Как защитить свой VDS сервер: 53 000 попыток взлома за 5 дней

Представьте себе: вы арендовали скромный VDS, чтобы поэкспериментировать. Ничего грандиозного — пара тестовых сайтов, простенький веб-сервер на nginx, пара скриптов в cron для автоматизации рутины, SSH для удалённого доступа. Обычная песочница для разработчика, никому, казалось бы, не интересная. Сервер тихо живёт своей жизнью где-то в облаке, отдаёт странички, выполняет задачи, ждёт ваших команд. Вы даже не подозреваете, что за этой тишиной уже разворачивается настоящая цифровая охота.

За два года работы в технической поддержке облачного хостинга я видел множество взломов, помогал клиентам с восстановлением серверов. Видел всё: от примитивных майнеров до полностью стёртых проектов без бэкапов. Сейчас я работаю инженером технической поддержки в компании CleverData (входит в холдинг LANSOFT).

Однажды, ради чистого любопытства, я решил заглянуть в логи свежеиспечённого VDS, созданного всего пять дней назад...

Коллеги, доброго времени суток!

Меня зовут Роман, и я работаю в отделе анализа защищенности компании Angara Security.

Типичная ситуация — легитимный пентест. Мы получаем доступ во внутреннюю сеть. У «клиента» есть Active Directory, а у нас — самая обычная доменная учетная запись. Чтобы понять, куда развивать атаку, нам нужно получить больше информации об инфраструктуре. Здесь по классике атакующий запускает bloodhound. Я еще по старой доброй памяти запускаю классические админские оснастки, чтобы взглянуть на инфру глазами своих прошлых коллег. И вроде бы мы получаем достаточно большое количество информации, которой часто хватает для компрометации конторы. Но не хватает одного интересного кусочка — динамики изменений. И стороне защиты такая информация полезннее, чем атакующим.

Если взять на вооружение знания о том, как контроллеры домена реплицируют изменения между собой, то проблема решается легко, красиво и без постоянной выгрузки всех объектов домена.

2025 год, и дерьмофикация повсюду:

• качество поисковой выдачи,

• информативность сайтов, медиа, видеороликов и вообще всего контента в интернете,

• уровень общения в социальных сетях, на форумах, в X и др. Архитектура и алгоритмы соцсетей поощряют кликбейт, громкие высказывания, споры, использование «мемов» и прочий мусор, способный «завируситься». На некоторых платформах для этой цели даже искусственно ограничивают максимальный размер текста, видео и прочее — чтобы контент был как можно менее информативным и более вирусным. Например, в Х раньше был ограничен размер твитов, а в тиктоке ограничивают размер видеофильмов. Простой формат упрощает и ускоряет потребление контента. Чем ниже качество контента — тем ниже барьер для его усвоения, а значит, больше аудитория, что и требуется коммерсантам, которые получают прибыль от продукта. Из человеческого общения сделали коммерческий продукт. Все формы контента скатываются к уровню мемов.

• быстродействие софта (каждая новая версия практически любой программы и ОС тормознее и глючнее предыдущей),

• надёжность компьютеров, смартфонов и бытовой техники (современные смартфоны редко живут дольше нескольких лет, начиная безбожно тормозить),

• ...и т. д.

Список можно продолжать.

Всем привет! На связи Дмитрий Неверов, руководитель направления тестирования на проникновение в Бастионе. Мы профессионально ломаем системы безопасности компаний. Разумеется, с разрешения их владельцев. Расскажу кейс, за который я получил ачивку «Фаворит года по версии жюри» Pentest Awards 2025.

Представьте: крупная инфраструктурная компания с регулярными пентестами, серьезным бюджетом на ИБ и жесткими регуляторными требованиями. Казалось бы, что тут можно сломать? А мы взяли и получили права доменного администратора, начав путь с непривилегированной учетки сотрудника. И никаких бэкдоров или zero-day, только чистая работа с Active Directory.

Самое интересное — как несколько на первый взгляд безобидных настроек превратились в билет к полному контролю над доменом. Сейчас покажу всю цепочку от начала и до победного DCSync.

Основной объём трафика в вебе возникает из-за ботов. По большей части, эти боты используются для обнаружения нового контента. Это читалки RSS-фидов, поисковые движки, выполняющие краулинг вашего контента, а сегодня и боты ИИ, собирающие контент, чтобы скармливать его LLM. Но есть и зловредные боты. Их создают спамеры, скрейперы контента и хакеры. На моём прежнем месте работы бот обнаружил уязвимость Wordpress и встроил в наш сервер зловредный скрипт, а затем превратил машину в ботнет, используемый для DDOS. Один из моих первых веб-сайтов был полностью выдавлен из поиска Google из-за ботов, генерирующих спам. Мне нужно было найти способ защиты от этих ботов, поэтому я начал пользоваться zip-бомбами.

Абсолютно легальные инструменты за смешные деньги могут позволить вам: звонить всем активным клиентам ваших конкурентов, построить десяток эффективных мошеннических схем, или даже позвонить предполагаемому любовнику вашей девушки/жены, а заодно проверить где она была вчера вечером! Обнаружил я это в ходе одного из расследований утечек заявок клиентов. И я твердо уверен, что такого быть не должно. Инструмент использующийся в статье эффективнее всех утечек вместе взятых, нашими данными не должны так легко легально торговать практически в режиме онлайн. Можно найти любого и позвонить любому из нас. Почему и как это работает, какие риски это несет и как этому противодействовать?

Сегодня – к сути внутриигрового имущества.

И нам в этом вопросе поможет…налоговый спор, а именно спор Мэйл.ру против ФНС еще аж 2014 года.

Хотя может показаться, что дело это было давнишнее, и что в нашей совсем не (кхе) прецедентно-правовой стране судебная практика не может столь давняя иметь долгосрочные последствия....Но в действительно все совсем иначе, и в ходе налогового спора была сформулирована вполне себе четкая правовая концепция внутриигрового имушества.

Итак. Начало начало 2010-х годов. В редакции ст. 149 НК РФ, действовавшей до 31.12.2020, к операциям, не подлежавшим обложению налогом на добавленную стоимость, относились операции по реализации исключительных прав на (в том числе) программное обеспечение на основании лицензионных договоров. В том числе по этой причине (необложение НДС) под видом передачи исключительных прав могли реализовываться совершенно разные отношения.

В случае с делом Мэйл.ру против ФНС - отношения по приобретению внутриигрового имущества и улучшений игровых персонажей. Мэйл.ру являлось владельцем различных MMORPG, отношения с игроками регулировались типовым (для всех игр Мэйл.ру) лицензионным соглашением.

Игры от Мэйл.ру распространялись по модели free-to-play (кстати, в решении суда первой инстанции это все прям хорошо разобрано): за доступ к игре как таковой платить не требовалось. Но игрок в любое время, при желании, мог приобрести меч, или танк, или классный облик для персонажа.

Причем желающих было так много, что только по итогам только лишь II квартала 2014 выручка от продажи внутриигрового имущества составила 1 622 671 985 руб.: при огромной, многомиллионной посещаемости игр даже считанные проценты (обычно от 2 до 10%) конверсии приносили значительные средства.

Привет, Хабр! Это Денис Басковский. Я ведущий разработчик в МТС Медиа, в свободное от работы время путешествую. Сегодня расскажу, как решил покорить Эльбрус и что из этого получилось. Спойлер: счастливого финала с установкой флага на вершине не будет, с другой стороны, мы выжили — это тоже ничего!

Если у вас на машине стрелочка показывает, что у вас осталась половина бака, то у вас точно осталась половина бака? На самом деле больше, так как современные машины врут и топлива еще немного есть, даже когда стрелка на нуле - забота об альтернативно одаренных водителях. А если сервер показывает 50% cpu, то сколько ресурсов у нас осталось?

Для многих ответ ясен, и это не 50%. Поэтому извините, если многие вещи будут вам очевидны. А вот для менеджеров, например, которые планируют ресурсы, это может быть открытием.

Так исторически сложилось, что задача организации простого и понятного резервного копирования в мире PostgreSQL до сих пор не решена. Есть набор комьюнити утилит, у каждой из которых есть некие плюсы, но всегда в нагрузку будет прорва минусов (тут нет инкрементных копий, там нет внятного расписания, это может только весь сервер вместо конкретной базы увозить и так далее). Да, есть тяжёловесный энтерпрайзный софт за много денег, зачастую требующий странного и работающий по какой-то своей логике, но это тоже не панацея. А вот чтобы просто и понятно, без головных болей организовать прозрачный процесс банального бекапа с инкрементами, работающим расписанием и восстановления только того что надо - вот такого нет.

Но буквально на днях вышел PostgreSQL 17 и может там что-то изменилось? И да, и нет. Та самая мана небесная в виде pg_awesome_backup_tool так и не появилась, однако в релиз попал механизм walsummarizer, который обещает нативно отслеживать изменения в файлах баз данных, что позволит делать инкрементальные бекапы нативно и без лишних приседаний.

А чтобы не рассматривать новичка в вакууме, будем сравнивать его с ptrack - нашей (Postgres Professional) разработкой, которую наши любимые конкуренты уже расхватали в свои продукты и продают их как уникальнейшие решения.

Вот есть у вас сотня коммутаторов или маршрутизаторов. Это много или мало?

Ну вроде как мало. А если надо на всех разом нового сотрудника добавить? А потом удалить уволившегося? А потом поротировать скомпрометированные пароли и ключи?

И тут приходит служба безопасности, которая, во-первых, хочет централизованно контролировать, у кого какие доступы, во-вторых, актуальны ли они на железках, в-третьих, ещё и смотреть, кто что когда запускал, да ещё и разрешать или запрещать это делать («Просто продолжай, не останавливайся» © СИБ).

Ну вот совсем уже и не мало. Чувствуете, чем это пахнет? Даааа, TACACS-ом.

Сегодня мы разберём, как сделать аутентификацию и авторизацию на сетевом оборудовании на основе TACACS, сделать работу сервиса отказоустойчивой, обеспечить себе запасной ход на случай глобальных проблем и осчастливить безопасников.

Избавьтесь от YouTube Shorts в вашем браузере с помощью расширения Ublock Origin и ряда простых и незамысловатых шагов

Хочу поделиться своим опытом участия в программе баг-хантинга ГК Астра (да, да - именно той, которая недавно совершила каминг‑аут IPO) на платформе BI.ZONE Bug Bounty.

Быстрое освоение космического пространства столкнулось с проблемой, связанной с недостаточной эффективностью современных ракетный двигателей.

В качестве решения этой проблемы предложена концепция реактивного двигателя на новых принципах работы, использующий комбинацию известных физических законов и обладающий преимуществами перед известными типами реактивных двигателей.

Статья представляет собой результаты испытания трёх модификаций реактивных двигателей на новых принципах работы и их анализ. В статье рассмотрены физические принципы работы реактивного двигателя на новых принципах, его преимущества и проблемы, возникающие при его создании.

Начиная со вчера Роскмонадзор запрещает писать про инструменты для обхода блокировок, и это событие мы отметим очередной статьей про инструменты для обхода блокировок. Ибо не им указывать, на какие темы мне писать или не писать, пусть идут строем нафиг.

Сегодня я расскажу о замечательном инструменте под названием GOST. Не пугайтесь, он не имеет никакого отношения к ГОСТ-шифрованию или чему-то подобному, на самом деле это Go Simple Tunnel. Он действительно simple (простой) в использовании и настройке, но при этом невероятно мощный, поскольку поддерживает огромное количество протоколов и транспортов, из которых вы при желании сможете построить самые упоротые и бронебойные комбинации, а именно...

Я уже написал здесь много статей на тему прокси-протоколов и прокси-клиентов, которые очень сложно детектировать и заблокировать, и которые используют пользователи в Китае, Иране, Ираке, Туркменистане, и теперь вот в России (мы здесь в отличной компании, правда?). Но довольно часто мне в комментариях писали, мол, это все отлично, но мне нужен именно VPN для целей именно VPN - доступа в частные локальные сети, либо для соединения клиентов между собой, и желательно так, чтобы его не заблокировали обезьяны с гранатой. Поэтому сегодня мы поговорим именно о VPN.

Классические OpenVPN, Wireguard и IPSec отметаем сразу - их уже давно умеют блокировать и блокировали не раз. Модифицированный Wireguard от проекта Amnezia под названием AmneziaWG — отличная задумка, но есть одно но...