Цены на пресеты изменятся с 5 ноября

С 5 ноября изменятся цены на пресеты облачных серверов линейки Premium NVMe.





Кого это касается?

• Только новых серверов, созданных с 5 ноября.
• Действующие серверы продолжат работать по текущим ценам. Для них ничего не меняется, если их не клонировать и не менять конфиг.

https://timeweb.cloud

31 октября 2025 Изменение цен на пресеты Premium NVMe с 5 ноября
Мы пересматриваем стоимость пресетов из-за роста цен на железо и услуги ЦОД.
Собрали новые цены в отдельный файл → st.timeweb.com/cloud-static/timeweb-cloud-pricing-05-11-2025.pdf
Кого это касается
— Только новых серверов, созданных с 5 ноября
— При клонировании или изменении конфига применяется новая цена
Действующие серверы продолжат работать по текущим ценам.

31 октября 2025 Повод рассказать про S3 подробнее
Наше хранилище S3 недавно попало в топ-5 по функциональности и в топ-3 по поддерживаемым протоколам в рейтинге Cnews среди облачных провайдеров. В общем рейтинге мы на 7-м месте.
Хранилище работает на базе Ceph — распределенной системы хранения данных с открытым исходным кодом. Она дает вам полный контроль над данными и позволяет кратно масштабироваться.
Конкретнее о преимуществах:
1. Тройная репликация — данные хранятся в три копии на разных серверах, чтобы даже в случае отказа одного из них ваши данные были в полной безопасности.
2. Высокая производительность — для быстрого доступа мы используем горячие пулы на NVMe и холодные пулы на HDD для тех данных, которые вы не будете часто запрашивать.
3. Управление через стандартный S3 API — чтобы интегрироваться в любые системы, поддерживающие S3, мы используем интерфейс RADOS Gateway (RGW), который транслирует запросы на S3 в язык Ceph и управляет ими через API.
Кстати, спойлер: скоро планируем запускать S3 в Москве.
Начать пользоваться можно даже за 1 рубль на минималке в холодном хранилище. Пора тестить → timeweb.cloud/my/storage/create

29 октября 2025 Что нового у AI-агентов
Собрали инфу по всем последним фичам, которые уже зарелизили (или вот-вот зарелизим), и собрали их по уровням:
1 уровень — лайт
Остановка ответа AI-агента
В виджете справа появилась кнопка, которая ставит ответ чат-бота на паузу.
2 уровень — секретный
Приватные AI-агенты (скоро)
У вас будет возможность создавать полностью контролируемых приватных AI-агентов на нашей инфре.
Пока можно подать заявку при создании AI-агента → вкладка «Приватные».
3 уровень — финал
Обновление DeepSeek
Запустили новую модель DeepSeek-V3.2-Exp, которая заменила предыдущие. Чем она хороша:
— стоимость вычислений стала значительно ниже (можно чекнуть расценки в панели)
— быстрее обрабатывает длинные запросы благодаря технологии Sparse Attention
— точнее понимает контекст и сложные формулировки
— подходит для аналитических задач AI-агентов
Готово вы прошли все три уровня! Осталось только затестить новую модель и подать заявку на приватного агента → timeweb.cloud/my/cloud-ai/agents/create

28 октября 2025 Импортируем данные из PostgreSQL
Из панели можно запустить автономный импорт данных из любой базы PostgreSQL (как с внешней, так и из нашего облака).
Как переносить: перейти в нужную базу → кнопка импорта → ввести креды от базы-источника и выбрать владельца новой базы → done.
Автоматически можно импортировать структуру таблиц, индексы и данные. А пользователей, роли и расширения нужно добавлять уже вручную.
Рубрика вопросы:
1. Я могу перенести данные между разными версиями PostgreSQL?
— Да, но не получится перенести специфичные типы данных.
2. А могу выбрать уже существующую базу для импорта?
— Нет, новая база создается автоматически. Если в панели уже есть база с таким именем, то система выдаст ошибку.
Импортировать базу в пару кликов → timeweb.cloud/my/database

24 октября 2025 Завезли релизы в Kubernetes
Пока Артем Гаврилов рассказывал о Kubernetes на бизнес-завтраке в Казани, мы отправились на поиски последних обновлений.
1. Добавили минорную версию v1.34.1.
2. Выкатили новый аддон HashiCorp Vault.
Нужен для надежного хранения и выдачи паролей, токенов и других секретов. Vault помогает хранить все в одном месте и безопасно передавать нужные данные приложениям.
В Kubernetes его можно подключить как внешний источник Secrets — и секреты будут автоматически попадать в контейнеры.
3. Завезли небольшую фичу по логам. Теперь записываем:
— включение/выключение/изменение параметров автоскейлера
— включение/выключение автохилера
— изменение имени группы
Береженого логи берегут, так сказать
Обновляйте и тестите на своих кластерах → timeweb.cloud/my/kubernetes/create-cluster

22 октября 2025 Открываем новую суперсилу наших роутеров — DNAT
DNAT нужен, чтобы перенаправлять трафик с публичного IP-адреса на сервис, который работает внутри приватной сети — например, веб-приложение или базу данных.
Эта сетевая технология помогает быстро открыть доступ к нужному сервису + сократить расход публичных адресов.
А теперь подключаем DNAT:
1. Настраиваем перенаправление входящих подключений из интернета на нужный сервис в приватной сети
2. Указываем порт или диапазон портов
3. Панель автоматически проверяет конфликты
4. Применяем правило — и трафик идет в нужный сервис
Работает для всех сервисов в приватных сетях, подключенных к роутеру (кроме Kubernetes)
Юзкейсы разные: от доступа к внутреннему веб-сервису, например, базе знаний, до приема вебхуков от платежных систем.
Как найти: Сети → Роутеры → Проброс портов (DNAT). Готово, правило для роутера можно применять сразу
Настроить приватку для своего роутера → timeweb.cloud/my/routers/create

15 октября 2025 Настройка окна обслуживания для обновлений
Теперь вы сами решаете, когда будут обновляться ваши балансировщики и базы данных.
Если окно обслуживания не выбрано, по умолчанию установлено «в любое время». Но при необходимости можно задать конкретный интервал обновлений прямо в панели. Минимальный интервал — 1 час.
Так вы:
1. Минимизируете внезапные технические перерывы.
2. Определяете оптимальное время для обновлений — например, в часы низкой активности.
Как это настроить — показали на скринкасте
Открыть окно обслуживания для базы данных → timeweb.cloud/my/news/timeweb.cloud/my/database/create
И для балансировщика → timeweb.cloud/my/news/timeweb.cloud/my/balancer/create

14 октября 2025 Обновления в AI-агентах
В панели появились новые версии Claude и Grok. Рассказываем, какие у них преимущества и для каких задач их можно использовать:
Claude 4.5 Reasoning
Улучшенная версия от Anthropic с продвинутыми возможностями анализа и логического вывода.
Идеально для:
— глубоких аналитических запросов и исследований
— генерации сложных текстов (статей, документации, кейсов)
— объяснения кода или работы алгоритмов
Grok 4 Fast
Высокоскоростная модель от xAI с оптимизированной архитектурой.
Идеально для:
— быстрого чата и поддержки клиентов
— генерации коротких постов, описаний и промптов
— задач, где важна скорость отклика
Grok 4 Fast Reasoning
Гибридная модель, сочетающая скорость Grok 4 Fast и способности к рассуждению.
Идеально для:
— маркетинговых и продуктовых сценариев с анализом данных
— кратких аналитических отчетов и резюме
— построения логики для AI-агентов и чат-ботов

13 октября 2025 Сводка сетевых новостей в Timeweb Cloud
Делимся актуальными новостями о сетях. Что уже сделали:
1. Подключили стык с Piter-IX и RETNNET в Москве, а также новый стык с Hetzner во Франкфурт
2. Добавили магистраль Амстердам — Петербург
— Все по 100 Гбит/с
Что еще планируем:
В Европе — включить NL-IX во Франкфурте (20 Гбит/с) и расширить стык с Tier 1-оператором Cogent еще на 100 Гбит/с
В России — добавить новый пиринг с Мегафон по 40–100 Гбит/с в СПб и МСК
И расширить стыки:
— Ростелеком +100 Гбит/с в СПб
— ЭР-Телеком с 140 до 280 Гбит/с
— МТС +100 Гбит/с

10 октября 2025 Блокировка действий с базами данных и сетевыми дисками из Kubernetes
Чтобы вы случайно не сломали интеграцию с базами данных или сетевыми дисками, созданными в Кубе, мы поставили на них защиту.
В чем суть
1. Вы создаете базу данных или сетевой диск в Kubernetes
2. Они автоматически переходят в режим read-only в панели. Управлять ими можно только из самого Куба, чтобы не сломать интеграцию
Такие сервисы будут помечены специальной плашкой, а некоторые настройки и действия с ними будут недоступны
3. После удаления кластера базы и диски снова можно будет редактировать в панели

6 октября 2025 Обновления в AI-агентах
Добавили возможность настроить виджет агента под ваш сайт: имя, подпись, приветствие, основной цвет, шрифт, иконки и расположение элементов. Ну чего тут говорить, надо делать → timeweb.cloud/my/cloud-ai/agents/create
И важный апдейт по безопасности — список разрешенных доменов. Вы решаете, будут ли ограничения по сайтам для AI-агента или нет.

3 октября 2025 Встречайте графики в платежах
Ищите графики в разделах «История операций» и «Подключенные сервисы»: больше никаких простыней транзакций, только наглядная визуализация каждого рубля.
Что можно смотреть
1) Потребление проектов — сколько уходит на каждый
2) Потребление каждого сервиса — от облачных серверов до IP-адресов
В каком виде
— Столбчатая диаграмма или линейный график, на ваш вкус
— С группировкой по дням, неделям и месяцам
— И с выбором периода детализации
Небольшой дисклеймер: домены, SSL, AI-агенты и еще немного мелочевки пока в общей категории «Другие списания». Но мы уже пилим апдейт с полной детализацией.

Зачем это нужно?

• Контроль доступов — отслеживайте, кто и когда входил в панель управления, какие действия выполнял с вашими ресурсами.
• Расследование инцидентов — полная история событий за последние 90 дней поможет быстро найти причину проблемы и понять, что произошло.
• Комплаенс и аудиты — выгружайте логи для соответствия требованиям регуляторов, включая ISO 27001 и PCI DSS.
• Защита чувствительных данных — отслеживайте, кто обращался к секретам, ключам шифрования и паролям.
• Интеграция с SIEM — настройте автоматическую выгрузку через API в формате JSON или CSV для обработки в ваших системах мониторинга.

Как это работает?
Сервис уже подключен в вашем аккаунте и работает автоматически. Логи хранятся 90 дней, а выгрузить их можно прямо из панели управления — для этого откройте раздел Аудит-логи в верхнем меню Аккаунт.
Можно фильтровать события по проектам, сервисам и типам действий, а затем выгружать отчеты в пару кликов.
Сервис предоставляется бесплатно.
docs.servercore.com/ru/account/audit-logs/

Уверены, что знаете все о хранении данных?
Сказки про черного человека и призрака Анны Болейн вас вряд ли напугают. А вот хищение чувствительных данных и уничтожение деловой репутации точно вызовет мурашки и легкую дрожь в ногах. Готовы столкнуться с по-настоящему страшными для айтишника историями?
promo.selectel.ru/backupordie

Встречайте хэллоуинский спецпроект
Подготовили для вас три жуткие истории: про экскаватор-убийцу, проклятие rm -rf и разрушенную репутацию. Прочитайте их, а затем проверьте, выжили бы ваши данные в таких обстоятельствах. Промокод на 1 000 бонусов в панели управления — награда для тех, кто не испугается.
promo.selectel.ru/backupordie

Нам надо было закупить High-CPU, но так, чтобы это было одинаковое корпоративное железо для всех наших дата-центров по миру.

Почему надо было закупить? Потому что есть маркетинг. Те хостинги, которые используют десктопное железо, вешают потрясающие числа на сайты. У многих красуются предложения с частотами по четыре, а то и по пять гигагерц. Понятно, что совесть у всех разная, и часто за этими цифрами скрываются обычные десктопные процессоры, а не серверные. Но клиент, который не вникает в детали, видит большое число и делает выбор.

Так вот, нам надо было тоже завести такое большое число, потому что так порешал рынок.

Мы давно придерживаемся принципа использовать только настоящее серверное железо, то есть корпоративный класс. У нас в основной линейке стоят проверенные серверные Intel, которые в пике выдавали 3,7 ГГц. И мы-то знали, что наши 3,7 ГГц по реальной производительности легко обгоняют многие разогнанные решения конкурентов.

Но как это донести до человека, который просто сравнивает цифры на лендинге?

Поэтому мы стали искать серверный процессор с высокой тактовой частотой, чтобы соответствовать нашей внутренней политике и при этом не проигрывать в слепом сравнении.

Решили затестить AMD Epyc. Нашли модель с отличными ТТХ: много ядер, высокая частота. Купили партию железа.

Думали, что сейчас включим, и он просто разорвёт наш текущий Intel.

Это наш первый опыт с AMD. Нас немного смущал тренд на Реддите «Почему тормозят AMD Epyc», но казалось, что всё должно пойти хорошо.

Конечно же, хорошо не пошло, иначе я этого не писал бы.

Тесты
Развернули тестовый стенд и начали гонять бенчмарки. Методология стандартная, отработанная годами. Берём популярный пакет AIDA64, который умеет измерять производительность всех ключевых компонентов: процессора, памяти, диска. Сначала делаем базовый замер на пустом сервере, чтобы получить эталонные цифры (в таблицах это VM-0, то есть без виртуализации). Это наша точка отсчёта — 100% производительности.

Потом начинаем последовательно увеличивать нагрузку: запускаем 20 виртуальных машин, затем — 30 и 40. На 40 сервер становится полностью неюзабельным, поэтому откатываем до 35. На каждом этапе мы забирались в одну из виртуалок и прогоняли полный набор тестов по шесть раз. Шесть прогонов нужны, чтобы отсеять случайные всплески и провалы. Из этих шести значений мы взяли медиану.


Первые же сводные таблицы озадачили: никакого «всестороннего преимущества», на которое мы рассчитывали, не было. Да, в каких-то задачах Epyc был чуть лучше, в каких-то — чуть хуже. Например, тест на шифрование AES (19293 МБ/с) или хеширование SHA3 (1223,5 МБ/с) показывали отличные цифры, но в целом картина была очень неоднозначной. По сути, он оказался на одном уровне с нашим проверенным решением на Intel. Странно, но не критично.

А вот интересное началось, когда мы стали проверять систему под реальной нагрузкой, имитируя плотное заселение сервера клиентами. Пока на сервере работают 10, 20, даже 25 виртуалок — всё отлично. Интерфейс внутри машин отзывчивый, сеть работает бодро. Но как только мы переваливали за определённый порог, начинался лагодром.

Причём независимо от нагрузки виртуальных машин. Единственный показатель — их количество.

Попробовали поставить на паузу 28 из 35 ВМ — лагодром сохранился!

Дальше — неоднозначная кривая:

• 30 виртуальных машин — полёт нормальный.
• 34 — ещё терпимо.
• 35 — всё, приехали. Система начинала не просто подтормаживать, а жёстко деградировать. Числа не передают, насколько это было критично: интерфейс ВМ лагал, проводник открывался через секунду, отклик на действия становился непредсказуемым. Производительность падала не плавно, а практически отвесно. Связано это с деградацией производительности ввода-вывода или с чем-то иным, нам ещё предстоит выяснить.

Начали ковыряться с SMT в BIOS, меняли настройки префетчеров, пытались реплицировать настройки из AMD Performance tuning гайда. Мы даже пошли на Ютуб смотреть видео от Level1Techs — ничего не помогало. Именно тут мы поставили ВМ на паузу и сильно удивились: лаги шли, даже если лишние виртуальные машины были просто созданы и стояли в холде.

То есть сам факт их существования уже приводил к деградации производительности всего хоста!

Так что позвольте представить вам первый процессор с аппаратной защитой от переподписки: на один поток приходится ровно одна виртуальная машина плюс пара потоков нужна для менеджмента.

Возможно, конечно, это прикол нашего гипервизора (Hyper-V) — с KVM не тестили. Но, как нам кажется, вероятно, проблема — в контроллере памяти и в том, как процессор управляет виртуализацией. Если упрощать, то у процессора есть специальная таблица, которая сопоставляет физические адреса в оперативной памяти с виртуальными адресами, видимыми операционной системой и виртуальными машинами. У Intel исторически с этим всё было отлично: их контроллеры памяти — лучшие. Они в принципе придумали VT-D как таковую. Наши админы предположили, что у Epyc размер этой таблицы маппинга как-то жёстко ограничен — возможно, количеством ядер или потоков. Как только количество запущенных виртуальных машин превышает этот лимит, таблица переполняется. Процессору приходится постоянно заниматься подкачкой данных: выгружать их и загружать новые, делать медленные «лукапы» во внешней памяти. Из-за этого и начинаются дикие задержки. Это также объясняет, почему производительность становилась нестабильной: какая-то виртуалка могла случайно «задержаться» в быстрой таблице и работать идеально, как будто она одна на сервере, а в следующем прогоне теста её «выселяли», и она умирала.

Теперь посмотрите на тесты диска в сводной таблице. На пустом сервере скорость чтения с SSD изнутри ВМ была 28,56 МБ/с. При 30 ВМ она упала до 10,93. А при 40 ВМ — до 5,8 МБ/с! Падение — почти в пять раз! Memory Latency тоже поползла вверх: со 114 нс до 129 нс. А вот чисто процессорные тесты вроде CPU Queen просели не так драматично: с 33301 до 31233. Это значит, что сам по себе процессор молотит нормально, но вся система в целом, вся обвязка, отвечающая за взаимодействие с памятью и устройствами, просто захлёбывается.

В итоге мы столкнулись с дилеммой: напихать много маленьких клиентов в мощные сервера не выйдет — остаётся делать услугу с гарантией ядра. Сейчас мы предоставляем на этих Epyc-серверах выделенные гарантированные ядра. Это означает очень низкую плотность клиентов на одном физическом сервере. А раз клиентов мало, то и остальные ресурсы — дисковая подсистема, пропускная способность сети — делятся между меньшим количеством соседей. В итоге каждый клиент получает очень производительное и стабильное окружение.

А потом случилось страшное. Когда мы ввели услугу в продажу, её очень быстро раскупили. Вероятно, сработал тот самый «маркетинговый буллшит»: люди увидели высокую частоту и проголосовали кошельком.

Поэтому и родилась идея этого поста: с одной стороны, мы хотим показать технически грамотным читателям, что наше базовое решение на Intel ничуть не уступает модному AMD. А те, кто не читает тестов, просто зайдут на сайт, увидят красивые цифры и купят.

Ну и остался вопрос: может, мы чего-то не понимаем? Может, у этих процессоров есть какая-то своя фишка, которую мы упустили? Может, кто-то уже понял, в чём проблема с их лагами?

habr.com/ru/companies/ruvds/articles/961276/

ruvds.com/ru-rub

Призраки захватили дата-центры FirstVDS и устроили там настоящий шабаш! Мы уже собираем бригаду из самых смелых сотрудников, чтобы очистить ДЦ.

Вы можете нам помочь! Скорее изгоняйте злых духов — заказывайте новый сервер по приятной цене.
У нас как раз есть все необходимое для этого:

• скидка 25% на заказ новых VDS;
• сертификаты номиналом 150 рублей на пополнение баланса.

Акция действует до 13 ноября — именно в этот день мы закроем потусторонний портал. Времени на покупку с каждым днем все меньше!
firstvds.ru/actions/halloween-2025-prizraki-v-servernoy

Хэллоуинская акция от OWLHOST!
Совейка снова на страже календаря!
Осень шуршит листвой, в витринах — тыквы и летучие мыши, а значит настало время большого праздника!
Мы запускаем нашу традиционную Хэллоуинскую распродажу — скидка 40% на услуги виртуального хостинга!
Используйте промо-код HAPPY-HALLOWEEN при оформлении заказа — и получайте −40% сразу!
Самое выгодное — оформить хостинг сразу на год или больше: скидка действует на весь оплачиваемый период.
Заказать хостинг можно на сайте:
www.owlhost.net/ru/
или напрямую в биллинге:
billing.owlhost.net/store/hosting/
Акция действует до 1 ноября 2025 года.
Совейка знает толк в хосте!
Счастливого Хэллоуина!
P.S. Отписаться от рассылки можно по этой ссылке.
С уважением, команда OWLHOST

OWLHOST HALLOWEEN SALE!
The Owl is watching the calendar once again!
Autumn leaves rustle, pumpkins and bats fill the windows — which means the spooky season has arrived!
We proudly announce our traditional Halloween Sale — 40% OFF virtual hosting!
Use promo code HAPPY-HALLOWEEN at checkout and instantly save 40%!
Get the best value by ordering for a year or longer — the discount applies to the entire paid period.
Order hosting on our website:
www.owlhost.net/en/
or directly in billing:
billing.owlhost.net/store/hosting/
Offer valid until November 1, 2025.
The Owl knows hosting best!
Happy Halloween!
P.S. You can unsubscribe using this link.
Best regards, OWLHOST Team

Напоминаем — только до 31 октября 2025 года можно бесплатно подключить облачную защиту сайтов от атак, ботов и угроз.




Что даёт облачная WAF защита:

• блокировка агрессивных ботов, парсеров и накрутки
• защита от SQL-инъекций, XSS и известных уязвимостей
• фильтрация по IP-адресам, провайдерам, браузерам и странам
• гибкая настройка правил под каждый сайт
• статистика и события в реальном времени

Промокод WAF2025 активирует 100% скидку на тариф WAF+ для неограниченного числа сайтов размещенных на наших серверах. Если подключить до 31 октября — защита останется бесплатной навсегда.

Успейте активировать премиум-защиту до конца акции — завтра последний день!
lite.host/

Скидка 20% на VPS и выделенные серверы — только до 7 ноября
Halloween — время выгодных решений! С 30 октября по 7 ноября получите 20% скидку на заказ всех тарифов VPS и выделенных серверов по промокоду TRICK20.

Что вы получаете:

• Серверные процессоры корпоративного класса.
• NVMe SSD диски.
• Порт до 10 Gbps с безлимитным трафиком.
• Активация сервера за 15 минут.

Как применить скидку:

• Выберите тариф VPS или выделенного сервера.
• Добавьте в корзину.
• Укажите промокод TRICK20 при оплате.
• Запустите новый проект с выгодой — воспользуйтесь скидкой прямо сейчас!

Ознакомьтесь с тарифами и выберите свой виртуальный или выделенный сервер на сайте UFO.Hosting.

Главный ужас октября — это не предстоящий Хэллоуин, а бесконечная шестидневная рабочая неделя! Зато сразу за ней — длинные выходные: можно устроиться поудобнее, налить себе кофе, включить на фон ужастик и прочитать наш октябрьский дайджест.



В этом выпуске собрали страшно полезные статьи. Рассказываем, как написать нейросеть, справиться с Keycloak и защититься от новых штрафов. Если хочется по-настоящему острых ощущений, загляните в подборку свежих уязвимостей — вдруг пропустили важные обновления. А самых смелых и любознательных читателей ждём на Хабре, чтобы испугать невероятной эрудицией наших авторов.

Статьи и инструкции
AI-помощники и нейросеть своими руками
Искусственный интеллект — это удобный рабочий инструмент. Для тех, кто хочет приручить эту гидру, подготовили руководство, как с помощью языка Python и библиотек написать и обучить собственную модель — это проще, чем кажется.
firstvds.ru/blog/kak-napisat-svoyu-pervuyu-nejroset-na-python-poshagovoe-rukovodstvo

А тем, кому некогда разбираться, и нужна помощь в работе прямо сейчас, рассказываем, как выбрать AI-помощника для своих задач и на что обратить внимание.
firstvds.ru/blog/populyarnye-ai-pomoschniki-i-servisy-2025-goda

Как установить Keycloak на виртуальный сервер
Вместе с разработчиками подготовили инструкцию по установке и настройке Keycloak в контейнере: от подготовки виртуального сервера до настройки доступа по HTTPS и доменного имени.
firstvds.ru/technology/ustanovka-keycloak-na-virtualnyy-server

Новые законы с 1 сентября 2025: SIM-ку не отдавай, аккаунтом не делись, звонки маркируй
Обсуждаем новые поправки, которые затрагивают работу в интернете, использование мобильной связи и приложений. Изменения вводят дополнительные запреты и штрафы для всех — и физлиц, и компаний.
firstvds.ru/blog/novye-zakony-s-1-sentyabrya-2025

Habr: самое интересное за октябрь
В Хабре никакой жути: только полезные практические советы и научпоп. В этот раз получилась подборка статей о безопасности. Разбираемся, как защитить Active Directory от тёмных сил, и показываем свой кейс о настройке доступа к внутренним сервисам: от выбора решения до результата.
Тем, кто больше интересуется не виртуальным, а материальным, советуем заглянуть в статью о радиочастотных измерениях и прочитать очередной пост о настройке зрения для робота.

Повышение защищённости Active Directory — часть 2: MFA, подпись и шифрование SMB, сертификаты и логирование
habr.com/ru/companies/first/articles/954150/

Безопасный доступ к внутренним сервисам: Keycloak, OAuth2 и немного Nginx‑магии
habr.com/ru/companies/first/articles/960862/

Веб-камера — глаза робота. Пишу веб-приложение на FastApi для управления DIY-проектом. Часть 5
habr.com/ru/companies/first/articles/958686/

Векторный анализатор NanoVNA для радиолюбителей
habr.com/ru/companies/first/articles/954842/

Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, получите повышенный гонорар. Тема ноября: Машинное обучение.
firstvds.ru/avtoram

Новости октября
Призраки в серверной: 31 октября запускаем акцию для новых и старых клиентов

Чтобы вы могли усилить свою серверную инфраструктуру и не бояться никакой нечисти, в канун Хэллоуина запускаем акцию:

• дарим промокод со скидкой 25% на заказ новых VDS всем клиентам;
• выдаём сертификаты на пополнение баланса номиналом 150 ₽ тем, кто с нами больше года.

Акция начнётся 31 октября и продлится до 13 ноября. Подпишитесь на наш тг-канал, чтобы не пропустить запуск!
firstvds.ru/products/vds_vps_hosting

Открыли новую локацию в Казахстане

Расширяемся: теперь можно заказать VDS с локацией в Алматы — в дата-центре Ahost.kz.
Все VDS в ДЦ Алматы открываются на базе процессоров Intel Xeon Scalable до 4.1 ГГц. Сейчас можно заказать тарифы с NVMe-накопителями: VDS в готовых конфигурациях и гибкий VDS Форсаж. Чтобы заказать сервер с локацией «Алматы», выберите её при настройке параметров VDS на сайте или включите нужный фильтр в Личном кабинете.
firstvds.ru/products/vds_vps_hosting

Добавили возможность настройки CORS для бакетов в S3 Manager

Настраивайте CORS прямо в S3 Manager и гибко управляйте безопасным доступом к вашим данным из любых приложений.
Политика одного источника (Same-Origin Policy) блокирует междоменные запросы в браузерах в целях безопасности — это ограничивает использование объектного хранилища для многих задач. Теперь в S3 Manager мы добавили настройки CORS для бакетов. Настройка позволяет точечно указать, каким доменам разрешён доступ к ресурсам бакета, используя специальные HTTP-заголовки, без ущерба для безопасности.
firstvds.ru/services/s3

Новости из мира технологий и безопасности

Как и полагается самому жуткому месяцу в году, октябрь выдался богатым на уязвимости:

Критическая уязвимость в sudo
Агентство кибербезопасности США (CISA) предупредило о массовой эксплуатации критической уязвимости (CVE-2025-32463) в утилите sudo для Linux. Она предоставляет любому локальному пользователю с обычными правами полный контроль над системой (привилегии root).
Суть уязвимости связана с опцией -R (chroot), которая позволяет пользователю выполнять команды в изолированном каталоге, выступающем в качестве корневого. Злоумышленник может создать в контролируемом им каталоге поддельный конфигурационный файл /etc/nsswitch.conf. Когда sudo с опцией chroot обращается к этому файлу, он загружает вредоносную библиотеку, что приводит к выполнению произвольных команд с правами суперпользователя.
Уязвимость затрагивает sudo до версии 1.9.17p1: чтобы защитить систему, обновите утилиту. В будущих релизах проблемная опция chroot будет полностью удалена.
xakep.ru/2025/10/01/cve-2025-32463/

Аппаратная атака Battering RAM, которая обходит защиту процессоров Intel и AMD
Специалисты из KU Leuven (Лёвенского католического университета) и Бирмингемского университета продемонстрировали аппаратную атаку Battering RAM. Она может обойти защиту новейших процессоров Intel и AMD, используемых в облачных сервисах. Для атаки нужен физический доступ к оборудованию, но для неё не требуется много времени. Это делает инфраструктуру уязвимой для инсайдеров: технического персонала дата-центров, сотрудников правоохранительных органов или других людей, имеющих даже краткосрочный доступ к серверам.
Атака разрушает работу защитных механизмов Intel SGX и AMD SEV-SNP. Как всё работает:
Злоумышленник устанавливает между процессором и модулем оперативной памяти (DRAM) специальное устройство-интерпозер. Оно работает только с памятью DDR4, но более продвинутая версия может атаковать и DDR5.
Интерпозер невидим для операционной системы: он скрытно перенаправляет обращения к защищённой памяти в области, контролируемые злоумышленником. Это позволяет обойти шифрование памяти и получить доступ к незашифрованным данным.
Поскольку проблема носит аппаратный характер, её нельзя исправить обновлением ПО или прошивки. Основная защита — организационные меры:

• Обеспечение физической безопасности: строгий контроль доступа к серверным стойкам в дата-центрах, проверка персонала и мониторинг цепочки поставок оборудования.
• Использование дополнительных функций защиты: для некоторых серверных процессоров Intel Xeon существует функция TME-MK (Total Memory Encryption – Multi-Key), которая может обеспечить дополнительный уровень защиты.

xakep.ru/2025/10/03/battering-ram/

Патчи для устранения критической уязвимости Redis
Команда безопасности Redis выпустила патчи для устранения критической уязвимости CVE-2025-49844 (10 баллов из 10 возможных по шкале CVSS). Она сохранялась в коде около 13 лет и позволяла аутентифицированным злоумышленникам выполнять произвольный код на удалённом хосте.
Тип уязвимости — use-after-free баг. С его помощью можно выйти из песочницы Lua, используя специально подготовленный Lua-скрипт, получить постоянный доступ к Redis-хосту и добиться удалённого выполнения кода. А дальше — украсть конфиденциальные данные, развернуть вредоносное ПО или перемещаться по сетевой инфраструктуре.
Специалисты Redis и Wiz рекомендуют как можно скорее установить патчи, чтобы устранить уязвимость. Для дополнительной защиты Redis от удалённых атак также рекомендуется:

• включить обязательную аутентификацию;
• отключить Lua-скриптинг и функции, которые не используются;
• запускать Redis от имени пользователя без root-прав;
• настроить логирование и мониторинг активности Redis;
• предоставить доступ только авторизованным сетям;
• внедрить контроль доступа на сетевом уровне с помощью брандмауэров и VPC.

xakep.ru/2025/10/07/redishell/

Redis и Valkey: опасная ошибка, которую не замечали 13 лет
Исследователи из компании Wiz обнаружили критическую уязвимость в системе управления базами данных Redis (CVE-2025-49844) с наивысшим уровнем опасности — 10 баллов по CVSS. Уязвимость позволяет злоумышленнику выполнить произвольный код (RCE) на сервере с помощью Lua-скриптов. Для эксплуатации требуется доступ к Redis-серверу, допускающему выполнение пользовательских Lua-скриптов. Это характерно для серверов с открытым или слабым доступом. Уязвимость также проявляется в проекте Valkey, развивающем форк Redis.
Проблема связана с ошибкой обращения к освобождённой памяти (use-after-free), возникающей при взаимодействии сборщика мусора с вредоносным Lua-скриптом. Это позволяет злоумышленнику обойти изоляцию Lua-песочницы и выполнить код с правами пользователя, под которым работает Redis.
Атака может скомпрометировать публично доступные экземпляры Redis, а также сервисы облачных провайдеров и хостингов, использующих эту СУБД. Уязвимость оставалась незамеченной почти 13 лет. Сейчас она устранена в версиях Redis 8.2.2, 8.0.4, 7.4.6, 7.2.11 и 6.2.20, а также в форке Valkey версии 8.1.4 и новее. Поэтому для защиты стоит обновить ПО до этих версий и отключить выполнение Lua-скриптов, запретив команды EVAL и EVALSHA через ACL. Рекомендуется также ограничить доступ к командам FAMILY EVAL и FUNCTION через ACL для защиты от этих проблем.
Проверить статус обновлений по дистрибутивам можно на официальных страницах Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo, Arch, FreeBSD, OpenBSD и NetBSD.
www.opennet.ru/opennews/art.shtml?num=64022

Критическая уязвимость в figma-developer-mcp: риск утечки данных
Исследователи из компании Imperva рассказали о критической уязвимости (CVE-2025-53967, 7.5 баллов CVSS) в сервере figma-developer-mcp. Это инструмент для взаимодействия ИИ-ассистентов с популярным графическим редактором Figma. Уязвимость позволяла злоумышленникам выполнять произвольный код на компьютере пользователя, чтобы получить доступ к чувствительным данным. Сейчас её уже устранили.
Уязвимость заключалась в инъекции команд — проблема возникала из-за неэкранированного пользовательского ввода. Сервер некорректно обрабатывал внешние данные, подставляя их в системные команды без проверки. Атакующий должен был находиться в той же сети, что и жертва (например, в общественном Wi-Fi или скомпрометированной корпоративной сети), или использовать технику DNS Rebinding. Он отправлял специально сформированный запрос, чтобы заставить сервер выполнить на устройстве жертвы потенциально вредоносную команду.
Как защититься:

• Уязвимость устранили в figma-developer-mcp версии 0.6.3, поэтому советуем проверить обновления.
• Избегайте использования child_process.exec с недоверенным вводом и перейдите на child_process.execFile.

xakep.ru/2025/10/10/cve-2025-53967/

RMPocalypse наступает: уязвимость в процессорах AMD EPYC
Эксперты из Швейцарской высшей технической школы Цюриха (ETH Zurich) обнаружили уязвимость CVE-2025-0033 (RMPocalypse) в процессорах AMD EPYC — она позволяет взломать защиту конфиденциальных вычислений SEV-SNP. Уязвимость оценивается в 5,9 балла CVSS и затрагивает процессоры:

• AMD EPYC серий 7003, 8004, 9004, 9005;
• AMD EPYC Embedded серий 7003, 8004, 9004, 9005.

В системе с SEV-SNP есть таблица RMP (Reverse Map Table) в DRAM. Она сопоставляет системные физические адреса (sPA) с гостевыми (gPA) и содержит атрибуты безопасности страниц. Управление и конфигурацию RMP осуществляет гипервизор с помощью аппаратных средств и прошивки Platform Security Processor (PSP). Инициализация RMP выполняется PSP при запуске виртуальной машины (ВМ) с защитой SEV-SNP. Уязвимость возникает из-за состояния гонки (race condition) в процессе инициализации RMP, когда таблица ещё не полностью защищена.
Атакующий с удалённым доступом может изменить содержимое RMP, нарушить целостность и конфиденциальность ВМ. Манипулируя таблицей, злоумышленник обходит защиту SEV-SNP, активирует скрытые функции (например, отладку), подделывает проверки безопасности (attestation forgery), откатывает ВМ к прежним состояниям (replay attack) и внедряет чужой код в защищённой среде. В итоге RMPocalypse позволяет получить полный контроль над конфиденциальными ВМ и доступ к чувствительным данным.
Компания AMD уже выпустила исправления, Microsoft работает над обновлениями для Azure Confidential Computing на базе AMD, а Supermicro готовит обновления BIOS для уязвимых материнских плат. Следите за новостями!
xakep.ru/2025/10/15/rmpocalypse/

Уязвимость в Samba с максимальным уровнем опасности
Уязвимость (CVE-2025-10230, уровень опасности — 10 из 10) позволяет запускать произвольный код на сервере без аутентификации. Для её устранения выпущены экстренные обновления.
Уязвимость возникает при изменении имени в WINS: система запускает служебное приложение, указанное в «wins hook», с помощью команды «sh -c», но не проверяет передаваемые в него аргументы командной строки. Имена NetBIOS в этих аргументах не очищаются от спецсимволов — это позволяет выполнить произвольные shell-команды через специально сформированное имя NetBIOS. Клиент без аутентификации может отправить WINS-серверу имя с символами '<', '>' и ';'. Например, имя «name;id>file» выполнит команду «id» и направит её вывод в файл «file».
Уязвимость активна только в конфигурации, где Samba используется в роли контроллера домена с включённым WINS-сервером (wins support = yes) и заданным параметром wins hook. В системах, где WINS-сервер работает без роли контроллера домена, уязвимость не проявляется.
Чтобы обезопаситься, обновите Samba до версий 4.23.2, 4.22.5 или 4.21.9. В обновлениях также устранена менее опасная уязвимость (CVE-2025-9640), приводящая к утечке неинициализированной памяти.
www.opennet.ru/opennews/art.shtml?num=64062

Флаг O_Direct: важная уязвимость без официального исправления
В Linux обнаружена критическая уязвимость, существующая более 10 лет. Она позволяет обычному пользователю без прав администратора необратимо повредить программный RAID-массив.
Как это работает:

• Приложение с доступом к файлу на RAID-массиве использует флаг O_DIRECT для прямого доступа к диску, минуя кеш ядра.
• При записи данных каждый диск в программном RAID (MD RAID, DRBD, LVM RAID) независимо обращается к одной и той же области памяти.
• На уровне драйверов разные диски массива получают различные версии данных, и синхронизация данных между дисками нарушается, хотя с точки зрения системы массив работает нормально. Повреждение остаётся незамеченным до момента чтения данных, когда проявляются расхождения.

Проблема пока не имеет официального исправления и может быть активирована даже при штатной работе приложений. Поэтому советуем следить за новостями.
www.linux.org.ru/news/linux-general/18114137

Критическая уязвимость ASP.NET Core
Microsoft исправила критическую уязвимость CVE-2025-55315 в ASP.NET Core, позволяющую злоумышленникам красть секретные данные и нарушать работу серверов через уязвимость в веб-сервере Kestrel.
Злоумышленник, авторизованный в системе, внедряет дополнительные HTTP-запросы в сервер Kestrel. С помощью этих запросов он перехватывает чужие сессии и обходит функции безопасности. Это позволяет получить доступ к конфиденциальным данным, включая учётные записи пользователей, вносить изменения в файлы на сервере, вызывая сбои и нарушая работу приложения. Кроме того, злоумышленник может повысить уровень привилегий и выполнить скрытые внутренние запросы в зависимости от архитектуры приложения.
Для устранения уязвимости Microsoft выпустила патчи для следующих продуктов: Visual Studio 2022, ASP.NET Core 2.3, 8.0, 9.0, а также пакет Microsoft.AspNetCore.Server.Kestrel.Core для приложений на ASP.NET Core 2.x.
Порядок обновления зависит от используемой версии:

• Пользователям .NET 8 и новее необходимо установить патч через Microsoft Update и перезагрузить устройство.
• Пользователям .NET 2.3 требуется обновить пакет Microsoft.AspNetCore.Server.Kestrel.Core, перекомпилировать и заново развернуть приложение.
• Для самодостаточных и однофайловых приложений нужно установить патч, а затем перекомпилировать и развернуть приложение заново.

3dnews.ru/1131056/microsoft-ispravila-kriticheskuyu-uyazvimost-aspnet-core-pozvolyavshey-krast-sekretnie-dannie-i-lomat-serveri/#68f4f938742eecdb218b4568

Критическая уязвимость в WSUS позволяет хакерам контролировать серверы Windows
В службе обновления Windows Server Update Service (WSUS) обнаружена критическая уязвимость CVE-2025-59287 на серверах Windows с включённой ролью WSUS Server. Она позволяет удалённо выполнять произвольный код с правами SYSTEM без аутентификации, что может привести к захвату контроля над сервером. По информации специалистов компании Eye Security, уже были обнаружены попытки сканирования и эксплуатации свежего бага.
Уязвимость работает так:

• Сначала злоумышленник сканирует сеть в поисках WSUS-серверов с открытыми портами 8530/TCP и 8531/TCP. Исследования показывают, что в интернете доступно около 2500 таких серверов.
• После обнаружения цели атакующий отправляет специально созданное событие, которое запускает небезопасную десериализацию в устаревшем механизме WSUS. Для атаки не требуется аутентификация или взаимодействие с пользователем.
• Успешная эксплуатация позволяет выполнить произвольный код с правами SYSTEM, что даёт полный контроль над сервером. На этапе пост-эксплуатации злоумышленники выполняют команды whoami, net user /domain и ipconfig /all для сбора информации о домене и сети, передавая данные через вебхуки.

Особую опасность уязвимости придает возможность самораспространения по принципу червя между WSUS-серверами корпоративной сети.
Главный метод защиты — как можно скорее установить экстренные обновления для всех затронутых версий Windows Server. Патчи доступны для:

• Windows Server 2025 (KB5070881);
• Windows Server, версия 23H2 (KB5070879);
• Windows Server 2022 (KB5070884);
• Windows Server 2019 (KB5070883);
• Windows Server 2016 (KB5070882);
• Windows Server 2012 R2 (KB5070886);
• Windows Server 2012 (KB5070887).

Если нет возможности незамедлительно установить обновления, можно использовать временные меры: отключить WSUS Server Role или заблокировать весь входящий трафик на порты 8530 и 8531, что сделает WSUS неработоспособным. Правда, после отключения WSUS или блокировки трафика конечные устройства Windows перестанут получать обновления с локального сервера.
xakep.ru/2025/10/27/cve-2025-59287/

Уязвимости в BIND 9 позволяют отравлять DNS-кеш и вызывать отказ в обслуживании
В DNS-сервере BIND 9 обнаружены сразу три опасные уязвимости, две из которых позволяют отравлять DNS-кеш, а третья — вызывать отказ в обслуживании. Они затрагивают только резолверы — серверы, обрабатывающие DNS-запросы клиентов, в то время как авторитативные серверы не подвержены риску.
Наиболее опасные — уязвимости отравления кеша:

• CVE-2025-40780 (8.6 CVSS) ослабляет защиту, внедренную после исследований Дэна Камински в 2008 году — позволяет предсказывать исходный порт и ID запроса, что упрощает спуфинг-атаки.
• CVE-2025-40778 (8.6 CVSS) связана с недостаточной валидацией входящих данных, позволяя злоумышленникам внедрять поддельные записи прямо в кеш DNS-сервера.

Третья уязвимость CVE-2025-8677 (7.5 CVSS) позволяет вызвать отказ в обслуживании через специально подготовленные DNSKEY-записи, которые исчерпывают ресурсы процессора.
ISC выпустила обновления для всех актуальных версий BIND: 9.18.41, 9.20.15 и 9.21.14. Организация настоятельно рекомендует немедленно обновиться, особенно тем, кто использует неподдерживаемые версии. Существующие меры защиты, включая DNSSEC, ограничение частоты запросов и настройки файрвола, также остаются эффективными против потенциальных атак.
xakep.ru/2025/10/27/bind-patches/

Мошенники научились подделывать голос в режиме реального времени
Компания NCC Group, которая занимается кибербезопасностью, опубликовала новый отчёт. В нём говорится, что технологии создания голосовых дипфейков достигли нового уровня: теперь они могут имитировать голос в реальном времени с помощью общедоступных инструментов и оборудования. Это открывает новые возможности для фишинга, и злоумышленники смогут имитировать голос конкретного человека в звонках и обходить традиционные средства защиты.
Конечно, аудиодипфейки — это не что-то новое, но раньше они не использовались в режиме реального времени. Как правило, злоумышленники заранее строили диалог и записывали реплики. Но если разговор отклонялся от ожидаемого сценария, мошенникам приходилось экстренно генерировать дипфейк, и появлялась задержка, как минимум несколько секунд (а часто и гораздо дольше).
Сейчас такой проблемы нет. Инженеры NCC Group разработали собственный метод воссоздания голоса и протестировали его на клиентах с их разрешения, и никто не заметил подмены. В отличие от голосовых, дипфейки с видеорядом пока не работают в реальном времени. Их слабая сторона — недостаточная согласованность картинки и звукового ряда — мимика не всегда соответствует интонациям.
Новые решения заставляют задуматься о необходимости совершенствовать средства защиты: методы аутентификации теперь не должны полагаться на голосовые и видеозвонки, предупреждают эксперты.
spectrum.ieee.org/real-time-audio-deepfake-vishing

Писала дайджест, пока все вырезали тыквы — Ксения Н.