) используют TeleMessage вместо обычного Signal при общении с чиновниками и политиками.
2. 3–5 мая — вскрыты исходники TM SGNL и случаи с утечкой данных.
3. 4 мая — произошла компрометация архива TeleMessage через endpoint /heapdump, доступный публично, что позволило скачать дампы памяти с личными и служебными данными.
4. 19 мая — DDoSecrets публикуют эти дампы (переданные журналистам и исследователям) с объемом ~410 ГБ :contentReference[oaicite:2]{index=2}.

Что содержат дампы:
- Текстовые сообщения (plain-text chats)
- Метаданные: отправители/получатели, временные метки, названия групп
- Часть архива содержит только metadata :contentReference[oaicite:3]{index=3}

Зачем это важно:
- Подтверждается, что TeleMessage обещает “end-to-end encryption”, но на самом деле реализует централизованный архив. Архивы доступны в открытом виде — без шифрования.
- Потенциально скомпрометированы и госслужащие (в том числе из США), и криптокомпании — включая Coinbase :contentReference[oaicite:4]{index=4}.
- Проблема носит системный характер: endpoint Spring Boot Actuator (`/heapdump`) экспортирует чувствительные данные, что является классической и давно известной ошибкой конфигурации :contentReference[oaicite:5]{index=5}.

Как это работает (технически):
TeleMessage-разработчики оставили endpoint /heapdump доступным в продакшн-среде. Spring Boot по умолчанию включал этот endpoint до версии 1.5, когда он ещё требовал аутентификации — но в проде этот механизм был отключён или не настроен :contentReference[oaicite:6]{index=6}.

Риски и выводы:
- Утечка персональных и корпоративных сообщений через незащищённый endpoint.
- Масштабный компромисс доверия: официальное ПО использовалось государственными служащими, но оказалось уязвимым.
- Опасность misconfiguration в production: включённые debug-инструменты, забытые эндпойнты приводят к масштабным утечкам.

🧠 Итог:
Данный инцидент — наглядный пример того, как даже простая конфигурационная ошибка может привести к раскрытию сотен гигабайт конфиденциальных данных. А обнародование дампов организацией DDoSecrets повышает прозрачность и ставит под вопрос безопасность TeleMessage как платформы, заявляющей о надёжной защите переписок.

@linuxkalii

📘 The Linux Kernel Module Programming Guide — бесплатная книга для разработчиков, желающих изучить написание модулей ядра Linux.

🧰 Что вы найдете в книге:

• Основы создания модулей ядра: от простых примеров до сложных реализаций.
• Работа с файловой системой /proc и взаимодействие с устройствами.
• Обработка системных вызовов и управление прерываниями.
• Синхронизация, планирование задач и другие аспекты разработки модулей.

📖 Книга актуализирована для версий ядра Linux 5.x и 6.x и доступна по ссылке:
https://sysprog21.github.io/lkmpg/

🔧 Исходный код и дополнительные материалы можно найти на GitHub.

📝 Авторы и участники проекта:
Ori Pomerantz, Peter Jay Salzman, Michael Burian, Bob Mottram, Jim Huang и другие.

Книга распространяется под лицензией Open Software License v3.0 и доступна для свободного использования и модификации.

📚 Книга

@linuxkalii

🛠 Backdoor — Python Reverse Shell & Listener Tool

Проект [ceodaniyal/Backdoor](https://github.com/ceodaniyal/Backdoor) — это обучающий инструмент на Python, сочетающий сервер-листенер и обратную шелл-связь. Он создан для практики в этическом хакинге и работе с обратными

🔧 Структура проекта

- server.py — слушает входящие соединения, выполняет команды на целевой машине и обрабатывает файлы
- backdoor.py — клиент на стороне «жертвы»: подключается к серверу и ждёт команд
- README.md — объясняет, как настроить IP и порты и показывает список команд

🚀 Ключевые возможности

- Reverse shell — удалённое выполнение команд
- File transfer — upload и download между машинами
- Реество JSON-коммуникации — структуры сообщений для надёжности
- Автоматическая переподключаемость — клиент пытается заново соединиться
- CLI-интерфейс — команды: cd, upload, download, clear, quit, другие
:contentReference[oaicite:1]{index=1}

🧠 Зачем это нужно?

- Учебные цели: лучший способ разобраться, как устроена обратная шелл-связь и socket-программирование
- Pentest / CTF-практика: отработка навыков удалённого доступа и передачи файлов
- Этичный хакинг: понимание механики и защиты подобных инструментов

⚠️ Важно: этический аспект

Автор подчёркивает: используйте только в образовательных целях, и только на разрешённых окружениях. Несанкционированное использование может считаться незаконным.

👨‍💻 Быстрый старт

1. Настройте IP в server.py, запустите:

   python server.py
   

2. Настройте IP в backdoor.py, запустите на целевой машине:

   python backdoor.py
   

3. Управляйте:
- cd <dir> — смена директории
- upload <file> / download <file>
- clear, quit или выполнить системную команду

🧭 Возможности для прокачки

- Добавить TLS-шифрование — для безопасности канала
- Реализовать аутентификацию, чтобы фильтровать подключающиеся клиенты
- Перевести на асинхронный asyncio для масштабируемости
- Добавить односторонний канал контроля через HTTP/WebSocket (C2 командный центр)
- Интегрировать в CI для учёбы — автоматически развёртывать sandbox и отрабатывать команды

📌 Github

@linuxkalii

🛡️ Утечка 184 миллионов логинов: открытая база с данными пользователей Apple, Google, Facebook и даже госслужб

Исследователь Jeremiah Fowler обнаружил огромную незащищённую базу Elastic — 184+ миллионов записей (~47 ГБ), свободно доступных в интернете. Данные включали логины, пароли, адреса и ключевые слова вроде "wallet", "bank", "PayPal", "Netflix", "Discord".

🌍 Кто пострадал:
• Аккаунты пользователей из 29+ стран
• 220+ адресов .gov — включая США, Канаду, Австралию, Индию и Китай
• Учётные записи: Google, Facebook, Instagram, Apple, Amazon, PayPal и др.

🔎 Что произошло:
• Сервер находился у провайдера World Host Group, но владелец не установлен
• Судя по данным — это сборка из вредоносного ПО-инфостилера или логов скомпрометированных машин
• После уведомления — база была оперативно отключена

⚠️ Почему это важно:
• Утечка включает учётки правительств, что может представлять угрозу нацбезопасности
• Доступ был открыт публично — неизвестно, кто успел воспользоваться
• Это напоминает, насколько важна защита серверов и баз данных

🔐 Что делать:
✅ Смените пароли в ключевых сервисах
✅ Включите 2FA (двухфакторную авторизацию)
✅ Используйте менеджеры паролей и не повторяйте один пароль на разных сайтах
✅ Не храните API-ключи или токены в незашифрованных файлах

📎 Источник

#CyberSecurity #DataLeak #Infostealer #Elastic #SecurityBreach #GovLeak #DigitalPrivacy #JeremiahFowler

🕵️‍♂️ Pinkerton — инструмент для поиска секретов в JavaScript

Это мощный open-source сканер, созданный для автоматического поиска чувствительных данных (API-ключей, токенов, паролей) в JavaScript-файлах на веб-сайтах.

🔍 Что делает Pinkerton:
• Краулит сайт, собирая все JS-файлы
• Ищет утечки с помощью регулярных выражений
• Находит API-ключи, JWT, access tokens, пароли и многое другое

⚙️ Как использовать:

git clone https://github.com/000pp/Pinkerton.git
pip3 install -r requirements.txt
python3 main.py -u https://example.com

🧠 Кому подойдёт:
• Пентестерам и багхантером
• DevSecOps специалистам
• Любому, кто хочет проверить, не утекли ли ключи в фронт-коде

📦 Поддерживается в BlackArch Linux
🔓 Лицензия: MIT
🌟 300+ звёзд на GitHub

💬 Pinkerton — отличный инструмент для тех, кто хочет автоматизировать безопасность своего фронта и не допустить утечек ключей.

#pentest #security #bugbounty #opensource #js #infosec #Pinkerton

https://github.com/000pp/Pinkerton

🛡️ Awesome Threat Actor Resources — подборка лучших открытых источников о киберугрозах и APT-группах от команды RST Cloud

📚 Репозиторий собирает ссылки на проверенные базы данных, проекты и ресурсы, посвящённые профилям киберпреступных группировок, их инструментам, тактикам и активностям.

🔍 В списке:
• Malpedia — описания и ссылки на 800+ групп
• MISP Galaxy — акторы угроз и их алиасы
• MITRE Threat Actor Encyclopedia — поведенческие профили с TTPs
• APTnotes — архив APT-отчётов
• APTMap — интерактивная карта группировок
• FireEye APT Groups — классификация и структура известных APT

🎯 Полезно для:
• Аналитиков киберугроз
• Исследователей безопасности
• Разработчиков SOC/EDR/Threat Intel-систем
• Всех, кто хочет глубже понимать поведение реальных атакующих

📎 GitHub: https://github.com/rstcloud/awesome-threat-actor-resources
📝 Лицензия: CC0 — можно использовать где угодно

@linuxkalii

🔐 FrodoKEM — квантово-устойчивая криптография "старой школы" от Microsoft

Microsoft представила подробный разбор алгоритма FrodoKEM — одного из главных кандидатов на роль стандарта постквантовой криптографии.

В эпоху приближающихся квантовых компьютеров, FrodoKEM предлагает максимально консервативную и проверяемую альтернативу.

📌 Что такое FrodoKEM?

FrodoKEM (Frodo Key Encapsulation Mechanism) — это криптографическая схема, основанная на сложной математической задаче Learning With Errors (LWE) без применения каких-либо дополнительных алгебраических структур, вроде решёток в кольцах или модулярной арифметики.

🔹 В отличие от популярных решений (например, Kyber), FrodoKEM:
- Не использует оптимизации через кольца
- Не зависит от нестабильных алгебраических допущений
- Основан на классических, хорошо изученных матричных операциях

🧠 Почему это важно?

Ближайшее будущее — это угроза квантового взлома. Алгоритмы вроде RSA и ECC станут уязвимыми после появления рабочих квантовых компьютеров. Многие постквантовые схемы стараются быть быстрыми, но жертвуют прозрачностью и простотой анализа.

Microsoft выбрала другой путь: надёжность, понятность, доверие.

🛡 FrodoKEM:
- Устойчив даже при пессимистичных криптоанализах
- Обеспечивает строгий уровень безопасности (до 192-битной стойкости)
- Уже участвует в финальном раунде отбора NIST

⚙️ Технические детали

- Основан на стандартной LWE-задаче с гауссовыми ошибками
- Полностью реализован на C (open-source)
- Поддерживает несколько уровней безопасности (FrodoKEM-640, -976, -1344)
- Не требует дополнительных предположений, кроме LWE

📦 Репозиторий: https://github.com/Microsoft/PQCrypto-LWEKE

🔍 Что пишет Microsoft?

> "Мы хотели создать решение, которому можно доверять даже спустя 20 лет. FrodoKEM может быть медленнее, но это цена за прозрачность и проверяемость."

🧩 Где это может применяться?

- Встраиваемые устройства, где важна безопасность, а не скорость
- Долгосрочное шифрование архивов и переписки
- Системы, где необходима формальная верификация безопасности


📚 Полный разбор от Microsoft:
https://www.microsoft.com/en-us/research/blog/frodokem-a-conservative-quantum-safe-cryptographic-algorithm/

#postquantum #crypto #FrodoKEM #MicrosoftResearch

@linuxkalii

🛡️ Sentry — локальный firewall для macOS с графическим интерфейсом

Sentry — это элегантное и мощное приложение с открытым исходным кодом, которое даёт тебе полный контроль над входящими и исходящими соединениями на macOS.

🔥 Возможности:
▪ Локальный сетевой фильтр уровня ядра
▪ Управление интернет-доступом для любых приложений
▪ Красивый и понятный GUI на SwiftUI
▪ Работа без сторонних зависимостей
▪ Поддержка push-уведомлений при блокировке
▪ Абсолютно офлайн и приватно — данные никуда не уходят

⚙️ Под капотом:
• Использует NetworkExtension Framework
• Написан на Swift и C++
• Поддерживает macOS 13 Ventura и выше

👨‍💻 Для разработчиков и параноиков:
Sentry — альтернатива Little Snitch, только open-source, бесплатная и без трекинга.

🔐 Если хочешь видеть, что и когда лезет в сеть на твоём Mac — ставь Sentry и спи спокойно.

🔗 GitHub: https://github.com/Lakr233/Sentry

@linuxkalii

💻 Как парень на Linux случайно взломал правительство — реальная история, которая звучит как выдумка

В 2021 году студент из Казахстана поставил себе Ubuntu, чтобы учиться программированию. Через месяц он открыл nmap, чтобы потренироваться в сканировании портов. Решил проверить, как устроены госресурсы — просто ради практики.

📡 Ввел команду:

nmap gov.kz

И вдруг — доступ к админке Министерства образования. Без пароля. Полные права. Веб-интерфейс, внутренняя база данных, даже кнопка "удалить пользователя".

Он подумал, что это какая-то песочница. Перезагрузил страницу. IP — реальный. Сервер — боевой.

😳 В панике он написал в техподдержку. Ответа — ноль. Тогда он написал министру в Facebook. Через сутки доступ закрыли. Ни ответа, ни угроз, ни благодарности. Как будто ничего не произошло.

Сегодня этот парень работает DevOps-инженером. Всё ещё на Linux. Всё ещё любит nmap. Только теперь — аккуратнее.

🐧 Мораль?
Иногда самые серьёзные дыры не в коде, а в халатности.
А Linux — это не просто ОС. Это инструмент, который открывает дверь… даже туда, куда не планировал заходить.

Больше куртых Linux историй у нас на канале: https://www.youtube.com/shorts/C5bm4a0aRaM

@linuxkalii

🔧 Задача для Linux-админов: «Невидимый сбой в продакшене»

🎯 Цель: Найти источник периодических тормозов без остановки системы

📍 Ситуация:

Пользователи жалуются: каждые 15–20 минут сервер «зависает» на 20–30 секунд.
Логи — чистые. Сеть — стабильна. Сервисы (PostgreSQL, Jenkins) — запущены, но подтормаживают.
Мониторинг (Prometheus + node_exporter) показывает всплески iowait и load average.

💾 Инфраструктура:

- OS: RHEL 9
- Используется: systemd, cron, cgroups, firewalld, podman
- Бэкап-скрипт: db-backup.sh по cron каждые 15 мин
- Установлен tmpwatch
- /var/log — без ошибок

🧩 Ваша задача:

1. Найти причину скачков iowait (при чистых логах)
2. Определить какой процесс запускается краткосрочно и грузит диск
3. Проверить, когда точно начинается деградация
4. Использовать инструменты диагностики:
iotop, atop, strace, perf, systemd-analyze, bpftrace, auditd
5. Проверить cron, tmpwatch, backup и скрытые `systemd`-таймеры
6. Не останавливать PostgreSQL и Jenkins

💡 Подсказка:

- tmpwatch может удалять десятки тысяч мелких файлов → резкий I/O
- systemd-tmpfiles-clean.timer по умолчанию может запускаться автоматически
- Проверяй journalctl, cron, audit.log, iotop -aoP

🛠 Решение:

1. Запускаем iotop -aoP и видим, что в момент зависаний работает tmpwatch:

   sudo iotop -aoP
   

2. Проверяем таймеры systemd:

   systemctl list-timers --all
   

Обнаруживаем systemd-tmpfiles-clean.timer с периодичностью 15 минут.

3. Смотрим, какие пути чистит tmpfiles:

   cat /usr/lib/tmpfiles.d/tmp.conf
   

4. В /tmp накопилось >100K маленьких файлов (`.sock`, .pid, `.cache`). Удаление их — причина iowait.

5. Решение:
- Увеличить интервал у tmpfiles-clean.timer, например, до 3 часов:

     sudo systemctl edit systemd-tmpfiles-clean.timer
     

     [Timer]
     OnBootSec=
     OnUnitActiveSec=3h
     

- Временно выключить таймер, если не критично:

     sudo systemctl disable --now systemd-tmpfiles-clean.timer
     

6. Оптимизируем tmpwatch и cron, чтобы не пересекались с бэкапами и нагрузкой.

📌 Вывод:
Скрытые таймеры systemd, массовое удаление временных файлов и конфликт с расписанием cron могут вызвать деградацию, даже если логи чисты. Только глубокая диагностика через I/O-мониторинг и анализ таймеров раскрывает источник.

💬 Это задача для собеседования DevOps/SRE уровня L3+

@linuxkalii

🕵️‍♂️ ExeRay — статический анализатор PE-файлов на Python

ExeRay — это удобный инструмент для реверс-инженеров, исследователей безопасности и malware-аналитиков.
Он проводит статический анализ исполняемых файлов .exe (PE-файлов) и визуализирует их структуру в удобной форме.

🧩 Что умеет ExeRay:

✅ Анализировать PE-файл и извлекать:
- Заголовки, секции, импорты/экспорты
- Таблицы ресурсов
- Используемые API и библиотеки
- Suspicious patterns и аномалии

✅ Генерировать отчёт в HTML
✅ Работает полностью офлайн
✅ Поддержка анализа несколькими методами (pefile + custom парсеры)

📦 Пример использования:

python main.py -f malware.exe

После чего ты получаешь красивый и подробный отчёт по всем ключевым параметрам PE-файла.


💻 Технологии:

- Python 3
- pefile, matplotlib, pyvis для графов зависимостей
- Простая CLI и понятный код — легко расширить под свои задачи

🧠 Кому подойдёт:

- Reverse Engineers
- Malware Analysts
- Red/Blue Teams
- Python-разработчикам, интересующимся PE-структурой и безопасностью

🔥 Если ты работаешь с .exe, и хочешь быстро понять, что внутри — ExeRay сэкономит часы ручного анализа.

📁 Репозиторий:

@pythonl