FirstVDS Хостинг

Если к началу сентября вы забыли не только, какие задачи решали перед отпуском, но и как зовут коллег, значит, ваш отдых удался! Чем не повод для отличного настроения? А пока осталось немного времени на раскачку, предлагаем вместе с нами потихоньку готовиться к продуктивной осени и освежить в памяти «пройденный материал».



Чтобы было полегче, начнём с повторения простых определений, к примеру, что такое GitLab. Затем пройдёмся по «списку литературы» из блога на Хабре и приступим к изучению самого интересного — обновлений и фич. Всё по классике.

Что такое GitLab, как и для чего он используется
Удобно, когда всё, что нужно для разработки, собрано в одном месте — на единой платформе. Примером такой среды является GitLab. В статье разберём, чем GitLab отличается от GitHub и как начать с ним работу. Отдельно остановимся на его AL-возможностях.
firstvds.ru/blog/chto-takoe-gitlab-kak-i-dlya-chego-ispolzuetsya

Что такое VPS и VDS, зачем он нужен и как выбрать
Споры о том, можно ли VDS приравнивать к VPS, кажется поутихли, но не исчезли совсем. В статье даём базу для тех, кто только вступает на путь изучения сферы хостинга — от принципа работы виртуального сервера до критериев выбора под свой проект.
firstvds.ru/technology/whatisvdsvps

Habr: самое интересное за август
Если хочется размять мозги с пользой и удовольствием, ловите идеальное расписание. Сперва история странного самолёта-амфибии и технологии с разбором влияния ИИ. Дальше труд и практика — слушаем эфир с помощью SDR-радиоприёмника. Ну, и куда же без геометрии… правда, совсем не такой, к которой мы привыкли.

• Самый странный самолет в истории: Советский ВВА-14
• ИИ ускоряет работу, но замедляет проект?
• Этот увлекательный мир радиоприёмников
• Новая геометрия для теории относительности Эйнштейна

Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, вы получите повышенный гонорар. Тема сентября: Информационная безопасность.
firstvds.ru/avtoram


Новости августа
Изменения в S3 Мanager: полностью обновлённый дизайн и новые опции


Наш S3-менеджер стал еще удобнее. Представляем большое обновление, которое делает работу с хранилищем прозрачнее и безопаснее. Вот что нового:
Проще и понятнее. Полностью обновили дизайн панели — оптимизировали меню, улучшили графики отображения занятого места и многое другое.
Меньше багов. Исправлена ошибка с выводом недостоверных данных о количестве объектов и занятом объёме памяти.
Больше опций. Добавили:

• уведомления о действиях над объектами (копирование, удаление, перемещение) — в начале и конце каждого процесса;
• предупреждение о прерывании операции — если вы решите закрыть вкладку браузера или обновить страницу во время копирования, удаления или переноса файлов;
• возможность указывать права доступа (приватный/публичный) при создании бакета и просматривать его статус приватности после;
• возможность создавать папки прямо в процессе копирования.

firstvds.ru/services/s3

Тарифы «Форсаж» и «Атлант» на новых процессорах AMD EPYC 9655

Наши тарифы «Форсаж» (в Москве и Амстердаме, с NVMe) и «Атлант» стали ещё производительнее. Теперь серверы будут открываться не только на AMD EPYC 9654, но и на новом серверном процессоре AMD EPYC 9655 с 96 ядрами и частотой до 4,5 ГГц.
И самое главное: примерно до середины сентября все новые серверы на этих тарифах будут запускаться только на EPYC 9655. В дальнейшем — в произвольном порядке. Так что если хотите гарантированно получить новый VDS на свежем процессоре, самое время переходить к выбору конфигурации.
firstvds.ru/blog/novye-processory-amd-epyc-9655-v-tarifakh-forsazh-i-atlant

Запустили новый способ оплаты услуг зарубежными картами

Буквально на днях мы запустили новый способ оплаты — иностранной банковской картой. Теперь вы можете оплачивать наши услуги и пополнять баланс картами Visa, Mastercard и другими, выпущенными в Казахстане, Кыргызстане, Узбекистане, Таджикистане, Туркменистане, Азербайджане, Грузии и Армении.
Для этого в способах оплаты в Личном кабинете или на сайте нужно выбрать вариант «Иностранная банковская карта». После подтверждения данных система перенаправит вас на сайт платёжной системы, где вы сможете завершить процесс оплаты.
firstvds.ru/blog/2025_foreign_cards

Топ новостей из мира безопасности

И напоследок. Собрали для вас небольшое саммари о главных уязвимостях и инцидентах конца лета, которые нельзя пропускать — от критических дыр в WordPress и ядре Linux до хитрого фишинга, направленного на разработчиков. Кратко и по делу о том, что нужно срочно обновить и на что обратить внимание.
Наследие xz Utils: десятки зараженных образов все ещё в Docker Hub
Специалисты компании Binarly обнаружили, что в репозитории Docker Hub до сих пор доступны как минимум 35 контейнерных образов, зараженных через уязвимость CVE-2024-3094 (10 баллов по шкале CVSS) в утилитах xz Utils. Это создает серьезную угрозу для цепочек поставок (CI/CD), так как эти образы могут автоматически использоваться для сборки новых приложений, распространяя бэкдор дальше.
Напомним, бэкдор, обнаруженный в 2024 году, позволял злоумышленнику обходить аутентификацию SSH и выполнять команды с правами root.
Особое внимание исследователей привлекла позиция разработчиков Debian, которые сознательно не стали удалять свои зараженные образы, назвав их «историческими артефактами» и сославшись на низкую вероятность эксплуатации. Эксперты Binarly раскритиковали этот подход, указав, что даже случайное использование таких образов несет высокий риск.
Специалисты рекомендуют работать только с актуальными образами. А кроме того, имеет смысл проверять не только версии ПО, но и двоичные файлы на наличие угроз, поскольку вредоносный код может годами оставаться в экосистеме.
xakep.ru/2025/08/13/docker-hub-xz-utils/

В выпуске nginx 1.29.1 закрыта уязвимость и анонсирован встроенный ACME-клиент
Команда nginx выпустила обновление для основной ветки разработки — версию 1.29.1. Самое важное для безопасности — устранение уязвимости CVE-2025-53859 в модуле ngx_mail_smtp_module. Ошибка позволяла при использовании аутентификации «none» и специально сформированных логина с паролем вычитать данные из памяти за пределами буфера, что могло привести к утечке чувствительной информации в процессе аутентификации.
Помимо исправлений, выпуск примечателен двумя вещами:

• Улучшения безопасности TLS: по умолчанию отключено сжатие сертификатов в TLSv1.3 (потенциально опасная функция) и добавлена директива ssl_certificate_compression для гибкого управления этой настройкой.
• Развитие современного стека: добавлена поддержка режима 0-RTT для QUIC (ускоряет установление соединения) и внесён ряд исправлений для HTTP/2, HTTP/3 и ранних подсказок (HTTP 103).

Отдельный сюрприз — компания F5 анонсировала экспериментальный модуль ngx_http_acme, написанный на Rust. Модуль позволяет автоматически получать и обновлять TLS-сертификаты от Let's Encrypt или других ACMEv2-совместимых центров прямо из конфигурации nginx, избавляя администраторов от необходимости использовать внешние клиенты.
www.opennet.ru/opennews/art.shtml?num=63725

Новая уязвимость MadeYouReset в HTTP/2 угрожает масштабными DoS-атаками
Исследователи представили новую технику атаки на реализации протокола HTTP/2 — MadeYouReset. Уязвимость позволяет злоумышленнику легко обходить ограничения на количество одновременных подключений и инициировать мощные атаки на отказ в обслуживании (DoS).
Атакующий отправляет большое количество корректных запросов, но сразу после этого с помощью специальной последовательности управляющих кадров заставляет сервер самостоятельно сбросить эти потоки. Это ключевое отличие от известной уязвимости Rapid Reset (CVE-2023-44487), где сброс инициировал клиент. Здесь же сервер, уже начав обработку запроса (что потребляет CPU и память), вынужден его аварийно завершать. Это позволяет злоумышленнику генерировать лавину запросов без ожидания ответов, максимально нагружая сервер и потенциально выводя его из строя.
Проблема затрагивает множество популярных реализаций, включая:

• Веб-серверы и фреймворки: Apache Tomcat, Eclipse Jetty, Netty, Lighttpd, h2o.
• Прокси и кэширующее ПО: Fastly, Varnish, Pingora.
• Другое: Сервисы Mozilla, BIND (через DNS-over-HTTPS), Zephyr RTOS.

Проверка показала, что такие проекты, как Apache httpd, Apache Traffic Server, Node.js, LiteSpeed, Hyper и HAProxy не подвержены данной уязвимости. Статус nginx пока уточняется. Рекомендация проста: следить за выходом обновлений.
www.opennet.ru/opennews/art.shtml?num=63726

Критические уязвимости в tar-fs и 7-Zip позволяют атаковать файловую систему
Обнаружены критические уязвимости в популярных инструментах для работы с архивами, которые позволяют злоумышленнику записывать файлы в произвольные места файловой системы при распаковке специально сформированного архива.

• CVE-2025-48387 в npm-пакете tar-fs. Пакет, который еженедельно скачивают 23 миллиона раз, содержал ошибку, позволяющую обойти проверки символических ссылок. Атакующий мог создать архив, в котором с помощью цепочки ссылок путь раскрывался за пределы целевой папки распаковки. Это открывало возможность для перезаписи критически важных файлов (например, .bashrc или SSH-ключей) в домашней директории пользователя, что ведет к полной компроментации системы. Уязвимость уже исправлена в выпусках 3.0.9, 2.1.3 и 1.16.5.
• CVE-2025-55188 в архиваторе 7-Zip. Похожая проблема была найдена в знаменитом архиваторе 7-Zip. Она позволяла использовать симлинки с последовательностью “../” в пути для обхода ограничений целевого каталога. Уязвимость затрагивала обработку всех основных форматов архивов (ZIP, TAR, 7z, RAR) и была устранена в версии 25.01.

Обе уязвимости демонстрируют, что даже доверенное ПО может стать инструментом для атаки на файловую систему, и подчеркивают необходимость всегда использовать последние версии программ.
www.opennet.ru/opennews/art.shtml?num=63740

За последние две недели в мире технологий произошло несколько важных событий: от критических уязвимостей до экспериментов с ИИ и новых российских разработок. Сперва коротко о самом интересном:

• ИИ помог перевести старое Linux-приложение с GTK2 на GTK4 и Vulkan — разработчик из Red Hat за 5 часов модернизировал 20-летний код с помощью AI-ассистента. С одной стороны эксперимент показал, как ИИ может ускорить ускорить модернизацию legacy-кода, с другой — что такой ассистент все еще требует тщательного контроля со стороны разработчика из-за некорректной интерпретации задач.
• В России появился аналог Grafana — «Графиня» — новая платформа для визуализации данных, полностью написанная с нуля. Разработка «Лаборатории числитель» не использует код Grafana, поддерживает интеграцию с Zabbix, Prometheus и другими системами и уже зарегистрирована в реестре Минцифры России.
• Роскомнадзор заблокировал SpeedTest — сервис измерения скорости интернета признан угрозой безопасности, вместо него предлагают использовать российские аналоги.
• А теперь — подробнее о свежих киберугрозах.

Уязвимость в Post SMTP угрожает 200 000 сайтов на WordPress
Более 200 000 сайтов на WordPress подвержены атакам из-за уязвимости в плагине Post SMTP. Ошибка позволяет злоумышленникам получать доступ к администраторским аккаунтам.
Post SMTP — популярный почтовый плагин с 400 000+ активных установок. В мае 2025 года исследователь обнаружил баг (CVE-2025-24000, 8.8 по CVSS) в механизме контроля доступа REST API. Плагин проверял авторизацию пользователя, но не его уровень прав. Как следствие, любые пользователи, не имеющие расширенных прав (например, подписчики), могут просматривать логи писем, включая конфиденциальные данные. А злоумышленники имеют возможность инициировать сброс пароля администратора, перехватить письмо и получить контроль над сайтом.
Разработчик выпустил патч в версии 3.3.0 (11 июня 2025), но только 48,5% пользователей обновились. Около 24% до сих пор используют устаревшие версии 2.x, подверженные и другим уязвимостям. Рекомендуется срочно обновить Post SMTP до актуальной версии.
xakep.ru/2025/07/28/post-smtp/

Фишинг-атака на разработчиков PyPI: злоумышленники имитируют официальные уведомления
Администраторы PyPI (Python Package Index) предупредили о новой фишинг-атаке, направленной на владельцев Python-пакетов. Злоумышленники рассылали письма с поддельного домена pypj.org (вместо pypi.org), предлагая подтвердить email.
Как это работало. Письма приходили с адреса noreply@pypj.org и содержали ссылку на фейковую страницу верификации. Сайт-клон повторял дизайн официального PyPI, чтобы обмануть невнимательных пользователей.
В результате атаки злоумышленники получили доступ к аккаунтам разработчиков, создали два токена для API. А кроме того, выпустили вредоносные версии популярного пакета num2words (3+ млн загрузок в месяц), который конвертирует числа в слова.
Рекомендации: внимательно проверять домен в письмах и ссылках и использовать двухфакторную аутентификацию для защиты аккаунтов.
www.opennet.ru/opennews/art.shtml?num=63647

Критическая уязвимость в SUSE Manager: удалённое выполнение команд с root-правами
Обнаружена опасная уязвимость (CVE-2025-46811, 9.3/10 по CVSS) в SUSE Manager — системе управления Linux-инфраструктурой. Она позволяет выполнять любые команды с правами root без аутентификации на всех подключённых системах.
Проблема в обработчике WebSocket (/rhn/websocket/minion/remote-commands), который не проверяет авторизацию. Атакующий может отправить запрос на 443 порт сервера SUSE Manager без SessionId и получить полный контроль над инфраструктурой.
Уязвимы все сборки SUSE Manager до версий 4.3.16, 5.0.5, включая образы SLES15-SP4-Manager-Server и контейнеры. Необходимо срочно обновиться до исправленных версий: SUSE Manager 4.3.16 и SUSE Manager 5.0.5.
Угроза крайне критична, так как позволяет злоумышленникам захватить управление всей корпоративной инфраструктурой.
www.opennet.ru/opennews/art.shtml?num=63651

Уязвимость в ядре Linux угрожает безопасности Chrome
Google обнаружил критическую уязвимость (CVE-2025-38236) в ядре Linux, позволяющую злоумышленникам обойти песочницу (sandbox) Chrome и выполнить произвольный код с правами ядра. Проблема затрагивает ядра Linux версий 6.9 и выше.Ошибка связана с флагом MSG_OOB в UNIX-сокетах (AF_UNIX), который позволяет передавать внеполосные данные. Несмотря на то, что этот флаг редко используется, его некорректная обработка в ядре приводит к use-after-free уязвимости.
Как это влияет на Chrome? В Chrome разрешены операции с UNIX-сокетами, включая send()/recv() с флагом MSG_OOB. Уязвимость позволяет преодолеть изоляцию песочницы, если злоумышленник уже эксплуатирует другую ошибку в браузере.
Рекомендуется обновить ядро Linux до одной из исправленных версий и ограничить использование MSG_OOB, если он не требуется в системе.Исправление включено в обновления 6.1.143, 6.6.96, 6.12.36, 6.15.5. В сети уже появился рабочий прототип эксплоита.
Уязвимость особо опасна для серверов и рабочих станций, где Chrome используется для обработки ненадёжного контента.
www.opennet.ru/opennews/art.shtml?num=63710

Пока термометры бьют рекорды, мы устанавливаем новые планки по выгодным условиям! Только до конца лета действуют скидки на заказ лицензии 1С-Битрикс:

• 20% на лицензии «1С-Битрикс: Управление сайтом». Старт, Стандарт, Малый бизнес, Бизнес;
• 15% на коробочную версию «1С-Битрикс24». Интернет-магазин + CRM и «1С-Битрикс24». Корпоративный портал на 50, 100, 250 и 500 пользователей.

Акция действует до 31.08.2025 и распространяется на покупку любой лицензии «1С-Битрикс».
firstvds.ru/services/bitrix-license

Ещё один приятный бонус: при покупке лицензии Битрикс вы также получите скидку 30% на 3 месяца аренды сервера CPU.Турбо 2.0. VDS на базе мощных процессоров AMD Ryzen 9 7950X и 9950Х с частотой до 5,7 ГГц, оперативной памятью DDR5 и NVMe-накопителями.

Если бы ваше лето было фильмом, то каким? Мы решили, что на эту роль вполне подошла бы фантастика «Всё, везде и сразу». И не только из-за того, что часто хочется оказаться в нескольких местах одновременно — хотя явно не помешало бы. А потому, что происходит столько событий, что просто не успеваешь уследить за всеми.



Статьи и инструкции
Протокол POP3 и IMAP — в чем разница и какой лучше выбрать
Если настраиваете почтовый клиент и думаете, какой протокол выбрать, знание разницы между POP3 и IMAP поможет сэкономить кучу времени и нервов. В статье разобрали два популярных протокола работы с почтой и объяснили, когда и какой лучше использовать.
firstvds.ru/blog/protokoly-pop3-imap-v-chem-raznica

Модель TCP/IP: что это и как работает
Миллионы людей пользуются интернетом, но лишь немногие понимают, как он работает. А всё благодаря модели TCP/IP. В статье разберём, как устроена эта система и расскажем, почему интернет работает даже при сбоях.
firstvds.ru/technology/model-tcp-ip-chto-eto-i-kak-rabotaet

Хакнуть мир: фильмы и сериалы об айтишниках
Подготовили подборку фильмов и сериалов о тех, кто меняет правила игры: бунтарях, цифровых революционерах и гениях, бросивших вызов системе. Мощное кино для ценителей концептуального послевкусия.
firstvds.ru/blog/khaknut-mir-filmy-i-serialy-o-programmistakh-brosivshikh-vyzov-sisteme

Habr: самое интересное за июль
Зачем разрываться между «важно» и «интересно», когда можно не выбирать, а получить сразу и всё. В подборке Хабра и перспективы подводных энергохранилищ, и квантовые основы ИИ, и даже практические тонкости Go-разработки.

• Океан в качестве аккумулятора: как гигантские подводные шары могут помочь с сохранением энергии
• Странная физика, которая дала жизнь искусственному интеллекту
• Полевые транзисторы в передатчиках и не только
• Валидация данных в Go с go-playground/validator: полное руководство

Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, вы получите повышенный гонорар. Тема августа: Карьера в IT-индустрии.
firstvds.ru/blog/vremya-pisat-stati-ischem-avtorov-dlya-blogov-i-bz

Новости июля
Новые возможности в S3-manager

Наша команда постоянно работает над улучшением услуги. Вот что было сделано в июле:

• Обновлен функционал копирования/перемещения объектов. Перемещать и копировать объекты внутри бакета стало удобнее и интуитивно понятно.
• Усовершенствована работа со списком объектов. Теперь вы можете выбрать несколько видов сортировки.
• Оптимизирована загрузка и скачивание файлов, они стали гораздо быстрее.
• Улучшена отзывчивость интерфейса. Работать с S3 Manager, теперь приятнее, так как он значительно прибавил в скорости работы.
• S3 Manager может отображать содержимое бакетов независимо от количества объектов в них. Теперь в S3 Manager отображать содержимое бакетов с большим количеством объектов, сохраняя при этом внутреннюю иерархию/структуру бакета.

firstvds.ru/services/s3

День сисадмина 2025

В последнюю пятницу июля, по древней и почтённой традиции, мы празднуем День системного администратора — В честь праздника запустили акцию с 25 июля по 7 августа и дарим подарки.
firstvds.ru/actions/sysadmin_day_25-spirit_of_uptime

Топ новостей из мира безопасности
Пришла пора развенчать миф о беззаботном лете и обратиться к жанру психологического триллера. Пока Голливуд отдыхает в сторонке, рассказываем о самых опасных угрозах этого месяца и, конечно, спасительных обновлениях.

Опасная уязвимость в WordPress-теме Motors позволяет взламывать сайты
В популярной теме Motors для WordPress была обнаружена критическая уязвимость (CVE-2025-4322), которая позволяет злоумышленникам сбрасывать пароли администраторов. Проблема затрагивает версии до 5.6.67 и связана с некорректной проверкой данных в виджете Login Register.
Эксплуатация уязвимости началась еще в мае — злоумышленники отправляют специальные POST-запросы, подменяя параметры сброса пароля. Более масштабные атаки начались после 7 июня. По данным Wordfence, уже зафиксировано свыше 23 тысяч попыток взлома.
Эксперты советуют, не откладывая, обновить тему Motors до актуальной версии — разработчики StylemixThemes выпустили защитное обновление 5.6.68 ещё в мае, однако на многих сайтах до сих пор используются уязвимые версии темы. Также рекомендуется проверить список пользователей на подозрительные административные аккаунты и убедиться, что все пароли администраторов изменены.
xakep.ru/2025/06/24/motors-under-attacks/

WinRAR закрыл опасную уязвимость
Компания WinRAR выпустила обновление 7.12, устраняющее критическую уязвимость (CVE-2025-6218), которая позволяла злоумышленникам запускать вредоносный код через поддельные архивы. Проблема затрагивала только версии для Windows и могла привести к заражению системы при распаковке файла.
Уязвимость оценивается в 7,8 балла по шкале CVSS и позволяет записывать вредоносные файлы в системные папки, например, в автозагрузку. Компания уже выпустила исправление, однако пользователям необходимо вручную обновить WinRAR, так как автоматических обновлений нет.
3dnews.ru/1124971/winrar-ekstrenno-ustranila-opasniy-bag-pozvolyavshiy-cherez-arhiv-zapuskat-vredonosnoe-po/#685cb2a9742eec09be8b4572

Уязвимость в WordPress-плагине Forminator угрожает тысячам сайтов
В популярном плагине Forminator для WordPress обнаружена опасная уязвимость (CVE-2025-6463, 8.8 баллов по CVSS), позволяющая злоумышленникам удалять системные файлы и захватывать сайты. Проблема затрагивает версии до 1.44.2.
Уязвимость связана с недостаточной проверкой загружаемых файлов. Злоумышленник мог отправить вредоносный запрос, имитирующий загрузку файла, и при удалении записи администратором плагин стирал критически важные файлы, например, wp-config.php, что приводило к сбросу сайта.
Разработчики выпустили исправление в версии 1.44.3, добавив проверку путей файлов. Владельцам сайтов рекомендуется срочно обновить плагин или временно отключить его.
xakep.ru/2025/07/03/forminator-flaw/

Уязвимость в sudo позволяет получить root-доступ
В утилите sudo обнаружена опасная уязвимость (CVE-2025-32463). Она позволяет не имеющему прав пользователю выполнить произвольный код с root-доступом, даже если он не указан в файле sudoers. Проблема затрагивает версии 1.9.14–1.9.17 и, возможно, более ранние.
Причиной уязвимости стало то, что при использовании опции -R ("--chroot") sudo некорректно загружал файл /etc/nsswitch.conf из указанного каталога, а не из системного. Это позволяло злоумышленнику подменить конфигурацию и загрузить вредоносную библиотеку, выполняющую код с максимальными привилегиями.
Проблема устранена в sudo 1.9.17p1. Владельцам серверов на Ubuntu, Fedora, Debian и других дистрибутивах рекомендуется немедленно обновить пакет. В этой версии также исправлена вторая уязвимость (CVE-2025-32462), связанная с обходом ограничений в правилах sudoers через опцию -h ("--host").
www.opennet.ru/opennews/art.shtml?num=63505

Уязвимости в Redis и Valkey: риски RCE и DoS
Выпущены срочные обновления для СУБД Redis (версии 6.2.19 – 8.0.3) и Valkey (8.0.4 – 8.1.3), которые устраняют две опасные уязвимости:
CVE-2025-32023 — уязвимость в реализации алгоритма HyperLogLog. Позволяет удалённо выполнять код (RCE) через переполнение буфера. Атака требует доступа к отправке команд в СУБД.
CVE-2025-48367 — проблема аутентификации, которая происходит из-за неправильной обработки ошибок во время соединений и приводит к отказу в обслуживании (DoS). Как следствие, снижается производительность СУБД.
Рекомендуется как можно скорее обновить Redis/Valkey до актуальных версий и ограничить доступ к командам HLL через ACL (как временное решение). Уязвимости особенно опасны для публично доступных экземпляров СУБД.
www.opennet.ru/opennews/art.shtml?num=63537

Уязвимость в Linux позволяет взломать систему через Initramfs
Исследователи кибербезопасности из ERNW выявили критическую уязвимость в Linux, которая позволяет злоумышленникам с физическим доступом к устройству получить полный контроль над системой, даже если диск полностью зашифрован.
Проблема затрагивает Ubuntu 25.04 и Fedora 42. При нескольких неудачных попытках ввода пароля для расшифровки диска (в Ubuntu — после нажатия Esc и ввода специальной комбинации) система предоставляет отладочную оболочку (debug shell). Через неё злоумышленник может подключить USB-накопитель с инструментами для модификации initramfs — временной файловой системы, используемой при загрузке.
Поскольку initramfs не имеет цифровой подписи, изменения не обнаруживаются механизмами защиты. При следующей загрузке, когда владелец введёт правильный пароль, вредоносный код будет выполняться с повышенными привилегиями. Это может привести к утечке данных, удалённому доступу или внедрению кейлоггера.
Атака требует физического доступа и специальных навыков, поэтому наиболее актуальна для корпоративных систем и критической инфраструктуры. В качестве меры защиты рекомендуется настроить автоматическую перезагрузку после нескольких неудачных попыток ввода пароля.
www.linux.org.ru/news/security/18021212

Обновление Windows Server затрагивает работу Samba
Microsoft 8 июля выпустила обновления для Windows Server, усилившие проверки в протоколе Netlogon, используемом для аутентификации в Active Directory. Эти изменения привели к проблемам совместимости с серверами Samba, особенно при использовании бэкенда 'ad'.
После обновления Windows Server сервис winbind в Samba начинает некорректно обрабатывать запросы обнаружения контроллера домена (Netlogon DC Discovery). В результате пользователи не могут подключиться к SMB-ресурсам на серверах Samba, работающих в режиме члена домена.
Разработчики Samba оперативно выпустили патчи (4.22.3 и 4.21.7), устраняющие проблему. Администраторам рекомендуется как можно скорее обновить Samba, чтобы избежать сбоев в работе доменной инфраструктуры.
www.opennet.ru/opennews/art.shtml?num=63540

Атака TSA: уязвимости в процессорах AMD крадут данные из ядра и виртуальных машин
Исследователи из Microsoft и Швейцарской высшей технической школы Цюриха обнаружили новый класс атак на процессоры AMD — TSA (Transient Scheduler Attack). Уязвимости CVE-2024-36350 (TSA-SQ) и CVE-2024-36357 (TSA-L1) позволяют злоумышленнику обходить изоляцию между процессами, ядром и виртуальными машинами, извлекая конфиденциальные данные.
Атака основана на анализе времени выполнения инструкций после «ложного завершения» операций чтения из памяти. Процессор может спекулятивно выполнять инструкции, опираясь на некорректные данные, что создаёт уязвимости для утечки информации через микроархитектурные структуры (Store Queue и кэш L1D).
Проблема затрагивает процессоры AMD на архитектурах Zen 3 и Zen 4, включая линейки Ryzen 5000/6000/7000/8000, EPYC Milan/Genoa и Threadripper PRO и др.
Исправления уже включены в декабрьские обновления микрокода и PI-прошивок. Для полной защиты также требуется обновление ядра Linux (с возможностью отключения через параметр tsa=off) или гипервизора Xen.
www.opennet.ru/opennews/art.shtml?num=63557

Выпущены патчи для критических уязвимостей в Git
Разработчики Git выпустили экстренные обновления (2.43.7 – 2.50.1), закрывающие несколько опасных уязвимостей, которые позволяют выполнить произвольный код при работе с вредоносными репозиториями.
Основные проблемы:

• CVE-2025-48384 – уязвимость в обработке субмодулей: из-за некорректной очистки символа возврата каретки (CR) атакующий может подменить путь и внедрить вредоносный Git hook, который выполнится после операции checkout.
• CVE-2025-48385 – уязвимость в загрузке bundle-файлов, позволяющая записать данные в произвольное место файловой системы.
• CVE-2025-48386 – переполнение буфера в Wincred (учётные данные Windows).

Кроме того, устранены уязвимости в графических интерфейсах Gitk и Git GUI:

• CVE-2025-27613 – перезапись файлов через специальный репозиторий в Gitk.
• CVE-2025-27614 – выполнение произвольного скрипт при запуске команды 'gitk filename' для специально подготовленного репозитория.
• CVE-2025-46334 – запуск вредоносных .exe-файлов в Git GUI (Windows).
• CVE-2025-46335 – создание или перезапись произвольных файлов при работе с репозиторием в Git GUI.

Рекомендуется немедленно обновить Git, особенно разработчикам, работающим с внешними репозиториями.
www.opennet.ru/opennews/art.shtml?num=63552

Взлом плагина Gravity Forms: зараженные версии содержали бэкдор
Популярный WordPress-плагин Gravity Forms, используемый для создания онлайн-форм, оказался заражен бэкдором после атаки на цепочку поставок. Вредоносный код попал в ручные установщики с официального сайта.
По данным PatchStack, плагин отправлял POST-запросы на подозрительный домен gravityapi[.]org, собирая метаданные сайтов, включая данные о темах, плагинах и версиях WordPress/PHP. Полученный в ответ вредоносный скрипт сохранялся на сервере и позволял выполнять произвольный код без аутентификации.
Разработчик RocketGenius подтвердил, что затронуты только версии 2.9.11.1 и 2.9.12, загруженные 10–11 июля 2025 года. Вредоносный код блокировал обновления, создавал скрытую учётную запись администратора и связывался с сервером злоумышленников.
Рекомендации:

• Переустановите плагин, если загружали его в указанные даты.
• Проверьте сайт на признаки взлома.

Служба Gravity API, отвечающая за автоматические обновления, не была скомпрометирована.
xakep.ru/2025/07/14/gravity-forms-backdoor/

Хакеры научились скрывать вредоносное ПО в DNS-записях
Эксперты DomainTools обнаружили новый метод заражения, при котором вредоносный код маскируется в DNS-записях типа TXT. Этот способ позволяет обходить системы защиты, так как DNS-трафик обычно считается безопасным.
Злоумышленники разбивают вредоносное ПО на фрагменты и распределяют их по поддоменам. При загрузке эти части автоматически собираются в полноценную вредоносную программу. Уже найдены примеры такого кода, включая Joke Screenmate (имитирует сбои системы) и PowerShell Stager (загружает дополнительные угрозы).
Пока реальных атак не зафиксировано, но специалисты предупреждают, что метод крайне опасен из-за своей скрытности. Для защиты рекомендуется:

• мониторить DNS-трафик на аномальные запросы,
• анализировать TXT-записи, выходящие за рамки стандартных функций,
• использовать системы анализа угроз для выявления подозрительных доменов.

Эксперты считают, что массовые атаки с использованием этой техники — лишь вопрос времени.
3dnews.ru/1126189/nayden-sposob-zaragat-dnszapisi-vredonosnim-po/#687a4715742eecbde78b4568

Крупнейшая кибератака 2025 года: хакеры взломали 400 организаций через уязвимость в SharePoint
Все началось с предупреждения Microsoft о критической уязвимости в SharePoint, которую хакеры начали активно эксплуатировать. Если неделю назад речь шла о 100 скомпрометированных организациях, то теперь их число превысило 400. Среди пострадавших — правительственные учреждения США, включая Национальное управление ядерной безопасности, а также организации в Европе, Азии и Африке.
Нидерландская компания Eye Security, первой обнаружившая атаки, отмечает, что злоумышленники действуют методично: сначала проводят разведку, затем массово атакуют уязвимые системы. Особую тревогу вызывает возможная причастность китайских хакерских группировок, хотя официальный Пекин эти обвинения отвергает.
Microsoft оперативно выпустила патч, но многие серверы уже были скомпрометированы до его выхода. Эксперты предупреждают: реальный масштаб ущерба может быть значительно больше, так как хакеры используют методы, не оставляющие явных следов.
При этом хакеры могли получить доступ к данным о ядерных технологиях, хотя наиболее секретные системы США изолированы. Атаки продолжаются — другие группировки начали использовать ту же уязвимость. Национальная казначейская служба ЮАР уже подтвердила наличие вредоносного ПО в своих сетях, другие организации продолжают проверки.
ФБР и британские киберслужбы расследуют инцидент. По данным Shodan, под угрозой находятся более 8000 серверов, подключенных к интернету. Эта атака может войти в историю как одна из самых масштабных в 2025 году, подчеркивая необходимость срочного обновления SharePoint и усиленного мониторинга сетей.
3dnews.ru/1126465/ataka-na-serveri-microsoft-sharepoint-moget-stat-krupneyshey-kiberatakoy-2025-goda-chislo-postradavshih-previsilo-chetire-sotni/#6881cd16742eecb45c8b4569

Решила, что её лето похоже на мульт «Трое из Простоквашино» и оставила дописывать дайджест коллеге — Алёна М.

К Дню системного администратора вы заслужили аптайм, уважение и выгодный сервер. Акция в самом разгаре — получите скидку 25% по промокоду на заказ любого количества VDS

Промокод можно применить при покупке любого количества новых VDS. Скидка будет действовать на сроки аренды сервера: 1, 3, 6 или 12 месяцев.
firstvds.ru/actions/sysadmin_day_25-spirit_of_uptime

В последнюю пятницу июля весь IT-мир чествует самых стойких и незаменимых. Тех, кто знает, где искать, даже когда «ничего не понятно, но очень интересно» — системных администраторов.

FirstVDS поздравляет всех сисадминов с профессиональным праздником и благодарит за труд!

В честь праздника мы запускаем акцию, где дарим подарки:

Промокод со скидкой 25% на заказ новых VDS для всех.
Сертификаты на пополнение баланса номиналом 150 ₽ для тех, кто с нами в одной сети больше года.

День сисадмина 2025: -25% на заказ VDS
Действует на все тарифы, кроме тарифов «VDS-Прогрев», «VDS-LXD-ARM» и тарифы реселлеров.

UPTIME100%

firstvds.ru

Да-да, уже завтра, день тех, кто умеет приручить любой сервер или PC, кому утром пишут «всё легло!!», вместо «доброе утро» и для кого бубен — это не шутка, а инструмент.

Праздник уже завтра, значит будут сертификаты на баланс и скидки на VDS.

Старт акции 25 июля в 10:00 по мск, подписывайтесь на наш телеграм канал, чтобы точно не пропустить это и другие наши события.
t.me/TakeFirstNews

Лето в разгаре, а значит, самое время отдыхать!
Но пока вы наслаждаетесь морем, солнцем или просто спокойным уик-эндом, ваши серверы требуют внимания. Чтобы ни один сбой не нарушил ваш отдых, предлагаем техническое сопровождение проектов от нашей команды.

Что мы делаем?

• Следим за стабильной работой серверов 24/7.
• Оперативно реагируем на инциденты.
• Контролируем нагрузку и ресурсы.
• Решаем проблемы до того, как они станут критичными.

Для вашего удобства и оперативной коммуникации мы создадим Telegram-чат, где вы сможете напрямую общаться с нашей командой и при необходимости добавлять своих специалистов: разработчиков, системных администраторов и других участников проекта.

Базовый тариф начинается от 5000 ₽/месяц. Окончательная стоимость рассчитывается персонально, после изучения особенностей вашего проекта. Объём работ зависит от количества сайтов, используемых технологий и масштабов системы: чем больше инфраструктура, тем больше ресурсов для её поддержки.

Хотите спокойный отпуск?
Оставить заявку можно в форме на сайте или в Личном кабинете в разделе Администрирование. Мы свяжемся с вами в течение двух рабочих дней после заполнения заявки.

firstvds.ru/services/server_support

Лето в разгаре, и если вы уже сменили офисное кресло на шезлонг, а клавиатуру — на поднос с фруктами, то проектам и серверам приходится работать без выходных.



Чтобы вы могли спокойно отдыхать, мы следим за обновлениями, уязвимостями и новыми фишками: тестируем удобные инструменты, мониторим изменения в законах и разбираемся, как сделать вашу инфраструктуру надёжнее. А ещё — собираем для вас полезные статьи и новости, чтобы вы могли после отпуска легко вернуться в курс дела. Обо всём этом рассказали в июньском дайджесте.

Статьи и инструкции
Типы данных в MySQL
MySQL — одна из самых популярных систем управления реляционной базой данных с открытым исходным кодом. Она использует язык SQL и хранит записи в таблицах. При проектировании её архитектуры важно оптимально задать тип полей. В статье рассмотрели основные типы данных, доступные в MySQL.
firstvds.ru/technology/tipy-dannykh-v-mysql

8 лучших почтовых сервисов для работы и общения в 2025 году
Несмотря на популярность мессенджеров, email по-прежнему остается одним из универсальных инструментов для деловых переговоров, маркетинга и личного общения. Чтобы вам было легче выбрать подходящий, составили подборку из 8 лучших почтовых клиентов 2025 года.
firstvds.ru/blog/8-luchshikh-pochtovykh-servisov-dlya-raboty-i-obscheniya

Штрафы для хостеров и реселлеров в 2025 году: что изменится и как избежать миллионных санкций
В последнее время государство всё серьёзнее регулирует сферу хостинг-услуг. В статье рассказываем о недавнем законопроекте, который вводит новые штрафы для хостинг-провайдеров, а также разбираем вопрос, нужно ли реселлерам регистрироваться в госреестре, выполняя все требования для хостеров.
firstvds.ru/blog/shtrafy-dlya-khosterov-i-resellerov-v-2025

Habr: самое интересное за июнь
Этот месяц мы посвятили исследованию границ науки и технологии. Удивлялись тому, что мир теоретически может находится внутри чёрной дыры, и изучали новое доказательство для анализа математических поверхностей. Спойлер — там тоже про сингулярность. А ещё продолжили серию про DIY-роботов на FastAPI и вспомнили, почему даже гениальные идеи иногда терпят крах.

• Наша Вселенная находится внутри сверхмассивной черной дыры — исследование
• Новое доказательство позволило учёным без проблем анализировать эволюцию математических поверхностей
• Веб-камера — глаза робота: пишу веб-приложение на FastApi для управления DIY-проектом. Часть 2
• Карманный монстр Пола Аллена: как мини-компьютер за $2000 потерпел крах

Новости июня
Объектное хранилище S3: завершили тестирование файлового менеджера
Немного предыстории. В конце марта мы запустили услугу «Объектное хранилище S3», а в мае к ней вышло дополнение — файловый менеджер, который примерно до середины июня находился в режиме тестирования. Мы приглашали всех желающих поискать баги в работе S3 Manager и дарили сертификаты на пополнение баланса за конструктивную обратную связь.

Теперь, когда тестирование завершено, мы хотим поблагодарить всех участников за помощь и сказать, что всё это было не напрасно — ваши замечания уже помогли нам исправить часть багов. А сам файловый менеджер стал работать быстрее за счёт оптимизации различных процессов.
И ещё одна приятная новость. Мы не закрываем группу тестировщиков в телеграме. Она становится сообществом с замечаниями и пожеланиями к хранилищу S3 и менеджеру — будем на связи.
 https://firstvds.ru/services/s3

Отпуск без забот: чек-лист по проверке сервера.
На отдыхе совсем не хочется думать о работе и о том, что с ней связано. Поэтому перед уходом в отпуск рекомендуем провести небольшую подготовку — наш чек-лист поможет проверить, что вы ничего не забыли, а статья про телеграм-бота расскажет о том, как настроить быстрые уведомления и легко пополнять баланс, если вы из тех, кто любит держать под контролем ситуацию даже на пляже.

Топ новостей из мира технологий и безопасности
Июнь такой июнь. Принёс огромный букет… критических уязвимостей — от опасных дыр в популярных сервисах вроде Kea DHCP и cyrus-imapd, позволяющих нарушителям получать root-доступ, до масштабных угроз для WordPress и vBulletin, ставящих под удар сотни тысяч сайтов. Параллельно был разоблачен фейковый ИИ Natasha, а в Linux-экосистеме обнаружились критические баги в libblockdev, PAM и XML-обработчике.
На фоне этих событий становится ясно: лето — не время расслабляться, когда речь идет о кибербезопасности. Вот тут рассказали подробнее:

Уязвимости в libblockdev и PAM: получение прав root
Специалисты Qualys обнаружили две критические уязвимости:

• в библиотеке libblockdev (CVE-2025-6019) — позволяет повысить привилегии до root через udisks,
• в PAM (CVE-2025-6018) — даёт аналогичные возможности в openSUSE и SUSE Linux Enterprise.

Как это работает. Утилита udisks, которая используется в большинстве дистрибутивов Linux, по умолчанию разрешает операции с накопителями только пользователям с доступом allow_active (локальные сеансы). Однако злоумышленник может обойти это ограничение двумя путями:
Через systemctl, создав пользовательский сервис, который polkitd воспримет как локальный сеанс (требуется активный локальный пользователь).
Через уязвимость в PAM (актуально для openSUSE и SUSE), которую обнаружили в ходе анализа уязвимости в libblockdev. В этом случае локальный доступ имитирует подмена переменных XDG_SEAT и XDG_VTNR в ~/.pam_environment. То есть уязвимость позволяет любому пользователю, в том числе подключившемуся по SSH, выполнять операции в контексте «allow_active».
Создается loop-устройство с XFS-образом, содержащим SUID-файл. При изменении размера ФС libblockdev временно монтирует её без nosuid/nodev, позволяя выполнить вредоносный код. Обновления пока выпущены не для всех дистрибутивов — проверить статус можно на страницах Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2).
Временное решение: изменить правило polkit, заменив allow_active=yes на auth_admin в файле /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy.
www.opennet.ru/opennews/art.shtml?num=63424

Критические уязвимости в libxml2: угроза выполнения произвольного кода
В популярной библиотеке libxml2, используемой для обработки XML-данных в проектах GNOME и сотнях Linux-пакетов (например, в 800+ компонентах Ubuntu), обнаружено пять уязвимостей, две из которых позволяют выполнить произвольный код.
Ключевые уязвимости:
CVE-2025-6170 — вызвана переполнением буфера в утилите xmllint, которое возникает за счет использования небезопасной функции strcpy() без проверки длины входных данных. Атакующий должен контролировать аргументы, передаваемые в xmllint. Патч пока не выпущен.
CVE-2025-6021 — вызывается целочисленным переполнением в функции xmlBuildQName(), записывая, как следствие, данные за пределами выделенного буфера. Исправления включены в выпуск libxml2 2.14.4.
К дополнительным уязвимостям относятся:

• CVE-2025-49794: аварийное завершение из-за обращения к уже освобождённой области памяти в функции xmlSchematronGetNode,
• CVE-2025-49795: разыменование NULL-указателя в xmlXPathCompiledEval,
• CVE-2025-49796: неправильная обработка типов (Type Confusion) в функции xmlSchematronFormatReport.

Для их устранения оценивается возможность полного удаления поддержки Schematron из библиотеки.
Кроме этого, в libxslt (не поддерживаемой библиотеке) обнаружены три неисправленные уязвимости, детали которых обещают раскрыть 9, 13 июля и 6 августа 2025 года. Рекомендуем, следить за обновлениями libxml2 в нужном дистрибутиве и ограничить использование xmllint для обработки ненадёжных данных.
www.opennet.ru/opennews/art.shtml?num=63431

Уязвимости в DHCP-сервере Kea и IMAP-сервере Cyrus
В DHCP-сервере Kea (разрабатываемом ISC) обнаружены критические уязвимости:

• CVE-2025-32801 – позволяет локальному пользователю выполнить произвольный код с правами root через REST API (kea-ctrl-agent), отправляя команду set-config для загрузки вредоносной библиотеки.
• CVE-2025-32802 – даёт возможность перезаписать любой файл в системе через команду config-write в REST API.
• CVE-2025-32803 – логи и файлы аренды IP-адресов доступны для чтения всем пользователям.

Kea по умолчанию запускается от root в Arch Linux, Gentoo, openSUSE Tumbleweed (до 23 мая), FreeBSD и NetBSD. В Debian, Ubuntu и Fedora используется непривилегированный пользователь.
Дополнительно: В openSUSE обнаружена уязвимость (CVE-2025-23394) в IMAP-сервере Cyrus, позволяющая пользователю cyrus повысить привилегии до root через скрипт daily-backup.sh. Проблема устранена в версии cyrus-imapd 3.8.4-2.1.
Обновления уже выпущены для большинства дистрибутивов.
www.opennet.ru/opennews/art.shtml?num=63324

ИИ “Natasha” оказался обычными индийскими программистами, а его создатели — банкротами
В конце мая британская компания Builder.ai, имеющая крупные филиалы в пяти государствах, объявила об обращении в суд, чтобы защитить себя от банкротства.
Эта компания привлекла внимание общественности своим уникальным подходом к разработке программного обеспечения с помощью искусственного интеллекта Natasha AI, который был создан для написания кода по запросам клиентов, освобождая заказчиков от необходимости писать код самостоятельно. Однако позже стало известно, что код писали реальные программисты, а искусственный интеллект был лишь прикрытием сомнительного ведения бизнеса.
Несмотря на разоблачение The Wall Street Journal в 2019 году, инвесторы продолжали вкладывать в компанию миллионы. В 2023 году Microsoft даже рассматривала интеграцию стартапа Builder.ai в свои сервисы.
В феврале 2025 новое руководство заявило, что проблемы компании вызваны не ИИ, а плохим финансовым управлением. А в мае кредитор Viola Credit заморозил значительную часть средств на счетах Builder.ai. Это обрушило работу компании в пяти странах (Великобритания, США, ОАЭ, Сингапур, Индия), вынудив уволить большую часть сотрудников и подать на защиту от банкротства.
3dnews.ru/1123614/ii-natasha-na-dele-okazalsya-sotnyami-programmistovindusov-ego-razrabotchik-promotal-dengi-microsoft-i-obankrotilsya/#68380e7b742eec5f738b4572

Уязвимость в cURL/libcurl
Разработчики curl выпустили обновление для устранения уязвимости средней степени опасности CVE-2025-5025. Проблема возникает при использовании TLS-библиотеки wolfSSL в сочетании с протоколом HTTP/3 и включенной функцией certificate pinning. В этих условиях злоумышленник может провести MITM-атаку, подменив сертификат сервера.
Уязвимость затрагивает только специальные сборки curl с wolfSSL, что редко встречается в стандартных дистрибутивах Linux. Основные пакеты обычно используют OpenSSL или GnuTLS и не подвержены этой проблеме. Для защиты рекомендуется обновить curl до версии 8.14.0 или новее. Пользователи могут проверить используемую TLS-библиотеку командой curl -V.
Риск эксплуатации низкий, так как атака требует выполнения нескольких специфических условий: наличие wolfSSL, использование HTTP/3 и ручное включение certificate pinning. Кроме того, злоумышленнику необходимо перехватить трафик и получить действительный сертификат. Сейчас не зафиксировано случаев реального использования этой уязвимости, поэтому для большинства пользователей угроза минимальна, но обновиться всё же рекомендуется.
www.linux.org.ru/news/security/17983178

Угроза для 100 000 сайтов на WordPress
Исследователи Patchstack обнаружили критическую уязвимость (CVE-2025-47577, 10/10 по CVSS) в плагине TI WooCommerce Wishlist, который установлен более чем на 100 000 сайтов. Проблема позволяет загружать произвольные файлы без авторизации.
Функция tinvwl_upload_file_wc_fields_factory некорректно проверяет загружаемые файлы из-за отключенных параметров test_form и test_type. Это позволяет загружать файлы любого типа, включая вредоносные PHP-скрипты. Для этого должен быть активен плагин WC Fields Factory и включена интеграция с TI WooCommerce Wishlist.
Плагин предназначен для создания списков желаний и их публикации в соцсетях, что делает его популярным среди WooCommerce-сайтов.
Поскольку обновления пока нет, единственный способ защиты — полное отключение уязвимого плагина. Владельцам интернет-магазинов следует предпринять меры немедленно.
xakep.ru/2025/05/30/ti-woocommerce-wishlist/

Критические уязвимости в vBulletin
В популярном движке форумов vBulletin обнаружены две опасные уязвимости (CVE-2025-48827 и CVE-2025-48828, оценка 9/10). Одна из них уже активно используется злоумышленниками. Баги затрагивают версии 5.0.0-5.7.5 и 6.0.0-6.0.3 на PHP 8.1+.
Суть угрозы в том, что через API можно вызывать защищённые методы, а ошибки в обработке шаблонов позволяют выполнить произвольный код. Исследователь EgiX показал, как это работает: уязвимость в replaceAdTemplate обходит фильтры, давая хакерам шелл-доступ.
Фактически эти уязвимости были закрыты в прошлогодних обновлениях: PL1 для ветки 6.* и PL3 для версии 5.7.5. Однако из-за того, что многие владельцы сайтов не обновили свои системы, угроза остается актуальной.
xakep.ru/2025/06/02/vbulletin-flaws/

Мы в поиске авторов для одного из наших блогов или базы знаний. Неважно, есть ли у вас опыт в подготовке статей, или хотите попробовать силы впервые — платим за качество!

Два пути к гонорару:

• Есть готовая статья? Отправьте нам, и если она подойдёт для одной из наших площадок, выплатим вам гонорар после публикации.
• Хотите написать новую? Согласуем тему, дадим детальный фидбэк и поможем довести текст до идеала.

Что ценим в статьях:

• уникальность >75% (text.ru),
• практическую пользу (проверенные инструкции, кейсы, аналитика),
• нейтральность подачи (без политики и скандалов),
• чёткую структуру и объём.

Преимущества для вас:

• Гибкость: одна статья или постоянное сотрудничество.
• Публикация на Хабре под своим аккаунтом (по желанию).
• Поддержка редактора на разных этапах + иллюстрация от нашего дизайнера.
• Оплата от 8 000 до 17 000 ₽ за статью.

Свобода: сами выбираете тему и график.
Отправить готовый материал можно на почту: content@firstvds.ru с темой «Хочу стать вашим автором», обязательно указав для какой площадки (или площадок) вы хотите писать, или откликнуться на нашем сайте.

P. S. До 5 июля за статьи в блог Хабра на тему «Высокая производительность» платим повышенный гонорар.

Деревенская мудрость гласит: «Был бы у меня такой сервер, я, может, и не женился бы никогда...»

Летняя акция продлится до 18 июня. Успейте забрать сервер со скидкой 25%, время ещё есть. Скидка действует на любой срок заказа сервера (1, 3, 6 или 12 месяцев).
firstvds.ru/actions/leto_v_derevne