Мнение Cloudflare об отключении OVHcloud 30 октября

30 октября 2024 года поставщик облачного хостинга OVHcloud (AS16276) столкнулся с кратковременным, но значительным отключением. Согласно их отчету об инциденте, проблема началась в 13:23 UTC и была описана просто как « Происходит инцидент на нашей магистральной инфраструктуре ». OVHcloud отметил, что инцидент закончился 17 минут спустя, в 13:40 UTC. Как крупный глобальный поставщик облачного хостинга, некоторые клиенты используют OVHcloud в качестве источника для сайтов, предоставляемых Cloudflare — если заданный контент-актив отсутствует в нашем кэше для сайта клиента, мы извлекаем актив из OVHcloud.

Мы наблюдали, как трафик начал падать в 13:21 UTC, как раз перед заявленным временем начала. К 13:28 UTC он был примерно на 95% ниже, чем до инцидента. Восстановление, по-видимому, началось в 13:31 UTC, а к 13:40 UTC, заявленному времени окончания инцидента, он достиг примерно 50% от уровня до инцидента.



Cloudflare обычно обменивается большей частью своего трафика с OVHcloud по пиринговым ссылкам. Однако, как показано ниже, объем пирингового трафика во время инцидента значительно упал. Похоже, что некоторый небольшой объем трафика на короткое время начал проходить по транзитным ссылкам из Cloudflare в OVHcloud из-за внезапных изменений в дата-центрах Cloudflare, в которых мы получали запросы OVHcloud. (Пиринг — это прямое соединение между двумя сетевыми провайдерами с целью обмена трафиком. Транзит — это когда одна сеть платит промежуточной сети за передачу трафика в сеть назначения.)




Поскольку мы пирингуем напрямую, мы обмениваемся большей частью трафика через наши частные сеансы пирингования с OVHcloud. Вместо этого мы обнаружили, что маршрутизация OVHcloud в Cloudflare полностью прекратилась на несколько минут, затем переключилась на один порт Internet Exchange в Амстердаме и, наконец, нормализовалась глобально через несколько минут.

Как показывают графики ниже, мы обычно видим наибольший объем трафика от OVHcloud в наших центрах обработки данных во Франкфурте и Париже, поскольку OVHcloud имеет крупные центры обработки данных в этих регионах. Однако при этом переходе к транзиту и переходе к точке обмена данными Amsterdam Internet Exchange мы увидели всплеск трафика, направляемого в наш центр обработки данных в Амстердаме. Мы подозреваем, что изменения маршрутизации являются самыми ранними признаками либо внутренней реконвергенции BGP, либо общего восстановления сети в пределах AS12676, начиная с их присутствия вблизи нашей точки обмена данными в Амстердаме.

В отчете о расследовании, опубликованном OVHcloud, отмечается, что инцидент был вызван « проблемой в конфигурации сети, ошибочно допущенной одним из наших пиринговых партнеров », и что « мы немедленно перенастроили наши сетевые маршруты для восстановления трафика ». Одним из возможных объяснений инцидента с магистральной сетью может быть утечка маршрута BGP упомянутым пиринговым партнером, когда OVHcloud мог принять полную таблицу Интернета от однорангового узла и, следовательно, перегрузить свою сеть или сеть пирингового партнера трафиком или вызвать неожиданные внутренние обновления маршрута BGP в AS12676.

При расследовании того, какая утечка маршрута могла стать причиной инцидента, затронувшего OVHcloud, мы обнаружили доказательства нарушения максимального порогового значения префикса на нашем пиринге с Worldstream (AS49981) в Амстердаме.
Oct 30 13:16:53  edge02.ams01 rpd[9669]: RPD_BGP_NEIGHBOR_STATE_CHANGED: BGP peer 141.101.65.53 (External AS 49981) changed state from Established to Idle (event PrefixLimitExceeded) (instance master)

Поскольку количество полученных префиксов превысило лимиты, настроенные для нашего пирингового сеанса с Worldstream, сеанс BGP автоматически перешел в состояние ожидания. Это предотвратило влияние утечки маршрута на сеть Cloudflare. При анализе данных протокола мониторинга BGP (BMP) из AS49981 до автоматического отключения сеанса мы смогли подтвердить, что Worldstream отправлял объявления с AS-путями, которые содержали их транзитного провайдера Tier 1 восходящего потока.

За это время мы также обнаружили более 500 000 объявлений BGP от AS49981, поскольку Worldstream объявлял маршруты многим своим одноранговым узлам, что видно на Cloudflare Radar.


Позже Worldstream разместил на своей странице статуса уведомление, в котором говорилось, что в их сети произошла утечка маршрутов, в результате чего маршруты были непреднамеренно объявлены всем одноранговым узлам:
Из-за ошибки конфигурации на одном из основных маршрутизаторов все маршруты были на короткое время объявлены всем нашим одноранговым узлам. В результате мы получили больше трафика, чем ожидалось, что привело к перегрузке на некоторых путях. Чтобы решить эту проблему, мы временно отключили эти сеансы BGP, чтобы локализовать проблему и стабилизировать сеть. Приносим извинения за неудобства

Мы полагаем, что Worldstream также раскрыл маршруты в ходе пиринговой сессии OVHcloud в Амстердаме, что и привело к сегодняшним последствиям.

Заключение
Cloudflare уже писала о существенных утечках маршрутов, и существует несколько методов, позволяющих предотвратить влияние утечек маршрутов BGP на вашу сеть. Один из них — установить максимальные ограничения префиксов для однорангового узла, чтобы сеанс BGP автоматически разрывался, когда одноранговый узел отправляет больше префиксов, чем ожидается. Другие перспективные меры — это Autonomous System Provider Authorization (ASPA) для BGP, где Resource Public Key Infrastructure (RPKI) помогает защитить сеть от принятия маршрутов BGP с недействительным путем AS, или RFC9234, который предотвращает утечки, привязывая строгие отношения между клиентами и поставщиками к обновлениям BGP. Для повышения устойчивости Интернета мы рекомендуем операторам сетей следовать рекомендациям, определенным в MANRS для операторов сетей manrs.org/netops/

Хэллоуин уже на пороге!



Пусть этот праздник принесет вам море веселья, ярких впечатлений и немного мистики!
В честь этого волшебного дня мы дарим вам дополнительную скидку 15% к текущей скидке на все наши услуги хостинга!

Скидка действует только 31.10.2024, не упустите свой шанс!

Желаем вам захватывающих приключений, сладких угощений и незабываемых моментов! Пусть ваш Хэллоуин будет наполнен радостью и удивительными сюрпризами!

С наилучшими пожеланиями,
Команда 4vps.su

SmartPDU без RJ45

SmartPDU, без RJ45, IP/TLS через PLC (CPL): — удаленная перезагрузка и защита — энергопотребление, все патенты имеют открытый исходный код.


2022-2024



hestiacp.com/install.html
hestiacp.com/docs/introduction/getting-started.html

[1.9.0] — Feature / Major release
Примечания
Для повышения безопасности мы решили разрешить пользователям переименовывать администратора по умолчанию. И использовать нового пользователя «hestia-web», чтобы он стал пользователем по умолчанию для запуска Hestia.
Функции
Добавить поддержку релиза Ubuntu 24.04 Noble (#4411 #4451)
Добавить поддержку Jailed SSH (#4052 #4245) @rjd222
Внедрить CLI для приложений быстрой установки (#4443)
Добавить поддержку импорта Directadmin / Cpanel (#4177 #4415 #4426 #4252 #4241)
Добавить поддержку инкрементальных резервных копий через Restic
Добавить поддержку триггеров в v-add-mail-domain / v-add-delete-mail-domain #4416 (см. Документацию)
Добавить приложение быстрой установки Joomla (#4433)
Добавить поддержку ограничения ЦП и ОЗУ для каждого пользователя с помощью cgroup (#4372 #4325)
Добавить веб-терминал (#3859)
Улучшить макет боковой панели учетной записи электронной почты (#4154)
Ошибка исправления
Разрешить перевод filegator (#4382 #4275)
Исправление ошибки, вызванной новым выпуском robthree/twofactorauth (#4410)
Создание папки .wp-cli при создании нового пользователя (#4403)
Исправление проблемы маршрутизации SMTP Relay (#4389)
Исправление разрешений Roundcube (#4387)
Исправление v-add-dns-record при добавлении записей TLSA (#4376)
Исправление обработки Snappymail (#4349)
Добавлено создание dovecot.log и настройка разрешений на шаг установки dovecot (#4352)
Исправление в валидаторе Localpart Mail, чтобы он мог принимать псевдонимы, начинающиеся и заканчивающиеся на (#4351)
Apache2: включить mod_headers по умолчанию. (#4350)
Обновить MediaWiki до версии 1.41.1 (#4344)
Добавить поддержку сжатия через GZ или ZSTD (#4300 #4322)
Упростить стили счетчика (#4319)
Анимировать удаление уведомлений (#4316)
Обновить v-run-cli-cmd (#4310)
Показывать порт сервера базы данных в уведомлении по электронной почте (#4301)
Исправлена ​​проблема с разрешениями, связанная с проблемой #4248 (#4268)
Удалить код PHP и исправить предупреждение установщика (#4279)
Запретить * расширяться в команде (#4085)
Удалить v-generate-debug-report (#4266)
Исправить отсутствующие резервные копии файлов dot
vsftpd use_localtime Нет #4261
Исправить сломанную установку mysql v8 в Debian (#4259)
Использовать стандартный формат y/N в установщике для указания значения по умолчанию (#4251)
Исправление неработающего HTML на страницах входа/сброса (#4247)
Проверка имен пользователей, начинающихся с буквенного символа. (#4195 #4181)
Исправление форматирования каталога пользователя (#4098)
Добавление mjs в качестве файла для статического обслуживания (#4240)
Отображение системного времени на страницах cron (#4236)
Исправление установщика Dokuwiki для проблемы #3889 (#4229)
Исправленный путь к сертификатам ssl (#4202)
Добавление значения к тексту типа ввода (#4193)
Правильное получение сеансового cookie для веб-терминала (#3969)
Зависимости
Обновите hestia-nginx до 1.27.0
Обновите hestia-php до 8.3.9
Обновите Roundcube, Filegator, Snappy mail до последней версии

Читать дальше →

Проводим обряды по призыву скидок



Специально для этого Хэллоуина провели не одну сотню оккультных обрядов по призыву скидок. И что-то однозначно получилось.

Уже завтра, 31 октября в 10:00 по мск, призовём в этот мир:
  • Промокоды со скидкой 25% на заказ новых VDS.
  • Сертификаты на баланс номиналом 150 рублей.

Количество сертификатов — 2000 штук. Чтобы не пропустить старт акции и успеть забрать 150 рублей на баланс, заводите будильники или включайте уведомления в нашем тг-канале.
t.me/TakeFirstNews

Побалуйте себя или побалуйте себя нашим самым доступным VPS в этот Хэллоуин



В этот Хэллоуин мы подаем что-то еще более сладкое, чем конфеты. В течение ограниченного времени вы можете получить наш VPS 0 без платы за установку (как и все наши облачные серверы). Это идеальное угощение для стартапов, небольших проектов или тех, кто хочет окунуться в жуткий мир виртуальных частных серверов по цене, которая не ударит по вашему кошельку.

contabo.com/en/vps/

Почему VPS 0 — такая пугающе выгодная сделка?
  • Это наш самый доступный вариант VPS
  • Идеально подходит для тестирования новых идей или размещения небольших веб-сайтов.
  • Полностью настраиваемый и масштабируемый для ваших растущих потребностей
  • Плата за установку не взимается
  • Это действительно очевидно (извините, зомби). Но, как и все хорошее, это предложение не будет длиться вечно. Оно исчезнет быстрее, чем оставшиеся конфеты на Хэллоуин, так что не ждите слишком долго, чтобы принять решение.

Готовы побаловать себя? Костюм не нужен — просто принесите свои идеи, а наш VPS 0 сделает все остальное.
contabo.com/en/vps/
Счастливого Хэллоуина (g)хостинг
Ваша команда Contabo

Страшно хорошие новости от PQ.Hosting!



Настало время тайн и магии! Хеллоуин уже на пороге, и в этом магическом воздухе мы решили подарить вам не только мороз по коже, но и страшно выгодные скидки!

Только с 29 октября по 2 ноября включите свои фонарики и отправляйтесь на охоту за жутко привлекательными предложениями от PQ.Hosting. Уверяем, вместо страха вас ждёт восторг!
  • VPS-серверы — скидка 15% на заказ и продление;
  • Выделенные серверы — скидка 10% на заказ и продление;
  • Proxy — 15% на заказ и продление;
  • VPN — 40% на заказ и 30% на продление;
  • SSL-сертификаты — скидка 80% на заказ и продление.

Просто введите промокод “BOO” при оформлении заказа или продлении, чтобы воспользоваться этими зловещими скидками!

Трепещите от восторга, а не от страха, выбирая идеальные тарифы для своего проекта по невероятно низким ценам! Не упустите шанс прокачать свой проект с максимальной выгодой!
https://pq.hosting

Хеллоуин — 2024 с выгодой! Скидка 13% на услуги виртуального хостинга и VPS!





Праздничное предложение к Хеллоуину от AdminVPS!

Друзья, Хеллоуин — это время волшебства и неожиданных сюрпризов. В нашей хостинговой компании мы решили отпраздновать этот необычный праздник и предложить вам нечто особенное!

В честь Хеллоуина мы рады объявить акцию: получите жутко выгодную скидку 13% на услуги VPS и виртуального хостинга при оплате от 6 месяцев и более.

Это идеальная возможность купить, продлить либо улучшить производительность вашего сайта или приложения, не беспокоясь о высоких расходах.

Погрузитесь в атмосферу праздника вместе с нами, но поторопитесь: акция действует только с 30 октября до 5 ноября включительно.
  • При оплате на 6 месяцев VPS итоговая скидка составит 18%, виртуального хостинга 23%.
  • При оплате на 12 месяцев VPS итоговая скидка составит 23%, виртуального хостинга 28%.

Как получить скидку?

Приглашаем вас принять участие в коротком опросе (займет до 1 минуты) о необходимости ввода новых услуг: выделенных физических серверов и VPS с графическими процессорами (GPU).

Ваши ответы помогут нам изучить спрос и в дальнейшем удовлетворить ваши требования.
forms.yandex.ru/u/6717c454068ff01f36470a90/

Октябрь — гайды по Bash, рецепт для TeamSpeak и все-все уязвимости месяца

В октябре было столько дел, столько дел: попытаться смириться с нехваткой витамина D, повздыхать о наступающих холодах, поработать, ещё поработать и… опять поработать.



В промежутках между всеми делами октября мы читали Лавкрафта — по работе, конечно же! Ведь скоро Хэллоуин, но об этом расскажем отдельно ;) А пока посмотрите, что мы успели за этот месяц.

Статьи и инструкции
Как создать и настроить свой VPN на сервере

В современном цифровом мире защита информации стала критически важной. Пользователи сталкиваются с угрозами, кибератаками и утечками данных. В этом контексте VPN-сервисы играют ключевую роль в обеспечении безопасности и конфиденциальности личной информации.
В статье рассказываем, как создать и настроить свой VPN на сервере: что такое Xray и 3-XU, как подобрать домен для обеспечения конфиденциальности, как настроить панель 3X-UI и т. д.
Если тема для вас актуальна, то заходите в нашу Базу знаний — собрали все материалы в раздел «VPN».
firstvds.ru/technology/kak-sozdat-i-nastroit-svoy-vpn-na-servere
firstvds.ru/technology?&utm_term=all-active#vpn

Гайды по Bash
Bash — одна из наиболее популярных командных оболочек в операционных системах семейства *nix: Linux, Unix и других.
Мы решили добавить в Базу знаний целый раздел с гайдами по Bash. На данный момент готово уже 5 материалов, ещё пара выйдет в ближайшее время.
firstvds.ru/technology?&utm_term=all-active#gaydy_po_bash
Если пойдёте читать, то начинать советуем с этой статьи — в ней рассказываем, что такое Bash, об областях применения bash-скриптов и показываем, как написать и запустить простой bash-скрипт.
firstvds.ru/technology/bash-skripty-linux

Habr: самое интересное за октябрь
В дайджест попадают самые-самые статьи из нашего Хабра. Чтобы посмотреть все материалы, подписывайтесь на блог FirstVDS.
  • Часы Уоррена: устройство, которое совершило революцию в электросетях
  • Почему троичные вычисления лучше двоичных
  • Почему не взлетели дискеты 3M?
  • Подборка механических клавиатур: 5 беспроводных моделей для работы и творчества

Новости октября


Увеличение диска в VMmanager 6 без перезагрузки сервера
Чтобы наши пользователи могли оперативно решать проблему нехватки места и при этом не прерывались на перезагрузку сервера — мы добавили новую функцию. Теперь для виртуальных серверов в кластере с VMmanager 6 доступна опция увеличения дискового пространства без необходимости перезагрузки.
Чтобы увеличить диск, достаточно перейти в Личный кабинет, выбрать нужный сервер, нажать «Изменить» и указать необходимый объём. Подробнее рассказываем в инструкции.
firstvds.ru/technology/kak-uvelichit-razmer-diskovogo-prostranstva-na-virtualnom-servere-firstvds-s-os

Обновлённый рецепт для TeamSpeak
Из-за новостей о блокировке Discord мы обновили рецепт для TeamSpeak. Теперь он доступен для большинства других операционных систем: Alma Linux 8/9, Debian 11/12, Rocky Linux 8/9, Ubuntu 22.04/24.04, Oracle 8/9 и CentOS 9 Stream.
Выбрать рецепт можно при заказе VDS на сайте или при изменении настроек работающего сервера в Личном кабинете. Рецепт автоматически развернет на VDS нужное вам ПО, останется только скачать клиент с сайта TeamSpeak и приступить к работе.
Важный момент: установить TeamSpeak с помощью рецепта можно только на чистый сервер. Если на вашем сервере установлено какое-то ПО, например, панель ispmanager — воспользуйтесь нашей инструкцией по ручной установке сервера TeamSpeak.
firstvds.ru/technology/recipes/teamspeak

Топ новостей октября из мира безопасности

Октябрь начался с новостей, мимо которых не смогли пройти — об удалённых уязвимостях в CUPS, уязвимости в libnv во FreeBSD и в Netfilter в Linux.
firstvds.ru/blog/svezhee-iz-mira-bezopasnosti-uyazvimosti-v-cups-libnv-i-netfilter
Но это не всё. Месяц продолжился новостями, которые вызывали наш интерес не только со стороны «как защититься», но и со стороны — «это интересно!».

Вирус Perfctl эксплуатирует закрытые уязвимости и заражает тысячи Linux-серверов
Вирус Perfctl начал скрытно майнить криптовалюту в 2021 году. Он заразил уже тысячи Linux- серверов, используя более 20 тысяч ошибок конфигурации. Опасность заключается в сложно обнаруживаемых механизмах его работы и большом наборе действий, который он может выполнять. Так, например, он может эксплуатировать закрытую уязвимость Apache RocketMQ (CVE-2023-33246) с уровнем угрозы 10 из 10. Безопасники считают, что потенциально вирус может негативно повлиять на миллионы устройств.
Perfctl маскируется, работает в фоновом режиме и делает многое другое, чтобы избежать обнаружения пользователем. Он контролирует зараженные машины, изменяя имена файлов и используя уязвимость Gpac мультимедийного фреймворка. Для передачи информации на сервер атакующей стороны, Perfctl шифрует и удаляет все двоичные файлы. Он также создает сокет Unix и сохраняет каталоги с данными о процессах, журналах и местоположении копий. Признаки заражения включают всплески загрузки процессора и замедление работы системы. Чтобы предотвратить заражение, необходимо исправить уязвимость CVE-2023-33246 и проверить конфигурации на ошибки.
3dnews.ru/1112046/opasniy-virus-perfctl-zarazil-s-2021-goda-tisyachi-sistem-pod-linux-i-eshchyo-millioni-pod-ugrozoy

Уязвимость в pam_oath, дающая возможность получить права root в системе
В PAM-модуле pam_oath, который входит в состав пакета oath-toolkit, была обнаружена уязвимость (CVE-2024-47191), позволяющая обычным пользователям получить права root. Этот модуль функционирует с правами root и использует файл /etc/users.oath для хранения OATH-ключей, доступных исключительно для пользователя root. С версии 2.6.7 была добавлена возможность размещать файлы с ключами в домашних каталогах пользователей.
Проблема заключается в том, что pam_oath не сбрасывает привилегии при работе с файлами в пользовательских каталогах. После успешной аутентификации модуль создает lock-файл и новый файл с расширением ".new", но не проверяет существование уже имеющегося файла. Это создает возможность для злоумышленников создать символическую ссылку на важный системный файл, такой как /etc/shadow. В результате успешной аутентификации pam_oath может перезаписать этот файл новыми данными и изменить его владельца на пользователя, который создал ссылку.
Уязвимость была исправлена в версии 2.6.12 и затрагивает лишь конфигурации, где файлы размещены в домашних каталогах. Недавно также была обнаружена другая уязвимость (CVE-2024-9313) в PAM-модуле Authd, которая позволяет пользователям подменять свою идентичность, и она была устранена в версии Authd 0.3.5.
www.opennet.ru/opennews/art.shtml?num=61987

Уязвимость в CUPS может быть использована для усиления трафика при DDoS-атаках
Специалисты Akamai обнаружили уязвимость в компоненте cups-browsed. Она позволяет злоумышленникам усиливать трафик во время DDoS-атак. При отправке запросов на открытый порт 631 злоумышленники способны увеличить объем трафика до 600 раз. В интернете зафиксировано более 198 тысяч уязвимых устройств.
В отличие от остальных подходов, в данном случае не требуется подделка адресов. Процесс cups-browsed загружает PPD-файлы с внешних серверов по неавторизованным запросам, что дает возможность добавлять данные и увеличивать IPP URI до 989 байт.
На 62% из исследованных систем cups-browsed отправлял минимум 10 запросов на целевую систему в ответ на один UDP-запрос, что в среднем приводит к увеличению трафика в 600 раз. Также была зафиксирована рекордная DDoS-атака, достигшая 3.8 терабит в секунду, организованная с использованием скомпрометированных маршрутизаторов и других устройств.

Критическая уязвимость в WordPress-плагине Jetpack угрожает 27 млн сайтов
Разработчики плагина Jetpack выпустили патч для критической уязвимости, позволяющей вошедшим пользователям получать доступ к формам, отправленным другими посетителями. Уязвимость затрагивает все версии Jetpack начиная с 3.9.9, выпущенной в 2016 году.
Automattic подготовила исправления для множества версий Jetpack, включая 13.9.1 и более ранние. Рекомендуется проверить и обновить плагины на сайтах.
Разработчики утверждают, что нет доказательств использования уязвимости, но советуют установить исправления как можно скорее. Технические детали не раскрываются, чтобы пользователи успели обновиться.
www.opennet.ru/opennews/art.shtml?num=62008

Международная академия связи предлагает запретить SpeedTest в РФ
Международная академия связи выдвинула инициативу о запрете использования сервиса SpeedTest от компании Ookla операторами в России. Причиной этого являются опасения по поводу возможной передачи данных в иностранные спецслужбы и увеличения вероятности кибератак. Госдума и ФСБ поддержали эту инициативу. Если данный софт будет удален из сетевых инфраструктур, конечные пользователи лишатся возможности точно измерять скорость интернет-доступа. На его место можно рассмотреть использование как отечественных, так и зарубежных альтернативных сервисов.
xakep.ru/2024/10/16/jetpack-bug/