Куча говна / Говнокод #26817 Ссылка на оригинал

+1

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
  11. 11
  12. 12
  13. 13
  14. 14
  15. 15
  16. 16
  17. 17
  18. 18
  19. 19
  20. 20
  21. 21
  22. 22
  23. 23
  24. 24
  25. 25
  26. 26
IT Оффтоп #52


#1: https://govnokod.ru/18142 https://govnokod.xyz/_18142
#2: https://govnokod.ru/18378 https://govnokod.xyz/_18378
#3: https://govnokod.ru/19667 https://govnokod.xyz/_19667
#4: https://govnokod.ru/21160 https://govnokod.xyz/_21160
#5: https://govnokod.ru/21772 https://govnokod.xyz/_21772
#6: (vanished) https://govnokod.xyz/_24063
#7: https://govnokod.ru/24538 https://govnokod.xyz/_24538
#8: (vanished) https://govnokod.xyz/_24815
#9: https://govnokod.ru/24867 https://govnokod.xyz/_24867
#10: https://govnokod.ru/25328 https://govnokod.xyz/_25328	
#11: (vanished) https://govnokod.xyz/_25436
#12: (vanished) https://govnokod.xyz/_25471
#13: (vanished) https://govnokod.xyz/_25590
#14: https://govnokod.ru/25684 https://govnokod.xyz/_25684
#15: https://govnokod.ru/25694 https://govnokod.xyz/_25694
#16: https://govnokod.ru/25725 https://govnokod.xyz/_25725
#17: https://govnokod.ru/25731 https://govnokod.xyz/_25731
#18: https://govnokod.ru/25762 https://govnokod.xyz/_25762
#19: https://govnokod.ru/25767 https://govnokod.xyz/_25767
#20: https://govnokod.ru/25776 https://govnokod.xyz/_25776
#21: https://govnokod.ru/25798 https://govnokod.xyz/_25798
#22: https://govnokod.ru/25811 https://govnokod.xyz/_25811
#23: https://govnokod.ru/25863 https://govnokod.xyz/_25863

#24: https://govnokod.ru/25941 https://govnokod.xyz/_25941
#25: https://govnokod.ru/26026 https://govnokod.xyz/_26026
#26: https://govnokod.ru/26050 https://govnokod.xyz/_26050
#27: https://govnokod.ru/26340 https://govnokod.xyz/_26340
#28: https://govnokod.ru/26372 https://govnokod.xyz/_26372
#29: https://govnokod.ru/26385 https://govnokod.xyz/_26385
#30: https://govnokod.ru/26413 https://govnokod.xyz/_26413
#31: https://govnokod.ru/26423 https://govnokod.xyz/_26423
#32: https://govnokod.ru/26440 https://govnokod.xyz/_26440
#33: https://govnokod.ru/26449 https://govnokod.xyz/_26449
#34: https://govnokod.ru/26456 https://govnokod.xyz/_26456
#35: https://govnokod.ru/26463 https://govnokod.xyz/_26463
#36: https://govnokod.ru/26508 https://govnokod.xyz/_26508
#37: https://govnokod.ru/26524 https://govnokod.xyz/_26524
#38: https://govnokod.ru/26539 https://govnokod.xyz/_26539
#39: https://govnokod.ru/26556 https://govnokod.xyz/_26556
#40: https://govnokod.ru/26568 https://govnokod.xyz/_26568
#41: https://govnokod.ru/26589 https://govnokod.xyz/_26589
#42: https://govnokod.ru/26600 https://govnokod.xyz/_26600
#43: https://govnokod.ru/26604 https://govnokod.xyz/_26604
#44: https://govnokod.ru/26627 https://govnokod.xyz/_26627
#45: https://govnokod.ru/26635 https://govnokod.xyz/_26635
#46: (vanished) https://govnokod.xyz/_26646
#46: (vanished) https://govnokod.xyz/_26654
#47: https://govnokod.ru/26671 https://govnokod.xyz/_26671
#48: https://govnokod.ru/26707 https://govnokod.xyz/_26707
#49: https://govnokod.ru/26750 https://govnokod.xyz/_26750
#49: https://govnokod.ru/26776 https://govnokod.xyz/_26776
#50: https://govnokod.ru/26804 https://govnokod.xyz/_26804
#51: https://govnokod.ru/26809 https://govnokod.xyz/_26809

Запостил: defecatinho defecatinho, (Updated )

Комментарии (580) RSS

  • https://itnan.ru/post.php?c=1&p=512256
    > Про четыре сословия в 21 веке
    > В этой статье я бы хотел поделить всех людей не так, как принято делить их классически, на богатых и бедных, на умных и глупых, на красивых и всех остальных.
    > Здесь я напишу совершенно не очевидные на первый взгляд вещи – люди делатся на маргиналов, инвесторов, IT и всех остальных.

    А вы в каком сословии состоите?
    Ответить
    • Это потому что он айтишник.

      Таксидермист бы сказал, что люди делятся на маргиналов, инвесторов, таксидермистов и всех остальных.
      Ответить
      • Таксидермисты — это, скорее всего, тоже «IT». Юристы, например, точно «IT»:
        >>> Так вот основное отличие ребят относящихся к IT это в том, что они смогли победить себя на заре 21 века и отдать ресурсы собственного мозга на изучение не той информацию, которую им навязывают извне, а которая им действительно нужна для организации работы себя, и окружающих людей. Стоит обратить внимание что всё сказанное пересекается и с другими сферами интеллектуальной деятельности, например юристов можно отнести к этой же категории, но когда вы последний раз видели юридический стартап?
        Ответить
        • Я узнал, что бывают юридические клиники. Так что не всё однозначно
          Ответить
        • > отдать ресурсы собственного мозга на изучение не той информацию, которую им навязывают извне,
          >, а которая им действительно нужна для организации работы себя

          А мастер по ремонту кухонных кобмайнов разве не так поступает? Или он тоже айти?
          Ответить
          • > Или он тоже айти?
            Нет, он маргинал, т.к. получает меньше автора.
            Ответить
            • Если без зеленого, то я настороженно отношусь к дифирамбам айтишнкам.
              Очень много на свете айтишников с обычной зарплатой и обычными мозгами средней паршивости
              Ответить
      • Да, именно так.

        Все люди делятся на две категории: те, кто занимается тем же, что и я. И ненужные.
        Ответить
    • >Им и так всё нравиться.
      дальше не читал
      Ответить
    • А вообще логично, нахуй тогда было включать её?
      Ответить
      • Нелогично. Они так могут твой номер телефона любому желающему раздать: нахуя было включать мобильник?
        Ответить
  • А куда пропал «Нидлес»?
    Ответить
      • Это не он. Я не знаю «Forth», проверь.
        Ответить
        • Я знаю TCL. Так что я такой мини-нидлесс, или воннаби-нидлесс. Нидлесс на минималках. Poorman's needless
          Ответить
    • Я бы ещё предложил в пенсионный фонд отчислять. Роботам же надо как-то жить на пенсии. И обязательную страховку для ремонта.
      Ответить
      • Ну в ФСС, а то мало ли, на больничный уйдет или с ним несчасный случай произойдет
        Ответить
    • Неграмотные долбоебы
      У "роботов" уже есть такой налог - налог с прибыли, и составляет он не 13%, а обычно 20%.
      И дополнительно обкладывать основные средства - дикий маразм, там и так все непросто с затратами на них.
      Ответить
      • Так с тебя тоже есть налог 20ндс за покупку товара
        В рашке общий налог около 60 на душу если собрать все присущие налоги
        Ответить
        • Я юрлицо, я эти 20% НДС уже учел и даже принял к вычету (как раз с основными средствами через жопу, невыгодную мне - размазав по сроку амортизации, но тем не менее)
          Ничего плохого с НДС нет, это нормальный налог.

          Не 60, плохо посчитал.
          Для оценки проектные затраты на сотрудника относительно его зарплаты net правильный коэффициент 1.8
          Ответить
          • >> Я юрлицо, я эти 20% НДС уже учел и даже принял к вычету (как раз с основными средствами через жопу, невыгодную мне - размазав по сроку амортизации, но тем не менее)
            Так ты же включаешь 20% в стоимость товара, значит 20% платит тот кто покупает.
            Значит каждый физик переплачивает уже 20% за товар не считая наценок магазина.
            Плюс у каждого физика если он работает у него есть НДФЛ 13%, ПФР 22%, ФСС 3,2% (Зависимости от всякой хуйни, я усреднил), НС ФСС 0,8% (Зависимости от всякой хуйни, я усреднил) , ФФОМС 5,1% + дополнительные пенсионные налоги за работу в тяжелых и вредных условиях, ну их мы не учитываем.
            13+22+3,2+0,8+5,1 = 44.1% налог + то что ты постоянно переплачиваешь 20%
            64,1%.
            Вроде правильно посчитал.
            Ответить
            • 20% платит тот кто покупает - это неизбежно, когда в создании товара поучаствовало много компонентов
              купи и перепродай, заплати 20% с разницы, а не полностью

              на еду бывает 0% НДС и 10% НДС, проверяй чек из пятерочки
              или купи товар у малого бизнеса, который работает по УСН - "заплатишь" в составе цены 0% НДС

              > Вроде правильно посчитал.
              нет

              вот почему этому в школах не учат вместо православия я хз
              (зарплата на руки)*(1/0.87)*(1+0.22+0.029+0.051+0.002)

              вышеперечисленное надо умножить на (1+0.2), если затраты на работника включают НДС (если ты по УСН работаешь, то можешь не домножать)
              Ответить
              • А чему это формула должна равнятся? Сколько тебе выплатили и удержали налога?
                Например из 100к я получил 149655.172414 , то есть все же 49% налога от физ лица идет. = умножаю на 1,2
                Ок 80% налога с физика.
                Ответить
                • Подозреваю, что эта формула — это то, сколько на твою зарплату тратит работодатель. Тогда общий налог получается 33.17972350239653 процента.
                  Ответить
                    • Школьной про-пор-ци-ей (да, я без костылей проценты не умею считать, всё время забываю, что на что надо умножать и делить).
                      149655.172414 = 100%
                      100000 = x%
                      => x = 100000 * 100 / 149655.172414 = 66.82027649760347
                      Ответить
                      • Нехуя не понимаю. Почему так вышло и зачем тут нужна школьная пропорция?
                        Блядь, математика только в рашке преподается. Откуда все таки вышло 33% вместо положенных (0.13+0.22+0.029+0.051+0.002) = 43,2%?
                        Ответить
                        • > Откуда все таки вышло 33% вместо положенных (0.13+0.22+0.029+0.051+0.002) = 43,2%?
                          Предполагаю, потому что с оригинальной зарплаты сначала снимается 13% НДФЛ, а с полученного остатка отнимаются остальные проценты. Или как-то по-другому, более сложно. Попроси defecate-plusplus объяснить, как рассчитывается зарплата на руки из оригинальной зарплаты.
                          Ответить
                          • В России деловая норма согласовывать с сотрудником зарплату на руки, а не гросс. Гросс это редкость (соискатель должен заранее понимать, если так, ведь он получит на 13% озвученного меньше, НДФЛ все равно работодателем удерживается и отчисляется в ФНС, т.к. он налоговый агент).

                            Отчисления в фонды считаются от гросс.
                            Ответить
                            • Угу. Я о своей реальной ЗП узнаю только из 2-НДФЛ, и каждый раз расстраиваюсь, понимая сколько я налогов отдаю.

                              Работодатель мне озвучивает всегда зарплату на руки
                              Ответить
                              • В 2-НДФЛ ты увидишь только 13%. Ещё вычеты, если ты в бухгалтерию носил бумажки, что удерживайте меньше 13% от гросса.

                                Работодатель отчисляет в фонды уже из своих, а не твоих, используя твой гросс как базу, от которой рассчитывать.
                                Ответить
                                • Да, сколько он отчисляет в пенсию и прочие фонды я там не вижу, и может это и к лучшему.
                                  Ответить
                                  • А если ты бы видел, а ещё лучше если бы сам платил, то у тебя сразу дохуя вопросов отпадут, за чьи шиши стоят дороги, прочую хуйню в том числе и яхты депутутев
                                    Ответить
              • >> на еду бывает 0% НДС и 10% НДС, проверяй чек из пятерочки

                Проверил. На чай и на печенье 20% НДС. Видимо, пить чай с печеньем считается буржуйством.
                Ответить
                  • Перечитал свой комментарий. Так и не нашёл там того места, где я писал, чего я хотел.

                    А написал я этот комментарий к тому, что бывает не только 0% и 10%, а ещё и 20%.

                    >> с 01.10.2019 — фрукты и ягоды

                    Замороженные ягоды — уже 20%. Видимо, после заморозки они перестают быть ягодами.
                    Ответить
                    • Замороженные ягоды - точно продукция пром обработки, а не какой то дикий местный самозанятый фермер.

                      Просто тухловатый довод, звучавший сегодня, коко кукарек бедный работяга платит миллион процентов налогов. Достойно бабок на лавке, но не взрослых людей.

                      Если магаз купил у поставщика печенье за 108р, (в тч 18р ндс), с хуяли он должен продать за 100р (0р НДС), а не 120р (в тч 20р НДС).
                      (Если чо, сам магаз заплатит 2р ндса, ведь 18р заплатит поставщик)
                      Ответить
                • Ешь печеньки,
                  Чай жуй,
                  Release твой последний приходит, буржуй
                  Ответить
            • >> 13+22+3,2+0,8+5,1

              Нельзя так складывать.

              Допустим, стартовая цена товара x рублей. Ты отдал за него y = 1,20 x, потому что продавец включил НДС в его стоимость.

              Твоя покупательная способность y = (1 - 0,13)z, где z — сырая зарплата до вычета налогов. Значит, z = y / (1 - 0,13).

              Работодатель выплатил тебе зарплату, заплатив в ПФР, ФСС, ФОМС и т. п. из зарплатного фонда: z = (1 - 0,22 - 0,032 - 0,008 - 0,0051)t. Значит, зарплатный фонд t = z/(1 - 0,22 - 0,032 - 0,008 - 0,0051).

              Итого: t = z/(1 - 0,22 - 0,032 - 0,008 - 0,0051) = y / (1 - 0,13) / (1 - 0,22 - 0,032 - 0,008 - 0,0051) = 1,20 x / (1 - 0,13) / (1 - 0,22 - 0,032 - 0,008 - 0,0051).

              Значит, зарплатный фонд по отношению к рыночной стоимости товара без НДС — это 1,20 / [(1 - 0,13) * (1 - 0,22 - 0,032 - 0,008 - 0,0051)] ≈ 1,877.

              Итого за каждый товар ты переплачиваешь 87,7 %.
              Ответить
      • То есть среди всей хуйни на гк ты триггернулся именно на вброс про налог? Это и называется старость, наверное.
        Ответить
  • В Ереване в возрасте 57 лет умер криминальный авторитет Рафик Амоян (Раф Краснодарский), носивший статус вора в законе, сообщает «Прайм Крайм». Он скончался 21 июля.

    Причиной смерти криминального авторитета стал цирроз печени. По национальности Раф был езидом, в Армении его короновали в 1988 году.


    ---
    новости, которые мы заслужили
    Ответить
    • Какой анус-запеканус))

      Я редко встречаюсь с растишками, кстати. Зато регулярно слышу об ужасах С++ от дураков, ничего кроме джавы не знающих.
      Ответить
      • > об ужасах С++ от дураков, ничего кроме джавы не знающих

        Да что они знают об ужасах C++...
        Ответить
        • В том-то и дело, что ничего. И ничего сказать внятного не могут. Бормочут только какие-то тухлые мифы про течку памяти и непомерную сложность шаблонов.

          Критика языка должна исходить от человека, серьезно писавшего на нем хотя-бы три года. Иначе она не интересна
          Ответить
          • По этому критерию большинство пользователей говнокода начали писать на PHP ещё до его создания.
            Ответить
    • Вроде ссылку на оригинальную статью на швабре кидали уже.
      Зачем они пиарят раст?

      Кстати, там упомянут Кашицын, да другой. Не знал, что это такая популярная фамилия среди айтишников. И все растом кончают
      Ответить
      • >Зачем они пиарят раст?
        Потому что постоянно слышишь, что всё нужно переписать на раст, и будет быстро как си, и безопасно как пхп
        Ответить
        • Так Виве это зачем? Вот уйдут все на Раст и никто не будет покупать их чудесный анализатор.
          Ответить
          • Так они показали, что раст говно же, не?
            Кстати, они анализируют еще и C#, может быть и свифт смогут когда-нить.

            Вообще, я не верю в уход с сишечки и С++ в ближайшие лет двадцать.. Слишком сложно и дорого всё переписывать и всех переучивать.

            За плюсы не скажу, но си можно будет выкинуть разве что со всеми современными ОС и системными программистами одновременно
            Ответить
            • В смысле? Я, может, чего-то не вижу или не понял.

              Это копипаста статьи о том, что раст очень няшный, а подколки в его сторону это мифы.
              Ответить
                • На «Швабре» была статья-ответ на эту статью, там лалок слили в хламину. Да и сама эта статья, ЕМНИП, тоже на что-то там ответ.
                  Ответить
            • > свифт
              - у эппла есть свой статанализатор, да и в языке без ручного управления памятью от него намного меньше толку.
              Ответить
              • Ну в C# и Java статические анализаторы находят всякую разную лажу вроде глупых ошибок многопоточности итд, хотя конечно такого пиздеца, который возможен в си, там нет
                Ответить
                  • Например, в джаве обращаешься к полю с синхронизацией в одном месте, а в другом без синхронизации к этому же полю.

                    Получается, что в первом случае ты думаешь, что никакой другой поток тебя не тронет, а он тронет, потому что в другом месте обращаются без синхронизации.

                    Или есть leak of this, правда это не всегда проблема многопоточности: ты в конструкторе вызваешь какой-то внешний метод, и передаешь туда this.

                    Конструктор еще не завершен, поля не инициализированы, и твой this уже начали использовать, и обломались, потому что объект еще не инициализировался.
                    Ответить
                    • > Конструктор еще не завершен, поля не инициализированы, и твой this уже начали использовать, и обломались, потому что объект еще не инициализировался

                      Какая джава ))) А Свифт тебя пошлёт и не скомпилирует.
                      Ответить
      • >Кашицын,
        Это просто фамилия такая компьютерная

        Кто перелман -- тот математик
        Кто кашицын -- тот программист
        Ответить
  • Помянем.
    2 недели назад умер Грант Имахара один из ведущих в передачке "разрущители легенд"
    Ответить
  • https://habr.com/post/512546/
    > Издание BleepingComputer опубликовало подробности об атаке вируса-вымогателя на Garmin
    > Уже практически четвертые сутки недоступны большинство онлайн-сервисов Garmin Connect для носимой электроники производства Garmin. Вдобавок сейчас продолжаются перебои в работе сайта Garmin.com, не работает колл-центр, онлайн-чат и даже приостановлена часть производственной линии.
    > Оказалось, что успешная атака с помощью вируса-вымогателя WastedLocker, который смог проникнуть внутрь сети Garmin, произошла в ночь с 22 на 23 июля 2020 года.
    > Как утверждают неназванные источники в Garmin, злоумышленники потребовали от компании $10 млн.
    > Специалисты IT-отдела Garmin пытались отреагировать на эту атаку, но оперативно им это сделать не удалось. Им пришлось в экстренном порядке удаленно завершать работу всех ПК и ноутбуков компании по сети, включая домашние компьютеры сотрудников, подключенные через VPN. Однако, этот процесс затянулся. Поэтому они просто стали выключать все ПК и серверы в сети, к которым у них был доступ, так как процесс заражения вирусом и шифрования файлов начал разрастаться лавинообразно.
    > В итоге специалистам IT-отдела пришлось вручную отключать все устройства (ПК, коммутаторы, маршрутизаторы, серверы, системы хранения данных), расположенные в центрах обработки данных компании и офисах, чтобы предотвратить дальнейшее распространение вируса. В добавок из-за атаки были отключены не только основные сетевые сервисы, но и производственные отделы компании, включая некоторые линии по производству продукции в Азии.

    Тут недавно обсуждали, зачем надо в локальной сети всё запрещать и не пущщать… Ну вот для этого.
    Ответить
    • Во-первых какого хуя "онлайн сервисы" в одной сети с пользователями?
      Во-вторых зуб даю (гнилой, впрочем) что у них там везде SMB1, и апдейты три года не ставились.


      То-есть проблема не только в том, что SMB с виндой говно, но и в том, что админы ебланы.
      Ответить
    • However, they did manage to compromise devices used by employees of over 30 major US private firms using fake software update alerts displayed by the malicious SocGholish JavaScript-based framework delivered through dozens of hacked U.S. newspaper websites.

      As the Symantec researchers explained, Evil Corp's attacks started with the SocGholish framework being used to infect targets who visited over 150 hacked websites (dozens of them being US newspaper websites as mentioned in today's update).

      This is done by displaying fake software update alerts that deliver malware payloads onto the targets' devices in the form of fake program updates.

      After a company's employee got infected, the hackers used the Cobalt Strike threat emulation software and several living-off-the-land tools to "steal credentials, escalate privileges, and move across the network" with the end goal of encrypting computers with the WastedLocker ransomware.

      Before deploying the ransomware, they also disabled Windows Defender across the victims' entire network using PowerShell scripts and legitimate tools.

      ====

      What is Cobalt Strike?

      Cobalt Strike is software for Adversary Simulations and Red Team Operations.
      What are Adversary Simulations and Red Team Operations?

      Adversary Simulations and Red Team Operations are security assessments that replicate the tactics and techniques of an advanced adversary in a network. While penetration tests focus on unpatched vulnerabilities and misconfigurations, these assessments benefit security operations and incident response.

      ====

      яннп

      Во-первых, как можно просто взять и запустить неподписанный скрипт повершелла на произвольной машине? Это же по умолчанию выключено, что, в Гармине все сотрудники повключали?

      Во-вторых, почему легла вся инфраструктура, неужели у них всё-всё-всё на Винде?

      В-третьих, я правильно понял, что им ломали сетку при помощи ПО, которое должно проводить антихакерские тесты на наличие уязвимостей?

      Ну и заражение через сайт это кхм
      Ответить
      • >Во-первых, как можно просто взять и запустить неподписанный скрипт повершелла на произвольной машине?
        Нельзя, это верно. Но можно отключить проверку (см ``Set-ExecutionPolicy``). Альсо, работаюший локально повершел может обращаться к другим машинам по такому SOAP-over-HTTP протоколу (см ``WinRM``).
        Если ты не дай бог получил права админа домена, то ты можешь запустить что угодно на всех машинах в домене.

        >Во-вторых, почему легла вся инфраструктура, неужели у них всё-всё-всё на Винде?

        Вполне может быть. Если у тебя есть группа админов, которая умеет винду, то зачем нанимать еще других админов?

        Другой вопрос, что их админы сами же нарушили правила MS: у MS везде написано, что внешние сервисы нужно выносить во внешние сети (в DMZ), и отделять ихним файрволом с ужасно пафосным названием "Microsoft Forefront Threat Management Gateway". Во всех книжечках у них на картиночке нарисовано.

        Не должен вирус-вымогатель по SMB приходить на продакшен сервере.

        >Ну и заражение через сайт это кхм
        Это самый лютый пиздец.

        Это значит, что у них не было антивируса, и был древний дырявый браузер (и еще небось IE).
        Ответить
        • Тут тоже непонятно.

          На семёрке разве может не быть антивируса от MS?

          Вот немного про SocGholish:

          Another threat that caught our attention was SocGholish. The SocGholish malware rivals the best Rube Goldberg Machine. This malware is a RAT and banking trojan that convinces users to go to fake browser and Flash updates, which convince the victim that they need to upgrade their software. If the upgrade button is clicked, a JavaScript hosted on DropBox is executed and will download either NetSupport Manager or Chthonic, depending on the victim's geography.

          In the United States and Canada, NetSupport Manager, a legitimate remote control software, will be downloaded onto unsuspecting victim's computers. This allows the Threat Actors complete control over the user's computer. If you happen to be in the United Kingdom and sometimes Canada, you will receive Chthonic, a banking trojan based on ZeusVM. Chthonic exploits the Microsoft Windows installation service, msiexec.exe, web cameras, keyboards inputs and allows remote control over the victim's computer. Although the software and methods are different, Chthonic's end goal is computer control and credential harvesting.

          Это, кстати, из статьи июля 2018-го. Два года прошло, а все так и бегали с неприкрытой жопой.
          Ответить
          • >На семёрке разве может не быть антивируса от MS?
            Есть, но он может и не поймать вирус (он бесплатный и весьма говеный), особенно если его не обновлять.

            >Это, кстати, из статьи июля 2018-го.
            Я почему-то уверен, что браузеры уже как-то залатали эту дыру, просто их никто не обновил.

            Но допустим даже у тебя вирус убил сеть офисных компов.
            Во-первых он не должен иметь возможность попасть на сервера (максимум на контроллер домена)
            Во-вторых у тебя должны быть готовые образы офисных компов, ты должен уметь их по сети загрузить и накатить в течение часа-двух. Что там можно два дня делать? Вручную все винды переставлять?
            Ответить
            • Пишут, что вирусня удаляла теневые разделы с образами системы и бэкапами, но для меня это звучит, как какое-то фентези.

              По сути, пропасть там могли только фотки котиков.

              Если у чуваков всё от MS, то есть и онлайновый офис, где должны были остаться все документы, например.

              Если же нет, то я тогда не понимаю, что там вообще пытались изобразить. И это серьёзный бизнес, блять?

              Хорошо хоть оно не покоцало прошивку их игрушек. Вот там был бы эпичный багор. Хотя может конечно и покоцало 😉
              Ответить
              • Теневые разделы это для recovery points на каждом компе вроде, а бекап должен быть на удаленной машине, и по SMB не доступный кмк.

                Я не понимаю, почему так. Может быть хорошие виндовые админы просто большая редкость, а обычный админ такой вот прекрасный, что у него можно с одной машины всю сесть положить, хз.

                И ведь наверняка все сертифицированные сверху донизу, и такой багор
                Ответить
        • > IE
          - кстати, да, тут может быть ржака, что другие браузеры было просто не поставить из-за виндовых групповых политик
          Ответить
          • Вообще все винды, кроме десятки, уже депрекейтед. А там Edge вместо IE.
            Ответить
            • Да.

              Да и, если подумать, раз чуваки смогли нанести в дом говна из фейковых апдейтеров, то с политиками там было всё не очень строго.
              Ответить
              • Вообще звучит так, как будто винда это большое зло.

                Если бы там все сервера были на каком-нить юниксе и софт на каком-нить питоне и джанге, а клиенты все были бы тупыми линуксовыми машинами с хромом, то сломать всё было бы значительно сложнее: не ходят вымагатели по http на юникс.

                Правда и там можно было бы выставить наружу какой-нить mysql с паролем 123
                Ответить
                • >> Правда и там можно было бы выставить наружу какой-нить mysql с паролем 123

                  Всегда так делаю.
                  Ответить
                  • Ну всё равно пароль же надо подобрать, это сложнее, чем лалке послать ссылку на обновление:)

                    Я вот за OpenBSD: там чуваки реально очень-очень сильно ёбнутые на вопросах безопасности. По умолчанию ни одного сервиса нету, наружу торчащего.

                    До такой степени ёбнутые, что они pid новому процессу каждый раз делают рендомный, чтобы ты не угадал порядок запуска.
                    При каждой загрузке компа они перелинковывают ядро из .o файлов в случайном порядке, чтобы ты не мог оффсеты посчитать

                    У них свой SSL, свой веб-сервер, свой почтовик, всё свое, потому что openssl, nginx и postfix "большие, и небезопасные".

                    У них даже иксы свои, с сильно урезанным функционалом, которые вообще по сети ничего не могут.

                    Ну про то, что в базовой системе нельзя открыть страницу одноврмеменно на запись и выполнение я уже писал.

                    То-есть примерно представляешь себе степень ебанутости:)

                    Борманду и госту бы понравилось))
                    Ответить
                    • зы: а еще у них отключен гипер-трейдинг: говорят, небезопасно.
                      Ответить
                    • Я подумал, а что если вправду запускать отдельный экземпляр СУБД с лёгким паролем для рута (если объём ОЗУ сервера позволяет запустить что-то лишнее). В этой СУБД создать фейковую базу данных, имитирующую базу данных твоего основного сервера, но с бессмысленными данными (например, полученными с помощью генератора вореций). Хакеры обрадуются, что тебя взломали, и отстанут от тебя. А о том, что у тебя есть ещё СУБД с реальными данными, которая наружу не торчит, они не сразу догадаются.
                      Ответить
                      • Я думаю они обрадуются, что тебя взломали, и ещё больше заинтересуются тобой. Раз есть одна тупая проблема - значит можно ещё что-то найти. И по закону подлости такая проблема будет и её найдут.
                        Ответить
                      • Ну и в выставленном сервисе могут оказаться какие-то уязвимости или просто фичи о которых ты не знаешь, через которые хакеры смогут получить доступ к файлухе и т.п. Лучше не повышать поверхность атаки на пустом месте, имхо.
                        Ответить
                • Хуй знает, что у них за сервера. Все сайты за клаудфлером. Правда, не сильно-то и помогло 🙂
                  Ответить
                  • Клауд защитил их от доса снаружи, а изнутри видимо на них можно было по SMB зайти из домашнего компа по VPN.

                    \\ProductionServer\C$
                    лол
                    Ответить
                    • Мне кажется, что зацепило в основном офисные ноуты, а остальное они отрубили в горячке паники. Ну или пытались убедиться, что это только шифровальщик.

                      Интересно, кого-то уволили?
                      Ответить
                      • Если "паника", то они сами не уверены, как их сеть работает что-ли?

                        Если у меня на компе будет вирус, то админы не выключат наш сайт в амазоне, бля буду
                        Ответить
                        • Да мож они кредов от серваков с машин каких нибудь админов или разрабов напиздили. Кто знает. Люди ж любят удобство.

                          Тем более там вон какая-то фраза про credential harvesting.
                          Ответить
                          • У меня паролей никогда не хранится: я или через домен по керберосу, или по ключу c паролем, у нас с этим строго
                            Ответить
                            • Ну дык с керберосом еще проще, лол. Поимели тачку да пошли с нее везде куда права есть.
                              Ответить
                              • Для этого надо поиметь тачку конкретного чувака от его имени.

                                Но если я скачаю и запущу вымогатель, то конечно все виндовые сервера будут его. Правда, прод у нас все равно не на виндовом домене
                                Ответить
                                • Дык просто ломанули тачку когда юзер был залогинен. Я думаю у система хватит привилегий.

                                  Качал трояна то только первый долбоеб. Остальным уже через дыру прилетело, скорее всего. Иначе не было бы такой паники с отключениями.
                                  Ответить
                                  • Типа ты ломаешь машину по SMB, пиздишь токен пользователя, а он, например, доменный админ, и дальше уже по всей сети ходишь?

                                    Кажется, что тогда керберос не спасет. Нужно реально аутентификаицю по ключу делать, и пароль никому не давать
                                    Ответить
                                    • Нужно блядь отключать все входящие порты на клиентских тачках. Чтобы троян дальше бесправной тачки какого-нибудь буха не расползался.
                                      Ответить
                                      • Ну окей. Всё равно сервера в DMZ и не в домене, как им может угрожать сломаннная тачка?
                                        Ответить
                                        • Тачка обычного сотрудника - никак. Тачка админа или разраба - запросто. Токен сам воткнешь, пароль сам вобьешь и приехали.

                                          Именно поэтому нельзя допускать размножения внутри локалки.
                                          Ответить
                                          • Так а куда вобьешь?

                                            Вот вирус с тачки лоха пришел на тачку админа или разраба, и спиздил оттуда все файлы.

                                            На прод они ходят или через HTTPS по серту, или вбивая пароль в RDP, или по SSH по ключу с паролем.
                                            Куда я там что вобью?

                                            или он килогер поставил?
                                            Ответить
                                            • Да не спиздил он файлы. Он полное управление получал, там написано ж.

                                              Ты сам пойдешь на сервак что-то делать, а троян в этот момент получит все нужное для коннекта и тоже туда сходит. В чем проблема то?
                                              Ответить
                                              • Всё, теперь понял.

                                                Да, это говно. Пойду-ка закрою 445-й порт у себя на рабочей машине, например.

                                                В пизду, может дебиан правда поставить.. Чего-то стремно мне жить стало.

                                                А даже если админ закроет у машин 445-й, то на DC он все равно останется, насрёт там в групповую политику, или скрипт загрузочный поставит.. не?
                                                Ответить
                                                  • Подведем резюме: реализовать хорошую безопасность в сетях Microsoft с доменом не получится. Где есть SMB -- там говно.

                                                    А если нет домена, то правда не понятно, нахуй винда.

                                                    Нет, всё таки я за веб интерфейсы и тупые клиенты с браузером на юниксе.

                                                    А были случаи, чтобы такие системы ломали? Ну не через SQL инъекцию в пыхоговне, а нормальные вебприложения?
                                                    Ответить
                                              • Интересно, значит ли это, что скриптомакака может запустить эти тулы у себя на рабочем компе в своей сети, найти дырку, и поиметь всю сеть?
                                                Ответить
                                                • Да, если найдёт $3,500 на лицензию.

                                                  Ну или спиздит где-то. Я ж не думаю, что russian hackers честно купили тулзу))
                                                  Ответить
                                  • Причём вроде известно, что patient zero был на Тайване. Ох уж эти хентайщики!
                                    Ответить
                        • Ты сравнил: просто ты и почти вся компания, включая возможно C-Suite.

                          А ещё это может быть спецоперация ФБР и/или АНБ.
                          Ответить
        • > Set-ExecutionPolicy
          - оказалось, что
          а) для этого есть Group Policy, то есть, если какой-то долбоёб разрешил выполнение ps1 для всей группы, то чудо рано или поздно случится
          б) можно политику заапплаить с удалённого компьютера на локальный (но не наоборот, между прочим)
          в) есть командлет Unblock-File, который может разблокировать конкретный скрипт и это пздц)
          Ответить
          • Ну кажется, что отключать эту политику для домена это и правда говно.
            У MS есть сервер сертификатов. Если его развернуть, то можно подписывать нужные скрипты, и не делать глупостей
            Ответить
        • Ну сейчас по всему миру из дома народ работает. А энфорсить политику на домашнюю тачку мало где решаются. Вот и живут необновленые без антивирусов и тащат всякое говно.

          З.Ы. Я думаю там даже дыры в ие не было, руками запустили
          Ответить
          • Ну во-первых зафорсить можно: выдаешь питуху рабочий комп, и включаешь вход в домен через VPN. Еще w2k умела запускать dialup для входа в домен.

            Во-вторых если у тебя все пользователи домашние, то сам Господь велел всё нахуй в облако унести, и дать доступ по HTTPS.

            Если еще внутри конторы еще можно говорить про безопасность ("наши данные не покидают офис") и скорость ("у нас 10 гигабит внутри, а облако в Ирландии"), то с домашними это не работает
            Ответить
            • Ну и сколько контор выдало рабочие компы на дом? Опять же не факт что VPN везде правильно настроено без доступа к лишним ресурсам, соседним компам и т.п.

              Ситуация с короной же экстренная была, никто заранее не планировал такой переход на работу из дома. Практического опыта работы в таких условиях у многих админов тоже не было.

              Так что я думаю эта история успеха совсем не единственная.
              Ответить
              • Нах вообще нужен VPN, чтобы залезть в почту или в чатик?

                Сделайте тогда уже авторизацию по брелку-токену, если человек заходить из "неродной" сети.
                Ответить
                • Так если у тебя внутренний сервак, наружу недоступный?
                  Ответить
                    • Почему именно скайп? Почему не предположить, что у них интранетовские сайты какие-то?
                      Ответить
                      • > Нах вообще нужен VPN, чтобы залезть в почту или в чатик?

                        В интранетовские сайты ок, только, если чувак поехал в командировку и пошёл на конференцию, нехер там прямо в зале через корпоративный VPN заходить на страницу отпусков. А позвонить кому-то можно и без туннелей.
                        Ответить
                • Ну а если у них там 1с какой-нибудь или еще какое-то подобное говно? Не всем же чатика да почты хватает для работы. RDP опять же.
                  Ответить
                  • У 1С нет других вариантов, кроме как через VPN подключаться, srsly?

                    Ты переусложняешь.
                    Манагерам нужен а) чат б) почта в) офисный пакет
                    Не нужно это пихать в интранет, не нужно ради этого заходить через VPN.

                    У меня на последней работе (а это совсем небольшая контора) доступ к VPN выдавался по запросу с копией руководителю. А потом его зарезали, потому что народ типа начал прямо в туннеле торренты качать, лол

                    Я думаю, в этом вашем Гармине просто какой-нибудь CEO или CFO сказал, что ему надо всюду ходить по одному клацу мышкой, а админы не решились спорить и нахуевертели антисекьюрити. Только CEO вряд ли должность потеряет, а главный безопасник очень может.
                    Ответить
                    • > прямо в туннеле торренты качать

                      Ну вот замечательный пример настройки через жопу. За каким хером было всё подряд в туннель заворачивать то?
                      Ответить
                      • Маленькая контора.
                        Один ленивый админ-девопс.

                        Но суть в том, что мне VPN понадобился аж один раз. Почта, слак - зачем туннель, зачем?
                        Ответить
                    • > Манагерам нужен а) чат б) почта в) офисный пакет
                      охуенно ты придумал
                      манагерам нужен доступ в CRM, в выставление счетов, заключение договоров, в просмотр, редактирование, выгрузку миллиона других документов, которые должны где-то лежать в общем на отдел/контору доступе, а если ЭДО, то тем более
                      а разрабам в гит, в тестовые/стендовые контуры, недоступные через белые айпишники
                      Ответить
                      • Про разрабов речь не шла.

                        Что такое ЭДО, я не знаю, это что-то из аниме?

                        Может, у тебя манагер и занимается выставлением счетов, в моей практике это бесполезное существо, которое в джире эпики жопой создаёт и иногда пиздит с заказчиком. Так что вот эти умные слова ему нахуя?
                        Ответить
                        • > в моей практике

                          Ну хватит уже свой неудачный опыт на всех подряд экстраполировать.

                          В конце-концов есть всякие чуваки, которые детали в автокадах чертят. Им то тоже как-то работать надо во время эпидемии. А там ебанутые сервера лицензий и хрен ты его домой унесёшь без VPN/RDP.

                          Не всем хватает почты, чатика и гуглодоков.
                          Ответить
                          • Ну да, заебись, то есть мой опыт - неудачный, а вот твой, понятное дело, удачный.

                            Начинали с компании типа Гармина, вдруг откуда-то появились 1С, автокады и сам чёрт лысый.

                            Борманд, у тебя щас есть манагер? Он выставляет счета и заключает договоры?
                            Ответить
                            • Ну т.е. по твоему конторы состоят только из манагеров?

                              В том же гармине всяко есть и автокады и забугорные аналоги 1С и древнее легаси которое не перащить на другую машину и чёрти что ещё. И со всем этим как-то надо работать.
                              Ответить
                              • Ты на вопрос-то не ответил. Искренне хочу послушать про твой удачный опыт.

                                > по твоему конторы состоят только из манагеров
                                - частая история (извините, снова апеллирую к своему опыту, иного не имею), когда 4 разраба и над ними 4 манагера. БА, ПМ, Хед оф шототам.

                                Понятно, что начальства меньше, чем полевых игроков, но, чем крупнее контора, тем шире в ней список n+1, и далеко не все из них решают реальные проблемы.

                                Но мы как-то уже вообще ушли от изначального вопроса.
                                Ответить
                                • > удачный опыт

                                  Х.з., у меня вот не было такого опыта чтобы писать про "бесполезное существо".
                                  Ответить
                                  • Значит, повезло или ты просто по-другому к этому относишься.

                                    У меня вот были очень крутые лиды (а были конечно оторви и выкинь) и там я многому научился.

                                    А про приколы манагеров я могу реально часами рассказывать из своего опыта. Все эти интриги, подставы, имитацию бурной деятельности, кумовство. Но не буду, ибо
                                    Ответить
                        • ЭДО - электронный документооборот

                          у меня не кровавый ентерпрайз, у меня микропредприятие по разработке
                          в любой шараге будет плюс минус одинаковый флоу

                          не понимаю, как не выдать сотруднику впн, делов на 5 минут всё сделать, нихуя не стоит

                          а бесполезных увольняйте к хуям, берите полезных
                          Ответить
                          • Я и не говорю, что не надо VPN выдавать, я говорю, что не понимаю, зачем он нужен для чатика и почты.
                            Ответить
                            • Блядь. А мы тебе пишем, что людям для работы НЕ ДОСТАТОЧНО чатика и почты.
                              Ответить
                              • Ок, может, я неточно выразился.

                                Сидишь в чатике и почте без VPN.
                                Надо зайти на файлопомойку за охрененно важным документом - включаешь VPN.

                                Это слишком сложное поведение для?
                                Ответить
                                • завел у себя файлопомойку seafile
                                  три года полёт нормальный
                                  рекомендую, кстати
                                  Ответить
                                  • Да, ставил себе когда-то на впс, вроде норм штука.
                                    Ответить
                                • > включаешь VPN

                                  Ну блядь, т.е. ты таки признал, что оно таки нужно?
                                  Ответить
                                  • Борманд, просто признайся, что у тебя болит голова сегодня или нет настроения.

                                    "Я и не говорю, что не надо VPN выдавать"
                                    "В интранетовские сайты ок, только, если чувак поехал в командировку и пошёл на конференцию, нехер там прямо в зале через корпоративный VPN заходить на страницу отпусков."

                                    Это то, что я писал, а додумывать за меня не нужно, пожалуйста.
                                    Ответить
                                    • > Нах вообще нужен VPN, чтобы залезть в почту или в чатик?

                                      А вот это кто писал? Пушкин?
                                      Ответить
                                      • Эту фразу следует читать так:
                                        Зачем сидеть в почте или в чатике через VPN?

                                        Это не два разных предложения.

                                        Камон
                                        Ответить
                                          • Нужна, просто это один из тех случаев, когда без интонации смысл написанного неоднозначен.
                                            Ответить
                                            • Я не особо знаток, но чтобы выразить твою интонацию я бы не ставил.
                                              Ответить
                                            • С запятой смысл как раз неоднозначнее становится и сильно переваливается в сторону двух отдельных предложений, имхо.
                                              Ответить
                                        • А причём здесь вообще чатик или почта? Мой коммент, на который ты тогда отвечал, был про работу конторы в целом.
                                          Ответить
                                    • >Борманд, просто признайся, что у тебя болит голова сегодня или нет настроения.


                                      Может, ты просто ему не нравишься?
                                      Ответить
                          • > а бесполезных увольняйте к хуям, берите полезных
                            - ну-у, спасибо за совет, конечно, в жизни всё немного сложнее, когда ты не босс.
                            Ответить
                          • Флоу кстати нифига не одинаковый.

                            Где-то винда во все поля, групповые политики, всё только через доверенную сетку, non-windows considered harmful.

                            Где-то VPN по карточкам, чат в слаке, джира.

                            Где-то файлопомойка на флешке, воткнутой в роутер, редмайн, открытая шара.

                            Зачем обобщать
                            Ответить
                            • Дык обобщаешь здесь только ты, утверждая что чатика и почты всем достаточно для работы.
                              Ответить
                              • Чувак, ты порвался, но я не понимаю, почему.

                                Иди остынь, потом перечитаешь, прежде чем кого-то говном поливать.
                                Ответить
                          • >а бесполезных увольняйте к хуям, берите полезных
                            Слышал, что в любой конторе всегда есть 10% бесполезных сотрудников, и это никак не лечится.
                            Если их уволить, то другие займут их место. Типа 100% полезных сотрудников это как КПД 100%: не очень осуществимо
                            Ответить
                      • У тебя просто, если я не путаю, кровавый энтерпрайз вперемешку с госконтрактами; ты ж не думаешь, что в generic outsource и даже product шараге такие же бизнес-флоу?
                        Ответить
              • Серьезные конторы выдали конечно, но доступ к другим компам у них есть, обычно.
                Я вот могу по smb ходить на все машины в локалке из дома по vpn. Какой багор;)
                Ответить
  • https://habr.com/post/512576/
    > Мяу-атака удалила уже 4300 баз данных
    > Тысячи незащищённых баз данных, выставленных на всеобщее обозрение в интернете, стали мишенью автоматизированной атаки Meow («мяу»), которая уничтожает данные без каких-либо объяснений
    > Впервые атака была замечена на прошлой неделе, когда начали исчезать БД в инстансах Elasticsearch и MongoDB без каких-либо записок с пояснениями или требований выкупа. Затем атаки распространились на другие типы БД и на файловые системы, открытые для общего доступа в интернет
    > Исследователи говорят, что организатор атаки очевидно, атакует любую базу данных, которая небезопасна и доступна через интернет. После Elasticsearch и MongoDB были случаи удаления баз данных Cassandra, CouchDB, Redis, Hadoop, Jenkins, а также на сетевых устройствах хранения данных.

    Охуенно, 10/10! Тупые долбоёбы, выставляющие данные своих пользователей в открытый доступ, должны страдать.
    Ответить
    • И вот ещё охуительно:
      > Одним из первых публично известных примеров атаки «Мяу» стала база данных Elasticsearch, принадлежащая гонконгскому VPN-провайдеру, который заявлял, что не хранит никаких логов, но по недосмотру выложил в интернет 1,2 терабайта конфиденциальных данных своих пользователей.
      > После обнаружения базы доступ к ней закрыли, но через пять дней она снова стала открытой. Во второй раз владельца уже никто не предупредил о неправильной настройке инстанса. Вместо этого базу «мяукнули» — и почти все записи были стерты.

      Именно поэтому я против «VPN-провайдеров».
      Ответить
          • Пыхоподход, возведённый в абсолют.

            Успейте воспользоваться своими данными до того, как мы перезагрузим сервак!
            Ответить
        • А лучше на бумажке. А бумажка в сейфе. А сейф в питухе. А питух в жопе админа. А админ на игле.

          Кстати, какой самый простой способ проверить, не ли у тебя на серваке проходов к голой жопе? Скрипт какой или тулза. Только шоб не за три с половиной косаря зелени
          Ответить
          • «nmap», а потом смотреть, что у тебя на открытых портах висит.
            Ответить
            • Проверил на VPS. Если открыты только 22 для ssh и 80 для одного простого сайтика, то жопа как бы прикрыта?
              Ответить
              • Все порты проверил, 1-65535? ЕМНИП, «nmap» по-умолчанию сканирует только 1-1024.

                «SSH» рекомендую перенести на рандомный большой порт (>10000) и отключить вход по паролю. См. https://www.sshaudit.com/.
                Ответить
                • Кстати, а насколько легально с одной своей впски сканить другую свою впску? Хостер не забанит?
                  Ответить
                  • Если пожалуются, то вероятно забанят. Ну то-есть жертва напишет на noc@ (или куда там пишут) и по идее хостер может дать люлей.

                    Но ты же не будешь сам на себя жаловаться?
                    Ответить
                    • Ну а вдруг у них там какой-то мониторинг подозрительного трафа есть?
                      Ответить
                      • Это как-то сложно и дорого, не?

                        Вдруг я просто портом ошибся 65535 раз?

                        Я сам себя сканю иногда, вроде проблем нету
                        Ответить
                • Спасибо, перепроверил.

                  Очень интересно.

                  В первый раз я проверял nmap'ом на Андроиде из termux. Во второй раз на Маке. Причём на Маке его нет из коробки, ставил через хоумбрю, который ебанулся и начал мне хуярить инсталлы каких угодно пакетов, включая pulseaudio (и это на Яббле-то).

                  Тут команда
                  nmap -p0-65535 -A -T4 ip_address_here
                  даёт такой выхлоп:

                  Strange read error from ip_address_here (49 - 'Can't assign requested address')
                  Warning: ip_address_here giving up on port because retransmission cap hit (6).
                  ,

                  потом снова 22, 80, потом 135-139, 445, 543, про которые nmap на Андроиде ничего не говорил, ну и пачку портов за 10000, где висит memcache (откуда он там?) и несколько filtered unknown, но я не знаю, что это означает.
                  Ответить
                  • А сделай
                    $ telnet [твой_хост] 445

                    давай проверим, реально ли там 135-139, 445 (потому что 135-139 это netbios, ее вообще на юниксе быть не должно)_
                    Ответить
                    • Да, там названия немного из другой парафии:

                      135/tcp   filtered msrpc
                      136/tcp   filtered profile
                      137/tcp   filtered netbios-ns
                      138/tcp   filtered netbios-dgm
                      139/tcp   filtered netbios-ssn
                      445/tcp   filtered microsoft-ds


                      А telnet фейлится по таймауту.

                      Кстати telnet тоже пришлось доставлять. Кто тут любит порассказывать про величие макоси?
                      Ответить
                        • Есть, но по умолчанию может отсутствовать, ставится через включение компонентов windows (OptionalFeatures.exe).
                          Ответить
                          • да, но и в маке можно поставить
                            Ответить
                            • Поставить можно.

                              Просто у мака всегда был какой-никакой набор юниксовых (бздишных) cli утилит, пусть местами и древних. И это ставили в плюс при сравнении Мака и Винды для девелоперов. Ну, у Винды долгое время с этим действительно было печально.

                              Но вот и на Маке оказывается, что половины нет. А скоро ещё собираются и Пистон с Яибу выкинуть. И чем это тогда будет лучше Винды?
                              Ответить
                              • Вроде, пиздон будут ставить при первом обращении. На винде так сделано (открывается стор), не?

                                А лучше она позиксовостью и позиксовым терминалом.
                                Поди запусти прыщеговно с шелскриптами на винде без WSL
                                Ответить
                                • Это всё круто и, наверное, накатывать свежий софт лучше, чем юзать древний, да ещё и пропатченный и собранный Эпплами.

                                  Просто если бы у них ещё была своя репа. Brew это хорошо, но как бы не официально.

                                  Ну и раньше тот же brew или cocoapods ставились быстрее, а теперь +1 шаг.

                                  Кстати, на последней макоси шеллом по умолчанию стал zsh.
                                  Ответить
                  • Ну filtered это вроде когда пакет тупо дропнули без отклика. Т.е. зафаерволено где-то по дороге. Возможно, что у твоего провайдера даже.

                    А про 445 он пишет open или filtered?
                    Ответить
                    • а, ты думаешь, там типа хостер по умолчанию фильтрнул 445, на случай, если у Десктопа будет виртуалка на венде?
                      Ответить
                      • Я думаю даже провайдер, довольно часто такое видел.

                        99.99% трафика на эти порты - трояны которые ищут свою жертву.
                        Ответить
                        • подтверждаю

                          это как пров часто закрывает 25-й порт наружу
                          Ответить
                          • Стесняюсь спросить, совсем ламерский вопрос можно? Почему обсуждается закрытие портов с определенными номерами? Чем 25 порт хуже 24324-го?
                            Ответить
                            • По 25-му порту шлют письма. Если у тебя вирус-спамер, ему нужно цепляться ко всем подряд на 25-й порт и слать хуйню
                              Ответить
                          • Ну 25 закрывать это конечно жестоко. Но вроде сейчас уже все сервисы научились в секьюрный smtp, а он на другом порту?
                            Ответить
                            • Почему жестоко? 99% питухов шлют письма через веб интерфейс.

                              >на другом порту.
                              Могу соврать, но кажется между MTA 25-й порт с эксплицидным SSL: STARTTLS
                              Ответить
                      • Тогда скорее всего они зафильтрованы на файре.
                        Ответить
                        • Это провайдер что-то мутит.

                          Я в первый раз у другого прова сегодня проверял.
                          А с этим и на Андроиде тоже дополнительная пачка портов высвечивается.
                          Ответить
                          • Провайдер не хочет, чтобы ты срал в интернет с него
                            Ответить
                            • И правильно делает. Хотя сейчас конечно редко кто-то комп к инету напрямую подключает, у всех роутеры.
                              Ответить
                              • а даже те, кто подключают, те за файером

                                Но если можно не пускать говно, то лучше не пускать
                                Ответить
                                • Ну как за фаером, случайно тыкнешь не ту кнопку, винда подумает что ты в локалке и даже обновиться не успеешь.
                                  Ответить
                                  • Я бы на месте пинды тупых вопросов пользователю не задавал, делал бы так

                                    если rfc-1918, то домашняя
                                    если нет, то публичная

                                    Пушо пользователь может вопроса не понять
                                    Ответить
                                    • Норм предложение.

                                      Но в локалках с роутером будет фаерволиться по полной. Впрочем, оно и к лучшему.
                                      Ответить
                                      • >в локалках с роутером
                                        Локалка еще бОльшая помойка, чем Интернет.

                                        Альсо, для питузов за провайдеровым натом придумали "Carrier-grade NAT", гугльника
                                        Ответить
                                        • Если ты включаешь в сеть Windows7 или старше, то она спрашивает тебя какой профиль файрвола включить.

                                          Для домашней сети обычно всё открыто. Для публичной -- закрыто.

                                          Я предлагаю смотреть на IP адрес интерфейса.

                                          Если он приватный согласно rfc-1918 (172.16.., 10.. или 192.168..), то такую сеть считать локальной. Иначе считать сеть публичной.

                                          Если ты воткнул ноут напрямую в Интернет, то файр всё закрыл.
                                          Если в локалку -- то открыл
                                          Ответить
                                          • юзер пришел в кафе или сел в эропорту шереметьево перед гейтом, открыл ноут, видит блабла фри вайфай (эз фри бир), хуяк

                                            что делает твое норм предложение с его фаерволом?
                                            Ответить
                                            • Лучше тогда вообще не спрашивать никогда и фаерволить по полной.

                                              Кому надо шару делать - сам найдет и переключит. Один хер сейчас это почти никому не надо даже дома.
                                              Ответить
                                              • Так я предлагаю публичные адреса всегда делать публичным, а приватные спрашивать
                                                Ответить
                                              • > Один хер сейчас это почти никому не надо даже дома.
                                                а принтеры?

                                                не все умеют его в роутер
                                                Ответить
                                            • Задает вопрос.

                                              А если выдает внешний IP, то сразу делает публичным
                                              Ответить
                                            • Меня, кстати, мучает такой вопрос давно.

                                              Почему в виндовый алерте фаервола про "Приложение хочет долбиться в сеть" по умолчанию включена галочка для публичных сетей, а для приватных выключена?
                                              Ответить
                                              • Потому что в приватной ты типа безопасен

                                                Но жопа в том, что спрашивать пользователя "домашняя или общественная сеть" это примерно как спрашивать его про размер кеша в процессоре: для него это звучит как "блаблабла"
                                                Ответить
                                                  • Да, именно.

                                                    В The Old New Thing кажется смеялись с багра, когда пользователь при установке игрушки получает вопрос:


                                                    "Заменить foobarbuz.dll версии 1.2.3.44 файломf oobarbuz.dll версии 1.2.3.45"?

                                                    И он такой: "штобля?"
                                                    Ответить
                                                    • Такую фигню нужно вообще не в интерактивном режиме решать. А если 150 dll требуют обновления, юзер должен 150 раз жать «ОК»?
                                                      Ответить
                                                      • нужен сайт-бай-сайд на самом деле, и не задавать пользовтаелю вопросов

                                                        Собссно, WinSxS вроде так и работает. Пусть расцветает сто цветов, пусть будет сто версий одного и того же .dll


                                                        Потому что если мое приложение работает с dll версии 1.2.3.45, то совсем не факт, что оно сработает с 1.2.3.44
                                                        Ответить
                                                • Так для приватных же галочка не стоит? Или фаервол тут болт забьёт?
                                                  Ответить
                                                  • Для приватных скорее всего пропустит, но это не точно.

                                                    Точно, что у тебя ресурсы для приватных расшарятся и откроется SMB
                                                    Ответить
                                          • Не, такое предложение хуйня полная.

                                            Я то думал ты для автосогласованных айпишек предлагал выдать.

                                            А 192.168 и десятка это не повод считать сеть локальной. Большинство хотспотов такое выдает.
                                            Ответить
                                            • >Я то думал ты для автосогласованных айпишек предлагал выдать.

                                              В смысле для APIPA?
                                              Ответить
                              • Очень много вирусов, которые пытаются эксплуатировать дыры в виндовых протоколах. Поэтому эти протоколы часто блочат к хуям чтобы вирусня не расползалась через них. Всё равно никто в здравом уме не юзает эти протоколы за пределами локалки и/или VPN.
                                Ответить
                                • Есть два неебланских способа попадания в винду снаружи:

                                  * IKEv2 VPN на Win сервере
                                  * RDP Gateway: доступ к RDP по HTTPS

                                  Остальное от лукавого конечно
                                  Ответить
                              • Большинство вирусов под винду ходит либо через 445й порт, либо через netbios (135-139). Netbios устарел, но всё еще поддерживается ради старых виндов (впрочем, в десятке он может уже быть и закрыт).

                                Протоколы эти придуманы для работы в локалке, использовать их в голом Интернете смысла нет. Так что если кто-то пытается к кому-то на публичный адрес подключитьчя на 445-й порт, то это почти наверняка вирус, который ищет дыру.

                                провы стали их закрывать
                                Ответить
                          • так у тебя тада тест не честный


                            скань с другого хостера

                            Пушо например 25-й порт может быть закрыт твоим провом, а у тебя почта наружу торчит (вряд-ли конечно)
                            Ответить
                            • > скань с другого хостера
                              - другого хостера у мну нема
                              Ответить
                            • Ну вот кстати и минус nmap'а. Надо в идеале делать с нескольких хостов чтобы более-менее честная картина получилась.
                              Ответить
                              • Наверняка есть сервисы чтобы тебя посканить снаружи.
                                Для проверки почты на открытый релей точно есть, для ssh есть, для https есть..
                                Ответить
                • добавлю, что есть такая прекрасная шняга fail2ban
                  потому что даже на рандомный порт в 5хххх рано или поздно снова начинают долбиться
                  Ответить
                  • Ну намного реже. На 22 то вообще непрерывный поток сразу.
                    Ответить
                  • denyhost еще есть, но он вроде задепрекейчен, и в последней центоси его выпилили
                    Ответить
            • в новых прыщах и нетстатат-то нету, там есть SS
              Надежнее снаружи, как сказать гвост
              Ответить
              • Да лучше и то и то смотреть, имхо.

                Изнутри чуть больше сервисов видно, может быть что-то лишнее захочется удалить или на юникс сокеты пересадить.
                Ответить
                • Это правда: на свежепославнных линуксах может быть какая-нить ненужная пораша

                  Вот например я вижу на свежей центоси
                  $ ss -l -t -u


                  udp:0.0.0.0:hostmon

                  что это? зачем это? хотсер на vps поставил?

                  У меня оно конечно файром прикрыто, но всё равно
                  Ответить
                  • У «ss» есть полезный ключик «-p», отображающий процессы, который тот или иной сокет слушают. Для ознакомления с ситуацией на сервере рекомендую «ss -nlp».
                    Ответить
                    • я помню про него, он еще у netsta был, и даже на винде (только в ком-то из них о -o), но к чести моего дистра -- файр по умолчанию закрывает вообще всё, кроме ssh, так что экспоз говна в 0.0.0.0 менее страшен.

                      А вот чего я не понимаю, так это почему все питухи стараются навеситься на TCP вместо unix domain socket.

                      Все туториалы, все настройки-по-умолчанию, даже постфикс* для локальной отправки, даже nginx с gunicorn у себя в примерах -- все предлагают вешаться на TCP.
                      Зачем? Зачем?

                      * ну тут больмень можно понять: клиенты ждут tcp/25
                      Ответить
          • Всегда делаю nmap с внешнего сервера, это самый надежный способ
            Ответить
    • Ну вот нашёлся наконец-то адекватный чувак, который не ради денег это делает.
      Ответить
    • Читал как-то статью, как питух сканировал Интернет и нашел торчащие наружу камеры без пароля, роутеры с дефолтным паролем, какое-то дорогое сетевое оборудование, торчащее наружу control plane, не обновлённое десять лет, с известной уязвимостью итд.

      Короче, 99% людей идиоты
      Ответить
  • Connection attempts using mod_proxy:
        143.92.32.86 -> g.alicdn.com:443: 2 Time(s)
        143.92.32.86 -> httpbin.org:443: 2 Time(s)
        143.92.32.86 -> sm.bdimg.com:443: 2 Time(s)
    
     Requests with error response codes
        400 Bad Request
           /: 12 Time(s)
           mstshash=Administr: 7 Time(s)
           null: 7 Time(s)
           g.alicdn.com:443: 2 Time(s)
           httpbin.org:443: 2 Time(s)
           sm.bdimg.com:443: 2 Time(s)
           /?SSL_Labs_Renegotiation_Test=User_Agent_May_Not_Show: 1 Time(s)
           /spywall/timeConfig.php: 1 Time(s)
           mstshash=hello: 1 Time(s)
        404 Not Found
           /: 33 Time(s)
           /robots.txt: 23 Time(s)
           /favicon.ico: 8 Time(s)
           /default.jsp: 7 Time(s)
           /index.action: 7 Time(s)
           /index.do: 7 Time(s)
           /index.jsp: 7 Time(s)
           /indexAction.action: 7 Time(s)
           /login.action: 7 Time(s)
           /login.do: 7 Time(s)
           /login.jsp: 7 Time(s)
           /login/indexAction.action: 7 Time(s)
           /login/login.jsp: 7 Time(s)
           /main.jsp: 7 Time(s)
           /register.jsp: 7 Time(s)
           /sitemap.xml: 2 Time(s)
           //%28%23_memberAccess%3d@ognl.OgnlContext@ ... Response&pp=%2f: 1 Time(s)
           /4e5e5d7364f443e28fbf0d3ae744a59a: 1 Time(s)
           /?c=4e5e5d7364f443e28fbf0d3ae744a59a: 1 Time(s)
           /?debug=browser&object=(%23_memberAccess=@ ... pServletRequest: 1 Time(s)
           /ReportServer: 1 Time(s)
           /TP/html/public/index.php: 1 Time(s)
           /TP/index.php: 1 Time(s)
           /TP/public/index.php: 1 Time(s)
           /adminer.php: 1 Time(s)
           /config/getuser?index=0: 1 Time(s)
           /database/: 1 Time(s)
           /db/: 1 Time(s)
           /wp-login.php: 1 Time(s)

    гг
    Ответить
  • Есть фотошоп мастера? Работа кажется не сложная, за спасибо.
    Ответить
    • Я не мастер, но мне интересно, чо ты такое хочеш
      Ответить
      • Надо кое-какое тело вырезать. Иначе фотку в инстаграм стрёмно выкладывать.
        Хотя может погорячился на чёт "не сложная".
        Ответить
          • У меня нет ни фотожопа под рукой, ни винды. На мак вряд-ли что-то годное бесплатное есть (ломанное ставить нельзя).
            Ответить
            • Гимпом режь, он бесплатный и для этих целей вполне сойдёт.
              Ответить
              • А у него есть волшебная хуета, которой проводишь мышкой, и оно зарисовывает соседним фоном?
                Ответить
                • У него есть хуита для выделеня области. Выделенную область можно вырезать, можно закрасить
                  Ответить
                  • Это слишком примитивно, не подойдёт.
                    Ответить
                    • Да что не так-то?

                      Я тока что взял гимп, взял Free select tool (F), выделил кусок фотки, и нажал "Del".

                      Кусок стал черный.

                      Ну можно выделить чела на фото, сделать "Invert Selection" (Ctrl+I) и потом тоже самое
                      Ответить
                      • Ну он хочет фон за ним восстановить.

                        З.Ы. Хотя чёрный прямоугольник с надписью censored тоже норм.
                        Ответить
                        • Скопировать типа кусочек неба, а потом им запечатать рожу?

                          Тогда да, нужна такая хуйня в виде печати, вроде и есть clone
                          Ответить
                        • https://i.imgur.com/fQXN9Vx.png
                          Вырезал в «Paint.NET», используя исключительно «клонирующую кисть», ради забавы. Не шедевр ретуши, ну так и я не настоящий фотошопер.
                          Ответить
                          • Какой скилл )))

                            А я начал и бросил. Мне мой перфекционизм покоя не даёт. Не могу придумать, как смоделировать водную гладь, чтобы не сильно бросалось в глаза.
                            Ответить
                            • Думаю, градиентик ебануть и размазать. Но это уже руки нужны.
                              Ответить
                          • Блядь, нет чтобы мне помочь реальную работу сделать, так ты за это взялся.
                            Ответить
                          • Кажется, мне удалось разгадать одну загадку «Имгура»: когда я перехожу по ссылке на картинку, иногда он вместо картинки показывает страницу.

                            Оказывается, страницу он показывает, когда реферер указывает на другой сайт И заголовок «Accept:» содержит что-то связанное с html. Если поменять заголовок «Accept:» на «*/*», он перестанет редиректить на страницу и будет показывать картинку.

                            Например, в «Фуррифоксе» меняем значение параметра «network.http.accept.default» с «text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8» на «*/*». После этого «Имгур» не будет пытаться куда-то редиректить.
                            Ответить
                            • P.S. Он ещё срёт в отладочную сосноль:
                              "
                                    _
                                   (_)
                                    _ _ __ ___   __ _ _   _ _ __
                                   | | '_ ` _ \ / _` | | | | '__|
                                   | | | | | | | (_| | |_| | |
                                   |_|_| |_| |_|\__, |\__,_|_|
                                                 __/ |
                                                |___/
                              ========================================
                              You opened the console! Know some code,
                              do you? Want to work for one of the best
                              startups around? https://imgur.com/jobs
                              ========================================
                              "
                              Ответить
                • ты про eraser что-ли?

                  "соседним фоном" это нижний слой?
                  Ответить
                  • Clone tool видимо. Подходящий кусок фона раскопировать поверх удалённого куска.
                    Ответить
                    • Да, нашел, спасибо, уже пытаюсь. Пока анскилл какой-то )))
                      Ответить
                      • Ну можно весь фон заблурить потом. Скажешь, что это эффект глубины резкости, а не попытка скрыть корявое фотошопие.
                        Ответить
                        • Кажется, где-то на ГК обсуждали один курьёз, но я что-то нагуглить не могу.

                          Один чувак послал на фотоконкурс коллаж: к фотографии пловцов на море прифотошопил дельфинов. А потом написал в оргкомитет, что они должны снять его работу с конкурса, потому что по правилам фотомонтаж не допускается. На это он получил ответ, что снять фотографию с конкурса они не могут, потому что правил она не нарушает: следов склейки не обнаружено. Далее они рассказали ему, каким софтом они искали следы склейки. Софт считал какую-то статистику, строил распределения. У вклеенных изображений статистика совпала с фоном, поэтому оргкомитет сделал вывод, что фотка подлинная.
                          Ответить
          • Нет, не лассо. См. коммент выше.
            Ответить
            • Чем плох free select?
              я не понима
              Ответить
    • Всё, сделал заебись. Никто кроме меня не заметит швов.
      Ответить
  • Отцу русской демократии требуется помощь или Как это делают у вас дома?

    Если у меня есть вебсервис с юзерами и ролями, то я хочу при старте сделать какого-то дефолтного юзера из группы Admin, чтобы он был ну типа как root. Если это норм идея, то в какой момент его лучше создать? Как забутстрапить базу, например, постгрес? Если это хуёвая идея, то какие альтернативы?
    Ответить
    • А как ты устанавливаешь сервис? Я предлагаю включить создание дефолтного пользователя в процесс установки
      Ответить
      • Никак не устанавливаю пока. На данный момент он вообще на локалхосте. Сначала планирую заливать на сервак с гита и запускать при помощи докера.
        Ответить
        • Вариант 1: при запуске твоего контейнера с парамтером "install" устанавливать дефольного пользователя в базе

          Вариант 2: при запуске проверять наличие пользователя номер 1 в базе, и если его нет -- создавать

          Вариант 3: явно сделать команду "createadmin".

          Часто приложению требуются данные по умолчанию, или какие-то fixtures.
          Ответить
          • > номер 1
            - у меня для юзеров primary key это не integer, а string (uuid). Но это в общем и не важно.

            > при запуске твоего контейнера с парамтером "install" устанавливать дефольного пользователя в базе
            - прямо в докерфайле прописать? А креды к базе в нём держать не сильно бо-бо будет? Или их передавать аргументами? Докер такое умеет?
            Ответить
            • >прямо в докерфайле прописать?
              Нет, докер может запускать твой скрипт с параметром. Лучше это держать в скрипте.

              >креды
              А как ты будешь креды контейнеру передавать для работы? Через меременное окружение?
              Ответить
            • не совсем так
              гуест тебе советует в ENV докера своего прописать ROOT_USER/ROOT_PASSWORD переменные (имена сам поменяй на те, что надо), дать им дефолтные значения (Admin/12345 например), ну и инит, который мы обсудили ниже, должен будет подхватить значения реальных енв переменных, чтобы ими инициализировать базу

              если ты переживаешь за приватность содержимого докер-компост, то если злоумышленник уже добрался туда, то тебе и так пиздец

              тем более, что это ИНИЦИАЛИЗАЦИОННЫЕ параметры, чего такого
              Ответить
              • Ага.

                Я просто не въехал сначала, как и кто будет подрубаться к базе, а потом понял, что это будет само приложение и в нём уже всё есть.
                Ответить
    • норм идея
      создавай при старте базы (хуже) или при старте приложения (лучше) детекти, что база пустейшая, и надо накатить инит

      второй способ также отлично подходит под кейс "приложение подрубается к базе, понимает, что база старье, накатывает ей миграции до нужной версии, заебись, можно работать"

      то же самое (миграции) можно сделать и на самой базе, но можно получить косяк, что база сама себя более лучше проапгрейдила, чем может приложение, это хуита

      также, конечно, и второй способ, и если сделать нормально, то и первый, будут работать в окружении, когда у тебя и кластер базы, и кластер приложений
      Ответить
      • Можно держать миграции в самом приложении: так делает джанго.

        Приложение можно начинать с команды "migrate" она видит версию базы, и накатывает нужные миграции
        Ответить