Привет!

Вопрос, скорее всего, стар, как сам интернет, но ответа я так и не нашёл, либо разучился искать…

Развлекаюсь с малинкой. Хочу на ней крутить pet project.
У провайдера взят статический ip, и на раутере настроен forward 80 порта на сервачок с малинокой, на которой крутится nginx. Захожу на свой ip из браузера на телефоне - отдаётся страница. На локалхосте делаю curl servachok - вижу html.

А как можно с локалхоста получить ответ с http://<мой.статический.ип.адрес> ?

Это возможно?

Привет, ЛОР!

Занимательное чтиво попалось мне. А именно, история о том, как, оказывается, можно без проблем загрузить в магазин дополнений к VSCode троянского коня и через полчаса тебе посыпится профит. Итак:

1. Берём популярную цветовую тему.
2. Меняем слегка название, пару цветов, рисуем логотип, добавляем вредоносный код. В данном случае, код просто отправляет содержимое открытого файла на наш сервер.
3. Покупаем домен с названием нашей темы, настраиваем его и т.д.
4. Заливаем тему в магазин приложений VSCode. Домена достаточно, чтобы наша тема получила официальную зелёную галочку рядом с именем. В package.json мы при этом можем указать ссылку на любой репозитарий на гитхабе, никто это не проверяет. Поэтому указываем репозитарий без зловреда.
5. Ждём.
6. ???????????
7. PROFIT!!!11

Некие чуваки вот так всё сделали и уже на следующее утро их вредоносная тема была установлена сотней с лишним аболтусов, засветилась на главной странице с дополнениями к VSCode, а им самим стал прилетать в том числе проприетарный код из всяких крупных копрораций.

Мораль истории: ну ты понел.

Ссылка для !Ъ: https://medium.com/@amitassaraf/the-story-of-extensiontotal-how-we-hacked-the-vscode-marketplace-5c6e66a0e9d7

Обязанности: *Проведение тестов на проникновение различного типа: black-box, grey-box, white-box. *Работа с внутренними и внешними сетевыми инфраструктурами. *Упор на пентест Linux инфраструктуры.

Требования:

• Опыт работы в крупном enterprise.
• Опыт администрирования операционных систем (RHEL, Debian) не менее 5 лет.
• Владение языками программирования C/Python.
• Знание виртуализации (KVM, LXC, Xen).
• Глубокие знания сетевых технологий (TCP/IP, VPN, туннелирование, iptables, firewalld).
• Опыт работы с антивирусами и EDR-системами (Sophos, Symantec, Crowdstrike, SentinelOne, Qualys).
• Опыт работы с облачными платформами (AWS, GCP).
• Знание технологий контейнеризации (Kubernetes, Docker).
• Опыт работы с инструментами управления конфигурацией и развёртывания (Ansible, Helm, Terraform, Puppet).
• Знание систем непрерывной интеграции и доставки (GitLab, TeamCity, Travis, Jenkins, Bamboo).
• Опыт настройки и мониторинга (Prometheus, Zabbix, Nagios, PRTG, Grafana, Loki, Splunk).
• Знания в области веб-серверов и серверов приложений (Nginx, Apache, JBoss, GlassFish, Tomcat).
• Опыт работы с базами данных (PostgreSQL, MySQL, MongoDB, Redis, SQLite, ELK, Oracle).
• Опыт участия и успешного прохождения различных CTF соревнований по кибербезопасности.
• Понимание и возможность анализа кода на PHP, Java, C, Go, Python, Perl, bash.
• Понимание методов обеспечения persistence с использованием различных методов.
• Опыт работы с C&C фреймворками.
• Способность к нахождению нестандартных решений, быстрое освоение новых технологий и их применение в работе.

Условия работы:

• Удалённая работа.
• Конкурентоспособная заработная плата. Вилка 4-5k$
• Работа в динамично развивающейся компании с упором на пентест * Linux инфраструктуры.
• Возможности профессионального и карьерного роста.
• Гибкий график работы.

Присылайте CV

tg dxcprime

jabber kawasaki@0nl1ne.at kawasakid@exploit.im

Настало время пятничного поста в /workspaces!

Сегодня на суд ЛОРа выставляется лежачее рабочее место под названием «Посадочный Модуль „Вульпекула“. (названный так по имени линейного корабля, участвовавшего в знаменитой атаке против ксеносов Сарути и предателей на 56-Изар).

Модуль представляет собой кронштейн из композиции двух дешевых икеевских стеллажей „Hyllis Shelving Unit“ и сложного деревянного выноса, закрепленного монтажной лентой, замками Bulat и пятью струбцинами, утяжеленного чугунными болванками, двух матрасов (один из них - медицинский), двух подушек, компьютеров Apple Mac Mini (MacOSX) и мощного самосбора (Linux), древней беспроводной клавиауры Logitech Cordless Desktop EX110 и трекпада Apple Magic Trackpad. Теоретически, монитор закреплен на легко вынимаемой из док-станции платформе (нужно всго лишь отстегнуть замки Булат и отвернуть струбцины).

На момент публикации модуль уже технически устарел и будет заменен на новый, который кроме кардинальных улучшений дизайна будет, возможно, содержать и принципиальные технические новшества типа автоматической авторизации по инсигнии Инквизиции. Перед уничтожением модуля, хотелось бы поделиться фотографиями с ЛОРом. Учтите, что все фотографии строго секретны, и после их просмотра, при опасности попадания вас в руки Хаоса, вы знаете что делать. Следи за собой и буть осторожен, юзернейм.

Вот краткая процедура сборки модуля.

( читать дальше... )

без комментариев

Mamluk

Доброго времени суток! Это я, Mamluk. Теперь слепой уже месяц как на правый глаз и с давлением 60/40. Ночами уже с пол года не сплю. Но держусь! Я же водолаз глубоководник ВМФ! Вот дали, как ветерану, капитана второго ранга, подполковник, и пенсию за 50тыр. Но переживу я скорее всего только Пасху 5 мая. Да свой 64 год рождения 29 апреля. Но ничего! Помните Mamluk-а! Три инсульта - это не шутка! На всё Воля Божья! 🙏🙏🙏 Живите люди! Живите в радость! Не ругайтесь между собой и помните, что для каждого есть последний час, и когда он придёт - знает только Бог! 🙏 Прощай друг! И нашим всем передай, кто ещё на связи! Чтоб простили меня за всё и прощайте! Живите дружно! Будьте терпимы друг к другу!

Капитан второго ранга, Данилов Илья Игоревич. Краснознамённый Северный Флот! Водолаз глубоководник, мастер! Он же и Mamluk !

ПРОЩАЙТЕ ВСЕ! И ЖИВИТЕ С МИРОМ!

Prey — научно-фантастическая компьютерная игра в жанре шутера от первого лица, разработанная Human Head Studios и изданная 3D Realms и 2K Games в 2006 году. Venom Games портировали игру на Xbox 360. В России локализована и издана компанией 1С.

Особенностью данной игры являются порталы (созданные и задуманные до собственно игры Portal) и физический движок, который позволяет например сделать хождение по стенам и потолку.

Cкачал инсталятор для линукса здесь.

Затем сделал его исполняемым и запустил так:

chmod a+rx ./prey-installer-02192009.bin
./prey-installer-02192009.bin

Подложил ему ресурсы. Это можно сделать так:

./prey-installer-02192009.bin --from-install --media '/mnt/ntfsdisk/Program Files/Steam/steamapps/common/prey/base'

Это 32-битная версия, поэтому требует 32-битные библиотеки для запуска. Часть библиотек идет в комплекте с игрой,

ls
base             libstdc++.so.5  preyded      prey.x86
libgcc_s.so.1    openurl.sh      preyded.x86  uninstall-prey.sh
libSDL-1.2.so.0  prey            prey.png     xdg-open

bash-5.1$ ldd prey.x86
        linux-gate.so.1 (0xf7f42000)
        ./libSDL-1.2.so.0 (0xf7e8d000)
        libpthread.so.0 => /lib32/libpthread.so.0 (0xf7e67000)
        libdl.so.2 => /lib32/libdl.so.2 (0xf7e62000)
        libstdc++.so.5 => not found
        libm.so.6 => /lib32/libm.so.6 (0xf7d96000)
        libgcc_s.so.1 => /usr/lib32/libgcc_s.so.1 (0xf7d71000)
        libc.so.6 => /lib32/libc.so.6 (0xf7b4b000)
        /lib/ld-linux.so.2 (0xf7f44000)

В комплекте идет скрипт prey, который подключает библиотеки, которые идут в комплекте с игрой и запускает игру. Prey на линуксе полностью проходим, никаких тормозов на моей Nvidia 3060 я не заметил. Нативная версия сделана добротно, ну маловероятно что могло быть иначе, ведь это модифицированный движок Doom 3.

Иногда возникает ситуация (особенно на машине разработчика/мейнтейнера), когда deb-пакет нельзя ни корректно доустановить, ни удалить, поскольку сценарий prerm (postrm, preinst, postinst) содержит ошибки. Ключи в apt и dpkg, посвящённые сломанным пакетам (--force-remove-*, -f) тоже могут не помочь, поскольку в первую очередь разруливают битые зависимости между пакетами.

В этом случае эффективным может оказаться «лечение» на низком уровне. Наиболее радикальный метод предлагался на опеннете: просто зайти в /var/lib/dpkg/info и удалить все файлы package-name.*, после чего удалить упоминания о пакете из /var/lib/dpkg/status (подробности по ссылке). Однако в этом случае удалится лишь метаинформация о пакете, а вот хвосты в /usr, /etc и др. останутся, как отмечали в комментариях.

Мне помог похожий, но чуть более тонкий способ. Надо зафиксировать, какая именно ошибка возникает в сценарии и в каком именно сценарии (для корректного удаления в первую очередь нас интересуют .prerm и .postrm).

Далее мы заходим в /var/lib/dpkg/info и просто исправляем package-name.prerm или package-name.postrm так, чтобы он отработал корректно. Например, если в .prerm удалялся несуществующий каталог без проверки на его существование, стираем или комментируем команду удаления.

После этого, как обычно, сносим пакет средствами dpkg -r.

Перемещено hobbit из development

Всем привет.
Не слышал что бы у мтс была такая программа.
Нашел уязвимость(оплошность разработчиков) на ихнем сайте. Которая по3воляет выйти в интернет даже когда интернет заблокирован(например при -балансе).
В тех поддержку звонить без смыслено. Там кроме нажмите кнопку пуск ничего незнают. Как ещё можно связатся с разработчиками в ихней компании? Или забить и пользоватся?

Решил сделать однодневный отпуск) Поднял xgl+beryl. Вот решил первый раз тут похвастаться:D На скрине Gentoo Linux последней сборки, kde-3.5.6, gimp-2.3, vlc-0.8.6, karamba... Так же можно заметить квирк-3.5.5, и амарок-1.4.4 (плейлист с альбомом групы "КИНО") :) отпуск прошёл не так, ак хотелось бы, ко очень продуктивно )

У многих Boot logo (пингвины, показывающие количество потоков или ядер) не работает из коробки. В связи с этим небольшая памятка.

1. В /boot/grub/grub.cfg в стоке linux предлагается убрать слово quiet (рядом со splash).
2. В ядре (.config) отключить (закомментировать) #CONFIG_FRAMEBUFFER_CONSOLE_DEFERRED_TAKEOVER=y Поставить is not set
3. Включить boot logo в ядре: Device Drivers->Graphics->Boot logo (то, которое 224)
4. Включить в ядре поддержку Framebuffer (вариативно, от системы)
5. Поставить в grub.cfg нужный режим, например, vga=0x317 для 1024х768 (можно разными способами сделать).

Кастомизация (создание своего) Boot logo

1. Заходим в /usr/src/linux/drivers/video/logo
2. Удалим файлы: logo_linux_clut224.c и logo_linux_clut224.o (они генерируются при компиляции ядра)
3. Отредактируем файл logo_linux_clut224.ppm в редакторе gimp по своему вкусу.
4. Установим пакет netpbm
5. Отредактируем количество цветов программой: ppmquant

ppmquant 224 logo_linux_clut224.ppm > logo_linux_clut224.ppm

6. Переведем в ASCII формат Лого: pnmnoraw logo_linux_clut224.ppm > logo_linux_clut224.ppm

Для конвертации можно использовать промежуточный файл, предварительно переименовав logo_linux_clut224.ppm.

Логотип готов. Осталось перекомпилировать ядро.

P.S. Кстомизированное мной Boot Logo: https://disk.yandex.ru/i/jauzt48_ydk1zg

Пример: https://ibb.co/PcfVgD7

Товарищи, так сложилось, что Mamluk сегодня мне написал в ТГ, сидим вместе в одном чате, он попросил передать от него сообщение на ЛОР, потому что у него доступа нет. Надеюсь, за оффтопик не потрут.

Это в том числе может обрадовать тех, кто думал, что он умер.

В общем, он просил передать, что да, был инсульт, он полгода пролежал в коме, там тяжёлая ситуация была и дочь думала, что тоже все, и похоронное подняли, но все же живой, что хорошо, хоть и под контролем дочери, но на форумах его нет, к сожалению.

Он хотел на ЛОР ещё передать, что очень со многими хотел бы пообщаться, если у лоровцев, кто знаком, желание есть, за единственной просьбой не нервировать особо, ибо три инсульта и он не молодой уже все же.

В общем, если кто хочет поговорить или же просто доброе слово Мамлюку сказать — @OldDeepDiver личка в ТГшке. (Сам просил оставить этот контакт)

ЛОР, у меня апатия.

Мы - паразиты на теле общества.

Линукс так и не стал тем, чем я хотел, чтобы он был. Вендекапец так и не случился. И видимо не случится уже никогда. Я реально думал, что это настоящая операционная система, как Винда, только лучше. Я задолбался постоянно поднимать то VPN, то почтовый клиент, то качалку ютуба. Я хочу прикладные задачи решать, а не разгибать GNUтый софт.

Вот недавно например Mailnag - OSError: [Errno 8] Ошибка формата выполняемого файла

Вот как пользователь должен догадаться, что идет не так? Почему нельзя диалог с ошибкой показать?

Или

damix9 пишет:

https://wiki.ubuntu.com/X/InputCoordinateTransformation это чтобы мышку настроить, надо как минимум второй курс технарского ВУЗа закончить? Ой как всё запушшено.

Т.е. там буквально надо уметь перемножать матрицы и знать про единичную матрицу, что проходят на втором курсе. Ну ок, некоторые на первом.

И вот такого полно.

skiminok1986 пишет:

Т.е. линупс не работает из-за эффекта масштаба? На такое маленькое количество пользователей невозможно нанять программистов, чтобы те сделали хорошо, даже если бы все эти пользователи купили по одной копии по цене винды?

Тут основная проблема в «хорошо». У каждого своё видение этого самого «хорошо». Кому-то вейленд нужен, кто-то иксы предпочитает. Кто-то пульсу до сих пор не использует, а кто-то уже не использует.

Так вот хорошо на всех одно. Хорошо - это когда пользователю не надо знать о существовании ни Вэйланда, ни Иксов, ни Пульсы, когда звук просто играет, изображение просто выводится, каждое в свое окно.

Какие вы можете порекомендовать интересные (на ваш взгляд) игры, в которых не было бы убийств (вообще, ни одного и ни при каких условиях)?

Типа вот так мой десктоп выглядит. На работе. 1152x864x16 - потому что больше моя дурацкая S3virge не тянет. =( цвета, конечно, не всем нравятся (точнее всем не нравятся =)... p.s. идея с регистрацией - дурацкая... посему я и anonymous... а так, я - drF_ckoff =)

Разработчик Valve Тимоти Бессет раскритиковал практику компании Canonical, распространяющей клиент Steam в виде пакетов формата Snap.

Сама Valve не распространяет клиент Steam в этом формате, поэтому его неофициально перепаковывают. Как оказалось, это вызывает ряд технических проблем, при этом пользователи массово отсылают отчёты об ошибках в Valve, а не разработчикам дистрибутива.

«Valve видит всё большее количество сообщений об ошибках, связанных с проблемами, вызванными переупаковкой клиента Steam компанией Canonical через Snap. Лучший способ установить Steam на Debian и производные операционные системы — следовать инструкциям по этому адресу и использовать официальный файл DEB. Мы не занимаемся переупаковкой Snap. В ней много проблем. Если вам не нужен файл DEB, пожалуйста, по крайней мере, рассмотрите версию Flatpak», — заявил представитель Valve.

По словам разработчика, если ситуация станет «действительно плохой», Valve может добавить во все Snap-версии Steam всплывающее окно, которое будет сообщать пользователю о запуске неофициальной версии клиента. Представители Canonical ситуацию пока не прокомментировали.

Оригинальный клиент Steam (Github)

>>> Пост представителя Valve в Mastodon

Доброго вечера суток! Товарищи, у меня такой возможно не очень опытный вопрос. Ситуация такая: Недавно появилось большое желание и мотивация начать заниматься электроникой. В плане паять, создавать свои схемы и устройства для компьютера или как они называются точно не знаю, такие как Raspberry Pi 4, Proxmark 3, APImote, E-Mate X итд. Возможно вы меня посчитаете как какого нибудь парня пересмотревшего фильмов, но я очень очень давно хочу этим заняться, но не пойму с чего начать. Итак мои вопросы: С чего мне начать свой путь в этой сфере? Какие книги, курсы можете посоветовать? Какое оборудование надо? Какие языки программирования для этого всего нужны? И что вообще как? Буду до безумия благодарен за точный и серьезный ответ. Спасибо за внимание!

Перемещено Dimez из general

Debian stretsh KDE 5

Интернет работает нормально. Имя enp3s0.

Проблема в том, что значок в трее (plasma-nm) не видит этот интерфейс. Гуглопоиск результатов не дал.

Помогите кто чем может.

Это — небольшая заметка для новичков. Модераторам — просьба закрепить.

В принципе, краткий ответ на вопрос «Как правильно копировать вывод терминала?» будет: www.linux.org.ru/help/markdown.md

Но многие новички видимо в принципе не могут работать с разметкой не WYSIWYG. А если тупо копировать текст, то получается каша, которую невозможно читать. Вставлять текст картинкой — вообще хуже некуда, этим вы заставляете человека, который всё же решился за вас поискать в Google (вообще, вы должны были это сделать перед обращением на форум) перепечатывать ошибки руками.

Итак, вот ситуация: вас попросили процитировать вывод какой-либо команды со своего компа. Для простоты, скажем,

lsb_release -a

1. Открываете свой эмулятор терминала и выполняете там эту самую команду: https://wampi.ru/image/RjF9fEZ
2. Потом выделяете (банально зажатой левой кнопкой мыши) нужный вам вывод в терминале: https://wampi.ru/image/RjF9mSf
3. Потом копируете этот вывод в буфер обмена или через хоткей (в большинстве терминалов Ctrl+Shift+C), или через банальное контекстное меню: https://wampi.ru/image/RjF9vby
4. Потом, никак не модифицируя, просто вставляете в ответ: https://wampi.ru/image/RjF9wOk
5. Потом добавляете 3 обратных апострофа ``` на строчку выше и на строчку ниже текста (обратный апостроф ` и апостроф ' — разные символы, не путайте, обратный апостроф часто находится на клавише с буквой Ё): https://wampi.ru/image/RjF93Wg
6. Нажимаем кнопку «Предпросмотр» и о чудо — текст красиво и правильно выделен: https://wampi.ru/image/RjF9Fdt
7. Можно нажимать внизу кнопку «Поместить», зная, что всё будет отображаться как надо и читаться легко.

Вообще, как видите, ничего сложного.

P.S. Ранее я неправильно писал названия символов и сам их путал, теперь вроде верно.

https://ru.wikipedia.org/wiki/Машинописный_обратный_апостроф

Разработчик популярного npm-пакета node-ipc добавил в проект код, который совершает запросы на удаленный сервер и при совпадении IP-адреса с Российским или Белорусским перезаписывает содержимое всех файлов на жестком диске на эмоджи-сердечко (♥).

Пакет node-ipc стоит в зависимости более чем у 300 других не менее популярных проектов, в том числе из экосистемы Vue.js (vue/cli)

Незадолго до этого тот же самый разработчик добавил в реестр npm модуль peacenotwar, который выводил в консоль сообщение со словами [данные удалены] и создает в нескольких поддериктория домашнего каталога файл WITH-LOVE-FROM-AMERICA.txt с содержимом на множестве языков мира.

Пакет peacenotwar так же был включен в зависимости для node-ipc

Вредоносный код, затирающий файлы, был добавлен в пакет node-ipc 7 марта в версии 10.1.1

Несмотря на то, что спустя некоторое время пакет был помечен как deprecated, его успели скачать несколько тысяч раз.

На данный момент текущая версия пакета 11.1.0 больше не содержит вредоносный код, затирающий файлы сердечком, но все еще содержит в зависимостях модуль peacenotwar, который больше не выводит сообщения в консоль, но создает файлы WITH-LOVE-FROM-AMERICA.txt в домашнем каталоге.

Подробности об уязвимости