Июнь 2014 —

Система мониторинга Zabbix действительно очень мощная и гибкая, но, к сожалению, далеко не все аспекты для отслеживания доступны из стандартных коробочных шаблонов. Таким образом, моя фантазия с треском разбилась об стену отсутствия штатных инструментов мониторинга температур в Windows.

столкнулся с популярной утилитой SpeedFan, которая умеет собирать данные о температуре устройств, скорости вентиляторов, напряжений. Но получить от неё готовые к обработке данные без установки еще одной утилиты нет возможности. Плюс ко всему они не open source и требует активации компонента SNMP протокола. Вывод: попробовать на windows сервере без IMPI можно, но как вариант массового распространения в сети – не годен. Дальнейший поиск навел на программы hwmonitor и aida64 — монстры, крупногабаритные и платные.

OpenHardwareMonitor

Уже почти отчаявшись, зацепился за короткое сообщение на англоязычном форуме zabbix. Рекомендовали небольшую open source утилитуOpenHardwareMonitor — она имеет графический интерфейс и умеет считывать температуру устройств с датчиков. И самое главное её автор, по просьбе трудящихся написал консольную версию(последняя версия 28.10.2012), выводящую информацию в готовой для обработки форме.

Версия с GUI:

Версия с GUI


Консольная версия:

Консольная версия


Консольная версия состоит из двух файлов, exe исполняемого файла и dll библиотеки.

  • OpenHardwareMonitorReport.exe
  • OpenHardwareMonitorLib.dll


Где брать данные мы поняли, теперь нужно наладить поставки значений показателей Zabbix серверу.

Настройка сервера

Для начала на сервер для узла сети добавим новый элемент данных:

Новый элемент данных


Назовем его: CPU Temperature. (Температура процессора)

Тип: Zabbix агент
Ключ: Temperature.CPU[0]. (Название не принципиально, главное чтобы с конфигом агента совпадал).
Интерфейс узла сети: ip\dns. (Узел, который будем мониторить).
Тип информации: Числовой (целое положительное)
Тип данных: Десятичный

Интервал обновлений (в сек): 3600. (На скриншоте стоит 10 сек, для временной проверки).

На сервере закончили, переходим к конфигурации клиента.

Настройка клиента

Нестандартные данные мы будем отправлять через Zabbix agent в конфиге(zabbix_agentd.conf) которого предусмотрены так называемые пользовательские параметры – UserParameters вида:

UserParameter=ключ[*],команда 


Команда, через которую мы получим значение, обрабатывается на стороне клиента. Zabbix сервер будет получать ключ с присвоенным ему значением. В статье имеется в виду, что агент у вас уже установлен в виде службы и дружит с сервером.

В конец конфиг файла агента добавляем:

UserParameter=Temperature.CPU[*], C:\OpenHardwareMonitor\CPUTemperature.bat 


CPUTemperature.bat — написанный мной batch файл который вытаскивает из OpenHardwareMonitor, среднюю температуру по процессору. В программе эта строка называется CPU Package.

В C:\OpenHardwareMonitor лежат 3 файла:

  • OpenHardwareMonitorReport.exe
  • OpenHardwareMonitorLib.dll
  • CPUTemperature.bat


Содержимое CPUTemperature.bat


Скрипт возвращает значение в виде десятичного числа.

После этого изменения конфиг файла и размещения всех файлов и скриптов, перезагружаем службу zabbix agent.

Начинаем получать значения на сервер:

График


Заключение

Решена задача по извлечения температуры CPU. По той же схеме можно получить температуру GPU. Но по-прежнему остро стоят вопросы определения скорости работы вентиляторов, напряжения на бп, а так же вопрос есть ли способ проверки состояния северного и южного мостов.

Появилось еще одно решение для организации тонких клиентов

http://opensourceclient.org/

Так случилось, что в нашей компании использование как дял своих так и для нужд обслуживаемых компаний доменной структуры считается дурным тоном и по факту запрещено. Причин тому было много. Периодически мы возвращаемся к возможности  попытаться сдружиться с этой " КотоВасией" ибо привлекает возможность использования LDAP сервера для создания единого пространства логинов в разные службы и системы.  Однако, всегда что-то мешает...

Вот сегодняшняя "капелька дегтя"  - 

Реинкарнация NTLM-relay или как стать администратором домена за 1 минуту

Данный пост является логическим продолжением исследований, начатых в тыц и тыц.

В первом посте я писал о старом добром SMB Relay в контексте современных условий эксплуатации.
Второй пост затрагивал новую технику под названием SMB Hijacking с помощью которой можно выполнить код даже если исходящая SMB сессия использует Kerberos.

В этот раз речь пойдет об очередной технике, в основе которой лежит классический NTLM Relay.

Ничего принципиально нового в ней нет, она отличается от SMB Relay только сервисом на который проводится перенаправление данных, но по силе воздействия эта техника невообразимо превосходит своего прародителя.

Как вы помните, в доменной сети контроллер защищен от SMB Relay достаточно простым и эффективным механизмом под названием SMB Signing, поэтому перенаправление на DC в качестве third-party host невозможно. Проблема в том, что одна из центральных систем домена Active Directory, которая снаружи выглядит как LDAP сервер, по-умолчанию не требует обязательной подписи пакетов при удаленном сетевом взаимодействии! Мягко говоря это довольно откровенный бекдор в системе, оставленный по непонятной причине. Либо это сделано намеренно для обратной совместимости, либо сотрудники Microsoft посчитали, что раз нет рабочих эксплойтов, то нет и повода для беспокойства.

Отсутствие инструментов для проведения NTLM релея на LDAP (Active Directory) тоже не совсем понятно. Вектор достаточно очевидный, но освещен крайне скудно, возможно исследователи просто не могли подумать, что контроллер домена может быть настолько беззащитным в конфигурации по-умолчанию.

В 2012 году на конференции Blackhat некий Zack Fasel представил свой инструмент под названием ZackAttack. Среди заявленного функционала значился и релей на LDAP. Несмотря на довольно сырую, но местами рабочую реализацию, главной заслугой Zack'а, лично для меня, стало не создание инструмента, а как раз упоминание об отсутствии обязательной подписи пакетов при работе с Active Directory. Прошло довольно много времени, прежде чем у меня дошли руки заняться этой темой, но это случилось и рабочая реализация атаки появилась в Intercepter-NG.

Для проведения атаки требуется одно единственное условие: необходимо знать за каким компьютером в данный момент работает действующий администратор домена. Атакующему даже необязательно быть членом домена, достаточно просто подключиться к сети. Как и в случае других атак, для ускорения действий в трафик атакуемого инжектится ссылка на псевдо-веб службу Intercepter'а, которая затребует NTLM авторизацию. Во время web-серфа атакуемый автоматически и незаметно для себя отправит аутентификационные данные, которые затем будут перенаправлены на Active Directory. В результате атаки будет создан новый пользователь с правами Domain Admins.

Атака успешно протестирована на серверных ОС Windows 2003 и 2008R2, но так же должна работать и на Windows 2012, т.к. политика «Domain controller: LDAP server signing requirements» аналогичным образом установлена в none по-умолчанию.



Самостоятельно опробовать проведение атаки можно будет с выходом новой версии Intercepter-NG, который запланирован на осень.

Компания Microsoft выпустила серию обновлений для своих продуктов, которые исправляют 66 уникальных уязвимостей в продуктах Windows, Internet Explorer и Office. Два исправления имеют статус Critical и еще четыре Important. Критическое обновление MS14-035 исправляет рекордные в этом году 59 уязвимостей во всех версиях браузера Internet Explorer 6-11 на всех поддерживаемых ОС. Это обновление также исправляет нашумевшую в прошлом месяце 0day уязвимость CVE-2014-1770 в IE8. Исправляемые уязвимости относятся к типу Remote Code Execution и позволяют злоумышленнику выполнить произвольный код через уязвимую версию браузера. Для применения MS14-035 нужна перезагрузка.



Критическое обновление MS14-036 адресуется для всех поддерживаемых ОС, начиная с Windows Server 2003 и заканчивая Windows 8.1 / RT 8.1. Оно также затрагивает некоторые версии Office 2007-2010. Исправляемая RCE-уязвимость CVE-2014-1817 содержится в компоненте Unicode String Processor и может быть использована атакующими для доставки вредоносного кода в систему через веб-страницу. Другая уязвимость CVE-2014-1818 присутствует в библиотеке gdi32.dll (Windows GDI+) и позволяет злоумышленникам удаленно исполнить код через специально сформированный файл изображения. Для применения исправления требуется перезагрузка. Exploit code likely.

MS14-034 исправляет одну Remote Code Execution уязвимость CVE-2014-2778 в Microsoft Word версии 2007. Атакующие могут выполнить произвольный код в системе через специальным образом сформированный файл MS Word (Embedded Font Vulnerability). Уязвимость содержится в файлах winword.exe и wwlib.dll. Exploit code likely.

Важное обновление MS14-033 исправляет одну Information Disclosure уязвимость CVE-2014-1816 в компоненте XML Core Services (MSXML) для всех поддерживаемых ОС. Злоумышленники могут получить интересующую их информацию (личную информацию пользователя) через специальным образом сформированную веб-страницу, которая содержит элемент управления MSXML. Exploit code unlikely.

Важное обновление MS14-032 исправляет одну Information Disclosure уязвимость CVE-2014-1823 в MS Lynk Server 2010-2013. Exploit code unlikely.

Важное обновление MS14-031 исправляет одну Denial of Service уязвимость CVE-2014-1811 в подсистеме реализации протокола TCP (драйверы Fwpkclnt.sys и Tcpip.sys). Злоумышленник может спровоцировать зависание ОС Vista+ через отправку большого количества специальным образом сформированных сетевых пакетов. Exploit code unlikely.

Важное обновление MS14-030 исправляет одну уязвимость CVE-2014-0296 типа Tampering в компоненте RDP для Windows 7 и Windows 8/8.1. Атакующие могут успешно провести атаку Man-in-the-Middle и получить доступ к информации (для чтения или модификации), проходящей между сервером и клиентом в сессии RDP (RDP MAC Vulnerability). Exploit code unlikely.

1 – Exploit code likely
Вероятность эксплуатирования уязвимости очень высока, злоумышленники могут использовать эксплойт, например, для удаленного выполнения кода.

2 – Exploit code would be difficult to build
Вероятность эксплуатирования средняя, поскольку злоумышленники вряд ли смогут добиться ситуации устойчивого эксплуатирования, а также в силу технической особенности уязвимости и сложности разработки эксплойта.

3 – Exploit code unlikely
Вероятность эксплуатирования минимальная и злоумышленники вряд ли смогут разработать успешно работающий код и воспользоваться этой уязвимостью для проведения атаки.

Мы рекомендуем нашим пользователям установить обновления как можно скорее и, если вы еще этого не сделали, включить автоматическую доставку обновлений с использованием Windows Update (по-умолчанию такая возможность включена).



Компания Adobe выпустила набор исправлений APSB14-16 для Flash Player. Эти обновления закрывают шесть Critical уязвимостей, три из которых: CVE-2014-0531, CVE-2014-0532, CVE-2014-0533 могут позволить злоумышленнику выполнить атаку типа XSS (cross-site-scripting). Еще две исправляемых уязвимости CVE-2014-0534 и CVE-2014-0535 относятся к типу Security Feature Bypass. Уязвимость CVE-2014-0536 позволяет злоумышленникам удаленно выполнить код в системе.

Такие браузеры как Internet Explorer (10 & 11 на Windows 8/8.1 через Windows Update) и Google Chrome обновляют свои версии Flash Player автоматически. Для IE см. обновляемое Security Advisory 2755801. Проверить вашу версию Flash Player можно здесь.

Актуальные версии Flash Player для браузеров выглядят следующим образом.



image

Здесь я опишу настройку Redmine для отправки почты через свой почтовый сервер.

Redmine настроен на сервере Linux Debian 6 через mod_passenger веб-сервера apache2

В зависимости от вашей инсталляции редактируем файл /etc/redmine/default/email.yml (Debian, из пакетов) или /usr/share/redmine/config/email.yml (смотрите, не перепутайте, типа как я - и парился, почему ж оно не вхавывает новые настройки... :) ) и прописываем настройки, заменив адреса и т. д. на свои:


production:
delivery_method: :smtp
smtp_settings:
address: 192.168.1.2
port: 25
domain: mydomain.com
authentication: :plain
user_name: "redmine@mydomain.com"
password: "Password"

development:

delivery_method: :smtp
smtp_settings:
address: 192.168.1.2
port: 25
domain: mydomain.com
authentication: :plain
user_name: "redmine@mydomain.com"

password: "Password"


Пониженные тарифы страховых взносов в государственные внебюджетные фонды для российских ИТ-компаний составляют 14%.
✔ 3 условия предоставления льгот:
1) Не менее 90 % от общего дохода за 9 месяцев предыдущего года должна составлять доля доходов от реализации, разработки или установке и обслуживанию компьютерных программ и баз данных;
2) Средняя численность работников за 9 месяцев предыдущего года составляет не менее 7 человек;
3) Организация прошла государственную аккредитацию об осуществлении деятельности в области информационных технологий.

✔ Как получить аккредитацию:
1) Заполнить справку и заявление установленного образцаhttp://www.gosuslugi.ru/pgu/service/10000040802_292.html#_docs ;
2) Передать заполненные документы* через законного представителя в Минкомсвязь России (адрес: г. Москва, ул. Тверская, д. 7, 3 подъезд, окно «Экспедиция», режим работы окна «Экспедиция» : пн-чт
с 9:00-18:00, пт с 9:00-16:45, обеденный перерыв с 13:00-14:00)
или по почте заказным письмом (с описью вложения) (адрес: 125375, г. Москва, ул. Тверская, д. 7);
* При наличии ЭЦП можно подать документы с помощью сайта госуслугhttp://www.gosuslugi.ru/pgu/service/10000040802_292.html#_docs
3) Срок рассмотрения заявления - не более 30 рабочих дней с даты регистрации;
4) В итоге компания, прошедшая аккредитацию, вносится в реестр ИТ-компаний и получает выписку из этого реестра.

Кстати, подобная государственная аккредитация может также быть полезна при участии в разнообразных тендерах госзаказа и крупных компаний.

Далее желательно оформить письма-заявления о льготной ставке в ПФР и ФСС, приложив для подтверждения выписку по государственной аккредитации, подтверждение среднесписочной численности сотрудников за предыдущий год, подтверждение по целевому доходу (соответствующий раздел в форме РСВ 1). Письмо по форме лучше зарегистрировать в приемной.

После этого можно со спокойной душой платить налог по льготной ставке.