Рейтинг
0.00

FirstVDS Хостинг

14 читателей, 420 топиков

Массовый взлом сайтов на Битриксе

Во вторник, 28 июня, владельцы порталов и сайтов на Битриксе столкнулись с массовым взломом своих проектов. Из обсуждения на официальном форуме Битрикса известно, что злоумышленникам удалось получить полный доступ к множеству сайтов на базе этой CMS — вплоть до смены всех паролей и удаления данных.
dev.1c-bitrix.ru/community/forums/forum6/topic147346/

Предполагаем, что для осуществления взлома злоумышленники использовали несколько путей, в том числе:
  • через уязвимость модуля vote (версия ниже 21.0.100). Уязвимость позволяет нарушителям воспользоваться возможностью отправки специально сформированных сетевых пакетов и записывать произвольные файлы в систему;
  • через встроенный редактор html.
Если у вас есть проекты на Битриксе, рекомендуем обновить CMS до последней версии. В версии 21.0.1 модуля vote уже исправлены ошибки безопасности. Также советуем проверить наличие корректных резервных копий сайтов.
dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=vote

Если у вас нет бэкапов, не откладывайте их создание. Дополнительно до выяснения подробностей об уязвимости рекомендуем в файлах /bitrix/tools/vote/uf.php и /bitrix/tools/html_editor_action.php перед require_once вставить следующий код:
if ($_SERVER['REQUEST_METHOD'] === 'POST') 

{          

    header("Status: 404 Not Found");

    die();

}

При возникновении вопросов или проблем с доступностью сайтов на Битриксе вы можете обратиться к специалистам техподдержки в Личном кабинете.

Май — летний плейлист, итоги Пятницы 13 и серверы с гарантированными процессорами на CLO

И моё сердце остановилось, моё сердце замерло… Не пугайтесь, это не аритмия — мы уже готовимся к сезону песен у костра и собираем летний плейлист. Давайте с нами? :)



В майском дайджесте расскажем, что нового у CLO, подведём итоги хоррор-игры в честь «Пятницы 13», полистаем свежую подборку с Хабра и поделимся парой июньских анонсов.

Статьи и инструкции
Трассировка с помощью traceroute и MTR
Когда пакет передаётся по сети, он проходит через несколько маршрутизаторов — определить, через какие именно, могут помочь утилиты traceroute и My Traceroute (MTR). Также с помощью MTR можно диагностировать потерю пакетов. Подробнее о том, как это сделать, рассказываем в новой статье.
Как правильно интерпретировать результаты traceroute или MTR
firstvds.ru/technology/kak-pravilno-interpretirovat-rezultaty-traceroute-ili-mtr

Миграция с CentOS 8 на AlmaLinux
В конце 2021 года компания Red Hat прекратила поддержку операционной системы CentOS 8, и пользователи начали искать альтернативу. Оптимальным вариантом стала AlmaLinux: она основывается на пакетной базе Red Hat Enterprise и полностью совместима с RHEL. А ещё предлагает простой механизм миграции с CentOS 8 — как раз об этом наша новая инструкция.
Как перейти с CentOS на AlmaLinux
firstvds.ru/technology/obnovlenie-centos-8-do-almalinux-8

Habr: самое интересное за май
Несмотря на долгие выходные, май оказался очень продуктивным месяцем — новые статьи в нашем блоге на Хабре выходили почти каждый день. Собрали для вас самые интересные в отдельную подборку.
  • Как будут собирать российские серверы в новых условиях
  • Как ИИ помогает компаниям сократить расходы на хранение данных
  • Старые добрые ленточные хранилища делают камбэк. Откуда взрыв популярности?
  • Как повысить безопасность вашего сайта на Wordpres

Новости
А теперь к новостям мая.

Подводим итоги «Пятницы 13»
Пока добропорядочные граждане сажали картошку и жарили шашлыки на майских, мы денно и нощно пилили акцию на Пятницу 13-е. И хотя все сертификаты и спецтарифы уже кончились, вы всё ещё можете пройти игру — интереса ради. Если уже прошли, то приглашаем заглянуть в новость — там мы рассказываем, что нужно было сделать, чтобы получить максимальный результат.
firstvds.ru/blog/itogi-akcii-pyatnica-13-e-statistika-i-luchshee-prohozhdenie-igry


Облачные серверы с гарантированными ядрами CPU
На проекте CLO появилась возможность арендовать облачный сервер с гарантированными физическими ядрами процессора. Такой вариант лучше всего подойдет чувствительным к задержкам проектам, которым важна высокая производительность. Чтобы опробовать услугу или взять сервер на бесплатный тест — нужно написать в чат на сайте CLO.
clo.ru

CLO едет на выставку ECOM Expo’22
8-9 июня в московском ЦВК «Экспоцентр» пройдёт крупнейшая в России выставка технологий для электронной торговли ECOM Expo’22 — и CLO примет в ней участие. Если вы в Москве, приходите знакомиться! Наш спикер Мария Кузьмина выступит с докладом и расскажет, как справляться с кратным ростом посещаемости интернет-магазина без перебоев в работе и переплаты за ресурсы.
expo.oborot.ru

Уязвимости
Релиз дистрибутива Red Hat Enterprise Linux 9

Компания Red Hat представила новый релиз дистрибутива RHEL 9, который будет поддерживаться до 2032 года. Среди главных изменений: обновлённое системное окружение и сборочный инструментарий, окончательная миграция на Python 3, рабочий стол на GNOME 40 и улучшенные компоненты для обеспечение безопасности.
www.opennet.ru/opennews/art.shtml?num=57167

Более 6 тысяч сайтов на WordPress взломаны и перенаправляют на мошеннические страницы
Исследователи из компании Sucuri обнаружили масштабную кампанию, в рамках которой хакеры внедряют вредоносный код JavaScript на скомпрометированные сайты WordPress, используя многочисленные уязвимости в плагинах и темах. По данным экспертов, атаке подверглось уже более 6600 сайтов. Также эксперты недавно предупреждали, что хакеры массово эксплуатируют RCE-уязвимость (CVE-2021-25094) в плагине Tatsu Builder, который установлен примерно на 100 000 сайтов
xakep.ru/2022/05/13/wordpress-injects/

Уязвимость в Python, позволяющая вызвать системные команды из изолированных скриптов
Исследователи безопасности обнаружил способ обойти системы изолированного выполнения кода на Python, используя старую и до сих пор не исправленную ошибку, обнаруженную ещё в 2012 году в Python 2.7. Ошибка позволяет при помощи специально скомпонованного кода инициировать обращение к уже освобождённой памяти в СPython.
www.opennet.ru/opennews/art.shtml?num=57193

Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива
В утилите unrar обнаружена уязвимость, позволяющая при распаковке специально оформленного архива перезаписать файлы вне текущего каталога (в рамках прав пользователя). Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows. Устранена в выпусках RAR 6.12 и unrar 6.1.7.
www.opennet.ru/opennews/art.shtml?num=57190

Повышение цен на «Acronis Резервное копирование»

Мы вынуждены поднять стоимость услуги «Acronis Резервное копирование», так как наш вендор, компания «Киберпротект», повысил цены на продукт «Акронис Защита Данных».

Новые цены
  • Локальное хранилище — 6 руб/мес за 1 Гб
  • Облачное хранилище — 8 руб/мес за 1 Гб
Будьте внимательны, 1 июня оплата за расчётный месяц спишется уже по новой цене.

Эксклюзивные VDS с гибкими SSD и NVMe-накопителями



Ещё чуть-чуть и акция от FirstVDS в честь пятницы 13 закончится. В следующий раз 13 день месяца выпадает на пятницу уже только в 2023 году!

До 23:59 по мск ещё можно заказать «Jason 4.0» с гибкими дисками.
Главное, успеть — их осталось совсем немного, могут закончиться раньше акции.

VDS Jason 4.0 SSD
  • 6 ядер, 6 Гб RAM и от 80 до 500 Гб SSD — от 990 руб/мес
VDS Jason 4.0 NVMe
  • 6 ядер, 6 Гб RAM и от 80 до 500 Гб NVMe — от 1390 руб/мес
firstvds.ru/f13-2022-action

Совершать побеги из лагеря Crystal Lake можно будет и дальше, игра останется на сайте FirstVDS. Да, сертификаты и промокоды за это уже не получить, но проверить свои силы и попробовать набрать 35 баллов из 35 можно.

FirstVDS не верит в плохие приметы!



Суеверные люди с облегчением выдохнули — единственная в этом году пятница 13 прошла. Но как бы не так! Акция от FirstVDS в честь пятницы 13 в самом разгаре. Хорошо, что ребята не верят в плохие приметы :)

Акция продлится до 23 мая 2022 включительно — осталось не так много времени, чтобы успеть заказать уникальную конфигурацию «Jason 4.0» с гибким SSD или NVMe-накопителем.

Эксклюзивные тарифы «Jason» в версии 4.0 с гибкими дисками

  • VDS Jason 4.0 SSD — 6 ядер, 6 Гб оперативной памяти и от 80 до 500 Гб SSD.
  • VDS Jason 4.0 NVMe — 6 ядер, 6 Гб оперативной памяти и от 80 до 500 Гб NVMe.

Когда будете на сайте FirstVDS, то обязательно попробуйте сбежать из лагеря Crystal Lake. Остался всего 1 день, чтобы успеть выиграть скидку до 35% на покупку новых VDS или продление уже действующего сервера.

Чем лучше исход игры, тем больше скидка. Поэтому внимательно читайте правила, прежде, чем нажать «Начать игру».

firstvds.ru/f13-2022-action

Пятница 13 вместе с FirstVDS: советуем хорошо выспаться!



Никто не любит Пятницу 13 больше, чем FirstVDS. И, нет, это совсем не потому, что в этот день они собираются в лесу, водят хороводы вокруг костра и жертвуют Богу Хостинга самого перспективного админа.

Просто, когда 13 день месяца выпадает на пятницу, ребята из FirstVDS устраивают крутые акции. В этот раз они снова готовят кое-что масштабное: специальные тарифы «Jason 4.0», сертификаты на пополнение баланса на 500 ₽ и скидки до 35% на новые и действующие серверы.

Чтобы получить все эти скидки и сертификаты, придётся хорошо постараться, просто так все эти призы никто не отдаст. Но обещаем — будет интересно!

Старт в пятницу в 15:00 по мск. Не забудьте подписаться на телеграм-канал FirstVDS|FirstDEDIC, чтобы ничего не пропустить t.me/TakeFirstNews

Прекращаем сотрудничество с регистратором международных доменов Directi

Мы прекращаем сотрудничество с регистратором международных доменов Directi из-за рисков, связанных с его зарубежным расположением. Если ваш домен зарегистрирован ранее июля 2018 года, его продление возможно только после трансфера к другому регистратору.

Чтобы вы могли продолжить управлять доменом в нашем Личном кабинете, мы подготовили для вас автоматический трансфер к провайдеру OpenProvider.

1. Если срок регистрации вашего домена истекает в течение месяца, нажмите кнопку «Продлить» в Личном кабинете — сработает автотрансфер. Домен автоматически будет перенесен к новому регистратору OpenProvider.

Вам потребуется подтвердить запрос на трансфер, отправленный регистратором на e-mail адрес владельца домена, указанный при регистрации. После подтверждения операция трансфера будет завершена в течение 5 дней, а услуга продлена на один год.

В случае несогласия вы можете отменить (не подтверждать) трансфер, после чего обратиться в поддержку для возврата списания за продление.

2. Если домену более месяца и для него подключено автопродление, то автотрансфер к OpenProvider сработает перед следующим автопродлением.

За месяц до даты продления домена необходимо пополнить счет, проверить почту домена и подтвердить трансфер.

3. Если домену более месяца и у него не включено автопродление, и вы хотите перенести домен к OpenProvider прямо сейчас — обратитесь в службу поддержки.

Если вы хотите перенести домен к другому регистратору, запросите в службе поддержки auth-код для самостоятельного переноса. К сожалению, продлить домен через текущего регистратора Directi не представляется возможным.

Апрель — премия ЦОДы.РФ, оплата через PayBox и подборка статей с Хабра

Приветы!
Говорят, расхламление — это искусство. А ещё, что это повышает продуктивность и уровень комфорта. Звучит как отличная идея для первомайских выходных: разобрать скопившиеся за зиму завалы, избавиться от лишнего, привести в порядок рабочее место и свои мысли. Предлагаем начать вместе с нами.


Статьи и инструкции
Как освободить место на диске

Часто именно переполненный диск приводит к проблемам в работе сервера. Чтобы не допускать таких ситуаций, нужно следить за местом на диске и оперативно освобождать его при заполнении. Если предупредить угрозу всё же не удалось — поможет справиться наша инструкция.
firstvds.ru/technology/how-to-fix-low-disk-space-problem

Как бороться со спамом
Чтобы каждую неделю не разбирать завалы писем на почте, стоит настроить защиту от спама. Сделать это можно двумя способами — не загружать спам на почтовый сервер или фильтровать письма уже после получения. И то, и другое можно сделать с помощью панели ISPmanager — подробнее в статье.
firstvds.ru/technology/faq/antispam

Habr: самое интересное за апрель
А также держите уже ставшую традиционной подборку с Хабра. Публикуем статьи каждый день, но для вас выбираем только самое интересное.


Как делегировать обслуживание IT-инфраструктуры и не прогадать
В прошлом году на проекте FirstDEDIC появилась услуга «Техническое сопровождение проектов», в рамках которой мы берем на себя поддержку вашей серверной инфраструктуры. В новом кейсе компания «Тендерлэнд» делится своим опытом и рассказывает, почему было принято решение делегировать администрирование и что из этого вышло.
1dedic.ru/content/kak-delegirovat-obsluzhivanie-it-infrastruktury-i-ne-progadat

Новости
А теперь к новостям апреля.


«Хостер года» и «Креатив года» по версии ЦОДы.РФ
14 апреля в Москве состоялась церемония вручения национальной отраслевой премии ЦОДы.РФ. Мы номинировались на звание «Хостер года» уже второй раз, а в этом году также подали заявки на «Креатив года» с проектом FirstDEDIC и «Облако года» с проектом CLO. Борьба оказалась нешуточной, но все наши представители уверенно дошли до финала, а в номинациях «Хостер года» и «Креатив года» — стали лучшими. Спасибо, что голосовали за нас!


Новый способ оплаты для карт, выпущенных за рубежом
В личном кабинете теперь доступен новый способ оплаты — PayBox. Он позволяет принимать оплату с международных карт Visa, Mastercard, Diners Club, UnionPay, JCB и МИР, выпущенных за рубежом. Обратите внимание, что карты, оформленные в России и Белоруссии, через PayBox не принимаются, для них доступны другие методы оплаты.


Объектное хранилище S3 на проекте CLO
На проекте CLO небольшой апдейт — реализовано объектное хранилище S3 для хранения больших объёмов статических данных: фото, видео, логов, резервных копий и т.д. Пока для работы с хранилищем необходимо использовать Public API и специальное ПО (мы рекомендуем утилиту Cyberduck), но скоро мы добавим возможность взаимодействовать с ним через Личный кабинет.

Уязвимости
Критическая уязвимость в плагине Elementor для WordPress

Эксперты обнаружили в популярном плагине Elementor для WordPress критическую уязвимость, позволяющую аутентифицированному пользователю загрузить на уязвимый сайт произвольный файл и выполнить произвольный код. Проблема устранена в версии 3.6.3, однако обновление установили не все пользователи — по оценкам исследователей до 500 000 сайтов по-прежнему уязвимы.
xakep.ru/2022/04/14/elementor-bug/

Релиз дистрибутива Ubuntu 22.04
Состоялся релиз дистрибутива Ubuntu 22.04 «Jammy Jellyfish» с длительным сроком поддержки (LTS). Из главного: задействовано ядро Linux 5.15, обновлены версии инструментов для разработчиков, включена оболочка GNOME 42 с обновлённым рабочим столом, новым инструментом для скриншотов и файловым менеджером Nautilus, предложено 10 вариантов цветового оформления в тёмном и светлом стилях.
www.opennet.ru/opennews/art.shtml?num=57058

В Java устранена уязвимость, позволяющая подделывать цифровые подписи
В апрельском обновлении продуктов Oracle устранено 520 уязвимостей, в том числе критическая проблема в Java SE. Уязвимость CVE-2022-21449 позволяет генерировать универсальные сертификаты и подписи, которые будут приниматься в Java-обработчиках как корректные. Проблема проявляется в ветках Java 15, 16, 17, 18 и устранена в выпусках Java SE 18.0.1, 11.0.15 и 8u331.
www.opennet.ru/opennews/art.shtml?num=57050

Шифровальщик Hive атакует серверы Microsoft Exchange
Операторы вредоносной программы Hive атакуют серверы Microsoft Exchange, которые содержат уязвимости ProxyShell, позволяющие выполнять код удалённо и без аутентификации. Злоумышленники проводят сетевую разведку, крадут учётные данные, ценную информацию и шифруют системы. Чтобы защититься от атак, необходимо установить обновления, закрывающие уязвимости ProxyShell.
xakep.ru/2022/04/21/hive-proxyshell/

В Jira устранили критическую уязвимость обхода аутентификации
Разработчики обнаружили в Jira критическую уязвимость, которую можно использовать для обхода аутентификации, отправив специально подготовленный HTTP-запрос. По шкале оценки CVSS она получила 9,9 балла из 10 возможных. Для устранения проблемы рекомендуется как можно скорее обновиться до версий Jira 8.13.18, 8.20.6 и 8.22.0, а также Jira Service Management 4.13.18, 4.20.6 и 4.22.0.
xakep.ru/2022/04/26/jira-auth-bybass/

FirstVDS и FirstDEDIC вернулись с премии ЦОДы.РФ с двумя призовыми кубками

Вечером 14 апреля в зале банкетного комплекса Golden Palace в Москве состоялась церемония вручения ежегодной национальной премии ЦОДы.РФ. Чтобы получить заслуженные награды «Хостер года» и «Креатив года», на сцену поднялись CEO FirstVDS и FirstDEDIC Алексей Чекушкин и директор по маркетингу Никита Попов.



Мы участвовали в премии второй раз подряд, но если в прошлом году номинировались только на «Хостера года», то в этом году также подали заявки в номинации «Креатив года» и «Облако года».

Голосование проходило в два этапа, а для номинации «Облако года» было закрытым. Борьба оказалась нешуточной, но все наши представители уверенно дошли до финала. А в номинациях «Хостер года» и «Креатив года» — стали лучшими.

В течение двух часов на сцене выступали одни из главных представителей в сфере хостинга. Со всех сторон слышались поздравления, аплодисменты и благодарности. Получать заветные кубки было не менее волнительно, чем в первый раз. Посмотреть, как это было, можно по ссылке.

Спасибо всем, кто принял участие в голосовании, а также болел за нас во время прямой трансляции! Во время голосования мы снова в полной мере ощутили вашу поддержку, и эта победа только подтвердила, что мы двигаемся в верном направлении. И хотя в номинации «Облако года» мы не получил главный приз — нам есть куда расти.

Фотографии от организаторов мероприятия


Читать дальше →

Добавили новый способ оплаты для карт, выпущенных за рубежом



В Личном кабинете доступен новый способ оплаты — PayBox. С его помощью вы можете оплатить услуги с международных карт Visa, Mastercard, Diners Club, UnionPay, JCB и МИР, выпущенных за рубежом. Подробнее читайте в статье.
paybox.money/ru
firstvds.ru/company/payments

Обратите внимание, что PayBox не принимает карты, оформленные на территории России и Белоруссии. Для российских и белорусских карт доступны другие способы оплаты.