Необходимо войти или зарегистрироваться

Авторизация

Введите логин, email или номер телефона, начинающийся с символа «+»
Забыли пароль? Регистрация

Новый пароль

Авторизация

Восстановление пароля

Авторизация

Регистрация

Выберите, пожалуйста, ник на пикабу
Номер будет виден только вам.
Отправка смс бесплатна
У меня уже есть аккаунт с ником Отменить привязку?

Регистрация

Номер будет виден только вам.
Отправка смс бесплатна
Создавая аккаунт, я соглашаюсь с правилами Пикабу и даю согласие на обработку персональных данных.
Авторизация

Сообщество

Сообщество

Сообщество - Лига программистов

Лига программистов

67 постов 1 185 подписчиков
Полная информация
Правила сообщества

Опубликованы утилиты для DDoS-атак с применением Memcached

Wasswolle в Лига программистов

Одним из главных событий последних недель можно назвать мощнейшие DDoS-атаки, достигавшие мощности 1,7 Тб/сек за счет Memcached-амплификации. Теперь в сети были опубликованы PoC-утилиты для организации таких атак, а также IP-адреса 17 000 уязвимых серверов. Но практически одновременно с этим специалисты компании Corero Network Security сообщили, что нашли способ защиты.

Напомню, что злоумышленники научились использовать для амплификации DDoS-атак серверы Memcached, что позволяет усилить атаку более чем в 50 000 раз. Данный метод впервые был описан (PDF) в ноябре 2017 года группой исследователей 0Kee Team из компании Qihoo 360. Тогда эксперты предрекали, что из-за эксплуатации Memcached-серверов мы увидим DDoS-атаки мощностью вплоть до 2 Тб/сек.

Вновь о таком методе амплификации заговорили в конце февраля и начале марта 2018 года. Тогда компании Qrator Labs, Cloudflare, Arbor Networks и Qihoo 360 практически одновременно сообщили о том, что преступники действительно начали использовать Memcached для амплификации DDoS-атак, и отчитались от отражении атак мощностью 260-480 Гб/сек. Затем на GitHub обрушилась атака мощностью 1,35 Тб/сек, а также были зафиксированы случаи вымогательских DDoS-атак, тоже усиленных при помощи Memcached.

Эксплоиты

Сразу три proof-of-concept утилиты для организации DDoS-атак с амплификацией посредством Memcached были опубликованы в сети.

Первая утилита — это написанный на Python скрипт Memcacrashed.py, который сканирует Shodan в поисках уязвимых Memcached-серверов. Скрипт позволяет пользователю сразу же использовать полученные IP-адреса для усиления DDoS-атаки. Автором данного решения является ИБ-специалист, ведущий блог Spuz.me.

Опубликованы утилиты для DDoS-атак с применением Memcached IT, Ddos, Github, Длиннопост, Hack
Опубликованы утилиты для DDoS-атак с применением Memcached IT, Ddos, Github, Длиннопост, Hack
Опубликованы утилиты для DDoS-атак с применением Memcached IT, Ddos, Github, Длиннопост, Hack

Вторая утилита была опубликована на Pastebin еще в начале текущей недели, ее автор неизвестен. Инструмент написан на C и комплектуется списком из 17 000 IP-адресов, принадлежащих уязвимым Memcached-серверам. Скрипт запускает DDoS-атаку, используя адреса из списка для ее амплификации.

Опубликованы утилиты для DDoS-атак с применением Memcached IT, Ddos, Github, Длиннопост, Hack

К сожалению, невзирая на терабитные DDoS-атаки, количество уязвимых Memcached-серверов в сети убывает очень медленно. К примеру, известный исследователь и глава GDI Foundation Виктор Геверс (Victor Gevers) уже более двух лет пытается исправить сложившуюся ситуация, связывается с владельцами проблемных серверов и объясняет им, как обезопасить себя и окружающих.

«Очень жаль видеть, что после двух лет предупреждений DDoS-атаки все-таки начали происходить. Иногда очень не хочется оказаться правым, — рассказал Геверс журналистам Bleeping Computer. — Находить владельцев [уязвимых серверов], предупреждать их о рисках и заставлять действовать, это очень практически тщетно. Дело в том, что риска утечки данных нет, и люди зачастую вообще не отвечают на наши электронные письма.

Угроза мощных DDoS-атак никуда не исчезнет. Теперь, когда написаны PoC-решения и опубликованы готовые списки [уязвимых серверов], уже на следующей неделе нас ожидает значительный рост амплифицированных посредством Memcached атак».

Защита

Хочется надеяться, что мрачные предсказания Виктора Геверса не воплотятся в жизнь, ведь далеко не все ИБ-специалисты работали над PoC-утилитами для организации атак. Например, эксперты компании Corero Network Security искали возможные способы решения проблемы и сообщают, что им удалось найти «рубильник», способный прекратить Memcached-DDoS.

Еще неделю назад один из разработчиков Memcached предложил использовать для защиты от уже начавшихся атак команды flush_all и shutdown, которые жертва может отправить на серверы, с которых исходит DDoS.

For what it's worth, if you're getting attacked by memcached's, it's pretty easy to disable them since the source won't be spoofed. They may accept "shutdownrn", but also running "flush_allrn" in a loop will prevent amplification.

— dormando (@dormando) February 27, 2018

Этот совет оставался незамеченным вплоть до 7 марта 2018 года, пока специалисты Corero Network Security не опубликовали пресс-релиз, посвященный Memcached-атакам. Разработчики компании пишут, что их решение для защиты от DDoS-атак было обновлено и теперь содержит «стопроцентно эффективный» способ их пресечения. Как не трудно догадаться, специалисты взяли на вооружение совет разработчика Memcached, и используют flush_all, подчеркивая, что никаких минусов у данного метода просто нет.

Применить этот метод, в теории, может любая компания, даже если она не может позволит себе услуги специальных защитных сервисов. Достаточно создать скрипты, которые будут отсылать атакующим серверам команды shutdown и flush_all, заставляя те очистить кеш от вредоносных пакетов.

Также стоит отметить, что разработчики Memcached выпустили обновленную версию своего продукта, Memcached v1.5.6, в которой была исправлена уязвимость CVE-2018-1000115. Дело в том, что по умолчанию Memcached-серверы доступны через порт 11211, и именно эту особенность злоумышленники используют для амплификации атак. Своим исправлением разработчики изменили конфигурацию по умолчанию, отключив протокол UDP «из коробки».

Огласка в СМИ и патч, выпущенный разработчиками, похоже, делают свое дело. Так, специалисты компании Rapid7 сообщили, что количество уязвимых Memcached-серверов с открытым портом 11211 все же начало снижаться. По данным компании, 1 марта 2018 года их число равнялось 18 000, но уже 5 марта 2018 года оно снизилось до 12 000.

Похожую картину наблюдает и вышеупомянутый Виктор Геверс, о чем эксперт сообщил у себя в Twitter. Он пишет, что утром 8 марта 2018 года количество уязвимых серверов равнялось 107 431, согласно статистике Shodan, и постепенно продолжает снижаться.

Although there were 107,431 Memcached servers in Shodan this morning. The population Memcached is slowly but steadily shrinking. Servers which where vulnerable this morning are now closed 8 hours later. We still have a long way to go but progress is being made. pic.twitter.com/nqAFt4BAmG

— Victor Gevers (@0xDUDE) March 7, 2018

Показать полностью 4

C днём программиста

andreikooo в Лига программистов

День программиста — профессиональный праздник программистов, отмечаемый на 256-й день года. Число 256 (2^8) выбрано потому, что это количество чисел, которое можно выразить с помощью восьмиразрядного байта. И также это максимальная степень числа 2, которая меньше 365 (дней в году).


Этот день сегодня, 13 сентября. Поздравляю!

C днём программиста День программиста, С праздником, Демотиватор, Картинка с текстом, Тыжпрограммист

Первый день джуном (и последний)

ElPivo в Лига программистов

Всем привет, хочу поделиться своим первым опытом на позиции Junior программиста.
Пишет на днях HR: "Мы заинтересовались в вашем резюме, приходите на собеседование". Ну ок, заинтересовались и хорошо. Пришел. Вопросы были общие, немного по технологиям которые я использовал, по ЯП и что делал или умею делать, к слову опыта и пэт-проектов у меня нету. На собеседованиях, до этого, я был от силы пару раз. Длилось оно 45 минут, и оказалось это не так страшно как я думал. Удивительно то что в вакансии было указано только знание алгоритмов, структур данных и ЯП. Ну да ладно. Через пару дней пришел фидбэк и пообщавшись с работодателем я согласился на стажировку/испытательный срок (trainee), которые должны длиться 2-4 недели. А теперь собственно то что меня сподвигло написать данный пост.

На бэкенд проекта меня поставили одного. Проект - в будущем парсинг кучи сайтов, но на данный момент парсится только 2. Это всё дело разворачивается на AWS, используется Kafka (что это и зачем я так и не понял), для парсинга некоторых элементов используется Selenium, хранится все в Docker контейнерах, микросервисы (5 штук) на gRPC, БД - mongodb и около 4 сторонних библиотек. Задача состоит в том что б можно было запустить приложение локально или хотя бы минимизировать затраты на AWS путём выпиливания ненужных технологий  и замены нужных, на всё одна неделя.

Человек который писал проект до меня (а писал это точно не джун) уволен, проект, на сколько я понял, никто кроме него не знает. И весь мой первый день состоял в том что я сидел, читал документацию и читал про эти технологии. К слову документации на весь проект 100 строк  и примерно столько же строк комментов в коде, всего кода в проекте 14000 строк. Возможно мне не показалось бы это таким сложным при наличии менторства, но его не было.
Я имею представление о 30% от стэка технологий (который естественно на собеседование никто мне не сообщил). Так что вечером, после этого всего, подумал и решил, что больше туда не вернусь. Действительно ли джуны и стажеры должны заниматься такими вещами или мне просто "повезло"?

Python - безобидная змея. Часть 1

acush193 в Лига программистов

Данный пост открывает целый обзорный цикл о языке программирования Python.

Цикл ориентирован на людей, которые не знакомы с программированием (или слабо знакомы) и хотят окунуться в этот мир греха и разврата творческой реализации личности.

Python - безобидная змея. Часть 1 Программирование, Программирование на python, Python, Dev, Видео, Длиннопост, Лига программистов

Поехали!


Python (питон) - достаточно молодой язык программирования, появившийся в 91-м году двадцатого века. Своему появлению он обязан выдающемуся нидерландскому программисту Гвидо ван Россуму, который успел поработать в Google и Dropbox.

Python - безобидная змея. Часть 1 Программирование, Программирование на python, Python, Dev, Видео, Длиннопост, Лига программистов

Примечательно, что у языка есть своя философия - "Дзен Питона":

Красивое лучше, чем уродливое.
Явное лучше, чем неявное.
Простое лучше, чем сложное.
Сложное лучше, чем запутанное.
Плоское лучше, чем вложенное.
Разреженное лучше, чем плотное.
Читаемость имеет значение.
Особые случаи не настолько особые, чтобы нарушать правила.
При этом практичность важнее безупречности.
Ошибки никогда не должны замалчиваться.
Если не замалчиваются явно.
Встретив двусмысленность, отбрось искушение угадать.
Должен существовать один — и, желательно, только один — очевидный способ сделать это.
Хотя он поначалу может быть и не очевиден, если вы не голландец[11].
Сейчас лучше, чем никогда.
Хотя никогда зачастую лучше, чем прямо сейчас.
Если реализацию сложно объяснить — идея плоха.
Если реализацию легко объяснить — идея, возможно, хороша.
Пространства имён — отличная штука! Будем делать их побольше!

- написанная Тимом Петерсом.


Из текста, приведенного выше становится понятно, что люди, занятые разработкой и развитием языка стремятся к минимализму и синтаксической простоте кода.

Ниже приведу цитату из статьи stokito о синтаксисе питона в сравнении языков программирования:

Читабельность хорошая — издалека вообще со стихами Маяковского можно спутать.

Действительно, если сравнивать одни и те же строки кода (пресловутая "хелловорлд"), написанные на Java и Python:

Java:

class HelloWorld {

public static void main(String[] args) {

System.out.println("Hello, World!");

}

}

Python:

print("Hello, World!")

... становится ясно, что Python требует гораздо меньшего количества строк кода, чем Java, чтобы выполнить одно и то же действие.


Также примечательно, что питон для структурирования кода использует не фигурные скобки, как большинство языков программирования, а отступы. Первоначально, у людей, которые долгое время писали, скажем, на C# при переходе на питон, возникает недоумение - как группировать блоки кода? Но со временем человек привыкает к этому удобству нового изучаемого языка.


Т.к. я сам только недавно пришел к питону, предлагаю и вам опробовать себя в написании простенькой программы на Python, рассмотренной выше - Hello, World!.


В поисках материалов для изучения языка я наткнулся на очень любопытный инструмент, позволяющий без лишних телодвижений опробовать свои силы в программировании. Перейдя по ссылке - Python online, мы увидим следующую картину:

Python - безобидная змея. Часть 1 Программирование, Программирование на python, Python, Dev, Видео, Длиннопост, Лига программистов

Здесь все очень просто: слева пишется код, справа - выводится результат выполнения нашего кода.

Пишем:

print("Hello, World!")

жмем run и восторгаемся!

Python - безобидная змея. Часть 1 Программирование, Программирование на python, Python, Dev, Видео, Длиннопост, Лига программистов

В конце первой части обзорного цикла, стоит отметить, что Python одинаково хорош как для обучения программированию, так и для написания больших серьезных проектов. Python используют в таких крупных компаниях, как: Google, Facebook, Yahoo, NASA, Red Hat, IBM, Instagram, Dropbox, Pinterest, Quora, Яндекс, Mail.Ru.


Также стоит глянуть приведенное ниже видео, в котором достаточно опытные люди высказывают свое мнение о своем любимом языке программирования.


Настоятельно рекомендую поэкспериментировать с арифметическими операциями в рассмотренном интерпретаторе команд языка Python - repl.it.


На этом первая часть подходит к концу.

Спасибо всем, кто дочитал!

Показать полностью 2 1

Критическая уязвимость во всех версиях Drupal

Dendroud в Лига программистов
Страшилок подкину друпаллерам  пятничным вечером :)

В общем найдена дыра в ядре, дающая полный доступ к сайту. Эксплойтов пока вроде бы нет, но настойчиво рекомендуют обновиться прям вот сейчас и немедленно до версий Drupal 8.5.1 ( Drupal 7.58 для семерки)


Собственно инфа https://www.drupal.org/SA-CORE-2018-002


Ну и куда же без этой картинки?

Критическая уязвимость во всех версиях Drupal Drupal, Сайт, Php, IT, Уязвимость сайта, Уязвимость

Выпущена  стабильная версия PeerTube — федеративного видео-хостинга

leninkpss в Лига программистов

Грубо говоря теперь вы можете замутить свой серве  с блекджеком и понями и включить его в  сеть с другими серверами.  Подобным образом работает социальная сеть  Mastodon


В течение девяти месяцев сообщество и некоммерческая организация Framasoft трудились над разработкой и теперь рады представить первую стабильную версию PeerTube — федеративного видео-хостинга, использующего стандартизированный W3C протокол ActivityPub и написанный на веб-технологиях с помощью NodeJS.


За время существования проект успел организовать успешную краудфандинг-кампанию по сбору средств на разработку и построить сеть из нескольких сотен экземпляров независимых серверов, поддерживаемых сообществом.


Из особенностей программы можно отметить:


Простой веб-интерфейс, построенный на фреймворке Angular и способный адаптироваться под размер экрана пользователя, что делает его пригодным для использования на мобильных устройствах;


Веб-плеер с использованием технологии WebTorrent, распределяющий нагрузку при просмотре видео, раздавая его между пользователями путём P2P или напрямую с сервера, если раздающих нет;


Поддержка субтитров, тегов, поиска и фильтров, плашки «NSFW» и последующего цензурирования превью, нескольких каналов для одного пользователя, отображения рекомендуемых и популярных видео;


Подписка на канал или пользователя с помощью ActivityPub, RSS и JSON-ленты, комментирование и взаимодействие (лайк, репост) помощью любой ActivityPub-совместимой сети (Mastodon и Pleroma);


Формирование федеративной ленты видео с помощью подписок сервера на другие сервера, а также возможность кэширования видео между серверами для достижения отказоустойчивости и максимальной доступности;


Загрузка видео напрямую, с помощью torrent-файла, magnet-ссылки и ссылки на любой ресурс, поддерживаемый youtube-dl



Найдено 

https://www.linux.org.ru/news/opensource/14528270

Показать полностью

Ищу ментора по Python

Volha1313 в Лига программистов

Привет! Недавно начала учить Python и хотела бы найти ментора.
Подсказки, на каких сайтах можно найти репетитора, тоже приветствуются. Коммент для минусов внутри.
P.S.: Кот не мой, нагло скопирован из инета в целях привлечения внимания :)

Ищу ментора по Python Python, Лига менторов, Помощь, Без рейтинга

Лига программистов, квест для сильных

chpoonk в Лига программистов

Ребята, очень верю в вашу помощь. Ситуация следующая. Нахожусь в жопе мира, уехал специально для написания книги. В первый же день сгорел ноут. После поисков на руках оказался старичок ASUS

Лига программистов, квест для сильных Помощь, Компьютерная помощь, Компьютер, Windows XP, Windows, Длиннопост, Без рейтинга

Интернет только телефонный, андроид Redmi 4x. Ситуация следующая. Драйверов на компе нет, не могу подключить телефон ни через USB, ни через WIFI. Единственное, что смог понять, так это то, что для того, чтобы на этого старичка скачать Ворд и иметь доступ к облаку для сохранения всего текста, мне нужен драйвер для адаптера ASUS 802.11g.

Лига программистов, квест для сильных Помощь, Компьютерная помощь, Компьютер, Windows XP, Windows, Длиннопост, Без рейтинга

Самый гвоздь в том, что этот драйвер я могу перенести на комп только с помощью передачи фотографий, путем переименования файлов в jpg и обратно на данный агрегат, так как даже накопитель не читается, комп пишет, что нужны драйвера. Почти сутки пробовал трахаться с интернетом, но интернет в итоге так и оттрахал меня.

Я очень прошу, если у кого-то есть время, помогите с файлом этого драйвера и инструкцией, как можно осчастливить интернетом этого дедулю поскорее, я не останусь в долгу. Ноут заказал, но неизвестно, когда он придет.

Сам не понимаю в компах, если что-то нужно сфотографировать или посмотреть, отпишите в комментариях, я не разбираюсь совсем.

Скачал несколько драйверов, перенес, выдают ошибку, типа не поддерживает систему WHT_5.1H

для минусов добавил, забыл

Показать полностью 1

Целесообразность обучения программированию

ZoR69Rus в Лига программистов

Всем привет, друзья!
У прожженых программистов хочу узнать: стоит ли сейчас учиться каким-либо языкам программирования?
Хочу начать учиться пайтону на гикбрейнс.
Пока даже не знаю, чего от них ждать и стоит ли доверять деньги данному ресурсу)
Скажите, как сейчас с трудоустройством?
Есть ли смысл работать на кого-то или лучше уйти во фриланс?
Спасибо за понимание и ваши советы:)

Прошу помощи, не срабатывает .bat

omgHyde в Лига программистов

Задача простая, но у меня не срабатывает батник из планировщика заданий.
Я не программист и реальных знаний и практики в этом деле не имею, но по работе очень нужно решить эту задачу.

Задача в том, что нужно удалять старые (3х дневные файлы) из определенной папки, как только они устареют.


Скрипт в Windows PowerShell ISE его содержание:  (файл tt.ps1)

$Now = Get-Date

$Days = "3"

$TargetFolder = "C:\test"

$Extension = "*.txt"

$LastWrite = $Now.AddDays(-$Days)

$Files = Get-Childitem $TargetFolder -Recurse | Where{$_.LastWriteTime -le "$LastWrite"}

foreach ($File in $Files)

{

if ($File -ne $NULL)

{

write-host "Deleting File $File" -ForegroundColor "DarkRed"

Remove-Item $File.FullName | out-null

}

else

{

Write-Host "No more files to delete!" -foregroundcolor "Green"

}

}


Содержание BAT файла:


%SystemRoot%system32windowspowershellv1.0powershell.exe -command “c:tt.ps1”

Запуская сценарий  tt.ps1 из Windows PowerShell ISE, файлы удаляет.

Запуск батника этого не делает.
Путь в батнике к PowerShell верный, проверял не раз


Windows 10.


Прошу помощи, заранее благодарю.

Для минусов внутри.

Прошу помощи, не срабатывает .bat Без рейтинга, Лига программистов, IT, Удаление файлов, Тыжпрограммист

В таком состоянии уже 4й час)

Показать полностью 1

Небольшая головоломка времён ламп и первых транзисторов.

Stalker17 в Лига программистов
Для любителей решать головоломки вот небольшая головоломка в стиле инженеров полувековой давности. Пусть есть два устройства A и B . Устройство A выдаёт "1" если на входе 1 и входе 2 одновременно тоже единица. В противном случае она на входе выдаёт 0 . Достоверное значение на выходе получается через 1 такт. Устройство B выдаёт "1" если на вход 1 подаётся "0", а на вход 2 подаётся "1". Устройства считаются идеальными - не требуют повторителей и т.д. Допустим у нас есть 2 входных провода a0 и b0. Мы ходит перемножить a0*b0 , понятно, что подключаем эти два провода к устройству A и на выходе получаем результат перемножения. За 1 такт. Теперь вопрос в студию. Пусть есть два двухбитных числа, которые подаются по проводу a0 ,a1 и b0,b1 , на выходе у нас провода c0,с1,с2,с3 (ну допустим c3 младший разряд, а с0 - cтарший, но кому удобнее может и наоборот). Комбинируя провода и устройства A,B нужно получить результат вычисления за наименьшее количество тактов(число устройств не ограничено , но лучше меньше). Головоломка где-то на полчаса , если не подсматривать в учебники, интернет и т.д.

Книги по изучению C#

Beijo2908 в Лига программистов

Всем привет.
Наверно сейчас закидаете меня помидорами и ведрами помоев узнав что я к вам пришел из Arduino.
Да, да. Я начал свои познания программирования с Arduino и не стыжусь этого. Но, благодаря этой доступной платформе, я немного вошёл в сферу программирования не останавливаясь на мигании светодиодами и "Hello World".
Теперь я хочу большего!
Взвесив все "За" и "Против" я выбрал язык С#. Не буду объяснять почему, всё индивидуально и имхо. Прошу не отправлять меня смотреть в сторону - выбор мной сделан.
Подскажите, какие хорошие книги можно почитать на начальном этапе? В инете книг много, но какие-то из них полезные, а какие-то не очень...
В сфере Arduino мне понравились книги Виктора Петина. Да, там есть к чему прикопаться, но лучшего варианта я не видел.

Отличная работа, все прочитано!