Главный ужас октября — это не предстоящий Хэллоуин, а бесконечная шестидневная рабочая неделя! Зато сразу за ней — длинные выходные: можно устроиться поудобнее, налить себе кофе, включить на фон ужастик и прочитать наш октябрьский дайджест.



В этом выпуске собрали страшно полезные статьи. Рассказываем, как написать нейросеть, справиться с Keycloak и защититься от новых штрафов. Если хочется по-настоящему острых ощущений, загляните в подборку свежих уязвимостей — вдруг пропустили важные обновления. А самых смелых и любознательных читателей ждём на Хабре, чтобы испугать невероятной эрудицией наших авторов.

Статьи и инструкции
AI-помощники и нейросеть своими руками
Искусственный интеллект — это удобный рабочий инструмент. Для тех, кто хочет приручить эту гидру, подготовили руководство, как с помощью языка Python и библиотек написать и обучить собственную модель — это проще, чем кажется.
firstvds.ru/blog/kak-napisat-svoyu-pervuyu-nejroset-na-python-poshagovoe-rukovodstvo

А тем, кому некогда разбираться, и нужна помощь в работе прямо сейчас, рассказываем, как выбрать AI-помощника для своих задач и на что обратить внимание.
firstvds.ru/blog/populyarnye-ai-pomoschniki-i-servisy-2025-goda

Как установить Keycloak на виртуальный сервер
Вместе с разработчиками подготовили инструкцию по установке и настройке Keycloak в контейнере: от подготовки виртуального сервера до настройки доступа по HTTPS и доменного имени.
firstvds.ru/technology/ustanovka-keycloak-na-virtualnyy-server

Новые законы с 1 сентября 2025: SIM-ку не отдавай, аккаунтом не делись, звонки маркируй
Обсуждаем новые поправки, которые затрагивают работу в интернете, использование мобильной связи и приложений. Изменения вводят дополнительные запреты и штрафы для всех — и физлиц, и компаний.
firstvds.ru/blog/novye-zakony-s-1-sentyabrya-2025

Habr: самое интересное за октябрь
В Хабре никакой жути: только полезные практические советы и научпоп. В этот раз получилась подборка статей о безопасности. Разбираемся, как защитить Active Directory от тёмных сил, и показываем свой кейс о настройке доступа к внутренним сервисам: от выбора решения до результата.
Тем, кто больше интересуется не виртуальным, а материальным, советуем заглянуть в статью о радиочастотных измерениях и прочитать очередной пост о настройке зрения для робота.

Повышение защищённости Active Directory — часть 2: MFA, подпись и шифрование SMB, сертификаты и логирование
habr.com/ru/companies/first/articles/954150/

Безопасный доступ к внутренним сервисам: Keycloak, OAuth2 и немного Nginx‑магии
habr.com/ru/companies/first/articles/960862/

Веб-камера — глаза робота. Пишу веб-приложение на FastApi для управления DIY-проектом. Часть 5
habr.com/ru/companies/first/articles/958686/

Векторный анализатор NanoVNA для радиолюбителей
habr.com/ru/companies/first/articles/954842/

Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, получите повышенный гонорар. Тема ноября: Машинное обучение.
firstvds.ru/avtoram

Новости октября
Призраки в серверной: 31 октября запускаем акцию для новых и старых клиентов

Чтобы вы могли усилить свою серверную инфраструктуру и не бояться никакой нечисти, в канун Хэллоуина запускаем акцию:
дарим промокод со скидкой 25% на заказ новых VDS всем клиентам;выдаём сертификаты на пополнение баланса номиналом 150 ₽ тем, кто с нами больше года.Акция начнётся 31 октября и продлится до 13 ноября. Подпишитесь на наш тг-канал, чтобы не пропустить запуск!
firstvds.ru/products/vds_vps_hosting

Открыли новую локацию в Казахстане

Расширяемся: теперь можно заказать VDS с локацией в Алматы — в дата-центре Ahost.kz.
Все VDS в ДЦ Алматы открываются на базе процессоров Intel Xeon Scalable до 4.1 ГГц. Сейчас можно заказать тарифы с NVMe-накопителями: VDS в готовых конфигурациях и гибкий VDS Форсаж. Чтобы заказать сервер с локацией «Алматы», выберите её при настройке параметров VDS на сайте или включите нужный фильтр в Личном кабинете.
firstvds.ru/products/vds_vps_hosting

Добавили возможность настройки CORS для бакетов в S3 Manager

Настраивайте CORS прямо в S3 Manager и гибко управляйте безопасным доступом к вашим данным из любых приложений.
Политика одного источника (Same-Origin Policy) блокирует междоменные запросы в браузерах в целях безопасности — это ограничивает использование объектного хранилища для многих задач. Теперь в S3 Manager мы добавили настройки CORS для бакетов. Настройка позволяет точечно указать, каким доменам разрешён доступ к ресурсам бакета, используя специальные HTTP-заголовки, без ущерба для безопасности.
firstvds.ru/services/s3

Новости из мира технологий и безопасности

Как и полагается самому жуткому месяцу в году, октябрь выдался богатым на уязвимости:

Критическая уязвимость в sudo
Агентство кибербезопасности США (CISA) предупредило о массовой эксплуатации критической уязвимости (CVE-2025-32463) в утилите sudo для Linux. Она предоставляет любому локальному пользователю с обычными правами полный контроль над системой (привилегии root).
Суть уязвимости связана с опцией -R (chroot), которая позволяет пользователю выполнять команды в изолированном каталоге, выступающем в качестве корневого. Злоумышленник может создать в контролируемом им каталоге поддельный конфигурационный файл /etc/nsswitch.conf. Когда sudo с опцией chroot обращается к этому файлу, он загружает вредоносную библиотеку, что приводит к выполнению произвольных команд с правами суперпользователя.
Уязвимость затрагивает sudo до версии 1.9.17p1: чтобы защитить систему, обновите утилиту. В будущих релизах проблемная опция chroot будет полностью удалена.
xakep.ru/2025/10/01/cve-2025-32463/

Аппаратная атака Battering RAM, которая обходит защиту процессоров Intel и AMD
Специалисты из KU Leuven (Лёвенского католического университета) и Бирмингемского университета продемонстрировали аппаратную атаку Battering RAM. Она может обойти защиту новейших процессоров Intel и AMD, используемых в облачных сервисах. Для атаки нужен физический доступ к оборудованию, но для неё не требуется много времени. Это делает инфраструктуру уязвимой для инсайдеров: технического персонала дата-центров, сотрудников правоохранительных органов или других людей, имеющих даже краткосрочный доступ к серверам.
Атака разрушает работу защитных механизмов Intel SGX и AMD SEV-SNP. Как всё работает:
Злоумышленник устанавливает между процессором и модулем оперативной памяти (DRAM) специальное устройство-интерпозер. Оно работает только с памятью DDR4, но более продвинутая версия может атаковать и DDR5.
Интерпозер невидим для операционной системы: он скрытно перенаправляет обращения к защищённой памяти в области, контролируемые злоумышленником. Это позволяет обойти шифрование памяти и получить доступ к незашифрованным данным.
Поскольку проблема носит аппаратный характер, её нельзя исправить обновлением ПО или прошивки. Основная защита — организационные меры:
Обеспечение физической безопасности: строгий контроль доступа к серверным стойкам в дата-центрах, проверка персонала и мониторинг цепочки поставок оборудования.Использование дополнительных функций защиты: для некоторых серверных процессоров Intel Xeon существует функция TME-MK (Total Memory Encryption – Multi-Key), которая может обеспечить дополнительный уровень защиты.xakep.ru/2025/10/03/battering-ram/

Патчи для устранения критической уязвимости Redis
Команда безопасности Redis выпустила патчи для устранения критической уязвимости CVE-2025-49844 (10 баллов из 10 возможных по шкале CVSS). Она сохранялась в коде около 13 лет и позволяла аутентифицированным злоумышленникам выполнять произвольный код на удалённом хосте.
Тип уязвимости — use-after-free баг. С его помощью можно выйти из песочницы Lua, используя специально подготовленный Lua-скрипт, получить постоянный доступ к Redis-хосту и добиться удалённого выполнения кода. А дальше — украсть конфиденциальные данные, развернуть вредоносное ПО или перемещаться по сетевой инфраструктуре.
Специалисты Redis и Wiz рекомендуют как можно скорее установить патчи, чтобы устранить уязвимость. Для дополнительной защиты Redis от удалённых атак также рекомендуется:
включить обязательную аутентификацию;отключить Lua-скриптинг и функции, которые не используются;запускать Redis от имени пользователя без root-прав;настроить логирование и мониторинг активности Redis;предоставить доступ только авторизованным сетям;внедрить контроль доступа на сетевом уровне с помощью брандмауэров и VPC.xakep.ru/2025/10/07/redishell/

Redis и Valkey: опасная ошибка, которую не замечали 13 лет
Исследователи из компании Wiz обнаружили критическую уязвимость в системе управления базами данных Redis (CVE-2025-49844) с наивысшим уровнем опасности — 10 баллов по CVSS. Уязвимость позволяет злоумышленнику выполнить произвольный код (RCE) на сервере с помощью Lua-скриптов. Для эксплуатации требуется доступ к Redis-серверу, допускающему выполнение пользовательских Lua-скриптов. Это характерно для серверов с открытым или слабым доступом. Уязвимость также проявляется в проекте Valkey, развивающем форк Redis.
Проблема связана с ошибкой обращения к освобождённой памяти (use-after-free), возникающей при взаимодействии сборщика мусора с вредоносным Lua-скриптом. Это позволяет злоумышленнику обойти изоляцию Lua-песочницы и выполнить код с правами пользователя, под которым работает Redis.
Атака может скомпрометировать публично доступные экземпляры Redis, а также сервисы облачных провайдеров и хостингов, использующих эту СУБД. Уязвимость оставалась незамеченной почти 13 лет. Сейчас она устранена в версиях Redis 8.2.2, 8.0.4, 7.4.6, 7.2.11 и 6.2.20, а также в форке Valkey версии 8.1.4 и новее. Поэтому для защиты стоит обновить ПО до этих версий и отключить выполнение Lua-скриптов, запретив команды EVAL и EVALSHA через ACL. Рекомендуется также ограничить доступ к командам FAMILY EVAL и FUNCTION через ACL для защиты от этих проблем.
Проверить статус обновлений по дистрибутивам можно на официальных страницах Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo, Arch, FreeBSD, OpenBSD и NetBSD.
www.opennet.ru/opennews/art.shtml?num=64022

Критическая уязвимость в figma-developer-mcp: риск утечки данных
Исследователи из компании Imperva рассказали о критической уязвимости (CVE-2025-53967, 7.5 баллов CVSS) в сервере figma-developer-mcp. Это инструмент для взаимодействия ИИ-ассистентов с популярным графическим редактором Figma. Уязвимость позволяла злоумышленникам выполнять произвольный код на компьютере пользователя, чтобы получить доступ к чувствительным данным. Сейчас её уже устранили.
Уязвимость заключалась в инъекции команд — проблема возникала из-за неэкранированного пользовательского ввода. Сервер некорректно обрабатывал внешние данные, подставляя их в системные команды без проверки. Атакующий должен был находиться в той же сети, что и жертва (например, в общественном Wi-Fi или скомпрометированной корпоративной сети), или использовать технику DNS Rebinding. Он отправлял специально сформированный запрос, чтобы заставить сервер выполнить на устройстве жертвы потенциально вредоносную команду.
Как защититься:
Уязвимость устранили в figma-developer-mcp версии 0.6.3, поэтому советуем проверить обновления.Избегайте использования child_process.exec с недоверенным вводом и перейдите на child_process.execFile.xakep.ru/2025/10/10/cve-2025-53967/

RMPocalypse наступает: уязвимость в процессорах AMD EPYC
Эксперты из Швейцарской высшей технической школы Цюриха (ETH Zurich) обнаружили уязвимость CVE-2025-0033 (RMPocalypse) в процессорах AMD EPYC — она позволяет взломать защиту конфиденциальных вычислений SEV-SNP. Уязвимость оценивается в 5,9 балла CVSS и затрагивает процессоры:
AMD EPYC серий 7003, 8004, 9004, 9005;AMD EPYC Embedded серий 7003, 8004, 9004, 9005.В системе с SEV-SNP есть таблица RMP (Reverse Map Table) в DRAM. Она сопоставляет системные физические адреса (sPA) с гостевыми (gPA) и содержит атрибуты безопасности страниц. Управление и конфигурацию RMP осуществляет гипервизор с помощью аппаратных средств и прошивки Platform Security Processor (PSP). Инициализация RMP выполняется PSP при запуске виртуальной машины (ВМ) с защитой SEV-SNP. Уязвимость возникает из-за состояния гонки (race condition) в процессе инициализации RMP, когда таблица ещё не полностью защищена.
Атакующий с удалённым доступом может изменить содержимое RMP, нарушить целостность и конфиденциальность ВМ. Манипулируя таблицей, злоумышленник обходит защиту SEV-SNP, активирует скрытые функции (например, отладку), подделывает проверки безопасности (attestation forgery), откатывает ВМ к прежним состояниям (replay attack) и внедряет чужой код в защищённой среде. В итоге RMPocalypse позволяет получить полный контроль над конфиденциальными ВМ и доступ к чувствительным данным.
Компания AMD уже выпустила исправления, Microsoft работает над обновлениями для Azure Confidential Computing на базе AMD, а Supermicro готовит обновления BIOS для уязвимых материнских плат. Следите за новостями!
xakep.ru/2025/10/15/rmpocalypse/

Уязвимость в Samba с максимальным уровнем опасности
Уязвимость (CVE-2025-10230, уровень опасности — 10 из 10) позволяет запускать произвольный код на сервере без аутентификации. Для её устранения выпущены экстренные обновления.
Уязвимость возникает при изменении имени в WINS: система запускает служебное приложение, указанное в «wins hook», с помощью команды «sh -c», но не проверяет передаваемые в него аргументы командной строки. Имена NetBIOS в этих аргументах не очищаются от спецсимволов — это позволяет выполнить произвольные shell-команды через специально сформированное имя NetBIOS. Клиент без аутентификации может отправить WINS-серверу имя с символами '<', '>' и ';'. Например, имя «name;id>file» выполнит команду «id» и направит её вывод в файл «file».
Уязвимость активна только в конфигурации, где Samba используется в роли контроллера домена с включённым WINS-сервером (wins support = yes) и заданным параметром wins hook. В системах, где WINS-сервер работает без роли контроллера домена, уязвимость не проявляется.
Чтобы обезопаситься, обновите Samba до версий 4.23.2, 4.22.5 или 4.21.9. В обновлениях также устранена менее опасная уязвимость (CVE-2025-9640), приводящая к утечке неинициализированной памяти.
www.opennet.ru/opennews/art.shtml?num=64062

Флаг O_Direct: важная уязвимость без официального исправления
В Linux обнаружена критическая уязвимость, существующая более 10 лет. Она позволяет обычному пользователю без прав администратора необратимо повредить программный RAID-массив.
Как это работает:
Приложение с доступом к файлу на RAID-массиве использует флаг O_DIRECT для прямого доступа к диску, минуя кеш ядра.При записи данных каждый диск в программном RAID (MD RAID, DRBD, LVM RAID) независимо обращается к одной и той же области памяти.На уровне драйверов разные диски массива получают различные версии данных, и синхронизация данных между дисками нарушается, хотя с точки зрения системы массив работает нормально. Повреждение остаётся незамеченным до момента чтения данных, когда проявляются расхождения.Проблема пока не имеет официального исправления и может быть активирована даже при штатной работе приложений. Поэтому советуем следить за новостями.
www.linux.org.ru/news/linux-general/18114137

Критическая уязвимость ASP.NET Core
Microsoft исправила критическую уязвимость CVE-2025-55315 в ASP.NET Core, позволяющую злоумышленникам красть секретные данные и нарушать работу серверов через уязвимость в веб-сервере Kestrel.
Злоумышленник, авторизованный в системе, внедряет дополнительные HTTP-запросы в сервер Kestrel. С помощью этих запросов он перехватывает чужие сессии и обходит функции безопасности. Это позволяет получить доступ к конфиденциальным данным, включая учётные записи пользователей, вносить изменения в файлы на сервере, вызывая сбои и нарушая работу приложения. Кроме того, злоумышленник может повысить уровень привилегий и выполнить скрытые внутренние запросы в зависимости от архитектуры приложения.
Для устранения уязвимости Microsoft выпустила патчи для следующих продуктов: Visual Studio 2022, ASP.NET Core 2.3, 8.0, 9.0, а также пакет Microsoft.AspNetCore.Server.Kestrel.Core для приложений на ASP.NET Core 2.x.
Порядок обновления зависит от используемой версии:
Пользователям .NET 8 и новее необходимо установить патч через Microsoft Update и перезагрузить устройство.Пользователям .NET 2.3 требуется обновить пакет Microsoft.AspNetCore.Server.Kestrel.Core, перекомпилировать и заново развернуть приложение.Для самодостаточных и однофайловых приложений нужно установить патч, а затем перекомпилировать и развернуть приложение заново.3dnews.ru/1131056/microsoft-ispravila-kriticheskuyu-uyazvimost-aspnet-core-pozvolyavshey-krast-sekretnie-dannie-i-lomat-serveri/#68f4f938742eecdb218b4568

Критическая уязвимость в WSUS позволяет хакерам контролировать серверы Windows
В службе обновления Windows Server Update Service (WSUS) обнаружена критическая уязвимость CVE-2025-59287 на серверах Windows с включённой ролью WSUS Server. Она позволяет удалённо выполнять произвольный код с правами SYSTEM без аутентификации, что может привести к захвату контроля над сервером. По информации специалистов компании Eye Security, уже были обнаружены попытки сканирования и эксплуатации свежего бага.
Уязвимость работает так:
Сначала злоумышленник сканирует сеть в поисках WSUS-серверов с открытыми портами 8530/TCP и 8531/TCP. Исследования показывают, что в интернете доступно около 2500 таких серверов.После обнаружения цели атакующий отправляет специально созданное событие, которое запускает небезопасную десериализацию в устаревшем механизме WSUS. Для атаки не требуется аутентификация или взаимодействие с пользователем.Успешная эксплуатация позволяет выполнить произвольный код с правами SYSTEM, что даёт полный контроль над сервером. На этапе пост-эксплуатации злоумышленники выполняют команды whoami, net user /domain и ipconfig /all для сбора информации о домене и сети, передавая данные через вебхуки.Особую опасность уязвимости придает возможность самораспространения по принципу червя между WSUS-серверами корпоративной сети.
Главный метод защиты — как можно скорее установить экстренные обновления для всех затронутых версий Windows Server. Патчи доступны для:
Windows Server 2025 (KB5070881);Windows Server, версия 23H2 (KB5070879);Windows Server 2022 (KB5070884);Windows Server 2019 (KB5070883);Windows Server 2016 (KB5070882);Windows Server 2012 R2 (KB5070886);Windows Server 2012 (KB5070887).Если нет возможности незамедлительно установить обновления, можно использовать временные меры: отключить WSUS Server Role или заблокировать весь входящий трафик на порты 8530 и 8531, что сделает WSUS неработоспособным. Правда, после отключения WSUS или блокировки трафика конечные устройства Windows перестанут получать обновления с локального сервера.
xakep.ru/2025/10/27/cve-2025-59287/

Уязвимости в BIND 9 позволяют отравлять DNS-кеш и вызывать отказ в обслуживании
В DNS-сервере BIND 9 обнаружены сразу три опасные уязвимости, две из которых позволяют отравлять DNS-кеш, а третья — вызывать отказ в обслуживании. Они затрагивают только резолверы — серверы, обрабатывающие DNS-запросы клиентов, в то время как авторитативные серверы не подвержены риску.
Наиболее опасные — уязвимости отравления кеша:
CVE-2025-40780 (8.6 CVSS) ослабляет защиту, внедренную после исследований Дэна Камински в 2008 году — позволяет предсказывать исходный порт и ID запроса, что упрощает спуфинг-атаки.CVE-2025-40778 (8.6 CVSS) связана с недостаточной валидацией входящих данных, позволяя злоумышленникам внедрять поддельные записи прямо в кеш DNS-сервера.Третья уязвимость CVE-2025-8677 (7.5 CVSS) позволяет вызвать отказ в обслуживании через специально подготовленные DNSKEY-записи, которые исчерпывают ресурсы процессора.
ISC выпустила обновления для всех актуальных версий BIND: 9.18.41, 9.20.15 и 9.21.14. Организация настоятельно рекомендует немедленно обновиться, особенно тем, кто использует неподдерживаемые версии. Существующие меры защиты, включая DNSSEC, ограничение частоты запросов и настройки файрвола, также остаются эффективными против потенциальных атак.
xakep.ru/2025/10/27/bind-patches/

Мошенники научились подделывать голос в режиме реального времени
Компания NCC Group, которая занимается кибербезопасностью, опубликовала новый отчёт. В нём говорится, что технологии создания голосовых дипфейков достигли нового уровня: теперь они могут имитировать голос в реальном времени с помощью общедоступных инструментов и оборудования. Это открывает новые возможности для фишинга, и злоумышленники смогут имитировать голос конкретного человека в звонках и обходить традиционные средства защиты.
Конечно, аудиодипфейки — это не что-то новое, но раньше они не использовались в режиме реального времени. Как правило, злоумышленники заранее строили диалог и записывали реплики. Но если разговор отклонялся от ожидаемого сценария, мошенникам приходилось экстренно генерировать дипфейк, и появлялась задержка, как минимум несколько секунд (а часто и гораздо дольше).
Сейчас такой проблемы нет. Инженеры NCC Group разработали собственный метод воссоздания голоса и протестировали его на клиентах с их разрешения, и никто не заметил подмены. В отличие от голосовых, дипфейки с видеорядом пока не работают в реальном времени. Их слабая сторона — недостаточная согласованность картинки и звукового ряда — мимика не всегда соответствует интонациям.
Новые решения заставляют задуматься о необходимости совершенствовать средства защиты: методы аутентификации теперь не должны полагаться на голосовые и видеозвонки, предупреждают эксперты.
spectrum.ieee.org/real-time-audio-deepfake-vishing

Писала дайджест, пока все вырезали тыквы — Ксения Н.

Каждый программист знает: не бывает идеального кода с первого раза. Бывает качественная отладка. Если в логе вашего сентября до сих пор отмечены неисправленные баги — дожди, горящие дедлайны или осенняя хандра — пришло время накатывать патчи и находить поводы для хорошего настроения, в том числе и в нашем дайджесте.



Собрали для вас свежие релизы с нашими новостями, обновления статей в блоге на Хабре. А ещё — залили в прод шуточную инструкцию-акцию по полной перезагрузке, которая ответит на главный вопрос — как выйти из IT. Читайте, применяйте и завершайте с успехом сентябрьский спринт. Погнали!

Статьи и инструкции
10 приложений для напоминаний на телефоне и компьютере
Информации так много, что стало сложнее запоминать важное — даты, встречи, задачи. Поэтому всё больше людей, а по статистике, это аж 74% пользователей, используют напоминалки. Подготовили обзор десяти классных приложений, от простых до продвинутых, чтобы вы ничего не упустили.
firstvds.ru/blog/10-prilozheniy-dlya-napominaniy-na-telefone-i-kompyutere
 
Протокол IPv6: что это такое и как он работает
Плохая новость: привычные нам IP-адреса когда-нибудь уйдут в прошлое. Хорошая — интернет, скорее всего, продолжит жить и расти. Уже давно на смену старому протоколу IPv4 пришёл другой — IPv6. Рано или поздно он будет работать везде. Поговорим о том, что такое IPv6, как он устроен и почему до сих не вытеснил своего предшественника.
firstvds.ru/blog/protokol-ipv6-chto-eto-takoe-i-kak-rabotaet

Habr: самое интересное за сентябрь
Сентябрь напомнил, что важно следить не только за своим кодом, но и за чужими пакетами, например, NPM. Хорошо, что взломы и уязвимости — это не всё, из чего состоит наша жизнь. И в ней всегда есть место интересным DIY-проектам, крутым историям, например, о большом телескопе, который способен заснять Вселенную, и советам экспертов по безопасности.
Защита процесса lsass от credential dumpingОдин из крупнейших взломов NPM: более 18 пакетов были скомпрометированыАнтенны для вашего приёмника SDRОбсерватория Веры Рубин: как инженеры построили телескоп, который снимет Вселенную

Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, получите повышенный гонорар. Тема октября: Серверное оборудование.
firstvds.ru/avtoram

Новости сентября
Акция ко Дню программиста и розыгрыш книг

Как известно, программисты — особые люди. И праздник у них тоже особенный. Многие знают, что отмечается он в 256-й день года (максимальное количество символов, которое можно закодировать в одном байте) и в обычный год выпадает на 13 сентября.
В честь такого замечательного события мы решили немного пошутить. Запустили акцию «ANTY 256 DAY» и предложили всем желающим пройти антиобразовательную программу «Выйти из IT», получить сертификаты на баланс аккаунта и поучаствовать в розыгрыше книг по программированию.
Если пропустили, есть шанс запрыгнуть в последний вагон уходящего поезда — акция действует до 30 сентября включительно. А уже 1 октября состоится долгожданный розыгрыш, и мы определим наших победителей.
firstvds.ru/actions/anti256day
Также до 30 сентября по промокоду ITEXIT можно заказать новые VDS в Москве и Амстердаме со скидкой до 35%. Чем больше период аренды, тем выше процент скидки.

Топ новостей из мира безопасности

Хотелось бы сказать, что месяц выдался спокойным, но нет… Мы уже упомянули о крупном взломе в экосистеме NPM в подборке статей на Хабре.

Критическая уязвимость в Docker Desktop угрожала безопасности Windows и macOS
Обнаружена и устранена критическая уязвимость (CVE-2025-9074, CVSS 9.3) в десктопных версиях Docker для Windows и macOS. Уязвимость типа SSRF позволяла злоумышленнику, запустившему вредоносный контейнер, получить несанкционированный доступ к хостовой системе, даже при активированной защите Enhanced Container Isolation (ECI).
Злоумышленник мог через контейнер получить доступ к Docker Engine API без аутентификации и запускать новые контейнеры. Ключевые различия по ОС:
Windows: Уязвимость была наиболее опасной — позволяла смонтировать всю файловую систему с правами администратора.
macOS: Встроенные механизмы защиты Apple срабатывали на запросы доступа к файлам, но угроза выполнения несанкционированных операций внутри самого Docker оставалась.
Проблема была исправлена в актуальной версии Docker Desktop 4.44.3. Пользователям настоятельно рекомендуется обновить ПО.
xakep.ru/2025/08/26/docker-ssrf/

Активные атаки на серверы FreePBX через критическую 0-day уязвимость
Серверы телефонии под управлением популярной платформы FreePBX подвергаются массовым атакам через уязвимость нулевого дня (0-day). Угроза, получившая идентификатор CVE-2025-57819 с максимальным баллом риска 10.0 по шкале CVSS, позволяет злоумышленникам получить полный контроль над системой.
Уязвимость заключается в недостаточной проверке пользовательских данных. Это дает атакующему возможность:
Получить несанкционированный доступ к панели администратора.
Манипулировать базой данных.
Выполнять произвольные команды на сервере с последующим повышением привилегий до root.
Проблема затрагивает устаревшие версии FreePBX 15, 16 и 17. Разработчик, компания Sangoma, уже выпустила экстренные патчи. Пользователям необходимо немедленно обновить системы до актуальных версий.
Рекомендации по защите:
Обновить FreePBX до версий 15.0.66, 16.0.89 или 17.0.3 и новее.
Ограничить доступ к административной панели из интернета, разрешив его только с доверенных IP-адресов через встроенный фаервол.
Проверить систему на признаки компрометации, включая измененный файл /etc/freepbx.conf, наличие скрипта .clean.sh или подозрительные записи в логах.
По данным на форумах, уже множество серверов были скомпрометированы, что привело к нарушению работы тысяч SIP-аккаунтов и телефонных транков.
xakep.ru/2025/09/02/freepbx-0day/

Массовая атака GhostAction скомпрометировала сотни репозиториев на GitHub
Исследователи кибербезопасности из GitGuardan обнаружили масштабную кампанию GhostAction, в результате которой было взломано 327 аккаунтов GitHub. Злоумышленники внедрили вредоносные скрипты (GitHub Actions) в 817 репозиториев, что привело к утечке 3325 конфиденциальных данных. Целью атаки стали токены доступа к ключевым сервисам разработки, включая реестры PyPI, NPM, DockerHub и облачные платформы.
Вредоносный код, замаскированный под легитимный обработчик «Github Actions Security», перехватывал и передавал на внешний сервер все переменные окружения, используемые в процессах автоматизации CI/CD.
Триггером для расследования послужили подозрительные изменения в популярном пакете FastUUID. Анализ показал, что его maintainer добавил коммит с кодом, отправляющим токен доступа к PyPI на сторонний ресурс. Благодаря оперативному реагированию, злоумышленникам не удалось воспользоваться украденными учетными данными. Владельцы затронутых проектов и администрации платформ были уведомлены о инциденте, а большая часть вредоносных коммитов уже отменена.
www.opennet.ru/opennews/art.shtml?num=63831

Фишинговая атака на разработчика привела к заражению популярных NPM-пакетов
В результате целевой фишинговой атаки злоумышленники получили доступ к учетной записи сопровождающего 18 крайне популярных NPM-пакетов, еженедельное количество загрузок которых исчисляется миллиардами. Это одна из крупнейших атак на экосистему JavaScript, которая затронула не только сами пакеты, но и сотни тысяч проектов, использующих их в качестве зависимостей.
Среди скомпрометированных библиотек — такие фундаментальные для миллионов проектов пакеты, как debug, chalk, ansi-styles и color-convert. Например, chalk и debug являются прямыми зависимостями для десятков тысяч других модулей в NPM.
Атака началась с фишингового письма, отправленного мэйнтейнеру Джошу Джунону (Josh Junon) с адреса, имитирующего службу поддержки NPM. Сообщение, маскировавшееся под уведомление о необходимости обновить настройки двухфакторной аутентификации, вело на сайт-клон npmjs.com. Этот сайт работал как прокси, в реальном времени перехватывая логин, пароль и коды 2FA жертвы.
Используя полученные учетные данные, злоумышленники опубликовали новые вредоносные версии пакетов. Код был нацелен на кражу криптовалют: он незаметно подменял реквизиты получателя в транзакциях Ethereum, Bitcoin, Solana и других сетей прямо в браузере жертвы, манипулируя данными на уровне сетевых запросов. Также сообщается о функционале для сбора паролей и токенов.
Более подробно рассказали о компрометации NPM-пакетов и дали несколько рекомендаций по устранению в статье на Хабре.
habr.com/ru/companies/first/articles/945218/
По предварительным оценкам, зараженные версии пакетов были скачаны более 2.5 миллионов раз до того, как угроза была обнаружена и нейтрализована.
www.opennet.ru/opennews/art.shtml?num=63845

Новый метод атаки VMScape позволяет обойти защиту от Spectre-BTI
Исследователи из Швейцарской высшей технической школы Цюриха обнаружили уязвимость под названием VMScape. Она позволяет обойти защиту от Spectre-BTI и из гостевой ОС в KVM/QEMU читать память гипервизора, получая конфиденциальные данные, например, ключи доступа к зашифрованным дисковым разделам.
Атака использует уязвимость спекулятивного выполнения процессора. Злоумышленник манипулирует буфером предсказания переходов (BTB), подставляя в него значения, чтобы вызвать неверное предсказание перехода. Это заставляет процессор спекулятивно выполнить переход по определённому адресу и сохранить данные в кэш. Затем злоумышленник извлекает информацию из кэша с помощью анализа времени доступа к кэш-памяти.
Процессоры и ядра ОС изначально содержат защиту от атак Spectre-BTI. Но она не учитывает, что процессы гипервизора (например, QEMU) и гостевой системы работают на одном уровне привилегий — это позволяет смешивать записи в BTB.
Для Linux уже выпустили патчи 6.16.7, 6.12.47, 6.6.106, 6.1.152, 5.15.193 и 5.10.244. В них с помощью инструкции IBPB добавили защиту, которая сбрасывает состояние предсказания переходов. Она настраивается параметром ядра vmscape и может работать в двух режимах: после каждого выхода из VM или только после первого. Её использование снижает производительность в среднем на 10%, а в задачах с активным вводом-выводом — до 51%.
Атаке VMScape подвержены почти все современные CPU: AMD Zen (все поколения), Hygon и Intel (начиная с Coffee Lake 2017 года). Частично уязвимы Intel Cascade Lake и Alder Lake. Даже современная защита Intel eIBRS не полностью блокирует атаки через буфер истории переходов (BHB). Атака пока подтверждена только для KVM/QEMU, Xen не подвержен уязвимости, другие гипервизоры изучаются.
AMD подтвердила уязвимость и планирует программные исправления. Компания Intel заявила, что существующие механизмы защиты процессоров могут помочь устранить проблему, и компания намерена сотрудничать с разработчиками Linux для реализации патчей. Ожидается, что патч будет доступен во всех основных дистрибутивах Linux и будет работать даже на новейших процессорах, где атака теоретически невозможна.
www.opennet.ru/opennews/art.shtml?num=63868

Фишинг-атака на Rust-разработчиков
Rust Foundation предупредил разработчиков о фишинговой атаке на пользователей репозитория crates.io. Злоумышленники рассылали поддельные письма, маскирующиеся под официальные уведомления от crates.io, в которых сообщали о компрометации инфраструктуры и предлагали срочно изменить учётные данные через систему единого входа (SSO).
Ссылки в письмах вели на фиктивный сайт rustfoundation.dev — копию GitHub, который мошенники использовали для перехвата логинов, паролей и кодов двухфакторной аутентификации. Подобные атаки уже наблюдались против NPM, PyPI и Mozilla AMO для публикации релизов с вредоносным кодом. Сведений об утечке учётных данных пока нет.
www.opennet.ru/opennews/art.shtml?num=63875

Вирус-вымогатель HybridPetya научился обходить защиту UEFI Secure Boot
HybridPetya — новая версия вымогателей Petya/NotPetya, которая умеет обходить защиту UEFI Secure Boot через уязвимость, исправленную в начале 2025 года.
HybridPetya работает так:
Вирус проникает в системный раздел EFI и модифицирует загрузчик UEFI, вызывая синий экран для принудительной перезагрузки.
После перезагрузки запускается буткит, который шифрует критически важные системные файлы, включая таблицу MFT с метаданными всех файлов NTFS, алгоритмом Salsa20. Процесс маскируется под стандартную проверку диска CHKDSK.
Появляется экран с требованием выкупа 1000 $ в биткоинах за ключ расшифровки.
В отличие от NotPetya, который уничтожал данные, HybridPetya позволяет их восстановить после оплаты. При вводе правильного ключа восстанавливаются оригинальные загрузчики из резервных копий и начинается постепенная расшифровка данных. Особенность вируса — использование скрытых файлов в системном разделе EFI для управления процессом.
На практике активных атак пока не зафиксировано — возможно, это исследовательский проект. Однако его появление показывает, что обход Secure Boot становится реальной угрозой.
3dnews.ru/1129210/petya-vernulsya-obnarugen-opasniy-virusvimogatel-hybridpetya-kotoriy-obhodit-uefi-secure-boot/#68c58776742eec55628b4569

Атака Phoenix (CVE-2025-6202): обход защиты DDR5 и угроза безопасности данных
Исследователи из Швейцарской высшей технической школы Цюриха и компании Google разработали новую технику атаки класса Rowhammer — Phoenix (CVE-2025-6202). Метод позволяет обходить встроенную защиту TRR в чипах DDR5 и менять конкретные биты в оперативной памяти, что может привести к повышению привилегий в системе. Атака успешно протестирована на ПК с процессором AMD Zen 4 и памятью SK Hynix DDR5.
Атака Rowhammer использует особенность архитектуры DRAM: интенсивное чтение данных из определенных областей памяти вызывает электрические помехи, приводящие к потере заряда в соседних ячейках и изменению хранимой информации. Несмотря на то что производители внедрили механизм защиты TRR (Target Row Refresh), он оказался уязвим к новым методам обхода.
Ключевые особенности Phoenix (CVE-2025-6202):
Работает на всех 15 протестированных модулях SK Hynix (2021-2024).
Для получения root-доступа на системе с AMD Ryzen 7 7700X требуется около 109 секунд.
Изменение одного бита позволяет модифицировать таблицы страниц памяти, ключи SSH или обходить проверки sudo.
Для блокировки атаки Phoenix предлагают увеличить частоту обновления памяти в три раза. Производителям рекомендуют пересмотреть архитектуру механизма защиты TRR, отказавшись от модели, основанной на сохранении в тайне принципов его работы.
Дополнительно разработана техника Rubicon для контролируемого размещения данных в памяти, что значительно ускоряет атаки (в 284 раза для Intel и в 6,8 раз для AMD). Отдельно показана возможность применения Rowhammer-атак к ИИ-системам (метод OneFlip), где изменение одного бита может кардинально изменить поведение AI-моделей: например, исказить работу модели автопилота или изменить интерпретацию дорожных знаков.
www.opennet.ru/opennews/art.shtml?num=63891

Из Windows удаляют устаревший и небезопасный язык VBScript
Корпорация Microsoft официально подтвердила планы по отказу от языка сценариев VBScript. Окончательно поддержку прекратят в течение следующих двух лет, поэтому пользователям придётся пересмотреть решения автоматизации.
VBScript основан на языке Visual Basic. Microsoft представил его в 1996 году как часть Windows 98 и NT 4.0. Он долгое время оставался ключевым инструментом для автоматизации задач и создания макросов в продуктах Microsoft Office, стал стандартом для Active Scripting-решений.
Почему решили отказаться от VBScript:
Технология устарела: современный Windows предлагает более мощные альтернативы — PowerShell, Python.
Есть проблемы с безопасностью: раньше VBScript часто использовали хакеры для распространения вредоносного ПО (Emotet, Qbot и др.).
Отключение пройдёт в три этапа: VBScript будет доступен по умолчанию до 2026–2027 года, затем станет опциональным компонентом, а в будущем — будет окончательно удалён. Соответственно, внешние VBS-скрипты и макросы перестанут поддерживаться.
Microsoft настоятельно рекомендует разработчикам и корпоративным клиентам заблаговременно перейти на современные средства автоматизации, например, PowerShell, чтобы избежать сбоев в работе приложений.
3dnews.ru/1129135/microsoft-napomnila-o-skorom-prekrashchenii-poddergki-yazika-stsenariev-vbscript-v-windows/#68c39732742eec64a88b4568

Шаи-Хулуд атакует NPM
Атаки на экосистему NPM вышли на новый уровень с появлением самораспространяющегося червя под кодовым названием «Shai-Hulud» (по имени монстра из романа Фрэнка Герберта «Дюна»). С его помощью злоумышленники автоматически заражают цепочки зависимостей, чтобы перехватить конфиденциальную информацию. Это может привести к масштабному захвату пакетов и массовым утечкам данных.
Атака представляет собой цепную реакцию:
Злоумышленники получают учётную запись сопровождающего NPM-пакета (например, с помощью фишинга).
С помощью этих данных они публикуют новый пакет релиза, который содержит вредоносный код.
Червь активируется при установке скомпрометированного пакета в числе зависимостей, используя скрипт (postinstall-хук), прописанный в package.json.
Вредоносный код запускает утилиту TruffleHog, которая сканирует систему (переменные окружения, файлы конфигурации) в поисках токенов и ключей доступа (NPM, GitHub, AWS, Azure, GCP).
Обнаружив токен доступа к каталогу NPM, червь с помощью функции NpmModule.updatePackage формирует новые вредоносные релизы для самых популярных пакетов, к которым получил доступ. Процесс включает загрузку исходного архива пакета, изменение версии, добавление постустановочного хука и повторную публикацию.
Собранные данные червь передаёт злоумышленникам. Для этого он создаёт на GitHub репозитории с именем Shai-Hulud и размещает в них файл data.json с закодированными данными, а также использует GitHub Actions для их отправки на внешние серверы.
Атака началась со взлома пакета @ctrl/tinycolor (2.2 млн загрузок в неделю). В результате червь заразил 187 пакетов, выпустил для них 477 вредоносных обновлений и продолжает распространяться. Среди поражённых — 25 пакетов компании CrowdStrike, также атака затронула проект gemini-cli от Google.
www.opennet.ru/opennews/art.shtml?num=63894

Это не единственная атака на NPM за последние месяцы: например, в июле зафиксировали волну фишинг-атак на сопровождающих JavaScript-библиотеки. В результате атаки злоумышленники, получив токен разработчика, выпустили вредоносные обновления для пяти популярных NPM-пакетов (100 млн загрузок/неделю). Поэтому репозиторий вводит усиленные меры безопасности:
Обязательная двухфакторная аутентификация при публикации пакетов.
Переход с одноразовых TOTP-паролей на протокол FIDO U2F.
Замена классических токенов на гранулированные со сроком действия 7 дней.
Внедрение механизма Trusted Publishers на основе стандарта OpenID Connect, который позволяет внешним сервисам безопасно подтверждать публикацию пакетов.
www.opennet.ru/opennews/art.shtml?num=63930

SystemBC: ботнет превращает VPS в каналы для преступников
Специалисты Lumen Technology провели расследование и предупреждают: ботнет SystemBC ищет уязвимые VPS-серверы, чтобы превратить их в прокси-каналы для злоумышленников.
Примерно с 2019 года около 1500 ботов в составе SystemBC ежедневно формируют инфраструктуру для вредоносной активности. Например, проводят с его помощью брутфорс учётных данных WordPress и продают их брокерам, чтобы они могли внедрять вредоносный код на сайты. Кроме того, ботнет служит основой для других вредоносных прокси-сервисов, например, REM Proxy.
Как происходит атака:
Операторы ботнета сканируют интернет в поисках VPS с критическими уязвимостями.
Уязвимые серверы заражают вредоносным ПО SystemBC.
Заражённый сервер становится прокси-узлом в ботнете и помогает маршрутизировать вредоносный трафик.
Сейчас ботнент SystemBC насчитывает более 80 управляющих серверов. Он известен высокой пропускной способностью — до 16 ГБ прокси-данных в сутки с одного IP.
Эксперты Lumen Technology считают, что основу ботнета SystemBC (почти 80%) составляют VPS-серверы крупных коммерческих провайдеров, имеющие хотя бы одну критическую уязвимость. Благодаря этому злоумышленникам удаётся дольше удерживать контроль над жертвами: почти 40% систем остаются заражёнными дольше месяца.
Советуем организациям и пользователям отслеживать аномалии исходящего трафика.
xakep.ru/2025/09/19/systembc/

Бэкдор BrockenDoor: новая волна атак на российские компании
Эксперты «Лаборатории Касперского» обнаружили новую кампанию хактивистов BO Team против крупных российских организаций и госсектора. Её цель — получить доступ к системам, чтобы использовать данные для уничтожения IT-инфраструктуры жертв или заразить её вирусом-шифровальщиком. Хактивисты обновили инструментарий и теперь атакуют компании с помощью новой версии бэкдора BrockenDoor.
Для проникновения в системы группировка рассылает персонализированные фишинговые письма. В одном из сценариев злоумышленники сообщают о злоупотреблении полисом ДМС и прикладывают архив с фальшивым протоколом о служебном расследовании. Сам архив — это исполняемый .exe-файл, замаскированный под PDF-документ. После запуска активируется бэкдор BrockenDoor, который передаёт на сервер хакеров данные системы (имя пользователя, ОС, файлы на рабочем столе).
Основной код BrockenDoor переписан на C#, что упрощает разработку и сокрытие кода с помощью доступных обфускаторов. Для затруднения анализа команды сокращены до 2–3 символов (например, команда set_poll_interval сократилась до spi).
xakep.ru/2025/09/26/new-brockendoor/

Уязвимость в io_uring, позволяющая повысить привилегии в Linux
Обнаружена уязвимость (CVE-2025-39698) в подсистеме io_uring ядра Linux. Она позволяет непривилегированному пользователю выполнить код на уровне ядра. Проблема связана с отсутствием проверки существования объекта перед операциями с ним.
Уязвимость устранена в обновлениях ядер 6.16.4 и 6.12.44. Обновления для дистрибутивов можно проверить на страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (если страница недоступна, исправление ещё в разработке).
www.opennet.ru/opennews/art.shtml?num=63946

В crates.io обнаружены два вредоносных пакета
Разработчики предупредили, что в репозитории Rust обнаружены пакеты faster_log и async_println с вредоносным кодом. Их опубликовали 25 мая и скачали уже 8424 раза.
Злоумышленники дали своим пакетам названия, сходные с легитимными (например, faster_log вместо fast_log), рассчитывая на невнимательность пользователей. При выполнении или тестировании проектов с этими зависимостями код искал в логах приватные ключи Solana и Ethereum и отправлял их на сервер злоумышленников.
Отдельно сопровождающих PyPI предупредили о фишинговой рассылке с угрозой блокировки учётной записи. Сообщение содержит ссылку на поддельный домен pypi-mirror.org.
www.opennet.ru/opennews/art.shtml?num=63944

Не забывайте вовремя обновляться, не переходите по ссылкам из подозрительных писем и следите за новостями безопасности. От всех угроз, возможно, такой совет не спасёт, но вероятность рисков снизит точно.

Хостинг-провайдер VPS-серверов RUVDS отправит на орбиту архив материалов лучших технических и научно-популярных текстов российских авторов c сайта «Хабр». Экспертные статьи, отобранные в особом порядке, будут храниться на спутнике компании RUVDSSat1, благодаря чему доступ к ним смогут получить желающие из любой точки мира.

Проекты RUVDS всегда имели научно-образовательный характер, потому мы предусмотрели, что на определенном этапе наш аппарат выступит в роли космического хранилища целой базы знаний в виде лучших статей по IT-тематике. Это позволит ярко подчеркнуть важность привнесения лучших IT-практик в космос, а также привлечь внимание к достижениям техноэтузиастов из России и стран СНГ
подчеркнул генеральный директор RUVDS Никита Цаплин.

База знаний, размещенная на аппарате, будет доступна читателям со всего мира: специальный интерфейс позволит пользователям из любой точки Земли загрузить труды техноэнтузиастов в моменты установления сеансов связи с аппаратом.

Этот проект — дань научно-техническому потенциалу, энтузиазму и стремлению человека объяснять мир вокруг себя. Мы рады, что статьи с Хабра станут важной частью космической инициативы, путь в космос в том или ином смысле открыт каждому
Дмитрий Колобов, технический директор «Хабра».

Космический аппарат RUVDSSat1 планируется к выводу на орбиту в 2025 году. Основная задача спутника заключается в предоставлении разработчикам программного обеспечения и радиолюбителям возможность тестировать свой софт на действующем аппарате.

Сразу две статьи из блога хостинг-провайдера VPS-серверов RUVDS одержали победу в конкурсе “Технотекст”, ежегодном конкурсе технических статей, принять участие в котором может любой автор портала “Хабр“.
ruvds.com/ru/mp/

Лауреатами стали материалы «Я — робот Вертер» или Нулевой закон робототехники», завоевавший победу в номинации «Маркетинг» и «Обнаружение SSH-туннелей по размеру пакетов», признанный лучшим в номинации «Системное администрирование».

RUVDS традиционно выступал хранителем номинации «Системное администрирование». В этом году компания подарила авторам двух лучших материалов ценные призы: Mac Mini и промо-код на пополнение баланса сервисов RUVDS на 50 000 р. за 1-е место и набор Lego 10306 (модель консоли Atari 2600) и нож Cybertool VICTORINOX, а также промо-код на пополнение баланса сервисов RUVDS на 25 000 р – за второе.

О компании RUVDS
RUVDS — один из ведущих российских хостинг-провайдеров VPS/VDS серверов, основным направлением деятельности которого является оказание услуг IAAS корпоративного класса. Партнёры компании — АО «ФИНАМ», финансовая группа «БКС», Национальный расчётный депозитарий (Московская биржа), АО «ВЦИОМ», АО «Телекомпания НТВ», VK, Gett, DCDaily и другие. Компания располагает своим дата-центром уровня TIER 3 в городе Королёв, а также девятью гермозонами в России (2 гермозоны в Москве и по одной в Санкт-Петербурге, Казани, Екатеринбурге, Новосибирске, Владивостоке, Краснодаре и Омске).

Работаете в сфере IT и чувствуете в себе творческий потенциал? Пробуйте свои силы в писательском деле и получайте за каждую статью хороший гонорар. Можете ограничиться одним или несколькими материалами, а можете стать нашим постоянным автором — выбирать вам.

У вас есть готовая статья и вы считаете, что она подойдет для одного или наших блогов? Отправьте нам — если это действительно так, сможете получить от 10 до 17 тысяч рублей за материал. А может, и больше!

Кого ищем
IT-специалистов разных направлений: системное администрирование, разработка, DevOps, тестирование и другие.Авторов, которые уверенно владеют терминологией, умеют понятно объяснять сложные вещи и писать структурированные тексты.Тех, кто готов делиться опытом и знаниями, создавая полезные материалы для разных аудиторий читателей.
Какие материалы принимаем
Авторские и уникальные (не менее 75% по оценке text.ru). Актуальные и проработанные материалы с пользой для читателей. Если в статье есть практическая часть — каждый шаг необходимо проверить.Нейтральные по стилю — в статье не должно быть резких высказываний, обсуждений политики, религии или жесткой критики в адрес кого бы то ни было. Тематика и объём статьи должны соответствовать выбранной площадке.Как работаем Вы присылаете статью или предлагаете тему. Наш редактор проверяет текст на соответствие редполитике, помогает улучшить структуру и раскрыть важные детали. Дизайнер готовит иллюстрации для вашей статьи. А затем материал публикуется на выбранной площадке.
Преимущества сотрудничества с нами
Гибкий график: вы сами решаете, когда и сколько писать. Поддержка редактора: поможем улучшить текст и сделать его более интересным.Возможность стать постоянным автором: если вам понравится писать для нас, мы готовы к долгосрочному сотрудничеству. Своевременные выплаты — в течение недели после публикации.
А еще мы подготовили приятные бонусы для авторов блога на Хабре :)
Бонус 1. Публикация под вашим именем. Если вы активно ведёте Хабр, сможете публиковать статьи в нашем блоге из-под своего аккаунта.Бонус 2. Если ваша статья попадёт в одну из тематик ниже, вы получите повышенный гонорар за статью.


Как оплачиваем
Предлагаем прозрачную систему оплаты, которая зависит от площадки и качества материала. Оплата сдельная. Проводится на основании публичной оферты.

Но если кратко, то в среднем вы можете получить:
от 8-10 до 15 тысяч рублей за статью для базы знаний, корпоративного блога (зависит от объема статьи) и vc.ru (чем выше рейтинг, тем лучше),от 12 до 17 тысяч рублей за статью для блога на Хабре (зависит от рейтинга), а при попадании в специальную тематику — до 22 тысяч рублей.
А что дальше?
Вы можете ограничиться одной или несколькими статьями или продолжить сотрудничество в качестве внештатного автора на постоянной основе. Работаем по договору и сотрудничаем как с физическими лицами, так с самозанятыми или ИП.

Как стать автором FirstVDS
Нажмите кнопку Откликнуться и заполните форму. Или напишите нам на почту content@firstvds.ru с темой «Хочу стать вашим автором», обязательно указав, для какой площадки (или площадок) вы хотите писать.
В письме расскажите немного о себе: как вас зовут, на чём вы специализируетесь, есть ли у вас опыт написания статей. Если есть примеры работ — прикрепите их. Мы свяжемся с вами в течение 3 рабочих дней.

База знаний в Спринтхост и Спринтбокс серьезно обновилась. Теперь она в новом дизайне, самые популярные статьи представлены на плиточках, а остальное легко найти через поиск или с помощью тегов

Мы распределили инструкции по темам и присвоили им теги, еще и по цветам разделили — ориентироваться в Базе знаний стало проще. Сами статьи тоже поменялись: новый стиль, все самое важное выделено и также разделено на подтемы, удобно копировать кусочки кода и различные команды, а если нажать на тег, то откроются все остальные статьи по этой теме. Удобно? Да не то слово!

Читайте наши полезные инструкции в Спринтхост и Спринтбокс, а если у вас все-таки останутся вопросы, пишите в поддержку — мы работаем круглыми сутками



cp.sprinthost.ru/support/index
help.sprinthost.ru/

«У вас есть Сплюш? Меняю на Драматяша!» — примерно вот так прошли все 12 дней празднования Дня программиста в нашем телеграме.

Кошачье безумие било все рекорды по общению в тг-чате: за первый день мы получили больше 9000 сообщений, и 90% из них были о котиках и мемах с ними!



Но сейчас уже все вернулось на круги своя — котики продолжают радовать всех вокруг, Хакермен практически признал, что был неправ, а в чате снова стало спокойно.

Статьи и инструкции


А вы точно программист? Статья без котиков, но с ответами
В этом году мы решили отпраздновать День программистов масштабно: запустили акцию с растущей скидкой, добавили рецепт GitLab и, конечно, подготовили увлекательную игру.

По сюжету Хакермен решил спасти человечество от прокрастинации, удалив из интернета все-все мемы с котиками. Наши пользователи могли их спасти, меняясь карточками и решая непростые загадки.

Если вы всё пропустили или, наоборот, участвовали и до сих пор не понимаете, как надо было правильно расположить перфокарту — заходите в нашу статью. В ней можно погрузиться в игровую атмосферу и посмотреть все загадки с решениями. firstvds.ru/blog/vy-tochno-programmist-statya-bez-kotikov-no-s-otvetami



День программиста: вспоминаем историю праздника и интересные факты о профессии
И опять про День программиста :) К концу 2024 года в мире ожидается 28,7 млн программистов — это чуть больше, чем население Австралии. Лидером по количеству этих специалистов является Китай: там их почти в два раза больше, чем в США, и в восемь раз больше, чем в России.

Ко Дню программиста мы решили написать статью с интересными фактами о данной профессии. Когда отмечают День программиста, какая история у праздника, как сейчас обстоят дела с этой профессией в России — все это в нашей статье. firstvds.ru/blog/den-programmista

Начало работы с GitLab после автоматической установки из рецепта
Одним из подарков ко Дню программиста было добавление рецепта GitLab. Хоть акция и закончилась, рецепт доступен для установки.

GitLab — это веб-платформа для управления проектами и репозиториями программного кода, работа которой основана на популярной системе контроля версий Git. Подробнее про установку рецепта рассказываем в инструкции. firstvds.ru/technology/gitlab_ce

Habr: самое интересное за сентябрь
Не дай мозгу себя обмануть: 5 когнитивных искажений, распространённых в ITDSS-43: единственная антенна, которая поддерживает связь с Вояджером-2Забытая история китайских клавиатурВаш цифровой след: Погружение в форензику Windows

Стань автором FirstVDS
Ищем технических писателей для блога на Хабре
firstvds.ru/blog/ischem-avtorov-dlya-bloga-firstvds-na-habr-i-vc

Новости, точнее новость сентября
Проблемы с доступностью сервисов со стороны Ростелекома
9 сентября от наших пользователей стали поступать жалобы на недоступность некоторых сервисов со стороны провайдера Ростелеком. Блокировка Ростелеком затронула различные протоколы VPN и другие сервисы, которые используют протокол UDP. Также поступали жалобы на недоступность DNS-серверов.
На наше обращение в ЦМУ ССОП (подразделение РКН, отвечающее за мониторинг и управление российским сегментом сети «Интернет») был получен ответ, что блокировок наших сервисов с их стороны нет, а также рекомендации обратиться к интернет-провайдеру.
Через день после выхода новости проблемы уже перестали фиксироваться.
Топ-4 новостей сентября из мира безопасности
Уязвимости месяца
Начало сентября выдалось относительно спокойным, и мы даже успели расслабиться. Но не тут-то было. Изменилось всё после новости про проблемы с регистрацией в Google, которая то ли есть, то ли нет. Следом пошли уязвимости. И пусть достойных внимания в этот раз было не так много, но почти все с высоким уровнем угрозы. В общем, больше томить ожиданием не будем, рассказываем.

Google больше не регистрирует аккаунты российских пользователей, но это не точно
У пользователей наблюдаются проблемы с регистрацией аккаунтов Google с использованием номеров телефонов из России. При попытке зарегистрироваться пользователи получают сообщение: «Этот номер нельзя использовать для подтверждения».
Как сообщается, проблема возникает не всегда, и некоторым все-таки удается пройти регистрацию, поэтому причины пока остаются неясными. Возможно, это связано с техническим сбоем на серверах компании или завершением контракта с сервисом, отвечающим за отправку SMS. Некоторые эксперты предпринимают попытки связать данную ситуацию с новыми санкциями США, которые вступили в силу 12 сентября, однако явной связи между этими событиями не наблюдается.
UPD: 26 сентября Минцифры подтвердили, что Google ограничил создание новых аккаунтов для россиян.
3dnews.ru/1110681/rossiyanam-stali-otkazivat-v-registratsii-googleakkaunta

Уязвимость в Ruby-SAML позволяет обходить аутентификацию в GitLab
Критическая уязвимость(CVE-2024-45409) присутствует в механизме SAML-аутентификации. Она затрагивает библиотеки ruby-saml и omniauth-saml и отмечена самым высоким уровнем угрозы — 10 из 10.
Ключевая проблема заключается в некорректной обработке селекторов XPath, что вызывает ошибочную проверку подписей в XML-ответах от SAML-сервера. Атакующий, не имея аутентификации, может создать фальшивый SAML-ответ с использованием атаки XSW (XML Signature Wrapping). Суть этой атаки состоит в том, что, обладая корректно подписанным сообщением, злоумышленник может вставить ложное сообщение в связанный XML-документ с тем же идентификатором. При этом идентификатор будет считаться действительным, что даст возможность злоумышленнику получить доступ к системе от имени любого пользователя.
В сентябре для трех версий GitLab (17.3.3, 17.2.6 и 17.1.8) выпущены обновления, устраняющие эту уязвимость.
www.opennet.ru/opennews/art.shtml?num=61893

В Acronis Backup нашли серьезную уязвимость
В сентябре 2024 года была обнаружена серьёзная уязвимость CVE-2024-8767 с уровнем угрозы оценкой 9.9 по CVSS. Уязвимость найдена в плагинах Acronis Backup, работающих на Linux-серверах с cPanel, WHM, Plesk и DirectAdmin. С ее помощью злоумышленники получают избыточные права и, как следствие, — возможность удаленного доступа к конфиденциальной информации, изменению данных и выполнению несанкционированных действий. Уязвимость затрагивает следующие версии плагинов: до 619 (cPanel), 555 (Plesk) и 147 (DirectAdmin).
Рекомендация тут одна: как можно быстрее обновить свои системы.
www.linux.org.ru/news/security/17736711

Уязвимости в PCP и Nix создают риск повышения привилегий в системе
В системе PCP (Performance Co-Pilot) выявлено две уязвимости. Первая (CVE-2024-45770) затрагивает утилиту pmpost, которая может запускаться с повышенными привилегиями, что дает возможность выполнять код с правами root при наличии доступа к учётной записи PCP и изменении символической ссылки на файл "/var/log/pcp/NOTICES". Вторая уязвимость (CVE-2024-45769) относится к фоновому процессу pcmd и вызывает обращения к памяти за пределами буфера. Однако опасность её снижена, так как приём сетевых запросов в pcmd по умолчанию отключен. Обе проблемы были исправлены в версии PCP 6.3.1.
Дополнительно, в пакетном менеджере Nix (CVE-2024-45593) обнаружена уязвимость, позволяющая записывать данные в несанкционированные области файловой системы при распаковке файлов NAR. Данная проблема была устранена в версии 2.24.6.
К тому же, была выявлена критическая уязвимость в дистрибутивах GNU/Linux, позволяющая осуществлять удалённое выполнение кода без предварительной аутентификации. Уведомления для разработчиков запланированы на 30 сентября, а публикация информации — на 6 октября. Canonical и Red Hat оценили уязвимости как критические (9.9 из 10).
www.opennet.ru/opennews/art.shtml?num=61919

Сотрудники FirstVDS разделились на два лагеря: на тех, кто уже сходил в отпуск и сверкает на созвонах загаром, и тех, кто вот-вот туда уйдёт — этих коллег почти не видно, видимо, стараются не отсвечивать.



А тот, кто не успел вовремя уйти в отпуск — писал этот дайджест :)

Статьи и инструкции
SSH-туннели: настройка и примеры использования
Служба SSH (Secure Shell) — ключевой инструмент для администраторов на серверах под управлением Linux и Unix-подобных систем, используемый для управления удалёнными компьютерами. Протокол SSH стал стандартом администрирования благодаря своей надёжности и безопасности. Он также позволяет монтировать удалённые файловые системы (SSHFS), передавать файлы по SFTP и SCP.
В статье обсуждаем возможность создания защищённых туннелей для безопасной передачи интернет-трафика.
firstvds.ru/technology/ssh-tunnels

Установка, настройка и примеры синхронизации rsync
Важность обмена информацией в современном мире невозможно переоценить. От сохранности данных зачастую зависит не только IT-бизнес, но и частная жизнь.
В статье рассмотрим утилиту командной строки rsync (Remote Synchronization, удаленная синхронизация) — программу с открытым исходным кодом, предназначенную для передачи файлов и синхронизации данных между удалёнными компьютерами, с помощью которой можно легко и быстро сохранить и восстановить данные на сервере или персональном компьютере.
firstvds.ru/technology/primery-sinhronizacii-rsync-v-linux

Habr: самое интересное за июль
Подборка эргономичных мышек для работы и игр«Трон» — пионер компьютерной графики в киноПочему цифровые покупки нам не принадлежат
Новости июля
SysAdmin Day: поздравляем сисадминов новой акцией!
Системные администраторы — настоящие супергерои, спасающие мир от цифровых катастроф. Без них вообще никуда!
Обойти такой день стороной мы не могли и запустили акцию с промокодом на скидку 25% для заказа новых VDS.
Забрать подарки можно на странице акции, там же все условия.
firstvds.ru/actions/sysadmin-day-2024

Бесплатный месяц ispmanager 6 lite при заказе VDS
Возобновили совместную акцию с партнёрами из ispmanager!
При аренде нового сервера на панель управления ispmanager 6 lite в первый месяц будет действовать скидка 100%. В акции участвуют почти все тарифы — как готовые, так и гибкие конфигурации. За исключением VDS ARM, VDS Storage и серверов для Windows.


Лето — время писать статьи!
Если вы разбираетесь в сфере IT, регулярно пишете статьи, ведёте аккаунт на Хабре или хотите попробовать свои писательские силы — то у нас отличное предложение!
До 29 августа присылайте статьи для нашего блога на Хабре и получайте до 22 000 ₽ за каждый материал.
firstvds.ru/actions/summertime

Повышение цен на VDS и автобэкапы
С 9 июля 2024 года стоимость аренды VDS и резервного копирования увеличится. Изменение коснётся всех VDS, кроме всех версий спецтарифов «Freddy», «Jason», «First John», «Восток» и VDS ARM. Также с 9 августа повысится стоимость тарифов группы реселлинга. Посмотреть новые цены можно в новостях.

Топ новостей из мира безопасности: уязвимость в RADIUS, GitLab и Exim

Сегодня атаки и уязвимости мало кого могут удивить, однако следить за событиями необходимо — таков путь. В начале месяца мы писали об уязвимости в OpenSSH, позволяющей удалённо выполнить код с правами root без аутентификации. А сегодня расскажем, какие ещё уязвимости наши специалисты отметили, как важные.

Уязвимость в протоколе RADIUS, позволяющая подделать ответ при аутентификации
Группа исследователей из США разработала атаку на протокол RADIUS под названием Blast-RADIUS, позволяющую обойти аутентификацию без пароля.
Атакующий проводит MITM-атаку, перехватывая UDP-пакеты и заменяя Access-Reject на Access-Accept. Уязвимость связана с алгоритмом MD5, уязвимым к коллизиям, что позволяет создать поддельный хэш за 3-6 минут.
Код атаки не опубликован, но в проект hashclash переданы изменения для улучшения коллизий MD5. Уязвимость в RADIUS-сервере FreeRADIUS устранена в версиях 3.0.27 и 3.2.5 путём применения атрибута Message-Authenticator и настройки ограничения обработки пакетов с атрибутом Proxy-State.
www.opennet.ru/opennews/art.shtml?num=61517

Критическая уязвимость в GitLab
Опубликованы обновления GitLab 17.1.2, 17.0.4 и 16.11.6, которые устраняют 6 уязвимостей. Одна из проблем (CVE-2024-6385) имеет критический уровень опасности и позволяет запускать конвейеры CI под произвольным пользователем.
Это даёт атакующему доступ к внутренним репозиториям и закрытым проектам. Информация об уязвимости передана в GitLab через программу на HackerOne. Подробнее о проблеме станет известно через 30 дней после публикации исправления.
www.opennet.ru/opennews/art.shtml?num=61525

1,5 миллиона почтовых серверов оказались под угрозой взлома из-за уязвимости в Exim
Специалисты по кибербезопасности обнаружили уязвимость CVE-2024-39929 в почтовом сервере Exim, позволяющую отправлять вредоносные письма.
Из 6,5 миллионов SMTP-серверов, 4,8 миллиона работают на Exim, 1,5 миллиона используют уязвимые версии. Уязвимость имеет критичность 9,1 по CVSS.
Хотя активного использования ещё не зафиксировано, эксперты предупреждают о вероятных атаках. Рекомендуется обновить Exim до версии 4.98 для защиты. Уязвимость затрагивает версии до 4.97.1 включительно.
3dnews.ru/1107854/uyazvimost-v-exim-ugrogaet-bezopasnosti-15-milliona-pochtovih-serverov

Если вы разбираетесь в сфере IT, регулярно пишете статьи, ведёте аккаунт на Хабре или хотите попробовать свои писательские силы — то у нас отличное предложение!

До 29 августа присылайте статьи для нашего блога на Хабре и получайте до 22 000 ₽ за каждый материал.

Ваша статья должна быть уникальной, хорошо проработанной и попадать под одну из тематик:
хостингпрограммированиесистемное, серверное администрированиенастройка Linuxхранение данных, накопителисерверное оборудованиекомпьютерное железотестирование IT-системopen sourceсерверная оптимизация 

Кстати, если вы активно ведёте Хабр, мы можем опубликовать статью в блоге FirstVDS под вашим аккаунтом.
 
Интересно?
Тогда переходите на страницу акции и заполняйте форму для участия.
firstvds.ru/actions/summertime

Или сразу отправляйте свои статьи на почту content@firstvds.ru и ждите фидбэка от наших редакторов.

Если вы разбираетесь в сфере IT, регулярно пишете статьи, ведёте аккаунт на Хабре или хотите попробовать свои писательские силы — то акция от FirstVDS именно для вас!

До 29 августа присылайте статьи для блога FirstVDS на Хабре и получайте до 22 000 ₽ за каждый материал.

Ваша статья должна быть уникальной, хорошо проработанной и попадать под одну из тематик:
хостинг, программирование, системное, серверное администрирование, настройка Linux, хранение данных, накопители, серверное оборудование, компьютерное железо, тестирование IT-систем, open source, серверная оптимизация.
Если вы активно ведёте Хабр, FirstVDS могут опубликовать статью под вашим аккаунтом.

Для участия переходите на страницу акции по кнопке ниже и заполняйте форму.
firstvds.ru/actions/summertime

Или сразу отправляйте свои статьи на почту content@firstvds.ru и ждите фидбэка от наших редакторов.

Призываем весну прийти не только в календарь, но и на уличный термометр. На глобальное потепление надежды нет, приходится справляться самостоятельно. Пока мы перебираем в памяти все подходящие заклинания — посмотрите, чем ещё мы занимались в феврале.


Статьи и инструкции

На заре становления интернета международная организация по стандартизации ISO предприняла масштабную попытку навести порядок в компьютерных сетях и создала набор правил, которому должны были следовать подключённые друг к другу сетевые устройства при обмене данными. Так на свет появилась эталонная сетевая модель OSI.
В новой статье обсуждаем важность этой модели, историю её появления и принципы работы. А также говорим о преимуществах, недостатках и существующих альтернативах.
firstvds.ru/technology/setevaya-model-osi-dlya-nachinayuschikh

Habr: самое интересное за февраль
Даже за самый короткий месяц наши авторы умудряются выпустить кучу новых материалов. Чтобы не перечислять всё, в дайджест собрали только самое интересное. Сегодня говорим о прелестях фотошопа, математическом юморе и автозаправках с водорослями вместо бензина:
Мягкие экзоскелеты. Когда сила — не главноеТопливо из водорослей и электричество из воздуха: какие есть перспективные источники энергииИстория визуального редактирования: как Photoshop изменил восприятие изображенийТрудная история семьи инженеров, построивших Бруклинский мостДни генеративных ИИ сочтены? Инструмент для «отравления» датасетов добился неожиданной популярностиЭффект дежавю: норма или симптом заболевания?Как шутят математики. Решение первого шифра Олама
Не Хабром единым: новые статьи на VC

Работоспособности наших авторов можно только позавидовать — ребят хватило не только на Хабр, но и на новые статьи на VC. В феврале обсуждали, что слушать при готовке спагетти, как правильно контролировать удалёнщиков и как Nvidia выбилась в лидеры по производству AI-чипов:
От фольклора до нейросетей: как бизнес использует любовь к музыкеКак управлять удаленной командойКак Nvidia снимает сливки с AI-революции
Станьте автором FirstVDS
Ищем технических писателей для блога на Хабре!
firstvds.ru/blog/ischem-avtorov-dlya-bloga-firstvds-na-habr-i-vc

Новости
Уходящий месяц был не особо богат на новости — всё потому что мы активно готовимся к весенним запускам. Но кое-чем мы всё-таки можем вас порадовать.

Совместная акция с ispmanager
При заказе любого нового VDS можно бесплатно получить ispmanager 6 lite на месяц. Для этого просто закажите сервер, а панель со скидкой 100% на 1 месяц добавится автоматически.
Скидка действует при заказе любого нового сервера — как готовой конфигурации, так и гибкого тарифа CPU.Турбо, Форсажа, Атланта или Storage.
Акция будет активна до 21 мая 2024 года.
firstvds.ru/blog/dopolnitelnyy-den-v-fevrale-i-dopolnitelnye-skidki-na-ispmanager

Февральские уязвимости
Уязвимость в runc, позволяющая выбраться из контейнеров Docker и Kubernetes
В инструментарии для запуска изолированных контейнеров runc, применяемом в Docker и Kubernetes, найдена уязвимость CVE-2024-21626, позволяющая получить доступ к файловой системе хост-окружения из изолированного контейнера. В ходе атаки злоумышленник может перезаписать некоторые исполняемые файлы в хост-окружения и таким образом добиться выполнения своего кода вне контейнера. Уязвимость также может быть эксплуатирована в случае запуска в контейнере процессов командой «runc exec» через привязку рабочего каталога к пространству имён хостового окружения. Уязвимость устранена в выпуске runc 1.1.12. В runtime LXC, crun и youki, альтернативных runc, проблема не проявляется.
www.opennet.ru/opennews/art.shtml?num=60545

Критическая уязвимость в Exchange использовалась как zero-day
Специалисты Microsoft обнаружили баг в Exchange Server, который использовался хакерами в качестве уязвимости нулевого дня еще до выхода патча. Уязвимость (CVE-2024-21410) позволяла неаутентифицированным злоумышленникам повысить привилегии в рамках атак типа NTLM relay, направленных на уязвимые версии Exchange Server. Обновление Exchange Server 2019 Cumulative Update 14 (CU14) устранило эту уязвимость путём активации NTLM credentials Relay Protections. Также компания объявила, что расширенная защита Windows Extended Protection будет включена по умолчанию на всех серверах Exchange после установки CU14.
xakep.ru/2024/02/16/cve-2024-21410-0day/

Уязвимости KeyTrap и NSEC3, затрагивающие DNSSEC
В различных реализациях протокола DNSSEC выявлены две уязвимости, затрагивающие DNS-резолверы BIND, PowerDNS, dnsmasq, Knot Resolver и Unbound. Уязвимости позволяют добиться отказа в обслуживании DNS-резолверов, выполняющих валидацию при помощи DNSSEC, из-за возникновения высокой нагрузки на CPU, мешающей обработке других запросов. Для совершения атаки достаточно отправить на DNS-резолвер, использующий DNSSEC, запрос, приводящий к обращению к специально оформленной DNS-зоне на сервере злоумышленника.
www.opennet.ru/opennews/art.shtml?num=60599

Хакеры атакуют RCE-уязвимость в Brick Builder Theme для WordPress
Обнаружена критическая уязвимость, связанная с удалённым выполнением произвольного кода в теме Brick Builder Theme для WordPress — используется для запуска вредоносного PHP-кода на уязвимых сайтах. Проблема связана с вызовом функции eval в prepare_query_vars_from_settings и позволяет неавторизованному пользователю добиться выполнения произвольного PHP-кода. Производитель Brick Builder Theme сообщал, что никаких доказательств эксплуатации проблемы хакерами пока не обнаружено, однако пользователям настоятельно рекомендовалось как можно скорее обновиться до последней версии.
xakep.ru/2024/02/20/brick-builder-theme-rce/

Мы ввели на сайт полезные статьи!

Сейчас вы можете прочитать статью о Сравнении интернет-протоколов IPv4 и IPv6. selesta.host/blog/1

Присоединяйтесь к лучшему! — Selesta.host

После POC (нового) Qwant и ваших отзывов, с Миро, моим братом, и Caisse des Dépôts, мы решили завершить создание Synfonium, который теперь будет покупать 100% Qwant и 100% fe Shadow. Synfonium на 75% принадлежит Jezby Venture & Deep Code и на 25% — CDC. Закрытие состоится этим летом.

В начале учебного года мы вернемся к стратегическим деталям того, что мы собираемся построить для вас, а также к тому, как мы хотим интегрировать всю технологическую экосистему ЕС в приключение. Вы найдете поисковую систему, бесплатные услуги, пакет для совместной работы, вход через социальные сети, а также услуги наших технических партнеров.

Одна из ролей Synfonium — создать критическую массу пользователей и клиентов B2C и B2B, которые смогут использовать все эти бесплатные и платные услуги. Сегодня технологические компании SaaS работают в своем собственном уголке. Завтра мы хотим создать эту платформу совместно с экосистемой, чтобы сделать все эти европейские технологии видимыми и найти пользователей, а затем и клиентов.

Путь долгий, сложный и дорогой, но есть реальные ожидания, что эта платформа будет в Cloud SaaS EU, которая уважает наши ценности и наши европейские законы. Я не знаю, удастся ли нам все это или часть, или вообще ничего, но вместо того, чтобы сказать, что это невозможно, что это заранее потеряно, что у нас недостаточно средств, мы, мы постараемся.

Я рассчитываю на то, что вы поможете нам построить эту платформу как технический партнер, как пользователь и, почему бы и нет, как клиент. «Быть ​​частью экосистемы Synfonium» — вот как мы будем измерять успех проекта.

В январе 2023 года завершился аудит системы защиты персональных данных в дата-центре Nubes Alto. Аудитор — лицензированная ФСТЭК компания ООО «Кард Сек» — подтвердил, что услуги colocation в ЦОД соответствуют требованиям к организационным и техническим мерам, обеспечивающим выполнение как ФЗ-152, так и его подзаконных актов. По итогам аудита системе защиты ПДн Nubes Alto присвоен первый уровень защищенности. Он свидетельствует о том, что уровень информационной безопасности позволяет клиентам безопасно хранить и обрабатывать в ЦОД любые категории персональных данных, включая специальные и биометрические.

Запущенный в ноябре машинный зал Nubes Alto уже заполнен, услугой колокейшн пользуются несколько крупных клиентов. Они разворачивают локальные IT-системы и частные облачные сервисы, в том числе для хранения и обработки персональных данных, требующих УЗ-1. Именно в силу ответственности, которую накладывает на провайдера хранение и обработка данных такого уровня, Nubes и обратился к Card Security для оценки соответствия.

В рамках аудита ЦОД представители Card Security обследовали физическую IT-инфраструктуру дата-центра, а также изучили процессы управления средствами аутентификации, идентификации, регистрации событий безопасности и т.д. Специалисты оценили уровень защищенности машинных носителей персональных данных, технических средств, процессы выявления инцидентов и реагирования на них. По итогам обследования в заключение о соответствии уровня защищенности был включен сервис colocation.

ООО «Кард Сек» — лицензированный ФСТЭК аудитор в области информационной безопасности. Компания действует на основании лицензии Федеральной службы по техническому и экспортному контролю №3099 от 22 ноября 2016 г. За более чем 15 лет на рынке ООО «Кард Сек» наработал сильную экспертизу на стыке управления ИБ-рисками, IT и стал одним из лидеров в сегменте аудиторских и консалтинговых услуг в области ИБ. Полученное от Card Security заключение подтверждает уровень информационной безопасности, необходимый для хранения и обработки в Nubes Alto всех категорий персональных данных.

Взрослая жизнь — это когда вопрос, как ты провёл лето, волнует уже не учителя, а твоего начальника, который ждёт подробный отчёт о проделанной работе. Нам тоже есть о чём вам рассказать, поэтому отчитываемся :)



Инструкции
Как настроить почту для домена через Google, Яндекс и Mail
Настроить почтовый сервер можно как на своём VDS, так и с помощью сторонних сервисов, таких как Яндекс, Google и Mail. Во втором случае почтовый сервер будет работать независимо от VDS, а вам не придётся администрировать его или волноваться о нагрузке и занятом месте. Подробнее о настройке почтового сервера читайте в наших инструкциях.
Настройка почты для домена через ЯндексКак настроить почту для домена через GoogleКак настроить почту для домена через Mail
Как оплачивать и продлевать услуги
Наши услуги делятся на два типа: с ежедневным продлением, как VDS, или с продлением по периодам, как, например, домены или SSL-сертификаты. В статьях напоминаем, как продлеваются разные услуги и какие возможности вы можете использовать, чтобы автоматизировать продление.
Продление услугКак комфортно продлевать и оплачивать услуги

Эффективное распределение нагрузки в команде
Наверное, каждый хоть раз сталкивался с неразумным распределением нагрузки на работе и знает, какая это боль. Чтобы шкала стресса не билась в потолок, а выгорание не стало ежедневной рутиной — важно грамотно выстроить все рабочие процессы. В нашем блоге на VC как раз вышла статья на эту тему, рекомендуем всем менеджерам проектов и управленцам.

Habr: самое интересное за август
Лето на Хабре выдалось действительно жарким, столько статей у нас, пожалуй, ещё не выходило :) Как всегда, собрали для вас самое интересное в одну подборку. Остальные статьи можно прочитать в нашем блоге. habr.com/ru/company/first/blog/

Новости
А теперь к новостям августа.

Пополнение баланса через бот для Telegram и Viber
В нашем боте для Telegram и Viber появилась новая функция, с помощью которой вы можете оплачивать услуги через СБП. Ещё бот позволяет получать уведомления о низком балансе, активации, продлении или скором удалении услуг, а также о новых тикетах и многом другом. О том, как его подключить, читайте на нашем сайте.


Дарим подарки с 1 по 12 сентября в честь Дня знаний
Закупаться канцелярией к новому учебному году и собирать рюкзак уже не надо (по крайней мере, для себя), но 1 сентября по-прежнему вызывает ностальгическую теплоту. Чтобы воспоминания о школьных временах были ещё приятнее, запускаем акцию: с 1 по 12 сентября VDS можно будет заказать со скидкой 20%, а для постоянных клиентов мы подготовили 2000 сертификатов на пополнение баланса. Подписывайтесь на наш канал в телеграме, чтобы ничего не пропустить.


Хьюстон, у нас подарки: розыгрыш мерча в телеграм-канале
В нашем телеграм-канале можно не только узнавать новости самыми первыми, но и участвовать в разных активностях. В июле мы написали статью о том, как создавали корпоративный мерч, и получили много тёплых слов от читателей. А чтобы мерч радовал не только нас — решили разыграть его среди подписчиков. Результаты можно посмотреть на канале. t.me/TakeFirstNews/616

Уязвимости
Выявлены уязвимости в ядре Linux
В ядре Linux обнаружено несколько уязвимостей: одна позволяет изменить содержимое tmpfs и разделяемой памяти, вторая проблема кроется в подсистеме io_uring и позволяет получить права root, в том числе из контейнера, и ещё три уязвимости, вызванных обращением к уже освобождённым областям памяти, могут быть использованы, чтобы повысить привилегии локального пользователя в системе.
www.opennet.ru/opennews/

В 10 библиотеках PyPl обнаружен вредоносный код
Из репозитория PyPl было удалено 10 библиотек, которые могли привести к утечке данных: Ascii2text, Pyg-utils, Pymocks, PyProto2, Test-async, Zlibsrc, Free-net-vpn, Free-net-vpn2 и WINRPCexploit, Browserdiv. Вредоносные пакеты распространялись, используя тайпсквоттинг, то есть загружались, если пользователь опечатался в названии настоящего пакета.
xakep.ru/2022/08/10/pypi-malware-3/

Уязвимость процессоров AMD позволяет похищать данные
Исследователи обнаружили уязвимость SQUIP, которой подвержены все процессоры AMD с архитектурами Zen, Zen 2 и
Zen 3: злоумышленники могут использовать очередь планировщика через анализ помех, чтобы получить доступ к чувствительным данным. Чтобы избежать утечки данных, AMD рекомендовала разработчикам использовать алгоритмы с постоянным временем выполнения, отказ от потоков управления, зависимых от секретных данных, и другие передовые подходы.
3dnews.ru/1071973/novaya-uyazvimost-squip-zatragivaet-vse-protsessori-amd-zen-i-moget-ispolzovatsya-dlya-kragi-konfidentsialnih-dannih

Атака AEPIC Leak — утечка ключей из анклавов Intel SGX
Обнаружена новая атака — AEPIC Leak, позволяющая получить конфиденциальные данные из изолированных анклавов SGX процессоров Intel 10, 11 и 12 поколения. Причиной стала архитектурная недоработка, с помощью которой можно получить доступ к неинициализированным данным, оставшимся в регистрах APIC после выполнения прошлых операций. Для устранения проблемы компания Intel готовит исправления в форме обновления микрокода, а разработчикам рекомендовано использовать режим x2APIC вместо устаревшего xAPIC.
www.opennet.ru/opennews/art.shtml?num=57623

Строительство новой очереди дата-центра Миран-2
Приступили к строительству новой очереди дата-центра в Санкт-Петербурге на Евпаторийском переулке.

Новая очередь ЦОД Миран-2 будет включать в себя два серверных зала рассчитанных на размещение 200 и 50 серверных шкафов. Проектирование и строительство новой очереди ведется в соответствии со стандартом TIER 3 международного института Uptime Institute.

Новая очередь дата-центра будет полностью независима от уже введенных в эксплуатацию. Несколько независимых электрических вводов от городской сети, две собственные трансформаторные подстанции, система бесперебойного питания состоящая из ИБП и ДГУ с двойным резервированием, классическая система фреонового охлаждения. На площадке будет организовано три периметра безопасности, системы раннего обнаружения и автоматического газового пожаротушения, видеонаблюдение и контроль доступа во все помещения.

Ввод в эксплуатацию первых серверных шкафов намечен на февраль 2021 года.


miran.ru/site/files/presentation-new-data-center-miran-2-all.pdf


miran.ru

Ну как вы там? Держитесь? Помощь рядом. Ловите лучи бодрости и хорошего настроения от ребят и девушек из FirstVDS. Удалёнка наше все!


А пока вы немного отвлеклись от работы или вынужденного отдыха, в котором все дни как День сурка, рассказываем, что интересного произошло у нас в апреле. Тут и запуск сервиса CLO, и бесплатные серверы, и свежеиспечённые статьи с последними новостями (не про коронавирус).

Так что устраивайтесь поудобнее. И поехали!

Статьи и инструкции
Нагрузка на сервер: как проверить и что исправить
Нагрузить сервер по самое «не хочу» и создать проблемы на пустом месте может не только массовый исход людей в онлайн во время пандемии. Причины бывают разные.

Если наблюдаете проблемы в работе приложений, загрузке файлов или при подключении к серверу, наш совет: начните с мониторинга. Когда поймёте, где и что пошло не так, разберётесь и с остальным. А поможет в этом наша подборка. Составили, что была под рукой, а то мало ли что…
Нагрузка на сервер: определение причинДиагностика ресурсов сервераСтатистика нагрузки на сервер, atopУменьшение нагрузки на VDSЧто делать, когда осталось мало места на дискеЧто делать, когда на сервере кончаются файловые дескрипторы (inode)
Браузер на страже API-запросов: строим безопасное общение фронтенда с бэкендом
Разработчики одностраничных приложений SPA так или иначе вынуждены сталкиваться с ограничениями браузерной безопасности. С особенным подозрением браузер присматривается к тем, кто держит фронтенд и бэкенд на разных доменах — правила строже, санкции жёстче, а работать надо. О том, как сделать так, чтобы фронтенд-сторона могла беспрепятственно и, что тоже важно, безопасно общаться с бэкенд API-сервером, в статье нашего разработчика Сергея на Хабре.
habr.com/ru/company/first/blog/497342/

Новый сервис CLO

Ура! Есть повод похвастаться. В апреле мы не только перешли на удалёнку, продолжая поддерживать работу всех систем и услуг, но и запустили новый сервис CLO. Это привычные виртуальные серверы с расширенными облачными возможностями: почасовая оплата, плавающие IP, переключаемые диски.
Если вам нужна гибкая и отказоустойчивая инфраструктура — CLO поможет её построить, решая задачи, которые не под силу обычному VDS. Чтобы узнать больше о сервисе, посмотреть тарифы и получить доступ в Личный кабинет, велкам по ссылке на сайт CLO.
clo.ru

И это еще не всё. Руководитель команды разработки поделился, с какими трудностями его ребятам пришлось столкнуться во время работы над сервисом. История в словах и картинках, приправленная киберпанком, уже в нашем блоге на Хабре.

habr.com/ru/company/first/blog/493606/

Уязвимости и релизы месяца
Ещё одна хорошая новость — уязвимостей в этом месяце нет. По крайней мере, тех, что были бы удостоены чести попасть в дайджест. Но расходиться рано. Буквально пара слов о релизе WP.

Релиз Wordpress 5.4
В апреле стала доступна версия 5.4 системы управления контентом сайтов WordPress. Основные изменения затронули редактор блоков: их выбор стал больше, а возможности настроек — шире. Чтобы CMS работала корректно, используйте рекомендованные версии ПО: PHP 7.3+, MySQL 5.6 или MariaDB 10.1+. Подробнее об изменениях на linux.org

Инициатива #SaveFirst в условиях COVID-19
Для многих людей апрель оказался непростым временем. И чтобы улучшить их жизнь в период самоизоляции, некоторые компании стали помогать бесплатно. Чтобы поддержать их начинания, мы запустили инициативу #SaveFirst. Благодаря ей образовательные, досуговые и другие социально значимые проекты, готовые помогать людям бесплатно, могут получить у нас виртуальные серверы, просто заполнив заявку на сайте.
firstvds.ru/savefirst
Надеемся, что скоро жизнь вернётся в привычное русло, а пока помощь ближнему — то, что позволяет всем нам оставаться людьми.

Мы решили, что просто подводить итоги года — это не про нас, поэтому о том, как жили весь этот удивительный год, рассказываем в стиле лучших традиций Голливуда. Начинаем предновогоднюю текстовую трансляцию премии «First»: 6 номинаций и главные претенденты на победу. Кому достанется «Приз зрительских симпатий», зависит от вас.



До репортажа с красной дорожки пара минут — сначала кратко о статьях, которые мы подготовили для вас в декабре.

Статьи декабря
Как подключить FTP и SFTP
Для передачи данных на сервер используют два протокола — FTP и SFTP. И один явно чем-то круче другого. О том, чем отличаются протоколы передачи данных между собой и как проводить настройку пользователей для подключения к серверу — в нашей статье в Базе знаний.
firstvds.ru/technology/ftp-sftp

Чек-лист для проверки сервера перед праздниками
Новогодняя примета гласит: если в список дел, между «починить гирлянду» и «купить шампанское», добавить пункт про проверку сервера, начало года будет удачным.
firstvds.ru/blog/chek-list-po-proverke-servera-pered-dlinnymi-prazdnikami

А теперь, как обещали, переходим к номинациям :)

Продукт года
На это звание претендуют сразу два кандидата — скоростные серверы «Битрикс.Турбо» с нестандартным веб-окружением GT и серверы «CPU.Турбо» на высокочастотных процессорах Intel Xeon E-2288G. Первые мы запустили весной и презентовали на апрельской конференции Битрикса, вторые — в августе, к началу делового сезона. Все это время тарифы боролись за звание лучшего и сейчас мы узнаем, кто победил. Барабанная дробь…
firstvds.ru/hosting/bitrix
firstvds.ru/cpu-turbo


И золотой статуэткой от отдела продаж награждается вся линейка «Турбо»! Если вы еще не читали статью о том, как мы тестировали и запускали CPU.Турбо, то можете сделать это сейчас.
firstvds.ru/blog/zheleznye-5-ggc-istoriya-o-tom-kak-sobrat-superbystryy-vds

Благодарность года
Читать баш техподдержки — сплошное удовольствие. Делимся хорошим настроением и самыми улыбательными «спасибо», которые получаем от вас.
Цитата #725
Большое спасибо — у вас сервис на 10 баллов, даже моя бабуля сможет! )))
Цитата #730
Спасибо вам огромное ребята, а то как телёнок не знал, куда морду тыкнуть)))!!!
Цитата #736
У вас здесь не хватает кнопки «Отправить ящик пива этому господину!»
Админы всеми руками голосуют за номер 736.

Статья года
На победу в этой номинации рассчитывало множество претендентов. Ведь мы постоянно пишем новые инструкции для Базы знаний, статьи и новости в блог, публикуем материалы на Хабре.

Но так вышло, что одна из наших статей побила рекорд по количеству просмотров — на сегодняшний день ее просмотрело и, надеемся, прочитало больше 61 тысячи людей. И мы решили, что именно она заслуживает победы в этой номинации.

Итак, встречайте победителя — статья «Так-Так-Так и никакого Тика. Чем отличаются процессоры Intel Core разных поколений на основе одной архитектуры».
habr.com/ru/company/first/blog/443650/

Событие года

Мы ждали этого очень долго и наконец дождались! В октябре этого года состоялась торжественная церемония открытия второго машинного зала компании IXcellerate — суперсовременного Moscow Two. Новый ДЦ спроектирован и построен с учётом стандартов Uptime Institute уровня Tier III. Мы уже разместили там свое оборудование и большую часть новых услуг открываем именно в Moscow Two. Теперь у нас больше пространства для роста и возможностей для развития.

Интрига года
Тадам. А сейчас нечто особенное!
В течение года мы разрабатывали новый облачный сервис CLO. В декабре провели закрытое бета-тестирование и весьма довольны результатами. Благодарим всех, кто принял в нем участие и поделился фидбэком — в ближайших планах доработать CLO с учетом пожеланий пользователей.
Следите за новостями на сайте и в соцсетях, ведь в наступающем году мы планируем выпустить сервис в продажу.
vk.com/firstvds

Человек года
Наши клиенты — лучшее, что у нас есть. Поэтому главная победа в самой крутой номинации «Человек года» — Виталий Никсенкин, ваша по праву. Под громкие аплодисменты всех сотрудников компании приглашаем на сцену под свет софитов…

Приз зрительских симпатий
Отмечайте в соцсетях тех сотрудников FirstVDS, кто, как вы считаете, заслужил вашу благодарность. И тот, чьё имя будет упоминаться чаще других, получит приз зрительских симпатий от нашего отдела маркетинга.

Это рассылка Selectel — важные новости, отчеты о мероприятиях и все, что может быть полезно и интересно. В сегодняшнем выпуске: две новые услуги, приглашение на эксклюзивную конференцию SelectelTechDay и лучшие статьи нашего блога.

Selectel запустил электронную площадку для закупок на B2B-Center
Мы автоматизировали закупки и взаимодействие с поставщиками: прием коммерческих предложений, проведение онлайн-торгов, коммуникации с участниками.

«Мы постоянно стремимся снижать стоимость услуг для наших клиентов, в том числе за счет совершенствования финансовых и закупочных процедур. Электронные торги позволяют нам добиваться лучших условий сделок, а также снизить операционные затраты через создание единого центра закупок. Важно и то, что мы демонстрируем открытость и прозрачность компании нашим партнерам и заказчикам», — рассказал Евгений Батлер, заместитель генерального директора Selectel по финансовым и операционным вопросам.

Мы провели уже 67 электронных закупок на сумму более 400 млн рублей: отобрали поставщиков инженерного и сетевого оборудования, комплектующих, расходных материалов и подрядчиков для строительно-монтажных и пусконаладочных работ.

«Selectel использует корпоративную площадку по модели SaaS, что позволяет минимизировать расходы на ее содержание и пользоваться всеми преимуществами B2B-Center. Компания продемонстрировала современный подход к управлению закупками и внедрила не только электронные торги, но и сервис „Мои поставщики“ для управления данными о контрагентах», — отметил Андрей Бойко, коммерческий директор B2B-Center.

Удаленное администрирование баз данных
Вместе с компанией РДТЕХ (разумные деловые технологии) Selectel представляет новую услугу для владельцев баз данных Oracle, Microsoft SQL Server и операционных систем семейства Microsoft Windows Server — «Администрирование баз данных».

Круглосуточная поддержка от опытных сертифицированных специалистов справится с самыми сложными задачами и даже поможет сэкономить — узнайте об этом подробнее.
selectel.ru/services/additional/adminBD-RDTEX/

Комплексная интернет-защита
Мы стали официальным поставщиком продуктов Incapsula, теперь нашим клиентам доступна лучшая защита от сетевых атак и уязвимостей. Платформа Imperva Incapsula — это защита от DDoS, Web Application Firewall и Content Delivery Network с защищенным трафиком.

Мы рассказали подробнее об услуге на отдельной странице, там же можно оставить заявку — есть бесплатный пробный период!
selectel.ru/promo/imperva-incapsula/



5 апреля в конференц-холле Selectel пройдет эксклюзивная конференция о корпоративных облачных средах: будем разбирать кейсы построения, делать обзор аппаратных платформ и знакомиться с образцами новинок в демонстрационной зоне. Кроме интересных докладов вас ждут призы, экскурсия по дата-центру и личное общение с интересными людьми.

Приходите, чтобы узнать, как решить ключевые проблемы расширения корпоративной инфраструктуры в облако. Участие в конференции бесплатное, но количество мест ограничено —
спешите зарегистрироваться. Будем рады с вами увидеться!
selectel.ru/techday/





selectel.ru/careers/all/

Спам, майнеры и уязвимости атакуют мир с начала года. Memcached DDoS-атаки прокатились по всей Европе, и даже Let's Encrypt отложил выпуск wildcard-сертификатов из-за уязвимости в валидации доменов.
Чтобы у вас с безопасностью всё было в порядке, мы:
Писали статьи, поднимали старые материалы
Как защитить сервер от взломаКак защититься от DDoS-атакКак защититься от спамаПоиск вирусов на сервереЗащита Wordpress от брутфорс атак
Уговорили Virusdie снизить цены
Теперь антивирус стоит 350 руб/мес. вместо 700 — скидка 50% до конца марта. Устанавливаете модуль в панели ISPmanager и проверяете сколько угодно сайтов сколько угодно раз. Virusdie найдёт и устранит спам-ботов, редиректы, трояны и бэкдор-скрипты.

Завели партнёрство с известными безопасниками — Revisium
У ребят 7-летний опыт и 10 тысяч успешных кейсов. С услугой «Скорая помощь» они проверят ваш сайт на вирусы, вылечат, дадут полный отчёт и гарантию на 6 месяцев (если проблема повторится, устранят бесплатно). Нашим клиентам скидка — 10%.
firstvds.ru/antivirus