Thursday, 24 September 2020

Наш нежный VirtualBox.

Всем привет.

Быстренько поменяв очередную железку и восстановив по памяти все свои тулзы я уже было заварил кофе, но меня ожидал подвох со стороны VirtualBox - на первой же ВМ ошибка запуска E_FAIL 0x80004005. Потыкав мышкой туда сюда, подозрительно посмотрев на грозное сообщение я обнаружил что любая ВМ валится с таким же сообщением. Это меня малость успокоило.


Беглый обзор в сети показал что, как правило, Virtualbox вылетает с ошибкой E_FAIL 0x80004005 из-за того, что программе по какой-то причине не удалось сохранить состояние вашей виртуальной машины в файл с расширением .vbox. Причин, почему это произошло – множество. Например, он мог быть поврежден или использован во время сохранения состояния для какой-то иной цели. В общем, VirtualBox попытался загрузить состояние ВМ из vbox-файла, но ничего не вышло и он выдал ошибку. Однако, стоит заметить, что ошибка виртуальной машины E_FAIL 0x80004005 могла возникнуть также из-за ряда других причин: конфликтующее с VirtualBox обновление для операционной системы, отключенная функция виртуализации в BIOS или нестабильная версия самой программы VirtualBox. И т.п.

Поскольку я переносил ВМ со старого ПК то в состоянии самих файлов vbox и vdi был уверен на 99%. Поэтому я решил проверить окружение.

Что я проверял? Прежде всего убедитесь что в Windows 10 отключены опции "Hyper-V" и "Песочница". Увы,  но Virtualbox до сих пор (версия 6.0.12)  с ними не совместима. Далее проверьте что ваш антивирусник не блокирует Virtualbox. Убедитесь что служба "VirtualBox system service" работает нормально. Убедитесь что в BIOS вашего ПК включена поддержка виртуализации. Однако даже после всего этого ошибка оставалась. И тут я обратил внимание что мой антивирусник хочет фокусировать мое внимание на чрезмерной активности предустановленного фирменного софта от НР - НР Sure Sense. Рядом с ним были размещены еще пять софтин, которые идут в комплекте. Так как у меня был другой антивирусник, то я сделал выбор в пользу первого и решил снести  НР Sure Sense.

И ура, моя VirtualBox ожила. Таким образом, я получил ситуацию когда искусственный интеллект для обнаружения вредоносных программ от НР перестарался.

Успехов.

Monday, 21 September 2020

SSH-клиент и РРК-файл.

Всем привет.

Очевидно что работая с удаленным доступом с серверами которые ближе, или которые в облаках всегда нужно вводить свой пароль админа. Но это не есть хорошо. Лучше один раз создать SSH-пару ключей и использовать их в дальнейщей работе. 

Ключи создаются просто. При этом в ваше распоряжение попадает приватный ключик в виде РЕМ-файла. PEM - наиболее популярный формат среди сертификационных центров. PEM сертификаты могут иметь расширение .pem, .crt, .cer, и .key (файл приватного ключа). Он представляют собой ASCII файл, закодированный по схеме Base64. 

Однако  популярные SSH-клиенты Putty, и WinSCP, любят другой формат открытого ключа который отличается от формата OpenSSH. Он называется РРК.

Нет проблем чтобы преобразовать файл .pem в .ppk-файл с помощью инструмента командной строки puttygen:

$ puttygen keyfile.pem -O private -o Maxkey.ppk

Для открытого ключа:

$ puttygen keyfile.pem -L

После надо обязательно в самом SSH-клиенте Putty, илиWinSCP,  или MobaXTerm  указать путь к новому файлу ключа. Сам он его не найдет.





На этом все.

Sunday, 13 September 2020

Блогу 10 лет!

Всем привет!

Сегодня заметка будет ни о чем. Другими словами о моем Блоге, нам сегодня ровно 10 лет! 

Ровно 10 лет тому я нечаянно написал свой первый пост, пост про кинематограф. Не могу вспомнить что меня натолкнуло на тему поста и почему я для этого создал блог. Но так было. Факт имеет место быть.

Что самое ценное за эти десять лет? Я его не бросил. Это самое ценное и это удивительно. Ибо он не является моим, прямо скажем, основным хобби, но идей, желаний их внедрить и материала для него у меня хватает до сих пор.

За 10 лет я написал 900 постов. Хм, надо было бы еще сотню накинуть, но я не гоняюсь за показателями. На эту неполную тысячу постов пришло более 700 тысяч читателей. Могло быть и больше, но чуть ранее я закончил заниматься активным SEO. Т.е. мой блог живет чисто на индексации новых постов.

Спасибо всем кто меня до сих пор читает, два раза спасибо тем кто мне еще и вопросы задает. 

Спасибо и тебе мой Блог что держишь меня в тонусе и заставляешь систематически заглядывать в нечто новое. Обещаю и дальше поддерживать тебя и, ествественно,  себя в актуальной форме.

С праздником тебя и до следующего юбилея в 2030-м!

Saturday, 12 September 2020

Утилита BGinfo - помощник администратора.

Всем привет! 

Суметь выудить у пользователя нужную информацию по его проблеме непросто. Сегодня я вам подскажу как улучшить взаимодействие между пользователем и специалистом технической поддержки или системным администратором. Самое ценное для нас это знать где эта проблема обитает, т.е. на каком хосте. Да, можно начать с ФИО пользователя которое он часто не сообщает, далее пройтись в AD, там найти его учетку сопоставить с IP-адресом и т.п. Долго! Много движений мышкой, а рука может быть занятой трубкой телефона, пользователи ведь так любят чтобы  с ними говорили голосом...

Решение есть - популярная утилита BGinfo.

BGInfo - это маленькая утилита входящая в состав всем известного пакета Sysinternals от Марка Русиновича. Как вы поняли в ее задачи входит отображение на рабочем столе, некой полезной системной информации.

Сколько раз вы заходя в систему на своем рабочем компьютере получали ситуацию, что вам нужно было щелкнуть несколько диагностических окон, чтобы раскрыть его DNS имя, IP-адрес или версию операционной системы? Если таких компьютеров за сотню то вам нужен BGInfo. Он автоматически отображает соответствующую информацию о компьютере Windows на фоне рабочего стола, такую как имя компьютера, IP-адрес, версия пакета обновления, размер дисков, любые другие WMI данные и т. д. Вы можете редактировать любое поле, шрифт и цвета фона, можете поместить его в папку автозагрузки, чтобы он запускал каждую загрузку, или даже настроить его для отображения в качестве фона для экрана входа в систему. Поскольку BGInfo просто записывает новое настольное растровое изображение и завершает работу, вам не нужно беспокоиться о том, что он потребляет системные ресурсы или мешает другим приложениям.

Думаю достаточно рекламы. Как ее внедрить в систему показано здесь и и здесь.

Friday, 11 September 2020

Система обнаружения вторжений и Scapy.

Всем привет.

Продолжим, сегодня пощупаем  cистему обнаружения вторжений с помошью Scapy.

Система обнаружения вторжений (IDS) - очень ценный инструмент в руках грамотного налитика. Сетевая система обнаружения вторжений (NIDS) может анализировать трафик в реальном времени за счет регистрации пакетов в IP-сетях. Путем сопоставления пакетов на базе известного набора вредоносных сигнатур IDS может предупредить сетевого аналитика про атаку, прежде чем она произойдет. Например, система SNORT IDS поставляется со множеством различных правил, способных обнаруживать разные типы эксплоитов и атак типа "отказ в обслуживании" среди большого разнообразия других векторов атак. Изучив содержимое одного из этих правил, мы можем увидеть четыре признака обнаружения TFN, tfn2k и Trin00. Когда злоумышленник использует TFN, tfn2k или Trin00 против цель, IDS обнаруживает атаку и предупреждает аналитика. Однако что происходит когда аналитики получают больше предупреждений, чем они могут физически обработать? Они теряют свою сноровку и могут упустить важную деталь атаки.

victim# cat /etc/snort/rules/ddos.rules

<..SNIPPED..>

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS TFN Probe";

icmp_id:678; itype:8; content:"1234"; reference:arachnids,443;

classtype:attempted-recon; sid:221; rev:4;)

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS tfn2k icmp

possible communication"; icmp_id:0; itype:0; content:"AAAAAAAAAA";

reference:arachnids,425; classtype:attempted-dos; sid:222; rev:2;)

alert udp $EXTERNAL_NET any -> $HOME_NET 31335 (msg:"DDOS Trin00

Daemon to Master PONG message detected"; content:"PONG";

reference:arachnids,187; classtype:attempted-recon; sid:223; rev:3;)

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS

TFN client command BE"; icmp_id:456; icmp_seq:0; itype:0;

reference:arachnids,184; classtype:attempted-dos; sid:228; rev:3;)

<...SNIPPED...>

Версия на печать

Популярное