FirstVDS Хостинг

Форсаж — гибкий тариф, которые растет вместе с вашим проектом. Тариф Форсаж существует уже 3 года, и всё это время пользуется популярностью у наших клиентов. Но, признаемся, последнее время мы про него немного забыли. Стандартную линейку тарифов обновляли: цены сначала повышали, потом понижали, увеличивали ресурсы. А Форсаж застыл на месте. Настало время обновить этот замечательный тариф!

Вот самые большие изменения:

• Бесплатное администрирование с каждым сервером
• Скоростные накопители NVMe
• Сниженные цены

Бесплатное администрирование
С каждым сервером Форсаж пакет администрирования бесплатно. Напишите в поддержку, и администраторы решат любые задачи, которые входят в регламент. В месяц можно заказывать до 5 работ. Это не акция, а неотъемлемая часть тарифа — администраторы в вашем распоряжении на всё время действия сервера.

Опция будет полезной и при первоначальной настройке сервера, и при дальнейшей работе: специалисты помогут найти причины сбоев внутри сервера и устранить их.

Скоростные NVMe-накопители
Что это такое? Те же самые SSD-накопители, но подключенные через PCI Express и работающие по новому протоколу. Накопители NVMe теперь доступны для заказа на тарифе Форсаж. Сейчас это, пожалуй, самый простой способ ускорить работу интернет-проекта. Наши внутренние тесты показывают ускорение работы в 3 раза по сравнению с обычными SSD!

Доступны виртуальные серверы с накопителем NVMe от 20 до 500 Гб. Заодно увеличили максимальный размер SSD до 1 Тб.

Ах да, пришлось отказаться от гибридных накопителей HDD+SSD. Но это не повод расстраиваться, потому что мы…

Снизили цены
На старом Форсаже можно было устанавливать любые параметры: процессор, память, диск. Изначально планировали, что из-за дисбаланса ресурсов виртуальных машин не получится эффективно утилизировать ресурсы физического сервера. Это повлияло на цену.

Теперь процессор и память — зависимые ресурсы:


Это позволило значительно снизить цену. Сравним аналогичные серверы (2 ядра, 2 Гб памяти):

• Старый Форсаж: SSD 20 Гб — 919 руб/мес
• Новый Форсаж: NVMe 20 Гб — 809 руб/мес
• Новый Форсаж: SSD 20 Гб — 749 руб/мес

Новый сервер на NVMe стоит дешевле старого аналогичного сервера на SSD.

Новый Форсаж 2.0

Спам, майнеры и уязвимости атакуют мир с начала года. Memcached DDoS-атаки прокатились по всей Европе, и даже Let's Encrypt отложил выпуск wildcard-сертификатов из-за уязвимости в валидации доменов.
Чтобы у вас с безопасностью всё было в порядке, мы:
Писали статьи, поднимали старые материалы

• Как защитить сервер от взлома
• Как защититься от DDoS-атак
• Как защититься от спама
• Поиск вирусов на сервере
• Защита Wordpress от брутфорс атак

Уговорили Virusdie снизить цены
Теперь антивирус стоит 350 руб/мес. вместо 700 — скидка 50% до конца марта. Устанавливаете модуль в панели ISPmanager и проверяете сколько угодно сайтов сколько угодно раз. Virusdie найдёт и устранит спам-ботов, редиректы, трояны и бэкдор-скрипты.

Завели партнёрство с известными безопасниками — Revisium
У ребят 7-летний опыт и 10 тысяч успешных кейсов. С услугой «Скорая помощь» они проверят ваш сайт на вирусы, вылечат, дадут полный отчёт и гарантию на 6 месяцев (если проблема повторится, устранят бесплатно). Нашим клиентам скидка — 10%.
firstvds.ru/antivirus

Салют, любимые!
Февраль — праздничный месяц. 14-ого мы отметили сразу день всех влюблённых и день компьютерщика. А завтра уже защитников отечества поздравлять.

Для всех причастных собрали подарки в один дайджест. Посылаем вам лучи добра и троекратное «ура!».


Что почитать на выходных
Приготовили для вас вкусненькое: новые переводы комксов Джулии Эванс, кейс от нашего старшего веб-разработчика и свежие статьи в базу знаний:
Комиксы Джулии Эванс на русском языке
Перевели и опубликовали комикс про работу с сетью — будет интересен и новичкам, и профессионалам.
habrahabr.ru/company/first/blog/348686/
Для тех, кто еще не знаком с творчеством мисс Эванс
firstvds.ru/blog/komiksy-pro-administrirovanie-dzhulii-evans

Кейс по использованию песочницы в VM2
Приоткроем завесу тайны квеста — расскажем, как запускали прогерское задание на квесте.
VM или NodeVM, реализация бэкенда, тестирование и эксперименты с поведением ИИ.
habrahabr.ru/company/first/blog/349690/

Новые статьи в базе знаний:
Как добавить русский язык в Windows Server 2012/2016
Как создать базу данных в ISPmanager

Чего ждать от первых месяцев 2018

Срок действия SSL-сертификатов сократят до 2 лет
1 марта будет отменён выпуск 3-летних SSL-сертификатов. Это хорошо для безопасности (за 3 года могут выпустить обновления), но продлевать сертификат каждый год-два неудобно. Как быть? Смело берите сертификат на 3 года.
Новые алгоритмы шифрования и хеширования выходят не так часто, а разницав цене — значительная.


Google Chrome перестанет доверять всем HTTP-сайтам
В июле выйдет версия Chrome 68. И браузер начнёт помечать все сайты, работающие по протоколу HTTP, как ненадёжные. Чем это грозит: недоверие пользователей → снижение посещаемости и конверсии. Продвижению в поиске тоже вредит.
Решение всех проблем — SSL-сертификат. Для блогов и лендингов подойдёт бесплатный Let's Encrypt. Сайтам организаций, платёжным сервисам, интернет-магазинам и другим коммерческим проектам рекомендуем платные SSL-сертификаты соответствующего уровня проверки.


Symantec продался DigiCert
Мы уже рассказывали, как Google перестал доверять Symantec, и к чему это всё привело. Если вы ещё не перевыпустили SSL-сертификат, возможно, стоит поторопиться. Если купили сертификат до 1 июня 2016 г, а срок действия заканчивается после 14 марта 2018 года — нужно перевыпустить его до 15 марта. Это бесплатно, напишите в поддержку. Помните, осталось 3 недели.


УПД вместо актов выполненных работ
Если вы используете для электронного документооборота не Диадок, а другую систему (Цензор, Таском и др.), то могли получать от нас пустые акты выполненных работ. Все потому, что мы пользуемся Диадоком, а разные операторы не поддерживают друг друга.
Теперь мы отправляем вам УПД. Это универсальный передаточный документ, поэтому корректно отображается у всех операторов. Имеет ту же силу, что и старые добрые акты.

C 12 по 18 февраля проводим акцию ко дню всех влюбленных.

Мы предоставим скидку 20%, если:

• у вас есть только один активный виртуальный сервер, и вы заказали ему пару в виде ещё одного сервера. Скидка будет назначена на второй сервер.
• у вас нет активных VDS, и вы заказали два виртуальных сервера. Скидка на меньший по стоимости сервер.

Для активации скидки укажите промокод togethervds. Скидка назначается автоматически в течении нескольких минут, после чего вы можете переходить к оплате заказа. Скидка действует, пока активны оба сервера.

Подробные условия:

• В акции не принимает участие VDS-Разминка.
• Если у вас несколько активных серверов, вы не попадаете под условия акции, и скидка не назначается.
• Если вы заказываете два одинаковых по цене VDS, скидка будет действовать на второй виртуальный сервер.
• На каждый аккаунт скидка активируется только один раз.
• Если вы покупаете второй сервер, на аккаунте должен быть только один VDS.
• Для получения скидки за заказ двух серверов, на аккаунте не должно быть активных VDS.
• Если вы докупаете второй сервер, чтобы получить скидку, первый должен быть активирован до 12.02.2018 г.
• Если со временем клиент отказывается от сервера со скидкой, скидка на другие услуги не переносится.
• Скидка применяется автоматически через 3 минуты после введения промокода.

Надеюсь, вы не попали под праздничную раздачу от Intel. Мы на Рождество разбирались с багом в новых процессорах, потом закрывали уязвимости Meltdown и Spectre. Наши инженеры героически распутывали эту канитель в праздники: без сна, отдыха и поддержки от разработчиков.


От вас пришло много благодарностей. Спасибо, что цените нашу готовность бросить мужей, жён, салаты и исправлять чужую ошибку.

Что мы вынесли из этих случаев: даже в самом надёжном оборудовании бывают уязвимости, случаются сбои. Хостер не может предусмотреть баги на стороне разработчиков, но защититься от последствий можно самому:


1. Защитите сайты
Чистить сервер от вирусов неприятно и трудоёмко, врагу не пожелаешь. Но сейчас это острая проблема. Возрос интерес к криптовалюте, старые CMS и ПО стали основной причиной массового заражения майнинг-скриптами. Ещё под подозрением простые и необновлённые пароли.

Прямо сейчас смените пароль root и другие важные пароли: от Личного кабинета, панелей ISPmanager, VMmanager. Обновите CMS, плагины и читайте подробности:

• Кто виноват и что делать, мы рассказали в этой статье.
• Как закрыть уязвимости написано здесь.
• Подробнее о мерах профилактики — тут.

2. Сделайте, наконец, бэкап
По опыту наших админов 50% клиентов не делают резервные копии, и это очень грустно. Ведь они спасают и от заражения майнерами, и от проблем с оборудованием, и от собственных ошибок. Поэтому мы напоминаем про бэкапы при каждом удобном случае, вот сейчас, например.

Человека на всякий случай не клонируешь, а вот сервер можно. Не пренебрегайте этой возможностью и храните бэкапы на внешнем диске, независимо от VDS. Данные останутся, даже если с VDS что-то случится.

Услуга «Диск для бэкапов» позволяет хранить резервные копии на отдельном сервере. Как настроить и пользоваться описано здесь.


Бонус: книга в подарок от партнеров
Агентство интернет-рекламы 1PS.RU дарит нашим подписчикам книгу «100 способов увеличить посещаемость сайта». В ней собраны основные техники увеличения целевого трафика. Никакой воды, только кейсы, чек-листы и информация по существу. Чтобы получить бонус, перейдите по ссылке.

В сети обсуждают массовый взлом FirstVDS. Давайте разберёмся, в чём причина такого шума.
Претензия — FirstVDS не обеспечил защиту серверов

Вы должны обеспечить своевременное обновление и защиту серверов клиентов

Компании со своей стороны обеспечивает поддержку работоспособности инфраструктуры. За администрирование конечного VDS, актуальность обновлений и безопасность сервера ответственен администратор VDS — сам клиент. В рамках услуги администрирования и чёткого ТЗ системные администраторы могут провести работы по настройке и усилению безопасности сервера клиента.

Серверы взломала недобросовестная поддержка

У сотрудников саппорта действительно есть SSH-доступ к VDS клиентов. Однако он происходит через закрытый сервер аутентификации, который доступен только во внутренней сети, все запросы жёстко логируются. Мы мониторим логи, чтобы выявлять подозрительные подключения. Подробнее о системе авторизации мы писали тут.

Учитывая репутационные последствия и затраты на обработку подобных тикетов, для компании подобный «бизнес» крайне невыгоден.

Взлом происходит через уязвимости на серверах компании

Основные цели атакующих — рассылка спама и запуск «криптомайнеров». Мы изучили достаточно много кейсов, чтобы утверждать: эксплуатируются локальные уязвимости на стороне конкретного VDS. Кроме того, уязвимости разные.

Цели злоумышленников достигаются путём запуска вредоносного ПО с правами локального пользователя. Если бы эксплуатировались уязвимости на серверах компании, злоумышленники получили бы полный доступ к конечным услугам, что повлекло бы более серьёзные последствия. Нет смысла запускать сервисы в ограниченном окружении пользователя, когда есть root-доступ на сервер.

Чтобы локализовать уязвимый ресурс и отследить атаку, рекомендуем настраивать каждый сайт под отдельным пользователем.

А как же Meltdown/Spectre?

Обновления безопасности ПО проводятся на регулярной основе. Родительские ноды обновлены и защищены от данного типа атак.

Эксплуатация атак meltdown/spectre достаточно трудоёмкая и требует большого количества ручной работы. Масштаб проблемы даёт повод предполагать, что атаки автоматизированы и, вероятнее всего, работает ботнет. Нет смысла эксплуатировать уязвимости чтения памяти, когда пароль пользователя Qwerty123 или CMS обновлялась более 3-х лет назад.

На моём сервере совсем нет сайтов или сайты самописные, без публичных уязвимостей. Как его взломали?

Кроме сайтов, на сервере есть программное обеспечение (например, phpmyadmin, proftpd, httpd), которое каждый день становится объектом исследований в области безопасности. Вероятность появления уязвимости нулевого дня для любого из сервисов каждый день достаточно велика. Поэтому в задачи администратора сервера входит своевременная реакция на подобные инциденты и обновление ПО. В некоторых рассмотренных нами случаях эксплуатировались старые бэкдоры, «заложенные» злоумышленниками заранее. Возможно, даже через сайт, которого уже нет на сервере.

Уязвимое ПО было установлено на мой сервер при покупке? Меня взломали через ПО в ваших шаблонах?

Все программное обеспечение устанавливается на сервер из актуальных репозиториев операционной системы, вероятность эксплуатации таких сервисов крайне мала. Но, как было сказано выше, уязвимости могут появляться каждый день, и задача администратора — следить за актуальностью своих программных компонентов. Сканеры уязвимостей находятся в свободном доступе, и взлом уязвимой системы — вопрос времени и целесообразности. При текущем спросе на криптовалюты второй вопрос отпадает сам собой.

Наша позиция — взлом осуществляется через уязвимости внутри VDS

Кейсы, которые мы уже разобрали и похожие случаи:

• Отчёт от sucuri о подобных случаях (англ).
• Мы также зафиксировали ряд взломов через уязвимости веб-сервисов.
• Часть устаревшего программного обеспечения подвержена достаточно старым типам атак, например, CVE-2015-3306.

Если дело в уязвимостях ПО, почему заражают только клиентов FirstVDS?

Это не так, заражению подвержены клиенты любого провайдера. Однако FirstVDS — крупный хостер (57 435 доменов, по данным Hosting101 за 2017 год — самый популярный в России хостинг виртуальных серверов). И на нашем примере эта проблема особенно хорошо заметна.

К тому же не у каждого крупного хостера есть VDS с виртуализацией OpenVZ.

Мы предоставляем неадминистрируемые VDS, поэтому обычно не знаем, если их взломали. Однако у VDS с виртуализацией OpenVZ общее ядро, поэтому можно отследить всех нарушителей с запрещённым ПО (в том числе майнеров) по возросшей нагрузке на родительский сервер. Среди них будут и намеренные, и взломанные.

Именно майнеров мы можем разделить на намеренных и взломанных — последних выдаёт скрипт phpBWa1dd_ysvh5cdgl5zu7gf4. Намеренных останавливаем сразу и просим удалить запрещённое ПО. Со взломами ситуация неоднозначная, но, так как из-за повышенной нагрузки страдают все клиенты на ноде, не можем оставить её без внимания.

Для начала решили останавливать паразитный процесс, не пришлось бы беспокоить клиентов уведомлениями про взлом. Но у нас нет возможности автоматически закрывать уязвимости на VDS, а без этого сервер будет вновь заражен. На данный момент процедура выглядит так: останавливаем паразитный процесс, уведомляем клиента и рекомендуем закрыть уязвимости. Если клиент не реагирует, уязвимости не закрыты, а сервер заразили уже 4 раза подряд, мы останавливаем VDS.

На виртуализации KVM с уровня родительского сервера не видны процессы конкретного VDS. В этом случае мы не можем отследить взлом. Поэтому блокируем VDS, которые генерируют большое количество паразитного трафика, и разбираемся в причинах индивидуально.

Почему вы не решаете проблему?

В каждой такой ситуации взлома требуется индивидуальное решение. Поэтому в первую очередь мы рекомендуем обратиться к специалистам, занимающимся защитой сайтов. Например, в компанию Revisium. Ни о каком партнёрстве и денежной выгоде тут речи нет. Ещё у них есть бесплатный сканер вирусов и вредоносных скриптов Ai-bolit.

Также мы рекомендуем Virusdie (700 руб. в месяц) — это хороший антивирус и модуль в панели ISPmanager, с которой мы работаем. Плагин позволяет самостоятельно производить неограниченное количество очисток всех сайтов в течение месяца. Подключается в панели ISPmanager в раздел Интеграция → Модули.

Наши специалисты могут вручную произвести проверку и очистку сайтов от вирусов, но она разовая и обходится дороже — 1000 руб. Кроме того, проблема не решается только чисткой вирусов.

Если вы обладаете достаточными навыками администрирования Linux, можно провести проверку самостоятельно. В нашей базе знаний вы найдёте статьи в помощь: Поиск вирусов на сайте, Поиск вирусов с помощью Linux Malware и другие в разделе Безопасность.

Так как чистка не предотвращает повторное заражение, сначала нужно закрыть уязвимости.

Если вас не взломали, всё равно стоит позаботиться о профилактике. Воспользуйтесь рекомендациями по ссылке и статей про защиту Wordpress от брутфорс атак.

Если ваш сервер взломали, и это не связано с описанными уязвимостями — напишите запрос в поддержку, мы заинтересованы разбирать нестандартные кейсы…

7 января система мониторинга сообщила о проблемах с производительностью на 28-ми родительских серверах. Основным симптомом был медленно работающий процессор.

Поиск причин и решение
Проблема проявилась только на платформе Intel S2600BPB с новыми процессорами Intel Silver и Gold. Другие общие характеристики не обнаружились: разные дата-центры, разные версии Linux, разные виртуализации.

Решить проблему в лоб не удалось. Сняли с сервера всю нагрузку (выключили клиентские VDS) — родительский сервер продолжал тормозить. Медленно работал даже интерфейс UEFI. Перезагрузка также не помогала.

Примерно 8 часов ушло на то, чтобы докопаться до сути проблемы. Искали, что связывает все эти случаи. В итоге решить проблему удалось только полным отключением питания. При запуске серверов после 10-минутного простоя проблема исчезает и не повторяется.

Причина сбоя
Чтобы объяснить, в чем дело, придется немного рассказать о физическом устройстве питания серверов.


Сервер получает питание не напрямую. Для группы серверов действует пара блоков питания, работающих параллельно. Управляет подачей питания на все элементы сервера специальное устройство — контроллер BMC, Intel Baseboard Management Controller.

В консоли одного BMC нашли логи:

308 Sun Jan 7 05:31:29 2018 PS1 Status  BMC Warning Power Supply    Predictive Failure - Over-temperature warning, Status Byte: 0x40 - Asserted
312 Sun Jan 7 05:40:04 2018 PS2 Status  BMC Warning Power Supply    Predictive Failure - Over-temperature warning, Status Byte: 0x40 - Asserted

То есть контроллер определил перегрев блоков питания, после чего дал команду всем подчиненным ему серверам работать на минимальной мощности.

Проверили логи остальных контроллеров для пострадавших серверов. Все они с точностью до минуты определили такой же перегрев блоков питания:

d0 | 01/07/2018 | 05:31:30 | Power Supply #0x50 | Predictive failure | Asserted
 b2 | 01/07/2018 | 05:31:29 | Power Supply #0x50 | Predictive failure | Asserted
 a6 | 01/07/2018 | 05:31:29 | Power Supply #0x50 | Predictive failure | Asserted
 79 | 01/07/2018 | 05:31:29 | Power Supply #0x50 | Predictive failure | Asserted
 62 | 01/07/2018 | 05:31:30 | Power Supply #0x50 | Predictive failure | Asserted
 7e | 01/07/2018 | 05:31:29 | Power Supply #0x50 | Predictive failure | Asserted
 3d | 01/07/2018 | 05:31:29 | Power Supply #0x50 | Predictive failure | Asserted
 3e | 01/07/2018 | 05:31:29 | Power Supply #0x50 | Predictive failure | Asserted
185 | 01/07/2018 | 05:31:30 | Power Supply #0x50 | Predictive failure | Asserted
 4d | 01/07/2018 | 05:31:30 | Power Supply #0x50 | Predictive failure | Asserted
 53 | 01/07/2018 | 05:31:29 | Power Supply #0x50 | Predictive failure | Asserted
 a4 | 01/07/2018 | 05:31:30 | Power Supply #0x50 | Predictive failure | Asserted
 ee | 01/07/2018 | 05:31:31 | Power Supply #0x50 | Predictive failure | Asserted
 28 | 01/07/2018 | 05:31:31 | Power Supply #0x50 | Predictive failure | Asserted
 38 | 01/07/2018 | 05:31:30 | Power Supply #0x50 | Predictive failure | Asserted
 91 | 01/07/2018 | 05:31:30 | Power Supply #0x50 | Predictive failure | Asserted
 3a | 01/07/2018 | 05:31:31 | Power Supply #0x50 | Predictive failure | Asserted
 2c | 01/07/2018 | 05:31:30 | Power Supply #0x50 | Predictive failure | Asserted

Датчики температуры показывали, что температура на блоках питания не поднималась выше 39°C. Получается, что с десяток разных контроллеров одновременно решили, что происходит перегрев блоков питания, хотя на самом деле его не было. Наше предположение — это проблема аппаратной платформы, баг в логике работы.

Одной из версий было, что кто-то взломал IPMI и одновременно дал команду на снижение энергопотребления всем процессорам. Однако, пострадали и новые простаивающие сервера, еще не подключенные в сеть.

Написали запрос в Intel с описанием проблемы, приложив все логи BMC. Интел обещал помочь. Спустя 18 часов, позвонил инженер Intel и сообщил, что зарегистрированы еще аналогичные случаи. Обещали держать нас в курсе новостей. Мы ожидаем одного из двух ответов: либо сообщения о том, что проблема была разовая и больше не повторится, либо обновления BMC для закрытия проблемы.

Решили провести свой эксперимент. На пустой платформе без клиентских серверов перевели время назад, на 6 января, и на следующие сутки, как только часы показали 5:30 проблема повторилась. Поставили на этой платформе дату +3 дня относительно текущего времени. Это поможет заранее узнать о повторении проблемы.

Добавили защиту от DDoS на всех тарифах
Раньше защищенный канал был доступен только для Атлантов и Форсажей, а теперь его можно подключить и на готовых тарифах за 500 рублей в месяц. Канал DDoS-Guard защищает серверы от самых распространённых атак на 3-4 уровне: Smurf, SYN-, ICMP-флуд.
firstvds.ru/products/vds_vps_hosting


Оптимизировали серверы для Битрикс24
Подобрали виртуальные и выделенные серверы под корпоративные порталы Битрикс24 разного размера. Учли, что вам могут пригодиться бэкапы и администрирование — уже в комплекте.
firstvds.ru/products/bitrix24


Снизили цену на хостинг для Windows
В марте Windows подняли цены на лицензии, и нам пришлось повысить цены на Windows-серверы. Но в июле мы нашли способ сделать их даже дешевле, чем было — от 589 рублей в месяц. Собрали отдельный кластер, взяли под него одну лицензию Datacenter и вуаля.
firstvds.ru/hosting/windowsvps


Добавили диска на Форсажах и Битриксах
Увеличили лимит диска для серверов в своей конфигурации, под 1С-Битрикс и Битрикс24: HDD до 1 ТБ и SSD до 500 Гб. Больше места для ваших больших проектов!




Счастливого Нового года, друзья!
Команда эльфов FirstVDS

Впереди длительные праздники, поэтому обращаем внимание на несколько моментов:

• График работы отделов в праздничные дни
• Отдел продаж и отдел финансов будут обрабатывать запросы в ограниченном режиме.

Специалисты отделов будут ежедневно проверять запросы, но время ответа увеличится до суток. График работы отдела заботы о клиентах и службы поддержки на выходные не изменится: технические вопросы мы продолжим решать круглосуточно.

Не забудьте об оплате!
Убедитесь, что ваш VDS не остановится за неуплату во время праздников, проведите оплату заранее. Напоминаем, что в праздничные дни банки не работают, и мы не сможем принять платежи банковским переводом до 9 января 2018 года. Используйте иной способ оплаты или оплатите услуги заранее.

С уважением
Команда FirstVDS

24 декабря мы обновляем функционал личного кабинета.

Начнем в 5 часов утра и планируем завершить до 11 часов по московскому времени. На время работ личный кабинет может быть недоступен.

Также могут быть недоступны или отвечать с задержкой наши специалисты техподдержки. Если вам нужна помощь наших администраторов, пожалуйста запланируйте работы на другое время.

Всегда ваша, Команда FirstVDS