Дата-Центр



Мы знаем, как важна надежность и безопасность хостинга для наших клиентов. Поэтому расскажем детальнее о нашем Дата-центре.
  • Выделенные сервера размещаются в Нидерландах.
  • VDS/VPS размещаются в Нидерландах и Латвии.
  • Виртуальный хостинг доступен только в Нидерландах.

Дата-Центр окружен забором, к которому подведено высокое напряжение, и вся протяженность ограждения просматривается наружными камерами видеонаблюдения. Вход осуществляется строго после идентификации и проверки полномочий. Показателем высокой защищенности Дата-Центра является сертификат PCI-DSS.

Зал аккумуляторных батарей APC и 16 дизель-генераторов (по 1540 кВА) обеспечивают бесперебойное потребление энергией Дата-Центра. На одну стойку стандартно подается 15 кВт, а по запросу может быть подано 25 кВт.

В Дата-Центре внедрена собственная концепция естественного охлаждения.
Стены Дата Центра огнеупорны и могут выдержать воздействие высоких температур на протяжении не менее 180 минут. Установлена система очень раннего обнаружения дыма VESDA. Применяется система обнаружения пожара на основе оптических детекторов, фиксирующих изменения в воздушных потоках, а также тепловых детекторов. Все системы мониторятся квалифицированной службой поддержки круглосуточно.
Дата-Центр имеет отличные каналы передачи данных с странами СНГ. Общая пропускная способность составляет 4,5 Тбит/с.

Мы предоставляем только брендовое оборудование компаний Hewlett Packard, IBM, Dell. При аренде сервера Вы можете не беспокоиться о его техническом состоянии.

Попробуйте все возможности хостинга от Zomro уже сейчас: zomro.com

Отчет о DDoS атаке на датацентры в Нидерландах

Подробно расскажем о том, что происходило в период с 11 по 18 августа в дата-центрах Serverius (Нидерланды), как решали проблему и что будет сделано, чтобы не допустить этого в будущем (лонгрид).

1. Что случилось
11 августа, в воскресенье, оба дата-центра компании Serverius стали жертвой DDoS атаки нового типа – TCP-amplification (реплицированный SYN/ACK-флуд) одновременно на сотни IP адресов, которые принадлежали дата-центру и другим клиентам дата-центра, которые использовали их автономную систему. При каждой следующей атаке IP адреса и подсети менялись в случайном порядке. В пиках фиксировалось до 500.000.000 пакетов в секунду на сотни IP адресов, что в сумме составляло невероятную мощность и нагрузку. Кроме этого, атакующие регулярно меняли тактику и методы атаки, чтобы создать максимальные проблемы для сетевой инфраструктуры. Возможность использовать протокол TCP для масштабных атак типа Amplification впервые описали в исследованиях пять лет назад, но до сих пор это оставалось теорией.

2. Почему не сработала DDoS защита
Не сработала не только DDoS защита, не выдерживала и остальная сетевая инфраструктура, так как одновременное количество пакетов было слишком велико: падали интернет-каналы, вышестоящие провайдеры блокировали подсети, чтобы не допустить проблем и перегрузок у себя.

3. Как решали проблему
Сначала никак. Мы полностью рассчитывали на Serverius и их защиту, которая является лучшей в Нидерландах и одной из лучших в Европе. Атаки периодически прекращались и через некоторое время повторялись снова, иногда с еще большей силой. В моменты прекращения атак наша команда отвечала на сотни тикетов и активировала временные серверы для клиентов, которые могли самостоятельно переехать.

Через несколько часов мы уже понимали, что нужно действовать самостоятельно и уносить свои IP сети из Serverius-а во внешнюю защищенную сеть.

Мы написали некоторым зарубежным облачным анти-DDoS провайдерам, которые могли наверняка справиться с такими атаками. В течение нескольких часов никто не ответил.

Тогда мы обратились в российскую компанию StormWall. Ответ получили в течении 30 минут и еще через 15 минут уже обсуждали детали атаки и варианты защиты. Самым быстрым вариантом подключения оказался GRE туннель с точкой фильтрации во Франкфурте.

Через три часа удалось переключить наши подсети IP из Serverius DC1, еще через три часа переключили подсети IP из Serverius DC2 и приступили к корректировке настроек, чтобы добиться эффективной фильтрации мощнейших атак и при этом обеспечить приемлемую работу серверов и сайтов.

К полудню 12 августа мы убедились в стабильной работе наших сетей и принялись исправлять менее критичные проблемы, о которых сообщали клиенты. К этому часу уже больше суток работали без сна и отдыха в состоянии стресса и напряжения.

Чтобы оперативно обрабатывать тикеты, объявили полную мобилизацию и привлекли всех инженеров технической поддержки и менеджеров. Отдельно отметим команду сетевых инженеров и руководства Serverius и StormWall, которые также все время работали вместе с нами, чтобы наладить стабильную работу наших сервисов.

Работа через GRE туннель оказалась неидеальной. Проблемы должен был решить прямой L2 канал к точке фильтрации: связались с точкой обмена NL-IX, уточнили возможность аренды каналов, но получили ответ, что свободных портов нет. Не оставалось ничего другого, как продолжить использовать GRE туннель и бороться с недостатками.

Когда атаки прекращались на продолжительное время, мы отключали туннель и возвращали наши сети в Serverius, чтобы обеспечить комфортную работу серверов, а при возобновлении атак оперативно активировали туннели, чтобы избежать падений из-за атак на дата-центр. Каждое такое переключение сопровождалось сотнями тикетов с запросами на корректировку MTU.

19 августа мы окончательно отключили туннель в связи с прекращением атак: атакующие переключились на другие дата-центры. Нам также стало известно, что с такими же проблемами столкнулись Webzilla, Servers.com и другие провайдеры.

4. Что будет дальше
Атака стала отличным стресс-тестом для всей инфраструктуры Serverius и помогла определить слабые места. Наша команда получила невероятный опыт, который позволил пересмотреть подход к проектированию нашей архитектуры.

Теперь о том, почему мы больше не окажемся в подобной ситуации.

Мы заключили контракт и отладили настройки для быстрой активации внешней DDoS защиты. В настоящее время – через GRE туннель, но мы уже ведем диалог с провайдерами об аренде каналов для прямого подключения к точкам защиты. Это позволит избежать высоких задержек, низких скоростей, необходимости корректировки MTU и других неудобств GRE туннеля. Таким образом, наши площадки в Нидерландах получат двойную защиту, что станет дополнительным конкурентным преимуществом и дополнительной защитой на случай новых, до этого неизвестных атак.

Чтобы не наступать второй раз на те же грабли, мы сразу же настроили внешнюю DDoS защиту для нашей второй стратегически важной площадки в Москве – теперь, в случае подобных распределенных атак на наши сети или сети дата-центра, переключение на нее займет менее 30 минут.

Помимо этого, мы зарегистрировали собственную автономную систему и анонсируем наши сети через нее. В дополнение к каналам Serverius мы подключим еще не менее двух провайдеров, чтобы обеспечить стабильную работу наших серверов в случае проблем с сетью Serverius.

Это потребует больших инвестиций в оборудование, вырастут ежемесячные расходы на аренду защищенных каналов, но это никак не отразится на стоимости наших услуг.

Со стороны Serverius изменения предстоят куда более серьезные. Идет настройка нового сетевого оборудования, которое позволит увеличить производительность и пропускную способность в 100 раз. Переключение нашего оборудования к новой сети планируется уже в ближайшее время.

Инженеры Huawei проанализировали новый тип DDoS атаки и обновили прошивку, которая помогает определять и фильтровать такие типы атак. Проблемой остается лишь очень высокая мощность атак, что будет решаться за счет покупки дополнительного оборудования. Сумма дополнительных инвестиций в защиту составит 2.5 миллиона Евро.

Кроме этого, руководство дата-центра понимает, что завтра появятся и другие неизвестные типы атак, еще мощнее и сложнее, поэтому как дополнительную защиту для таких сценариев они рассматривают подключение внешних провайдеров облачной защиты с распределенной сетью точек присутствия по всему миру. Переговоры введутся с Cloudflare, Imperva и другими провайдерами.

5. Выводы
Дерьмо случается. То, что нас не убивает, делает нас сильнее. Мы понесли большие потери, но мы благодарны этому опыту.

Способы атак постоянно эволюционируют, мощность атак продолжает возрастать, и важно быть готовым к любым ситуациям. По этой причине вариант двойной защиты совершенно необходим.

Жертвой подобной атаки может стать любой дата-центр – это вопрос времени, и о дополнительной защите лучше позаботиться заранее.

Мы понимаем тех из вас, кто переехал в желании спасти свои проекты и сайты, но задайте себе вопрос: готов ли ваш новый хостинг провайдер и дата-центр к атакам такого рода?

Мы будем готовы.

6. Извинения и компенсации
Многие хостинг компании имеют SLA соглашения, на которые они ссылаются в случае аварий. Часто подобные SLA не покрывают внешние факторы, к которым относятся DDoS атаки, а если и покрывают, то в весьма скромном объеме: предлагаемая компенсация обычно равна времени фактической недоступности. Так, за 1 час недоступности предлагается кредит, равный стоимости 1 часа аренды сервера.

Мы не получим никакой компенсации от Serverius. Мы на нее и не претендуем. Они делали все, чтобы помочь как нам, так и другим своим клиентам. Даже если бы мы и получили компенсацию от Serverius, то ее сумма никак не покрыла бы наши потери.

Для нас имеет ценность не SLA и договоры, а наша репутация и отношение к вашим проблемам.

Мы считаем своим долгом предложить компенсацию клиентам в Нидерландах. Для этого создайте тикет в биллинг отдел. На компенсации могут рассчитывать и те, кто во время проблем был вынужден сменить хостинг. Будем рады вашему возвращению.

Команда Inferno Solutions ценит и благодарна за поддержку и понимание. Спасибо, что вы верили и продолжаете верить в нас.

IP-KVM через QEMU



Устранение неисправностей при загрузке операционной системы на серверах без KVM — непростое занятие. Создаем себе KVM-over-IP через образ восстановления и виртуальную машину.

В случае возникновения проблем с операционной системой на удаленном сервере, администратор загружает образ восстановления и проводит необходимые работы. Такой способ отлично работает, когда причина сбоя известна, а образ восстановления и установленная на сервере операционная система из одного семейства. Если причина сбоя еще не известна, необходимо понаблюдать за ходом загрузки операционной системы.

Удаленный KVM
Получить доступ к консоли сервера можно с помощью встроенных средств, таких как IPMI или Intel vPro, или с помощью внешних устройств, именуемых IP-KVM. Существуют ситуации, в которых все из перечисленных технологий недоступны. Однако, это не конец. Если сервер можно удаленно перезагрузить в образ восстановления на базе операционной системы семейства Linux, то можно быстро организовать KVM-over-IP.

Образ восстановления представляет собой полноценную операционную систему, которая размещается в оперативной памяти. Таким образом, мы можем запускать любое программное обеспечение, в том числе и виртуальные машины (ВМ). То есть можно запустить ВМ, внутри которой будет работать операционная система сервера. Доступ к консоли ВМ может быть организован, например, через VNC.

Для запуска операционной системы сервера внутри ВМ необходимо указать диски сервера в качестве дисков ВМ. В операционных системах семейства Linux физические диски представляются блочными устройствами вида /dev/sdX, с которыми можно работать как с обычными файлами.

Некоторые гипервизоры, такие как QEMU и VirtualBox позволяют хранить данные ВМ в «сыром» виде, то есть только данные хранилища без метаданных гипервизора. Таким образом, ВМ можно запустить с использованием физических дисков сервера.

Подобный способ требует ресурсов на запуск образа восстановления и ВМ внутри него. Однако, при наличии четырех и более гигабайт оперативной памяти это не станет проблемой.

Подготовка окружения
Подробнее
blog.selectel.ru/ipkvm-over-qemu/

Доменная зона .REN продана



Гонконгская компания ZDNS International сообщила о приобретении доменной зоны .REN. Это уже второе её приобретение. Незадолго до этого она купила зону .FANS.

Предыдущим владельцем домена .REN была китайская социальная сеть Renren (Жэньжэнь). На момент подачи заявки на регистрацию собственного домена в 2012 году она была на пике популярности и даже сравнивалась с Facebook. Renren была особенно востребована среди студентов. Количество активных пользователей сети за месяц достигало 60 миллионов человек.

Однако затем последовал резкий обвал популярности, остановить который было невозможно. Количество уходящих людей росло в геометрической прогрессии. Renren стали сравнивать уже не с Facebook, а c MySpace — другой социальной сетью, резко потерявшей популярность.

В результате Renren решила закрыть социальную сеть, и заодно продать уже ненужный домен. Впрочем, компания продолжила существование и сейчас планирует заняться продажей подержанных авто.

.REN не был доменом-брендом, каждый желающий мог зарегистрировать в нём домен второго уровня. Максимум регистраций был достигнут в ноябре 2016 года — 320 000 доменов. Этот показатель сравним с самыми популярными доменными зонами Китая. Однако сейчас в зоне .REN осталось всего 17 000 имён.

Этот домен при хорошем продвижении может снова стать популярным. Слово «ren» — транслитерация иероглифа "人", который означает «народ».

https://www.webnames.ru

Новый тариф Ferrum Big



Рады сообщить, что в ближайшее время для удобства многих клиентов мы введём новый тариф VDS под названием Ferrum Big. Отличительной особенностью данного тарифа является больший объём диска при умеренных показателях CPU и RAM. Данный тариф будет содержать 1 CPU, 1 RAM и от 100 GB SSD, что позволит предоставить наиболее выгодное решение для тех пользователей, которым необходимо работать с большими объёмами данных. Этого удалось добиться благодаря скидке на SSD, в данном тарифе 1 GB будет стоить 5 рублей, вместо 10 рублей за 1 GB на обычном тарифе Ferrum.

Статистика показала, что у нас довольно много клиентов, использующих подобную конфигурацию. Для её получения необходимо было произвести увеличение требуемого показателя в схожих тарифах. Нововведение сэкономит не только деньги, но и время, которое могло потребоваться для увеличения дискового пространства вручную. Данный тариф будет действовать только на SSD, максимально возможный объём дискового пространства составит 300 GB. Следите за нашими обновлениями!

www.ihor.ru

Представляем модуль автоматизации лицензий WHMCS cPanel



Мы рады сообщить о публичном выпуске модуля автоматизации лицензирования cPanel для WHMCS.

Этот бесплатный модуль предоставляет партнерам cPanel автоматизированное решение для предоставления, управления и выставления счетов за лицензии cPanel & WHM.

В дополнение к упрощению процесса продажи лицензий cPanel в рамках новой структуры лицензирования cPanel, этот новый модуль для WHMCS также предлагает партнерам cPanel более быстрый, простой и удобный способ управления своими лицензиями cPanel непосредственно из административной области WHMCS.



Функциональность включает в себя:
  • Поддержка предоставления всех новых типов лицензий cPanel (фиксированная, автоматическое масштабирование и лицензии с массовыми учетными записями)
  • Автоматизированный биллинг для автоматических и массовых лицензий
  • Обновления / понижения клиентов по фиксированным типам лицензий по требованию
  • Упрощенный UX для настройки параметров лицензии cPanel и цен
  • Управление лицензиями cPanel изнутри WHMCS
  • Гибкий контроль разрешений для групп пользователей-администраторов
  • И больше...
Для существующих партнеров cPanel после первоначальной активации модуля все существующие лицензии cPanel будут импортированы из Manage2 и будут доступны для связи и назначения вашим существующим клиентам и их услугам в WHMCS. После привязки лицензии к сервису WHMCS с этого момента полностью автоматизирует синхронизацию и выставление счетов за лицензии для новых типов лицензий с автоматическим масштабированием и по оптовым ценам.

Обзор функциональности
Новый модуль поставляется с процессом на основе мастера, который упрощает настройку лицензионных предложений cPanel с помощью настраиваемых параметров. Благодаря поддержке как создания новых настраиваемых параметров для предоставления лицензий cPanel, так и импорта существующих настраиваемых параметров, модуль обеспечивает простой и интуитивно понятный процесс миграции существующих предложений, которые необходимо обновить, чтобы использовать новые функции автоматизации.



Помимо упрощения настройки опций, модуль полностью автоматизирует предоставление лицензии при покупке и срок ее действия при аннулировании, а также действия по управлению, включая обновление, понижение версии, изменение IP-адреса и многое другое. Он также позволяет настраивать расценки для каждой учетной записи для типов пакетов cPanel, которые поддерживают групповые учетные записи, и автоматически выполняет синхронизацию для пакетов с автоматическим масштабированием, а также пакетов, поддерживающих групповые учетные записи, для обеспечения надлежащего выставления счетов клиентам в соответствии с предложениями панели управления и ценами.
marketplace.whmcs.com/product/4993

Информация о глобальных неполадках в сети, 18-20 августа 2019



Уважаемый клиент.
Как вы, вероятно, уже знаете, наша площадка в Амстердаме подверглась беспрецедентной DDoS-атаке. Атака была нейтрализована. Я хотел бы принести извинения всем и каждому из наших клиентов, пострадавших в ходе инцидента. Мы знаем, что вы полагаетесь на Servers.com как на профессионалов, обеспечивающих бесперебойную работу и высокое качество обслуживания. Хотя мы, наряду с нашими клиентами, стали жертвой этого нападения, мы принимаем на себя ответственность за то, что не смогли подготовиться лучше. Поверьте, мы уже приняли серьезные меры для защиты вас и вашего бизнеса от подобных атак в будущем, и не остановимся на этих мерах.

По ссылке, приведенной ниже, вы найдете RCA — документ, содержащий анализ причин произошедшего, описание мер, предпринятых нами для предотвращения повторения ситуации в будущем, а также хронологию и анализ атаки.

Ссылка на RCA:
hostsuki.abcdusercontent.com/hosting.kitchen/19/2019-08-24_155543.png
hosting.kitchen/servers-com/obnovlenie-ataka-zavershena-pozhaluysta-naydite-polnyy-rca-zdes.html

Как я сказал в RCA, мы планируем инвестировать 6 миллионов долларов США в модернизацию нашей сети и инфраструктуры, чтобы лучше справляться с изощренными атаками большого масштаба. Мы будем информировать вас о наших действиях в дальнейшем, но краткий обзор готов уже сейчас:

Servers.com заключил партнерское соглашение и подключился к провайдеру услуг по защите от DDoS-атак — Qrator Labs, чьи усилия внесли огромный вклад в нейтрализацию атаки;

Поскольку часть трудностей в отражении атаки была вызвана тем, что из-за характера атаки, внутрисетевая система защиты от DDoS-атак Servers.com оказалась неспособна ей противостоять, Servers.com работает вместе с поставщиком системы над ее обновлением;

Servers.com уже сейчас инвестирует в увеличение пропускной способности своей сети, чтобы лучше справляться с атаками на пропускную способность.

Мы стремимся обеспечить бесперебойную работу инфраструктуры наших клиентов, и уверены, что возмещение за время простоя полагается всем пострадавшим в ходе инцидента. Для того чтобы получить возмещение, пожалуйста, создайте отдельный тикет в службе поддержки, и предоставьте как можно более подробную информацию о том, какие из предоставляемых вам услуг были недоступны и как долго. Это позволит нам обработать запросы на возмещение в кратчайшие сроки.

В заключение я хотел бы поблагодарить вас за доверие Servers.ru. Мы прикладываем все возможные усилия, чтобы наши клиенты были защищены от киберпреступлений, подобных случившемуся, в будущем.

Большое спасибо,
Николай Двас,
CEO Servers.com