Пока другие предлагают сервисы, оснащенные десятками дополнительных опций, частью из которых вы, возможно, никогда не воспользуетесь, наша команда запустила по-настоящему удобный и прозрачный продукт – e-mail сервис «Просто почта!».



К Вашим услугам – 4 тарифных плана, которые включают комфортный интерфейс, защиту от спама от «Лаборатории Касперского», неограниченное количество почтовых ящиков, возможность просматривать почту с любого устройства, а начать работать с сервисом просто как «1-2-3».

Если ищете почту для своего домена – обратите внимание на сервис «Просто почта!» — то, что Вам нужно, и ничего лишнего.

Узнать подробнее.

Сколько лет прошло, всё о том же гудят провода — как мы с нового года начинаем новую жизнь. Но кто ж нам запретит пытаться? Как и обещали, в 2023-м вас ждёт много интересных обновлений. Начинаем уже сейчас!

В январском дайджесте рассказываем, какое обновление получил наш самый надёжный тариф «Атлант», показываем первый в этом году релиз от CLO и традиционно делимся полезными инструкциями и статьями.

Статьи и инструкции
Как настроить почтовый клиент для работы с email?
Чтобы работать с электронной почтой, вам нужен почтовый клиент. Для каждой операционной системы существуют различные клиенты, при этом не важно, на какой ОС работает сам почтовый сервер. В статье пошагово объясняем, как настроить почтовый клиент, на примере Mozilla Thunderbird.
firstvds.ru/technology/kak-nastroit-pochtovyy-klient-dlya-raboty-s-email

Как настроить серверы имён на VDS без ISPmanager
Если вам необходимо обеспечить работу серверов имён на своём VDS, используйте нашу инструкцию — расписали порядок действий как для серверов с ОС Linux, так и с Windows. Там же рассказываем, как проверить работоспособность DNS-сервера.
firstvds.ru/technology/nastroyka-servera-imen-dns-server-na-vds-bez-ispmanager

Habr: самое интересное за январь
Вот и первый месяц нового года за плечами, успели втянуться в рабочий ритм? Наши авторы уже трудятся в поте лица — всё самое-самое в нашей подборке.7 шагов по организации пространства в серверной стойкеТехнология ABENICS: революция в области механики?История развития паролей и средств их храненияИсследование сна от MIT: как высыпаться и повысить свою продуктивностьОбзор OWASP ZAP. Сканер для поиска уязвимостей в веб-приложениях
Что такое тихое увольнение и почему его боятся американские корпорации
Не менее половины работающих американцев практикуют «тихое увольнение» — обычно это признак того, что менеджменту пора пересмотреть свои отношения с коллективом. Разбираем новый тренд с точки зрения науки, выясняем, почему так происходит и чем это вредит компаниям, а также ищем эффективный выход из ситуации.

Новости
А теперь к новостям января.

Прокачали VDS Атлант до версии 3.0
Обновили наш самый надёжный тариф «Атлант» до версии 3.0 — вот уж по-настоящему мощное начало года! Теперь вы можете собрать VDS с характеристиками:
до 192 ядер,до 768 Гб оперативной памяти,до 8 Тб независимого хранилища Ceph на базе NVMe.И приятный бонус — для нового «Атланта» можно бесплатно подключить автобэкапы.


Релиз облачных баз данных на CLO
Клиентам CLO теперь доступен сервис облачных баз данных. Чтобы задеплоить MySQL и PostgreSQL, достаточно просто заполнить форму в Личном кабинете — базы данных развернутся автоматически, а наши специалисты возьмут на себя мониторинг доступности и восстановление работы сервиса в случае непредвиденных ситуаций.
clo.ru/help/dbaas

Уязвимости и релизы
Уязвимость в nftables позволяет выполнить код на уровне ядра
Исследователи обнаружили уязвимость в Netfilter, подсистеме ядра Linux. Злоумышленник может использовать её, чтобы поднять привилегии локального пользователя и выполнить код на уровне ядра. Проблема проявляется с выпуска ядра 5.5 и вызвана ошибкой в арифметической операции для определения размера данных, извлекаемых из заголовка VLAN. Исправление пока доступно в форме патча.
www.opennet.ru/opennews/art.shtml?num=58480

В процессорах AMD Ryzen и EPYC исправлено более 30 уязвимостей
Компания AMD сообщила о 31 уязвимости в своих процессорах, 28 из них проявляются в серии EPYC, ещё 3 — в Ryzen. Для закрытия обнаруженных уязвимостей разработчики внесли правки в несколько версий библиотеки AGESA и отправили их производителям материнских плат для обновления BIOS.
3dnews.ru/1080343/amd-obnarugila-31-uyazvimost-v-raznih-protsessorah-vklyuchaya-ryzen-i-epyc

В Git исправлены две уязвимости, позволяющие выполнить код удалённо
Разработчики опубликовали корректирующие выпуски для системы Git, где исправили две уязвимости, которые потенциально позволяют злоумышленнику выполнить свой код на системе пользователя при использовании команды «git archive» и работе с не заслуживающими доверия внешними репозиториями.
www.opennet.ru/opennews/art.shtml?num=58498

Linux-бэкдор атакует сайты на WordPress
Специалисты обнаружили вредоносную программу для Linux, которая взламывает сайты на WordPress, используя 30 уязвимостей в плагинах и темах оформления. На уязвимые сайты внедряются вредоносные JavaScript-скрипты, из-за чего при клике мышью в любом месте скомпрометированной страницы посетителей перенаправляют на другие ресурсы.
xakep.ru/2023/01/09/wordpress-malware/

DDoS-атаки находятся на самом большом подъеме за всю историю. В пределах прошедшего года интенсивность в плане киберугроз особенно заметна: по нашим данным, во втором полугодии число атак выросло на 20% по сравнению с первым. Мы собрали аналитику в большой отчет и рассказываем, как изменились DDoS-атаки в 2022 году.

Общие тенденции
В связи с геополитическими событиями количество атак на Рунет выросло на 700% по сравнению с 2021 годом. Основной удар пришелся на СМИ, госсектор и сайты банков.
1 255 573 — общее число DDoS-атак, зафиксированных DDoS-Guard за 2022 год.Среднее количество DDoS-атак в сутки выросло в 10 раз, а количество атак в час — в 11 раз. Самыми «горячими» месяцами стали март и август.


Значимой разницы между числом атак в разные дни недели не наблюдалось — хактивисты ориентировались на другие параметры. Наибольшее число атак происходит в рабочее время, с 9 утра до 20 вечера.

Повышение частоты атак
По сравнению с 2021 годом длительность атак сократилась, но их частота выросла в 3-4 раза. Дело в том, что для атак на российские сайты не используют мощные ботнеты — это слишком дорого. Вместо этого хактивисты объединяются в сообщества и делятся инструкциями по запуску вредоносных скриптов и софта для участия в атаках. Сети такого рода способны на массовые, но непродолжительные атаки.

Абсолютное большинство DDoS-атак занимали до 20 минут, также значительное количество занимали от 20 минут до 1 часа. Атаки длиной в сутки и больше составили менее 1% от общего количества инцидентов.


Организовать атаку стало намного проще. Теперь даже не обязательно устанавливать специальное ПО, чтобы сделать свое устройство частью ботнета и генерировать вредоносный трафик. Хактивисты создали целый сегмент сайтов, предназначенных специально для организации DDoS-атак. Пользователю достаточно просто зайти на такой ресурс, и он примет участие в массовом киберпреступлении.

Общий тренд, как видно из статистики — как можно больше «микро-укусов» для как можно большего числа сайтов.

Хактивизм
Ландшафт кибератак кардинально изменился в 2022 году из-за геополитических сдвигов. Если в начале года общая тенденция прослеживалась в виде однотипных длительных атак, то уже в феврале картина оказалась совсем иной.

Раньше наиболее распространенными причинами DDoS-атак были конкуренция за доступность в поисковой выдаче и сезонность — например, перед праздниками, когда пользователи делают больше всего покупок онлайн. Злоумышленники атакуют сайты в моменты пиковых посещений и требуют выкуп за прекращение атаки. Владельцам сайтов приходится делать выбор между тем, чтобы платить без гарантий окончания атаки, и тем, чтобы наблюдать, как пользователи уходят к конкурентам из-за недоступности сайта.

Эти тенденции сохраняются и по сей день, однако главной мотивацией для DDoS-атак в 2022 году стал хактивизм — ангажированные киберпреступления, которые совершают в поддержку и для демонстрации тех или иных политических идей. В ходе своих кампаний хактивисты использовали все известные им методы и инструменты. Первое время паттерны атак были хаотичными, но весной их организаторы стали действовать более слаженно, появились в том числе специализированные сообщества, цель которых — массовые кибератаки на российский сегмент интернета.

Начало 2022 года стало стресс-тестом для всех нас. Пришлось быстро перестраиваться и внедрять новые инструменты мониторинга, анализа и фильтрации. До начала августа мы находились в режиме пожара. Вектор атак постоянно менялся, атакующих устройств становилось все больше. Информационный фон стал влиять на специфику атак и потенциальные цели хакеров. Эта тенденция сохранится в ближайшем будущем. Дмитрий Никонов, руководитель направления защиты на уровне L7, DDoS-Guard

Упор на уровень L7
В 2022 году большинство атак — разница уже в первом полугодии составила более 600% — пришлось на уровень веб-приложений (L7 по системе OSI). При этом динамика атак менялась вместе с сезонами.

В начале года мы наблюдали разнородные, специфические атаки. Весной, после того как хактивисты скоординировались, они начали массово применять одни и те же направления и методы, из-за чего атаки в какой-то момент стали достаточно однотипными и предсказуемыми, несмотря на массовость.

В начале осени методы и паттерны атак сохраняли однотипный характер, однако поведение атакующих начало заметно меняться. Они стали более тщательно готовиться: уделять больше времени координации, оценивать сайты потенциальных жертв и выбирать наиболее уязвимые.

Путь вредоносных запросов в ходе модернизированной атаки может несколько раз меняться, переключаясь между уязвимыми компонентами сайта: от корневого раздела до форм авторизации или инструментов для работы с внешними приложениями — API.

Поскольку трафик API роботизирован и однотипен, даже легитимный, нужен особый подход для диагностики и фильтрации атак. Так мы подошли к созданию нового продукта — модуля для настройки клиентом индивидуальных правил фильтрации.

Смена главных целей атак
В начале 2022 основной мишенью киберпреступников были развлекательные сайты. Эта категория с двукратным отрывом превосходила показатели по бизнес-порталам, образовательным и телеком-ресурсам, которые были в нашем топе. Все эти цели оставались в фокусе, динамика атак в них выросла многократно — например, развлекательные сайты атаковали в 6 раз чаще — 44 тысячи инцидентов против 7700 в 2021.

Однако главные объекты интереса хакеров сменились во втором полугодии. В итоге чаще всего под лавиной вредоносного трафика были новостные сайты — количество DDoS-атак на СМИ выросло в рекордные 76 раз (51 842 инцидентов против 670 в 2021). Веб-ресурсы, связанные с госорганами показали рост в 55 раз (20 766 инцидентов против 370), а на сайты банков и финансовых организаций пришлось в 20 раз больше атак, чем в 2021 году (27 600 инцидентов против 1318).

Микроатаки на СМИ
Очень частый кейс в 2022 году — множество маленьких атак по каждому из небольших сайтов, или по каждому IP всей сети. Чаще всего по такой схеме пытались вывести из строя сайты небольших региональных СМИ.

В ходе такой атаки на каждое конкретное издание нагрузка может быть небольшой, от 500 до 2000 запросов в секунду, однако в сумме цифры становятся уже заметными. Используя такую схему, атакующие, вероятно, делают расчет на то, что маленькие атаки хуже фильтруются и действуют более эффективно. Система DDoS-Guard умеет распознавать такие атаки и своевременно на них реагирует.


При этом бывают весьма интересные случаи: например, сайт одного небольшого проекта находился под атакой около 70 дней подряд. Атака поглощалась системой DDoS-Guard, и клиент ее даже не чувствовал. Но для сайта без защиты подобный инцидент будет означать полное прекращение нормальной деятельности, ведь при постоянном потоке вредоносного трафика администратору останется только повесить табличку «технические работы».

Сезонность и календарность атак
В 2022 году DDoS-атаки нередко бывали приурочены к конкретным датам, когда они могут нанести больше всего вреда: например, мы фиксировали интенсивные атаки на финансовые организации, справочные ресурсы и бухгалтерские сервисы в дни сдачи квартальной и полугодовой отчетности.

Аналогичным образом сайты локальных провайдеров связи и поставщиков ЖКХ становились целью злоумышленников в дни, когда нужно подавать данные счетчиков и оплачивать счета. Параллельно атаки направлялись на банки, чтобы нарушить прием платежей.

Хактивисты также активно работали по календарю и следили за новостной повесткой. Например, фиксировали атаки, приуроченные к конкретным датам — 9 мая, 12 июня. Любой массово освещаемый инфоповод — политические события, изменения в законодательстве — это гарантированный триггер для волны DDoS-атак на сайты СМИ. Мероприятия с участием ведущих компаний в какой-либо отрасли (особенно финансового сектора) также притягивали атаки на ресурсы, где проводилась прямая трансляция или публиковалась запись выступлений.

К чему готовиться в 2023 году
Учитывая геополитическую напряженность, к весне 2023 мы ожидаем прирост числа инцидентов еще примерно на 300%. Однако в целом тенденция изменится от количества к качеству. Постоянные DDoS-атаки как явление — теперь норма, с которой приходится жить, и от которой необходимо иметь надежную защиту.

Если в прошлом году атаки имели массовый характер, то теперь они будут более интеллектуальными, более изощренными в плане подготовки и методов. Урон от успешно проведенной атаки повысится в разы. Внимание киберактивистов сосредоточится на сервисах внутри корпоративных экосистем и приложениях, которыми одновременно пользуются сотни компаний. Наличие уязвимостей станет дополнительным фактором при выборе цели.

Ожидается рост киберузгроз с использованием малвари, шифровальщиков, и, как следствие, больше информационных утечек. Останутся актуальны и все прежние типы атак, в частности TCP-, UDP-флуд.

Незащищенные ресурсы из ранее непопулярных секторов, теперь могут оказаться интересны хакерам из-за своей принадлежности к российскому сегменту интернета. Но также сохраняется риск стать случайной жертвой атаки. В 2023 году от DDoS-атаки не застрахован никто: ни большой корпоративный ресурс, ни маленькие сайты. При этом для последней категории такие инциденты в принципе могут стать фатальными.

ddos-guard.net/info/protect?id=40148

В последнюю неделю уходящего года принято подводить итоги. Давайте вместе посмотрим, чем запомнился 2022 в DDoS-Guard.

Достижения и инновации
Мы прислушивались к запросам клиентов и создавали продукты, которые помогут решить их задачи. Один из ключевых факторов успеха — удобство для пользователя. При разработке каждого продукта мы также уделили внимание автоматизации, дополнили личный кабинет детальной аналитикой и инструментами для управления сервисами.

Разработали уникальную услугу Global Proxy для платформы Tilda
Tilda искали решение, которое бы помогло реализовать «зонтичную» защиту от DDoS-атак на инфраструктуру сервиса. Стандартные решения по обеспечению безопасности не подходили, при этом постоянно рос и без того значительный объем сайтов. Также требовался единый «пульт управления» защитных опций для всех клиентов Tilda. Мы справились с задачей и создали уникальный продукт, который обеспечил нашего клиента всеми необходимыми инструментами защиты.

Создали услугу TwinTunnel, которая гарантирует 100% доставку трафика по всему миру
Теперь, при подключении к системе фильтрации DDoS-Guard, туннелирование трафика происходит одновременно со всех основных узлов сети. Это позволяет обеспечить 100% доставку трафика в любую точку мира, нивелируя проблемы, которые могут возникнуть на отдельно взятом маршруте.

Обновили конфигуратор защищенных VDS в DDoS-Guard
Раньше были доступны только фиксированные конфигурации виртуального выделенного сервера. Теперь вы можете самостоятельно настроить необходимый объем RAM, SSD и CPU. Увеличились мощности самого железа и появилась возможность выбрать полосу легитимного трафика: 100 Мбит/с и 1 Гбит/с.

Запустили новый тариф «Medium»
Его ждали многие. Теперь, в услуге «Защита и ускорение сайта» можно выбрать тариф «Medium», который имеет сбалансированный функционал, созданный с учетом запросов клиентов:
Защита 3 доменов.Выделенный IP-адрес.Высокий приоритет обработки трафика.Черные/белые списки: до 30 правил.Балансировка нагрузки: до 5 серверов.Возможность использования геоблокировки.
Тариф подойдет тем, кому необходимо защитить 1-3 домена с высоким приоритетом обработки трафика, отчетами об атаках и возможностью управления услугой через API.

Общественная жизнь
Мы побывали на множестве онлайн- и офлайн- конференций. Были участниками отраслевых выставок, где делились опытом и знаниями. А еще отпраздновали 11-летие компании.
Финал рейтинга работодателей hh.ru 2021
Получили диплом финалиста и не собираемся останавливаться на достигнутом. В 2022 году мы продолжаем развиваться —проводим внутренние митапы и модернизируем процесс адаптации новых сотрудников.

Онлайн-конференция Anti-Malware
С ведущими экспертами в области информационной безопасности обсудили, как обеспечить эффективную защиту веб-приложениям в турбулентных условиях рынка.

Конференция российских операторов связи
Слушали доклады и обменивались опытом с с коллегами по телекоммуникационной отрасли.

Выступление на Linkmeup
Дмитрий Шмидт — ведущий инженер информационной безопасности DDoS-Guard — рассказал о мощности нашей сети, узлах фильтрации трафика и процессе подключения клиентов к услугам.

Selectel Network Meetup
Делились опытом с сетевыми инженерами ведущих компаний и обсуждали решение проблем с безопасностью. Дмитрий Никонов — руководитель направления защиты L7 — рассказал, как кибератаки повлияли на рынок информационной безопасности в РФ.

GITEX Global
Ездили в Дубай для участия в международной выставке информационных технологий. Вдохновились масштабом мероприятия: более 5000 стендов, передовые разработки, слияние реальности и цифрового пространства. Участие в GITEX Global стало новым этапом развития цифрового будущего нашей компании.

HighLoad++ 2022 в Москве
Крупнейшая профессиональная конференция для разработчиков высоконагруженных систем традиционно удивляет участников разнообразием активностей на стендах. Специально для мероприятия мы разработали игру в стиле Tower Defense и устроили кибертурнир.
Команда DDoS-Guard на нашем стенде.
Публикации
В 2022 году мы обновили наш фирменный блог на сайте. Стали выпускать регулярные статьи, где рассказываем о технологиях простыми словами.

Блог на сайте DDoS-Guard
Актуальные статьи и новости об обновлениях наших сервисов в удобном формате. Теперь читатели могут использовать поисковую панель для быстрого доступа к нужным темам. Мы разделили статьи на 7 категорий, куда вошли аналитические отчеты, жизнь компании, рекомендации по защите от DDoS-атак и другие.

Блог DDoS-Guard на VC.ru
Там мы позволяем себе отойти от серьезных технологических вопросов и больше пишем о жизни компании: берем интервью у коллег, рассказываем о дизайне, делимся личными достижениями сотрудников и даже гайдами по рукоделию.

Телеграм-канал DDoS-Guard
Публикуем короткие статьи, истории и советы. В конце каждого месяца выходит дайджест о самых громких событиях в мире кибербезопасности. Присоединяйтесь!
2022 год запомнится нам активным, инновационным и сложным. Мы стали более гибкими, выросли в мощностях и запустили несколько новых проектов. Улучшили функционал ряда услуг и помогали клиентам 24/7 в решении сложных задач. Команда DDoS-Guard умеет работать в сложившихся реалиях информационной безопасности и готова к новым вызовам индустрии.
Поздравляем вас с наступающим Новым годом! Пусть 2023 будет успешным и счастливым, сюрпризы — только приятными, а путешествия по просторам Интернета — безопасными.

Без роутера уже сложно представить офис или дом. Он создает частную сеть, благодаря которой выходят в интернет, чтобы работать, учиться или просто смотреть контент. Через него проходит весь трафик: поисковые запросы, файлы, электронные письма, фотографии, фильмы и многое другое. Важно обеспечить безопасность роутеру, чтобы он не вышел из строя, а также сохранил конфиденциальность входящих и исходящих данных пользователей.

В тексте читатель встретит два понятия: роутер и маршрутизатор. В чем их разница? На самом деле это два разных названия одного и того же устройства. «Роутер» — это транслитерация английского слова «router», которым обозначается аппарат для маршрутизации пакетов данных между различными сегментами сети на основе специальных таблиц. Отсюда и появился второй термин — «маршрутизатор». Оба слова использовать корректно.

Может ли роутер быть атакован
Генерация большого количества запросов выводит из строя сайт. Пользователь не может совершить покупку в интернет-магазине или зайти в личный кабинет. Зачастую такие сбои в работе сайта провоцируют кибератаки. То же самое может произойти и с роутером.

3 распространённых угрозы для маршрутизатора:
1. DDoS-атака
Злоумышленники утилизируют полосы пропускания, чтобы вывести систему из строя из-за исчерпания системных ресурсов (каналов связи, процессов, памяти). Все типы подобных атак совершаются путем отправки большого количества запросов на атакуемый ресурс.

2. Взлом сети
Более изощренные зловреды атакуют маршрутизатор, чтобы получить доступ к корпоративной сети организации или домашней сети пользователя. Они перехватывают весь трафик, который через них проходит, чтобы использовать его в своих целях.

3. Поглощение ботнетом
Роутер заражают вредоносным ПО, и он становится частью ботнета, принимая участие в DDoS-атаках. Зараженный роутер может стать инструментом для шпионажа через IoT (Интернет вещей), накручивать число просмотров роликов или статей или скрыто майнить криптовалюту.

Всемирная организация по борьбе со спамом Spamhaus занимается изучением спама и других киберпреступлений. Согласно анализу за 2021 год, было зафиксировано 9491 атак с помощью ботнетов. Ожидаем, что данные за 2022 покажут небывалый прирост в количестве инцидентов с участием ботнетов

Как защитить свою сеть и что делать, если ваш роутер оказался под атакой — рассмотрим далее.

Как обнаружить DDoS-атаку на роутер
Рядовой пользователь вряд ли обнаружит атаку самостоятельно, но может заметить ее «симптомы»: медленный интернет, долгая загрузка страниц, сбои в работе подключения. Если пользователь обладает базовыми знаниями по системному администрированию, можно использовать диагностику операционной системы.

Если у вас Windows, откройте встроенную программу «Просмотр событий» — она покажет ошибки. У Linux за это отвечает просмотр log-файла. Также пользователь может подключиться к роутеру и запустить проверочные утилиты:
Victoria — используют для оценки состояния жесткого диска.BlueScreenView — чтобы понять причину «синего экрана смерти».Memtest — для проверки состояния оперативной памяти.Специалист по сетевой безопасности с помощью анализа базового состояния сети сможет определить, как сеть работает в обычном режиме и увидит, если возникнет нетипичное поведение.


Второй способ обнаружения и блокировки кибератак — использование flow-протоколов. Это один из самых эффективных инструментов, которым не следует пренебрегать. Суть flow-протокола заключается в анализе «слепка трафика». Он проходит через определенные интерфейсы, и специалист видит данные о пакетах, а впоследствии сможет накапливать аналитику. Это поможет увидеть аномалии и оперативно заблокировать их. Вариантов использования flow-протоколов множество — все зависит от того, что поддерживает конкретный маршрутизатор.

Могут ли DDoS-атаки повредить маршрутизатор
Если представить, что атакующий — это грозный злоумышленник с кувалдой, который ворвется в серверную, а потом со всего маху ударит по маршрутизатору, в таком случае, он, конечно же, выйдет из строя. В реальности DDoS-атаки физически повредить роутеру едва ли смогут, но создадут временные трудности или сделают сервис недоступным.

Перезапуск маршрутизатора как попытка спастись от DDoS
В сети можно найти советы по борьбе с кибератаками путем полного отключения или перезапуска маршрутизатора. Авторы статей рекомендуют выключить роутер во время кибератаки, чтобы интернет-провайдер назначил новый IP-адрес. Но важно понимать, что изменится только динамический IP, статический же останется прежним. И если у злоумышленника будет именно он, то такой способ борьбы с кибератакой бесполезен. Также стоит отметить, что данный пример относится исключительно к сегменту домашнего интернета и как способ борьбы с DDoS в корпоративных сетях даже не рассматривается.

После мощных атак может случиться так называемое «залипание соединения». Атака завершилась, но маршрутизатор не пропускает пакеты данных. В таком случае лучше перезагрузить технику. Это частный пример, который встречается довольно редко.

Зачастую перезапуск маршрутизатора ничего не исправит, а напротив — выполнит цель злоумышленника. Ведь в таком случае техника выключится, что приведет к недоступности ресурса, а это именно то, чего и добиваются атакующие.

Как остановить DDoS-атаку на роутер
Легче предупредить, чем лечить — идеальный пример того, как строить защиту своей сети. Но что делать в ситуации, когда атака идет, а защиты нет? Представьте сильный дождь, который застал путника в дороге. Что он сделает, чтобы защититься от него? Будет искать укрытие. Например, под зонтиком. В этой роли выступит провайдер, который защитит инфраструктуру от нападения. Вы сможете выбрать почасовую тарификацию и платить только тогда, когда вас атакуют или подобрать специализированное решение под ваш проект.



Как защитить маршрутизатор от DDoS
Частота DDoS-атак растет из года в год. Данные международной организации Spamhaus за 2021 год и наша статистика тому подтверждение. Незащищенная сеть может стать причиной серьезных убытков. Чтобы избежать этого, достаточно следовать нескольким правилам, которые для удобства разделим на две категории: «защита домашней сети» и «защита корпоративной сети». Так как задачи и нагрузочные мощности разные, способы их защиты будут отличаться.

Чтобы защитить домашний роутер от несанкционированного доступа, следуйте нескольким правилам:
Придумайте надежный пароль. Он должен иметь как минимум 9 знаков, среди которых будут цифры, символы, прописные и строчные буквы. Также каждые пол года рекомендуется менять пароль.Проверяйте обновления на сайте производителя роутера. Обновляйте прошивку по мере выхода новых патчей. Узнать, как обновить ПО устройства, можно на сайте поставщика.Отключите удаленный доступ к настройкам администратора. Инструкция по отключению будет на сайте поставщика вашего роутера.Сделайте вашу сеть Wi-Fi невидимой. Используйте руководство пользователя для вашей модели роутера. Ваша сеть перестанет отображаться в списке доступных беспроводных сетей, и обнаружить ее будет очень сложно.Проверьте, корректно ли работает встроенный фаервол в вашем роутере. В настройках исключите свободный доступ к устройству из интернета.Не используйте конфигурации и файлы, скачанные из интернета. Они могут нести в себе скрытую угрозу в виде вредоносного вируса, который передаст ваши данные злоумышленнику или повредит их.
Основная защита маршрутизатора корпоративной сети должна строится на комплексе двух мер:
1. Control Plane Policing
Технология превентивной защиты от сетевых атак, которая ограждает ресурсы от внешнего воздействия. CoPP фильтрует и ограничивает трафик, поступающий на маршрутизатор.

2. Защита сети по модели SaaS
Чтобы обеспечить бесперебойную работу корпоративной инфраструктуры, используйте надежную защиту сети, которая создаст оптимальную маршрутизацию трафика с фильтрацией от всех известных видов DDoS-атак, а также сможет защитить онлайн-сервисы вне зависимости от используемых протоколов.

https://ddos-guard.net

С 1997 года Leaseweb предлагает клиентам надежные хостинговые решения с исключительным соотношением цены и качества и индивидуальным подходом. Хотя выделенные серверы всегда были нашей основой, в 2011 году мы окунулись в мир облачных сервисов. Сейчас, в 2023 году, мы считаем, что пришло время сделать облачные технологии центральным элементом нашего бренда.

Однако это не означает, что мы отказываемся от выделенных серверов. Наоборот, это остается важной частью нашего бизнеса. В конце концов, облако не может существовать без серверов, поэтому этот ребрендинг — скорее смещение фокуса, чем отход от наших основ.

Облако уже некоторое время считается будущим вычислений, и за последние несколько лет мы наблюдаем заметный сдвиг в сторону облачных вычислений. Мы считаем, что, сосредоточившись на наших облачных сервисах, мы адаптируемся к современному рынку и, таким образом, можем предоставить то, что нужно нашим клиентам сейчас и в ближайшие годы.

Чтобы узнать больше, прочитайте сообщение нашего генерального директора

Я и моя команда очень рады объявить о ребрендинге Leaseweb из хостинг-провайдера в облачного провайдера. Как мы уже говорили 25 лет назад, Leaseweb — это компания, которая «начинала с облаков», и мы по-прежнему сосредоточены на них. Более чем когда-либо облако стало движущей силой некоторых из наиболее важных технологических тенденций, и Leaseweb играет необходимую роль на рынке.

Предоставление облачных услуг входит в наше портфолио уже более десяти лет и уже является неотъемлемой частью нашей ДНК. Наша основа в области выделенных серверов — это не то, от чего мы отворачиваемся, а скорее развитие — в конце концов, облачные вычисления не могут существовать без серверов. Пришло время обратить внимание на будущее, и ясно, что именно облако — это то, к чему движется бизнес.

Будущее облачных технологий
Являясь членом Gaia-X AISBL, Европейской ассоциации данных и облачных технологий, Leaseweb помогает формировать будущее облачных технологий в Европе. В 2021 году мы работали над консультированием Европейского Союза по суверенной европейской облачной инфраструктуре следующего поколения, внося свой вклад в Европейскую дорожную карту для периферийных устройств и облачных вычислений, которая поможет сформировать будущее облачной отрасли в Европе. Эти инициативы помогут в покрытии потребностей бизнеса и жителей Европы. Другими словами, мы являемся признанным авторитетом в области облачных вычислений, помогая определять пути развития отрасли. Вполне естественно, что мы проводим ребрендинг соответственно.

Потенциал облака
Возможности, которые дает облако, безграничны, и мы как организация рады расширяться в этом направлении. Все больше и больше компаний продолжают использовать облачные сервисы для доступа к новым технологиям и повышения эффективности собственных операций и процессов. По данным Gartner, к 2025 году более 50% ИТ-расходов на рынке программного обеспечения, бизнес-услуг и системной инфраструктуры будет перемещено в общедоступное облако.

Преимущества облака
Отказоустойчивая характеристика облака означает, что даже в случае сбоя оборудования виртуальные рабочие нагрузки могут быть снова запущены, не дожидаясь добавления или ремонта оборудования. Облачные компоненты создаются в соответствии с лучшими практиками обеспечения высокой доступности без единой точки отказа в инфраструктуре, сети, мощности или вычислительных ресурсах. В облаке виртуальное оборудование можно легко развернуть и запустить за считанные минуты без необходимости что-либо настраивать вручную.

Дополнительные инструменты, такие как аварийное восстановление, которые мы уже предоставляем в нескольких странах и расширяем для других, позволяют непрерывно синхронизировать копию работающей среды с другим местом, где она может работать в случае аварии в главном центре обработки данных. Ведение бизнеса в облаке позволяет компаниям избежать хлопот, связанных с наймом или обучением узкоспециализированной рабочей силы, если они хотят воспользоваться преимуществами этих передовых технологий.

Гибридные вычисления
Особенно для гибридного облака выгодно диверсифицировать услуги между несколькими поставщиками, включая облачную и выделенную инфраструктуру. Гибридное облако предлагает надежное аварийное восстановление, более дешевую и быструю разработку и особенно полезно для динамических рабочих нагрузок. В связи с этим ребрендингом и появлением новых центров обработки данных мы постоянно расширяем наши возможности гибридного облака для включения в ваши проекты.

Как компания, стремящаяся к устойчивому развитию, сосредоточение внимания на облачных сервисах — это фантастическая возможность для Leaseweb повысить нашу энергоэффективность и уменьшить углеродный след. Переход в облако во многих случаях может сделать ваш бизнес более экологичным и поэтому является шагом в правильном направлении.

Преимущества облака в каждой отрасли
Среди множества преимуществ, которые предоставляет облако, есть несколько ключевых факторов, которые особенно выгодны для определенных отраслей.

МарТех/Финтех
Для всех отраслей, но особенно для Fintech, возможность легко клонировать полные среды, иметь изолированные развертывания и создавать моментальные снимки, когда это необходимо, чрезвычайно полезна. Виртуализированная сеть означает более безопасную среду с изолированными сетями и распределенными компонентами безопасности. Наши центры обработки данных, сеть и система безопасности обеспечивают наилучшую среду для наших вариантов VMware с одним арендатором, отвечающих этим потребностям. Наши планы на будущее включают более сложную архитектуру, еще большую безопасность и большее количество центров обработки данных.

AI/ML
Для этого требуется огромное количество вычислительной мощности и места для хранения, которые, как правило, более рентабельны при аренде как услуга. Наше облако развивается вместе с процессорными технологиями и готово к выполнению сложных и ресурсоемких рабочих нагрузок. Подключение наших дополнительных сервисов, таких как Object Storage, обеспечивает идеальную экосистему для создания и развития вашего AI/ML.

Что для вас значит ребрендинг
Короче говоря, этот ребрендинг означает больше облачных возможностей для вашего бизнеса в большем количестве стран от Leaseweb. Уже более десяти лет мы разрабатываем ключевые функции и продукты, включая Leaseweb Elastic Compute, VMware vCloud и облака vSphere в ряде стран, и этот список будет только расти. Взаимодействия между продуктами Leaseweb, которые уже превосходны, будут разнообразиться и расширяться. Например, мы продолжим развертывание наших облачных продуктов в большем количестве стран и центров обработки данных, предоставляя бесчисленные возможности для создания более широких и устойчивых виртуальных инфраструктур. Кроме того, вы можете ожидать, что в ближайшее время будут выпущены дополнительные интересные облачные продукты.

Leaseweb как поставщик облачных услуг и хостинга
Облако уже более десяти лет является неотъемлемой частью Leaseweb, и мы рады сосредоточить на нем внимание и провести ребрендинг вокруг него. В конце концов, это, несомненно, будущее рынка, и именно здесь будут и будут лежать многие потребности наших клиентов. Мы с нетерпением ожидаем достижения новых высот в облаке в ближайшие годы.

Что такое утечки маршрутов в контексте маршрутизации BGP
Согласно RFC7908: «Утечка маршрута — это распространение объявлений маршрутизации за пределы их предполагаемой области действия. То есть объявление от автономной системы (AS) об изученном маршруте BGP к другой AS нарушает предполагаемые политики получателя, отправителя и/или одной из AS на предыдущем пути AS. Предполагаемая область обычно определяется набором локальных политик перераспределения/фильтрации, распределенных между задействованными AS. Часто эти предполагаемые политики определяются в терминах парных одноранговых деловых отношений между AS (например, клиент, транзитный провайдер, одноранговый узел)».



Основываясь на этом определении, RFC9234 продвигает «утечку маршрута» на шаг вперед, чтобы объяснить, как именно утечки маршрутов BGP происходят в дикой природе: «Утечки маршрутов — это распространение префиксов BGP, которые нарушают предположения о топологических отношениях BGP, одного транзитного провайдера другому транзитному провайдеру или латеральному (т. е. нетранзитному) узлу или анонсированию маршрута, полученного от одного латерального узла, другому латеральному узлу или транзитному провайдеру».


Сочетая оба описания с накопленным опытом, мы можем утверждать, что утечка маршрута BGP — это непреднамеренное распространение префиксов BGP за пределы предполагаемой области, что может привести к перенаправлению трафика по непредусмотренному пути, что может привести к перехвату или анализу трафика, а также не может привести к перегрузке или полному падению (черной дыре) трафика. Утечки маршрутов могут быть случайными или злонамеренными, но чаще всего возникают из-за случайных неправильных конфигураций.

А создав маршрутную утечку, ликер становится связующим звеном между разными регионами без получения дохода. Но главная проблема даже не в упущенной выгоде.

Во-первых, пакеты должны проходить большее расстояние, когда утечка маршрута происходит в третьей стране. И, как мы понимаем, это приводит к гораздо большим задержкам. Во-вторых, пакеты могут теряться из-за недостаточных настроек, если они не доходят до принимающей стороны.

Как часто они возникают и каковы риски
Согласно отчету Qrator Labs об инцидентах BGP за третий квартал 2022 года, в третьем квартале произошло 12 103 554 утечки маршрутов BGP, инициированных 3030 уникальными утечками маршрутов.

Конечно, не все из них имели достаточно распространения, чтобы быть видимыми глобально, хотя, по данным Qrator.Radar, в Q3 2022 г. было 6 глобальных утечек маршрутов, во II квартале 2022 г. — 5 глобальных утечек маршрутов, а в I квартале 2022 г. — 4. И утечки глобальных маршрутов происходят гораздо чаще, чем глобальные перехваты BGP, по крайней мере, с 2021 года.



Общие последствия утечки активного маршрута BGP могут варьироваться от повышенных сетевых задержек для жертвы (инициатора префикса) до DoS как для жертвы, так и для злоумышленника. Точный объем и масштаб последствий невозможно подтвердить, не будучи участником утечки BGP-сессии, но некоторые подсказки можно собрать с помощью мониторинга трафика для затронутых автономных систем и их ресурсов.

Инциденты с маршрутизацией BGP могут быть проблематичными по целому ряду причин. В некоторых случаях они просто нарушают поток законного интернет-трафика, в то время как другие могут привести к неправильному направлению сообщений, создавая угрозу безопасности из-за перехвата или манипулирования. Инциденты маршрутизации происходят с некоторой регулярностью и могут сильно различаться по влиянию на работу
Дуг Мэдори, Кентик



Если вы думаете, что терпят неудачу только мелкие интернет-провайдеры — это неправда. Это пример начала августа — классическая ситуация, когда трафик между двумя Tier-1 ISP перенаправлялся на несколько часов. И если бы провайдер-лидер был небольшой сетью, объем трафика был бы настолько огромным, что он мог бы вызвать DoS в глобальном масштабе. И мы уже видели подобные ситуации много раз. Но, к счастью, в этой конкретной ситуации, представленной на слайде, интернет-провайдер был достаточно большим, чтобы не отставать от всего перенаправляемого трафика.

Каковы текущие варианты предотвращения и устранения утечек маршрутов
Существующие подходы к предотвращению утечек основаны на маркировке маршрутов в соответствии с конфигурацией оператора без проверки соответствия конфигурации конфигурации соседа eBGP или принудительного согласования двух узлов eBGP об их пиринговых отношениях.

Прямо сейчас, за исключением AS-SET, практически нет возможности бороться с утечками маршрутов. Вот почему роли BGP имеют три «измерения», если их можно так назвать: предотвращение, обнаружение и проверка сторонней конфигурации. В настоящее время с помощью сообществ BGP мы можем только попытаться предотвратить.



Можем ли мы измерить влияние утечек маршрутов? Если у вас есть разные инструменты мониторинга данных, вы можете сопоставить влияние на данные и текущие инциденты BGP.

В левой части этого слайда видно, как всплеск объема трафика совпадает с утечкой маршрута. Справа вы можете видеть, что они будут другими, если вы попытаетесь визуализировать трассировку во время и после инцидента; он может включать дополнительные страны и другие параметры. Вы можете увидеть увеличение RTT во время инцидента и отслеживать количество потерянных пакетов.



Что делать, если вы не хотите, чтобы на вас повлияли утечки маршрутов? Во-первых, установите, действительно ли ваши данные затронуты инцидентом BGP. Затем попытайтесь найти виновного. После этого с помощью Whois или аналогичного сервиса попробуйте найти контакты электронной почты такого актера. Тогда напишите им претензию и ждите ответа. Этот метод обычно работает, но вы также должны понимать, что для решения проблемы требуется много времени.

Каковы настройки? Первый заключается в злоупотреблении механизмом предотвращения зацикливания маршрута BGP — добавлении префикса утечки с ASN утечка между вашими ASN. Как это работает? Сначала вы пройдете проверку соседей, а затем пройдете проверку исходного ASN. Наконец, злоумышленник не получит этот маршрут из-за механизма предотвращения зацикливания маршрута BGP. Таким образом, ваш повторно объявленный префикс больше не будет просачиваться.


А еще есть практичное решение, если у вас большая пиринговая сеть. Прежде всего, постарайтесь понять, что представляет собой интересующий вас регион. Затем вам нужно найти наиболее значимого интернет-провайдера в этом регионе и подключиться к нему. Если один из них принимает утечку маршрута, отправьте им субпрефиксы напрямую. Это не решит всей проблемы, но большой процент вашего трафика будет возвращен вам, так что вы не будете страдать так сильно, как могли бы.


Как проблематика утечек маршрутов меняется с принятием RFC9234
В старом мире утечек маршрутов их обнаружение зависело от сообществ. На входе ставили, а на выходе проверяли — относительно просто. Но проблема была в том, что это решение всегда было одной ошибкой от провала. Как поставщик услуг Интернета, утечка маршрута происходит, если ваш клиент забывает создать входной фильтр или забывает создать исходящий фильтр. Он может забыть сделать и то, и другое, но утечка маршрута все равно происходит.



RFC9234 предоставляет полезный инструмент для предотвращения и обнаружения утечек маршрутов BGP за счет усовершенствования сообщения BGP OPEN для установления соглашения об одноранговых отношениях в каждом сеансе eBGP для обеспечения соответствующей конфигурации на обеих сторонах. Затем распространяемые маршруты помечаются в соответствии с согласованными отношениями — внутриполосным методом с новым параметром конфигурации — ролью BGP, который согласовывается с использованием возможности роли BGP в сообщении OPEN. Узел eBGP может потребовать использования этой возможности и подтверждения роли BGP у соседнего узла для успешного выполнения операции BGP OPEN.

Существует также необязательный, транзитивный атрибут пути BGP, называемый «Только для клиента» или OTC, который предотвращает создание утечек AS и обнаруживает утечки, созданные AS в середине пути AS.


Что такое роль BGP? Это ваши пиринговые отношения с вашим соседом. У вас есть только несколько пиринговых отношений, которые могут быть: провайдер, клиент, одноранговый узел, сервер маршрутов и клиент сервера маршрутов. Это в основном все. Вы можете легко пометить ими всех своих соседей. В коде этот параметр конфигурации транслируется в код возможности BGP, и этот код согласовывается в процессе установления сеанса BGP.

Во время открытого обмена проверяется правильность пары поставщик-клиент. Но что произойдет, если одна сторона настроит роль поставщика и ее партнерскую роль? Если кто-то ошибется, сеанс BGP не будет установлен.


Теперь вернемся к утечкам маршрутов. Как уже упоминалось, утечки маршрутов очень просты. Они происходят, когда префикс, полученный от одного поставщика или однорангового узла, объявляется другому поставщику или одноранговому узлу. Другими словами, мы можем преобразовать его в следующее правило. Как только префикс объявляется клиенту, он должен передаваться только нижестоящему клиенту, косвенному клиенту и т. д. И чтобы гарантировать, что это правило не будет нарушено, мы добавили новый атрибут BGP под названием Only-To-Customer. Как это работает?



Когда провайдер отправляет префикс своему клиенту, он устанавливает атрибут OTC со значением своей собственной автономной системы. Если этот атрибут не установлен, клиент также добавляет к нему значение своей соседней автономной системы. Важный момент — не имеет значения, кто устанавливает атрибут; значение такое же.

Атрибут OTC не меняется в течение срока его действия. А с другой стороны, с правой стороны слайда, это перепроверено. Клиент сначала проверяет, что, если установлен OTC, он не должен отправлять свои префиксы другим провайдерам и партнерам. И такую ​​же проверку делает кусок провайдера с другой стороны.

Так что это двойной набор, дважды проверенный. И если в этот раз заказчик не настроит свои фильтры — ничего не произойдет, потому что провайдер сможет моментально обнаружить утечку маршрута.

Вот несколько формальных слайдов о том, как работает OTC. Вы можете проверить их позже в документе RFC. Это не сложно, но есть один важный момент. Вы можете пропустить их, потому что не хотите связываться с OTC. OTC устанавливается автоматически при настройке ролей. Вы устанавливаете роли — OTC работает в коде. Вы можете посмотреть, как это работает, но вам не нужно его настраивать. Это слайд, который описывает, как устанавливается OTC.

На этом слайде описывается, как проверяется OTC.

А теперь мы можем поговорить о том, что мы делаем с утечками маршрутов. Документ довольно точно описывает, что делать, когда вы обнаруживаете утечку маршрута. Вам нужно отказаться от маршрута. Все остальные методы ошибочны, поэтому, пожалуйста, не пытайтесь использовать локальные настройки, если не хотите, чтобы вас оскорбили.

Здесь вы можете увидеть, насколько сложно настроить роли BGP в некоторых программах с открытым исходным кодом. Желтая часть — это то, что вам нужно для настройки ролей BGP, и OTC сделает всю работу за вас. Я надеюсь, что это не так сложно.

Внизу видно, что происходит, если роли настроены с ошибками — когда соответствующая роль не совпадает. Сеанс BGP не открывается.


И это то, что происходит за кулисами. Атрибут OTC появляется в маршруте, но вы его не настраиваете — это сделано в коде за вас. Это просто.

Итак, роли BGP и OTC позволяют вам контролировать конфигурацию вашего соседа. OTC — это транзитный атрибут, транзитный сигнал, который может идти от сети уровня 1 или IX ко всем ее прямым и непрямым нисходящим потокам. Он дважды проверяется на выходе. Двойной набор на входе. И OTC — это атрибут, который, по сравнению с сообществом, вряд ли будет лишен. И один из самых критичных моментов — это дает возможность обнаруживать утечки маршрутов даже на расстоянии нескольких прыжков от протекающей AS.

Прямо сейчас и в будущем
MANRS приветствует объявление RFC9234, и мы твердо верим, что реализация роли BGP поможет сообществу еще больше защитить Интернет. Механизм роли BGP, предложенный в RFC9234, поможет предотвратить и обнаружить большинство непреднамеренных неправильных конфигураций BGP, которые создают утечки маршрутов. Хотя RPKI может защитить от перехвата источника маршрута, нам также нужен механизм для защиты пути и защиты от утечек маршрута. Будь то ASPA, AS-Cone, роль BGP или BGPSec, все они обеспечивают необходимые механизмы для защиты интернет-маршрутизацииМАНРС
Конечно, реальная реализация RFC9234 будет отличаться в зависимости от роли «локальной AS», принимающей роли BGP. Если вы интернет-обменник — вы можете использовать его прямо сейчас. Если вы являетесь интернет-провайдером, использующим какое-либо оборудование, предоставленное поставщиком/ами, спросите поставщика, каковы его планы по внедрению RFC9234. К сожалению, другого пути нет.

Мы считаем, что ролей BGP достаточно для покрытия (предотвращения и обнаружения) 80% утечек маршрутов BGP в случае, если основные интернет-биржи и крупнейшие мировые операторы (в первую очередь уровня 1) примут RFC9234. 20%, вероятно, останутся: сломанные случаи, оптимизаторы BGP, которые могут просто удалить атрибут, если захотят, что-то еще, о чем мы не подумали. Но большинство проблем с утечками маршрутов BGP должны и, вероятно, будут решены.

Для чего роли BGP не предназначены, так это для хакерской деятельности — они сосредоточены на предотвращении и обнаружении ошибок/неправильных конфигураций.

По нашему мнению, ASPA и ROA в сочетании способны покрыть хакерскую деятельность, связанную с маршрутизацией BGP. ASPA дополняет BGPSec, хотя обоим предстоит пройти долгий путь, прежде чем мы увидим широкое распространение среди интернет-провайдеров.


На данный момент нам известно, что исправления были применены к трем основным реализациям с открытым исходным кодом. Что мы можем сказать? Мы не в конце; может быть, это конец начала. Чтобы избавиться от утечек маршрутов, если мы их не очень любим, нам как сообществу нужно продемонстрировать желание избавиться от этих инцидентов маршрутизации. Та же страсть, которую сообщество проявляет к устранению перехватов BGP с помощью ROA.


Если вы используете инструменты с открытым исходным кодом, вы уже можете попробовать настроить роли BGP. Ничто не мешает вам это сделать. Если вы используете программное обеспечение какого-либо поставщика — отлично! Отправьте запрос на поддержку ролей BGP выбранному поставщику. А если вы разработчик — тем более! Существует огромное пространство для улучшений, если вы можете внести свой вклад в другие реализации BGP. Вы можете внести свой вклад в синтаксические анализаторы BMP, реализацию дампов TCP, дампов BGP и т.д.

Будем надеяться, что с помощью RFC9234 мы сможем хотя бы приступить к устранению аномалий BGP для улучшения Интернета.

qrator.net/ru/

Мы верим и надеемся, что вы и ваши близкие в безопасности и здоровы.

Мы работаем над некоторыми изменениями в нашем предложении продуктов. Ниже приводится краткое описание предстоящих изменений:
Представляем надстройки cPanel для VPS и выделенных серверовПрекращение поддержки профессионального облакаПредставляем надстройки cPanel для VPS и выделенных серверов
Чтобы улучшить ваш опыт покупки VPS и выделенного сервера и помочь вам получить настраиваемую панель, мы повторно представляем надстройки cPanel, которые теперь позволят вам приобрести панель в соответствии с требованиями вашей лицензии.

С 11 января 2023 года существующий безлимитный план cPanel будет заменен следующим:


Что изменилось?
Вы сможете приобрести вышеупомянутые предопределенные планы лицензий для новых и существующих заказов VPS и выделенных Linux-серверов только с 11 января 2023 года

Что остается прежним?
Продление существующих неограниченных лицензий будет продолжаться до тех пор, пока мы не примем решение о дате миграции для существующих клиентов.
cPanel и Plesk не могут сосуществовать для одного и того же заказа, и вам придется удалить и повторно приобрести необходимые лицензии.

Что будет дальше с этим продуктом?
Возможность добавить 50 лицензионных блоков вместе с лицензиями cPanel.Обновление между планами cPanel.Миграция клиентов с безлимитного плана на планы с пропорциональным использованием. Эти даты будут сообщены, когда мы планируем миграцию.
Для пользователей API
Начиная с 11 января 2023 года вы сможете приобрести новую cPanel в качестве дополнения к своим существующим и новым заказам VPS и выделенных серверов с использованием наших API. Вы можете просмотреть список обновленной документации по API здесь. Обновленный ответ для этих API будет доступен после запуска.

ВПС Линукс:
Добавить заказ: manage.resellerclub.com/kb/answer/2053
Добавить дополнение: manage.resellerclub.com/kb/answer/2458
Удалить дополнение: manage.resellerclub.com/kb/answer/2459
Выделенный сервер Linux:
Добавить заказ: manage.resellerclub.com/kb/answer/2055
Добавить дополнение: manage.resellerclub.com/kb/answer/2055
Удалить дополнение: manage.resellerclub.com/kb/answer/2056

Для пользователей суперсайта:
Мы внесли некоторые изменения в наш SuperSite, чтобы включить изменения, необходимые для перечисления новых надстроек. Если вы изменили какие-либо файлы файлов VPS или выделенного сервера, вам необходимо сделать их резервную копию, чтобы не потерять их. Новые надстройки cPanel будут автоматически отображаться на вашем суперсайте и в экспресс-корзине.

Прекращение поддержки профессионального облака
Чтобы сосредоточиться на существующем портфеле серверных продуктов, мы откажемся от профессионального облачного продукта и сосредоточимся на хостинге и серверах. Мы настоятельно рекомендуем вам не добавлять новые заказы и избегать продления заказов.

Существующие клиенты, у которых есть активный заказ этого продукта, будут переведены на другой подходящий продукт. В ближайшие несколько недель мы предоставим этим клиентам подробный план миграции. Пожалуйста, следите за нашим следующим электронным письмом относительно этих деталей.

Последний день поддержки продукта — 31 января 2023 года. Будьте уверены, мы поможем активным клиентам осуществить плавный переход.

16 января 2023 года продукт будет помечен как «Нет новых заказов», что означает, что вы или ваши клиенты не сможете размещать заказы на покупку после этого. Однако в этот день не будет никакого влияния на существующие заказы.

Мы благодарим вас за понимание и постоянную поддержку. Пожалуйста, не стесняйтесь обращаться к нам за любыми дополнительными вопросами.

С уважением,
Команда ResellerClub

Цифровой сертификат, используемый для создания и поддержания шифрованного соединения HTTPS, выпущенный для домена gosuslugi.ru, прекращает своё действие в 3 часа ночи 7 января 2023. Подключение к сайту с просроченным или отсутствующим сертификатом приводит к появлению в браузере уведомления о небезопасности подключения. Также данные передаваемые по не зашифрованному соединению могут быть перехвачены.

Нынешний SSL-сертификат был выпущен американским удостоверяющим центром (УЦ), компанией Sectigo 6 декабря 2021 года и обеспечивал покрытие не только gosuslugi.ru, но и всех его поддоменов — *.gosuslugi.ru Sectigo, как и многие другие поставщики SSL-сертификатов, отказались от сотрудничества с российскими заказчиками, не продлевают и не выпускают новые для защиты доменов .RU и.РФ Один из немногих зарубежных УЦ, продолжающих работать с доменной зоной .RU, остался японо-бельгийский GlobalSign. Однако, он не обслуживает российские государственные учреждения и органы власти.

Таким образом, 7 января в работе сайта Госуслуг возможны 3 варианта:

Сайт более не будет использовать SSL-шифрование вообще и все подключения будут происходить по стандартному протоколу HTTP, не зависящему от сертификатов. Присутствует потенциальная опасность перехвата не зашифрованных данных злоумышленниками.Для *.gosuslugi.ru будет выпущен популярный сертификат от Let’s Encrypt. Это также американский удостоверяющий центр, предоставляющий бесплатные сертификаты сроком на 90 дней. Неизвестно, поддерживает ли он антироссийские санкции или нет.Государственные ИТ-специалисты, поддерживающие сайт, решат использовать российский криптографический сертификат и переведут HTTPS-подключение на него. В таком случае сайт Госуслуг не будет открываться в популярных браузерах с сообщением об ошибке сертификата. Чтобы подключить к сайту без сообщений об ошибках, необходимо либо использовать отечественные браузеры Яндекс Браузер или Атом от Mail.ru, либо установить государственные российские корневые сертификаты от Министерства цифрового развития. В этом случае эксперты по информационной безопасности предупреждают о возможности перехвата даже шифрованного сетевого трафика.Обновление от 06.01.23 Сертификат заменён на новый от УЦ GlobalSign. Он выдан 1 декабря 2022, срок действия — по 2 января 2024.

Надеемся, что вы не закрутились в рабочей суете и нашли время для создания новогоднего настроения. Год подошёл к концу, а значит, пора отложить все задачи на следующий и поймать дзен, наряжая ёлку и упаковывая подарки.



Инструкции
Как добавить модули в Nginx
При установке Nginx штатными средствами ОС в Linux нет возможности добавить или убрать какие-либо модули, для этого нужно пересобрать его вручную. О том, как правильно это сделать, рассказываем в статье.
firstvds.ru/technology/dobavlenie-moduley-nginx-v-linux-debianubuntucentosalmalinux

Как установить Zabbix
Zabbix — одно из самых популярных решений для мониторинга. С его помощью вы можете отслеживать изменения в работе серверов или сетевых устройств, баз данных, сайтов, облачных сред и многого другого. В инструкции подробно описываем процесс установки Zabbix на Linux.
firstvds.ru/technology/ustanovka-zabbix

Как сменить порт SSH-сервера
По умолчанию SSH слушает порт 22, но в целях безопасности рекомендуем сменить его на нестандартный. Это значительно усложнит жизнь ботам, которые постоянно сканируют серверы и открытые порты в попытках подобрать логин и пароль для доступа к серверу. Чтобы сменить порт, воспользуйтесь нашей инструкцией.
firstvds.ru/technology/kak-pomenyat-izmenit-port-u-ssh-servera

Статьи
Habr: самое интересное за декабрь
Стоит ли ждать в магазинах фабрикатор и плащ-невидимку, почему Amazon увольняет рекрутеров и как можно упростить работу с Docker — на эти и другие вопросы отвечаем в наших декабрьских статьях на Хабре. Подписывайтесь на блог — чтобы вы не заскучали, будем выпускать новые статьи даже в новогодние каникулы.
Как ускорить сайт на WordPress за 15 шаговГаджеты из компьютерных игр — суждено ли им появиться на свет?Amazon увольняет всех рекрутеров. Их заменит ИИАнализируем трояны в популярных SSH-клиентахОбзор топ-5 полезных утилит для DockerПодборка новостей и IT-мемов за декабрь
Если в декабрьской суете вы выпали из новостной повестки, то переходите в наш блог на VC. Собрали для вас подборку последних IT-новостей уходящего года и сдобрили это дело мемами, чтобы было веселее.
vc.ru/flood/573456-podborka-it-novostey-za-dekabr-2022

Новости
А теперь к новостям декабря.

Подвели итоги деньрожденческой акции
С 6 по 13 декабря мы отмечали 20-летие проекта FirstVDS, принимали поздравления и благодарили пользователей. Специально для этого события создали игру FirstRunner и подготовили классные подарки, которые разыграли в прямом эфире. Пятёрка лучших в рейтинговой таблице игры и победители розыгрыша уже увековечены на нашем сайте.
firstvds.ru/blog/itogi-akcii-v-chest-20-letiya-firstvds


Запустили самую новогоднюю акцию!
Празднование дня рождения плавно перетекло в новогоднюю
акцию — что ни день, то праздник! Загляните под ёлку, приготовили для вас подарки. Дарим скидку 20% на заказ новых VDS (сработает на любой выбранный период аренды сервера — 1, 3, 6 или 12 месяцев).
firstvds.ru/blog/happy_new_year_2023
P.S. Чтобы максимально отдаться новогоднему настроению, приняли взвешенное решение пропустить январскую Пятницу 13. Не в наших правилах готовить такие акции «на скорую руку», просим понять, простить и сильно не грустить. Встреча с Джейсоном запланирована на октябрь :)

Режим работы в новогодние праздники
Как и всегда, наша служба поддержки будет на связи 24/7 — даже во время каникул. В сокращённом режиме будет работать только финансовый отдел и отдел продаж: с 31 декабря по 8 января время ответа на тикеты может быть увеличено.
Также напоминаем, что банковские переводы под Новый год могут идти дольше обычного. Рекомендуем заранее проверить баланс и при необходимости пополнить счёт, чтобы не беспокоиться об этом в праздники.

CLO дарит до 100 000 рублей на оплату услуг
Если вы еще не знакомы с проектом CLO, у вас есть возможность попробовать сервис бесплатно. Оставьте на сайте заявку и расскажите, под какие задачи и сколько ресурсов вам требуется. Менеджеры свяжутся с вами в течение 2 рабочих дней и расскажут, как получить грант.
clo.ru/grant

Уязвимости и релизы
Выпуск FreeBSD 12.4
Для установки доступен новый выпуск FreeBSD 12.4, он станет последним обновлением ветки 12.x, сопровождение которой продлится до конца 2023 года. Разработчики исправили ошибки, обновили драйверы, улучшили поддержку оборудования, работу утилит и многое другое.
www.opennet.ru/opennews/art.shtml?num=58270

Уязвимость в утилите snap-confine
В инструментарии управления пакетами Snap обнаружена уязвимость, позволяющая локальному непривилегированному пользователю выполнить код с правами root в конфигурации Ubuntu по умолчанию. Проблема устранена в выпуске snapd 2.57.6, а обновления пакетов выпущены для всех поддерживаемых веток Ubuntu.
www.opennet.ru/opennews/art.shtml?num=58242

Уязвимость в утилите ping FreeBSD
Во FreeBSD обнаружена уязвимость в утилите ping, которая может привести к удалённому выполнению кода с правами root. Проблема вызвана переполнением буфера в коде, который используется для разбора ICMP-сообщений, приходящих в ответ на проверочный запрос. Чтобы закрыть уязвимость, обновитесь до версий FreeBSD 13.1-RELEASE-p5, 12.4-RC2-p2 или 12.3-RELEASE-p10.
www.opennet.ru/opennews/art.shtml?num=58232

В сеть утекли данные пользователей LastPass
Разработчики менеджера паролей LastPass, которым пользуются миллионы пользователей, сообщили об утечке данных. Атакующим удалось получить доступ к резервным копиям хранилища, где хранились такие сведения, как имя пользователя, email, телефон, IP-адрес, с которых выполнялся вход в сервис, а также сохранённые в менеджере паролей незашифрованные имена сайтов и сохранённые в зашифрованном виде логины, пароли, данные форм и примечания к этим сайтам.
www.opennet.ru/opennews/art.shtml?num=58379

ГК НСЗК использует облачный почтовый сервер у провайдера Cloud4Y по модели IaaS.
Группа компаний «Новый Сухопутный Зерновой Коридор» — это экспортно-ориентированная холдинговая структура, реализующая на территории Урала, Сибири и Дальнего Востока экспорт зерновых, зернобобовых и масличных культур в Китай, страны Средней Азии и Ближнего Востока. Появившийся в 2011 году проект является частью концепции сопряжения Евразийского экономического союза и «Экономического пояса Шёлкового пути». Ключевыми задачами компании являются организация работы железнодорожного Забайкальского зернового терминала (ЗЗТ) на границе с КНР, а также создание сеть узловых элеваторов в семи целевых регионах России для накопления зерна и равномерной круглогодичной отгрузки.

Для повышения эффективности работы и более полного контроля деятельности сотрудников ГК НСЗК использует облачный почтовый сервер у провайдера Cloud4Y по модели IaaS.

Корпоративная почта в облаке — это сервис, позволяющий объединить возможности электронной почты, календаря и менеджера задач. Клиент получил готовую к работе систему, которая легко масштабируется и настраивается. Решение включает в себя резервное копирование, базовый антиспам и антивирусную защиту, благодаря чему сотрудники не отвлекаются на мусорные сообщения и меньше подвержены риску фишинговых атак.

Первоначально «Новый Сухопутный Зерновой Коридор» обратился к корпоративному облачному провайдеру с просьбой предоставить тестовый доступ к виртуальной инфраструктуре компании. Тест позволил ГК НСЗК оценить преимущества облачных решений Cloud4Y, а качественная и быстрая поддержка со стороны инженеров провайдера убедила в целесообразности миграции. Перенос данных в облачную платформу провайдера осуществлялся при помощи технических специалистов Cloud4Y, поэтому все процессы были выполнены штатно и в заданные сроки.

В настоящее время сотрудники компании могут управлять электронной почтой, календарем, контактами и задачами из единого почтового ящика при помощи привычной программы Outlook.

Западное побережье — вот и мы: сегодня мы официально открыли наше второе место в США для облачных продуктов в Хиллсборо, штат Орегон, недалеко от Портленда, место, созревшее для будущего расширения. Клиенты в регионе теперь могут извлечь выгоду из более низкой задержки и, таким образом, получить еще более высокую производительность облака. Район, окружающий Хиллсборо, получил прозвище «Кремниевый лес», потому что многие уважаемые международные ИТ-компании называют его своим домом.

Стратегическое расположение Хиллсборо очень интересно для нас. В дополнение к первому местоположению на восточном побережье, это новое место на западном побережье позволит нам обеспечить более качественные соединения, в том числе важные соединения с подводными кабелями, расположенными в Хиллсборо, которые соединяют Северную Америку с Азией. Сетевое соединение в настоящее время составляет впечатляющие 400 Гбит/с для обеспечения быстрого обмена данными, и мы будем постепенно улучшать это соединение в будущем.

Теперь у вас будет выбор из пяти мест в Европе и Северной Америке, что позволит вам сделать ваши облачные данные геоизбыточными и, таким образом, сделать вашу ИТ-инфраструктуру более надежной.

Всего год назад в Эшберне, штат Вирджиния, Hetzner открыла свой первый офис за пределами Европы.

В новом офисе в Хиллсборо будут размещены серверы Hetzner Cloud с процессорами AMD, и, естественно, у вас будет доступ ко всем функциям Hetzner Cloud, которые вы уже знаете и любите, по ценам, приятным для вашего кошелька.

Всего несколькими щелчками мыши вы можете настраивать и развертывать новые облачные экземпляры, круглосуточно получать доступ к удобным функциям, подключать или удалять другие ресурсы, такие как блочное хранилище и моментальные снимки, а также масштабировать свои облачные ресурсы вверх или вниз в соответствии с вашими ежечасными потребностями.

www.hetzner.com/cloud

Совсем скоро со всех сторон хлынет тонна новогоднего контента, а ведь мы только-только отошли от вездесущих чёрных пятниц… Поэтому давайте вместе сделаем передышку и просто поделимся ноябрьскими новостями.


Инструкции
Где найти логи и как их читать
Чтобы отслеживать всё, что происходит на сервере, временами приходится прибегать к работе с логами. В новой статье рассказываем, где добыть системные логи, логи веб-сервера, почтовой службы и баз данных, а также как их читать.
Работа с логами (журналами) сервера

Как разместить сайт в ISPmanager и настроить почту
Мы регулярно обновляем статьи в Базе знаний, и в ноябре «под раздачу» попали статьи о работе с ISPmanager, а именно инструкции по размещению сайтов и настройке почты. Надеемся, что они будут вам полезны.
Как легко разместить сайт
Настройка почты на сервере в панели ISPmanager

Статьи
Habr: самое интересное за ноябрь
Посреди всего этого дедлайнового безумия выделите себе полчасика на прокрастинацию. Деструктивный совет, но в данном случае он окажет благотворное влияние на ваше физическое и психическое здоровье. Можете подремать в офисном кресле, залипнуть на видео со смешными котами или почитать наши новые статьи на Хабре.
Как подсчитать медведей с помощью термодинамики? Рецепт простой: много фотоловушек, две ложки компьютерного зрения и щепотка машинного обучения Самое уязвимое место Интернета Микрофронтенды: микросервисы для фронтендаСобираем кластер PostgreSQL для разработки и тестирования Компьютерная томография: от современной клиники до изучения древнего человека
А теперь к новостям ноября. Их будет немного, а всё потому, что мы активно готовимся к празднованию нашего дня рождения :) Праздник будет грандиозный! Подписывайтесь на наш телеграм-канал, чтобы ничего не пропустить.

Новые конфигурации на аукционе FirstDEDIC
На аукционе выделенных серверов FirstDEDIC регулярно появляются новые конфигурации, и каждый день их цена снижается. Всё, что вам нужно, — это проверять наличие интересующих вас конфигураций и отслеживать снижение цен. Главное, успеть вовремя оформить заказ, пока кто-то другой не купил выбранный вами сервер или пока конфигурация не была снята с аукциона.
1dedic.ru/auction-2020

Автоплатёж на проекте CLO
Теперь клиенты CLO могут подключить автоплатёж с банковской карты и больше не беспокоиться об остановке и удалении сервисов за неуплату. Можно самому определить, когда и на какую сумму пополнить баланс. Тем более это совершенно безопасно — данные карты вводятся на стороне платежного шлюза, у нас ничего не хранится.
clo.ru/help/balance

Уязвимости
29 пакетов PyPl распространяют инфостиллер W4SP
Специалисты обнаружили в репозитории PyPI 29 вредоносных пакетов, которые заражают своих жертв вредоносным ПО. Распространяемый ими инфостиллер W4SP похищает токены Discord, файлы cookie и сохраненные пароли. Согласно статистике Pepy.tech, суммарно эти пакеты были загружены уже более 5700 раз.
xakep.ru/2022/11/03/w4sp-in-pypi/

Уязвимость в прошивках UEFI позволяет выполнить код на уровне SMM
Стало известно об уязвимости в прошивках UEFI под кодовым именем RingHopper, позволяющей выполнить код на уровне System Management Mode, который предоставляет неограниченный доступ ко всей системной памяти. Проблема вызвана состоянием гонки в обработчике SMI, для совершения атаки необходимы права администратора. Наличие уязвимости подтверждено в прошивках Intel, Dell и Insyde Software, хотя утверждается, что проблема затрагивает 8 производителей.
www.opennet.ru/opennews/art.shtml?num=58075

Критическая проблема в «1С: Предприятие 8»
Разработчики «1С: Предприятие 8» призвали клиентов срочно обновить ряд версий платформы из-за обнаружения «критической проблемы, которая будет приводить к закрытию клиентского приложения через несколько минут после начала работы в программе». Проблемные версии, перечислены в статье.
xakep.ru/2022/11/15/1c-alert/
Уязвимость в Bitbucket Server, позволяющая выполнить код на сервере
В Bitbucket Server 7.x и 8.x выявлена критическая уязвимость, позволяющая удалённому пользователю выполнить код на сервере. Проблема вызвана возможностью подстановки команд через переменные окружения. Уязвимость устранена в свежих выпусках Bitbucket Server и Bitbucket Data Center.
www.opennet.ru/opennews/art.shtml?num=58151

Приветствую. Вот уже много лет мы не проводили никаких распродаж в «чёрную» пятницу, так как наши цены одни из самых низких и мы всегда рады дать максимальную скидку для текущих и новых клиентов, но в этом году многим пришлось нелегко, и по этой причине мы решили поддержать наших потенциальных пользователей, в том числе читателей нашего блога на Хабре, которому в октябре исполнилось 10 лет, и позволить приобрести производительный сервер из статьи «Вся правда о VPS с выделенными накопителями» более, чем в 4 раза дешевле, да и еще с увеличенным в 2 раза по квоте выделенным SSD-хранилищем на накопителе enterprise уровня от Samsung. Воспользуйтесь промокодом BLACKFRIDAY2022 при оплате услуги:

E5-2697 v3 (6 Cores) / 10GB DDR4 / 480GB SSD / 1Gbps 10TB — $19 / месяц (оплата на 2 года), $29 / месяц (оплата на год), $39 помесячно. Услуга доступна в Нидерландах.

Для получения 50% дополнительной одноразовой скидки на любой из выбранных периодов оплаты. Таким образом, оплатив сервер на 2 года, Вы сможете получить его всего лишь за 9,5 USD в месяц. Захотите апгрейд в будущем или перейти на выделенный сервер? Нет проблем. Нужно будет просто оплатить разницу. Заказать сервер можно здесь: ua-hosting.company/servers/kvm/

Greetings. Use promo code BLACKFRIDAY2022 when ordering:

E5-2697 v3 (6 Cores) / 10GB DDR4 / 480GB SSD / 1Gbps 10TB — $19 / month (pay for 2 years), $29 / month (pay for a year), $39 monthly. The service is available in the Netherlands.

To get a 50% additional one-time discount on any of the selected payment periods. So by paying for a server for 2 years, you can get it for just $9.5 USD per month. Would you like to upgrade in the future or move to a dedicated server? No problem. You will need just to pay the difference. You can order a server here: ua-hosting.company/en/servers/kvm/

В преддверии Хэллоуина колдуем над новым дайджестом. Добавляем в котёл ложку серверных технологий, свежее ядро Линукса и немного волшебных акций, мешаем строго по часовой стрелке. А что у нас получилось — читайте далее :)


Инструкции
Как выбрать между выделенным сервером, VDS и облаком
Чтобы вам было легче разобраться в разных видах хостинга, подготовили новую статью, в которой подробно рассматриваем, для каких задач каждый из них подходит лучше всего и на какие параметры стоит ориентироваться при выборе.
firstvds.ru/technology/kak-vybrat-mezhdu-vydelennym-serverom-vds-i-oblakom-sravnivaem-raznye-vidy-khostinga

Как заказать и выпустить SSL-сертификат
SSL-сертификат подтверждает подлинность сайта и обеспечивает защищённое соединение для безопасной работы с данными пользователей. О том, как заказать SSL-сертификат и пройти процедуру валидации, рассказываем в инструкциях Базы знаний.
firstvds.ru/technology/zakaz-i-prodlenie-ssl-sertifikata
firstvds.ru/technology/etapy-vypuska-ssl-sertifikata-i-sposoby-validacii-proverki-domena

Статьи
Habr: самое интересное за октябрь
Даже осенняя хандра не может помешать нашим авторам писать новые статьи. Как настроить мониторинг Raspberry Pi с помощью Zabbix, на какие проблемы жалуются разработчики в 2022 году, почему после 40 лет мышление теряет гибкость — и многое другое в нашем блоге на Хабре.
История веб-хостинга. От пузыря доткомов и блейд-серверов до гибридного облака и контейнеризацииМониторинг Raspberry Pi с помощью ZabbixНовые угрозы безопасности и старые проблемы менеджмента: на что жалуются разработчики в 2022 году Мозг проходит через большую «перестройку» после 40 лет
Как перестать откладывать дела на потом
Как известно, прокрастинации подвержены все — даже психологи, которые не понаслышке знакомы с данным феноменом. Если бессильны даже они, то что взять с нас — простых людей? Возможно, ответ найдётся в нашей новой статье на VC — попробуем вместе разобраться, как работает прокрастинация и как от неё избавиться.
vc.ru/flood/513233-nauka-protiv-prokrastinacii-kak-perestat-otkladyvat-dela-na-potom

Новости
А теперь к новостям октября.
Скидка 50% на VDS и 2000 сертификатов на пополнение баланса

This is Halloween! Колдуем самые большие скидки
Новая акция на подходе, все ингредиенты уже в котле, осталось дождаться наступления Хэллоуина, чтобы волшебство вступило в силу. С 31 октября по 7 ноября новые VDS можно будет заказать со скидкой 50% на выбранный период оплаты. Постоянных клиентов без приятного тоже не оставим — готовим сертификаты на пополнение баланса. Подписывайтесь на наш телеграм-канал, чтобы не пропустить старт акции :)

Как оплачивать услуги за границей
Напоминаем, что на всех наших проектах можно оплатить услуги с помощью карт, выпущенных за рубежом: Visa, Mastercard, Diners Club, UnionPay, JCB, МИР — через сервис PayBox. Все валюты конвертируются в тенге, поэтому перед оплатой важно проверить курс. Также обратите внимание, что PayBox не принимает карты, выпущенные на территории России и Беларуси — для них доступны другие способы оплаты.
firstvds.ru/company/payments


Скидки до 50% на выделенные серверы Intel и AMD
Для тех, кому нужно больше ресурсов, у нас тоже есть предложение. На проекте FirstDEDIC скидки 20%, 25% и 50% на гибкие конфигурации выделенных серверов с разными процессорами Intel Xeon и AMD Ryzen. Скидка будет действовать на любой выбранный период оплаты.

Terraform как сервис на проекте CLO
Для управления проектами клиентам CLO теперь доступна установка Terraform. С его помощью проще создавать и администрировать сложные проекты, а также получать полное описание доступных ресурсов и связей между ними.
clo.ru/help/terraformforclo


Гранты до 100 000 рублей для новых клиентов CLO
А если вы ещё незнакомы с CLO, то можете принять участие в новой акции и получить грант до 100 000 рублей на первый месяц использования услуг! Для этого оставьте на сайте заявку с описанием вашего проекта и необходимых ресурсов, и менеджеры свяжутся с вами.
clo.ru/grant

Уязвимости
Релиз ядра Linux 6.0
Опубликован новый релиз ядра Linux 6.0. Среди наиболее заметных изменений: поддержка асинхронной буферизированной записи в XFS, блочный драйвер ublk, оптимизация планировщика задач, механизм верификации корректности работы ядра, поддержка блочного шифра ARIA.
www.opennet.ru/opennews/art.shtml?num=57861

Уязвимость в подсистеме io_uring ядра Linux
В реализации интерфейса асинхронного ввода/вывода io_uring выявлена уязвимость, позволяющая непривилегированному пользователю получить права root в системе. Наличие проблемы подтверждено в ветке 5.4 и ядрах начиная с ветки 5.15.
www.opennet.ru/opennews/art.shtml?num=57941

Microsoft: более 80 уязвимостей и утечка данных
В октябрьских патчах Microsoft устранено более 80 различных уязвимостей, в том числе 15 критических. Также компания предупредила, что из-за некорректной конфигурации сервера могла быть раскрыта некоторая конфиденциальная информация клиентов. Хотя подробного отчёта об утечке не было представлено, специалисты сообщают, что она затронула более 65 000 компаний из 111 стран мира.
xakep.ru/2022/10/12/october-patches-3/
xakep.ru/2022/10/20/microsoft-leak-3/

Уязвимости в Git при клонировании субмодулей и использовании git shell
Разработчики выпустили корректирующие выпуски для распределённой системы управления версиями Git, в которых устранены две уязвимости, проявляющиеся при применении команды «git clone» в режиме «--recurse-submodules» с непроверенными репозиториями и при использовании интерактивного режима работы «git shell».
www.opennet.ru/opennews/art.shtml?num=57940

Уязвимость в LibreOffice, позволяющая запустить скрипт при работе с документом
В офисном пакете LibreOffice выявлена уязвимость, позволяющая организовать выполнение произвольных скриптов при клике на специально подготовленную ссылку в документе или при срабатывании определённого события во время работы с документом. Проблема устранена в обновлениях 7.3.6 и 7.4.1.
www.opennet.ru/opennews/art.shtml?num=57910

Сегодня мы рады сообщить, что новый регион Google Cloud в Израиле открыт. Мы будем отмечать запуск на мероприятии в Тель-Авиве 9 ноября — зарегистрируйтесь, чтобы присоединиться к нам.

Израиль известен как страна стартапов и долгое время был центром технологических инноваций как для стартапов, так и для Google. Мы рады распространить этот инновационный подход на другие отрасли, ускоряя цифровую трансформацию, чтобы помочь создавать новые рабочие места и цифровые возможности, которые лучше обслуживают пользователей в Израиле. Согласно недавнему исследованию, проведенному по заказу Google, AlphaBeta Economics (часть Access Partnership) считает, что к 2030 году регион Google Cloud в Тель-Авиве внесет совокупный вклад в ВВП Израиля в размере 7,6 млрд долларов США и поддержит создание 21 200 рабочих мест только в этом году.

Регион Google Cloud в Тель-Авиве (me-west1) присоединяется к нашей сети облачных регионов по всему миру, предоставляя высокопроизводительные услуги с малой задержкой клиентам любого размера и из разных отраслей. Теперь, когда облачный регион Израиля является частью сети Google Cloud, он поможет местным организациям связываться с пользователями и клиентами по всему миру, а также будет стимулировать инновации и цифровую трансформацию во всех секторах экономики.

В прошлом году правительство Израиля выбрало Google Cloud для предоставления облачных услуг правительственным министерствам. Это партнерство может позволить правительству и частным компаниям, работающим в регулируемых отраслях, упростить способ обслуживания пользователей, создать единый подход к цифровой безопасности и поддерживать требования соответствия и резидентности.

За несколько лет мы расширили присутствие наших местных сотрудников Google в Тель-Авиве и Хайфе, чтобы поддержать растущее число клиентов и привнести культуру инноваций во все секторы экономики. От технологий, розничной торговли, СМИ и развлечений до финансовых услуг и государственного сектора ведущие организации выбирают Google Cloud как своего надежного партнера по инновациям.

С помощью Google Cloud мы меняем то, как миллионы людей читают и пишут, предоставляя наши собственные модели больших языков на основе самой передовой платформы графического процессора, которая предлагает непревзойденную производительность, доступность и эластичностьОри Гошен, генеральный директор AI21 Labs

PayBox контролируется Банком Израиля и полностью размещен в облаке. Google Cloud предоставляет нам инструменты, необходимые для соблюдения нормативных требований и обязательств по безопасности, а также гибкость и оперативность для обслуживания миллионов клиентов, которые ежедневно полагаются на наше приложениеДима Левитин, ИТ-директор, Paybox.

Израиль уже давно является центром технологических инноваций, и мы рады поддерживать таких клиентов, как AI21, Paybox и других, с помощью облака, которое им помогает:

Лучше понимать и использовать данные: Google Cloud помогает клиентам принимать более взвешенные решения с помощью единой платформы данных. Мы помогаем клиентам снизить сложность и объединить неструктурированные и структурированные данные, где бы они ни находились, чтобы быстро и легко получать ценную информацию.

Создайте открытую основу для роста. Когда клиенты переходят на Google Cloud, они получают гибкую, безопасную и открытую платформу, которая может развиваться вместе с их организацией. Наша приверженность мультиоблаку, гибридному облаку и открытому исходному коду дает организациям свободу выбора, помогая их разработчикам строить быстрее.

Создайте среду для совместной работы. В современной гибридной рабочей среде Google Cloud предоставляет инструменты, необходимые для изменения того, как люди общаются, создают и сотрудничают.

Защитите системы и пользователей. Поскольку каждая компания переосмысливает свою систему безопасности, мы помогаем клиентам защищать их данные, используя ту же инфраструктуру и службы безопасности, которые Google использует для своих операций.

Построить более чистое и устойчивое будущее: с 2007 года компания Google придерживается нейтрального уровня выбросов углерода в своей деятельности, и к 2030 году мы работаем над тем, чтобы полностью перейти на безуглеродную энергию. Сегодня, когда клиенты используют Google Cloud – самое чистое облако в отрасли – энергия, которая питает их рабочие нагрузки, соответствует 100% возобновляемой энергии.

Мы рады видеть, что вы строите с новым регионом Google Cloud в Израиле. Узнайте больше о нашей глобальной облачной инфраструктуре, включая новые и перспективные регионы. И не пропустите презентацию в Израиле.

DDoS и хостинг
Хостинг представляет из себя комплекс, состоящий из внутренней сети (автономной системы), пограничных маршрутизаторов и распределенных каналов связи с различными операторами связи.

Если упрощенно показать это на схеме, то получится следующее:

Операторы связи, обеспечивающие связь сети хостинга с внешним миромКаналы связи с операторамиПограничные маршрутизаторыКаналы связи внутренней сетиСерверы хостинга (например, виртуального)
Целью DDoS-атаки является прекращение доступности какого-либо сервиса, будь то один сайт, сервер или даже целый хостинг. Что такое доступность сервиса? В контексте нашей темы это возможность конечного сервера хостинга получать весь легитимный трафик от пользователей, обрабатывать его за адекватное время и отдавать пользователям ответы. Поэтому для упрощения можно сказать, что мы должны обеспечивать хождение легитимного трафика в направлении 1-5-1.

PS: На самом деле, де-факто наша ответственность перед пользователями не заканчивается на том, что мы отдаем трафик операторам связи, т.к. бывают случаи, что даже при этом ответ до пользователя не доходит, но мы пока оставим эти кейсы за рамками нашей статьи.

Почему хостинг не может взять и полностью передать защиту от DDoS специализированным компаниям?

Передача данных в современной сети Internet построена на многоуровневой архитектуре, где каждый уровень несет свое определенное предназначение. Для передачи данных, используется стек протоколов TCP/IP, который построен по принципу эталонной модели OSI. Концепция этой модели заключается в разбиении процесса передачи данных на уровни, где каждый уровень отвечает за свой функционал.

В случае с DDoS атаками, их принято делить по уровням модели OSI, несмотря на то что стек протоколов TCP/IP состоит всего из 4х уровней.


Сами DDOS атаки происходят только на уровнях L3,L4,L7 по модели OSI.

Для защиты на уровне L3-L4 мы 24/7 работаем через специализированный сервис защиты, который постоянно отбивает сотни атак в день, в последнее время достаточно больших. По объему трафика они приближаются к терабиту. Весь наш трафик поступает к магистральным провайдерам через него.

А что с 7-м уровнем? В случае с хостингом — на 7-м уровне предполагается использование протоколов TLS и HTTPS. Они нужны для защиты передаваемых данных с повышенными требованиями к безопасности.

Соответственно, учитывая все вышенаписанное и отвечая на изначальный вопрос — при атаках на уровне L7, нам было бы необходимо постоянно передавать подрядчику сертификаты пользователей (сотни тысяч сертификатов ежемесячно, десятки тысяч каждый день). Скажем прямо — это не очень удобно и потенциально является дополнительной точкой отказа.

Второй причиной является то, что мы как хостинг-провайдер работаем с очень разнообразными сайтами: на разных фреймворках, с разными правилами маршрутизации, разными куками и т.п… У кого-то на сайте много видео, у кого-то одни картинки, кто-то публикует новости. У кого-то частота запросов большая, у кого-то — маленькая. И так далее. Именно поэтому без понимания нашей специфики неизбежно возникает множество ложно-положительных срабатываний защиты: настроить ее универсально просто невозможно. А объяснять пользователям “Ну вы поймите: мы вас защищали, хотели как лучше, но вот система посчитала ваш трафик невалидным. Простите”, — это не наш метод (хотя и такие кейсы бывают, чего уж там).

Ну и третьей причиной является то, что какая бы хорошая защита не была — она не бывает идеальна. А по-настоящему эффективные средства защиты являются многоуровневыми, работающими в несколько “эшелонов”, каждый из которых работает на своем уровне: от каналов связи, до конечного веб-сервера.

Именно поэтому передать полностью защиту специализированным компаниям будет недостаточно. Не получится “просто заплатить и расслабиться” ????

Как отбиваются атаки
Давайте рассмотрим несколько типов атак и разберем, какие части на нашей схеме в первую очередь станут “бутылочным горлышком”.

UDP/TCP Flood
Это один из наиболее частых видов атак, которые мы отбиваем. Он представляет из себя большой объем трафика, который летит в нашу сторону. Смысл атаки — создать такой объем трафика на входе сети, который, по задумке атакующего, нельзя обработать без отбрасывания валидных пакетов.

Таким образом, на схеме мы можем заметить несколько уязвимых мест:
Каналы связи с операторами (2).Пограничный маршрутизатор (3)Операторы связи (1) (сюрприз!)
На графиках с трафиком на границе сети такая атака как правило имеет характерный вид:



В зависимости от силы атаки у нас есть несколько вариантов действий:

А. Забить и ничего не делать
Самый простой вариант. Подходит, когда атака слабая и у нас есть большой запас по каналам связи как снаружи сети, так и внутри сети. В этом случае просто смотрим на самый “узкий” канал связи (как правило, это канал до конечного сервера хостинга(5)) и, если укладываемся в него с кратным запасом, то просто следим и ничего не делаем.

Б. Порезать трафик на пограничном маршрутизаторе
Главный критерий для применения такого способа защиты — остался запас емкости в каналах до операторов связи (2). В противном случае сразу переходим к пункту “В”. Данный вариант чуть посложнее, т.к. тут уже требуется анализ поступающего трафика. Обычно есть смысл обращать внимание на следующие параметры:
src/dst IPdst портпротоколдлина пакетатело пакетаДля анализа трафика просто отливаем информацию о нем с маршрутизатора при помощи netflow/ipfix или настраиваем port mirroring на сервер с толстым каналом и анализируем трафик вместе с телом пакета на нем.



Чем более “однородный” вредоносный трафик, тем проще его заблокировать без последствий. Часто прилетают атаки на заранее закрытые порты или с 5-10 IP-адресов, или с очень большим размером пакета. Поэтому увидеть закономерность и настроить фильтрацию достаточно просто.

Само-собой, делать это вручную не очень удобно. Поэтому тут подойдут различные системы анализа и визуализации трафика, чтобы было проще и быстрее выявить закономерности. В самом простом случае это связка Prometheus + Grafana с парой дашбордов. Для лучшей аналитики можно использовать что-то вроде Fastnetmon или самописные решения. В идеале нужно добиться того, чтобы правила для блокировки трафика на маршрутизаторе по ряду критериев добавлялись автоматически.

Также не забывайте, что на пограничном маршрутизаторе по умолчанию должны быть закрыты все протоколы и порты, которые не используются для легитимного трафика. Это автоматически отобьет 90% мелких атак =) Например, на виртуальном хостинге у нас практически не используется UDP. Это очень помогает: для всех сетей хостинга можно поставить очень жесткий лимит на объем такого трафика.

В. Бороться с атакой за пределами нашей сети
Если емкости каналов связи с операторами (2) недостаточно, то мы попадаем в ситуацию, когда пакеты валидных пользователей начинают отбрасываться уже на стороне маршрутизаторов операторов связи. В этом случае у нас остается вариант передавать правила для блокировки вредоносного трафика аплинкам через BGP FlowSpec. Выделение и генерацию правил для блокировки производим способом, аналогичным предыдущему методу.

FlowSpec имеет свои ограничения:
Не все операторы связи поддерживают эту технологию. А те, кто поддерживает, как правило берут за неё дополнительную плату.Набор правил, которые можно передать, обычно ограничен, и в случае очень сложной распределенной атаки, в которой нельзя выделить явные паттерны, заблокировать весь вредоносный трафик не получится.В любом случае всегда полезно иметь несколько аплинков с FullView (то есть полной связностью со всеми сетями в интернете), и FlowSpec, которые покрывают весь объем легитимного трафика. В этом случае можно просто отключиться от остальных и передать правила для блокировки нежелательного трафика через них.

Интересный случай: пару раз у нас были атаки, от которых в принципе падали сами операторы связи. Например, в марте, когда после падения (или может быть нас просто отключили?) одного из магистральных операторов в результате DDoS’а на наши сети, мы потеряли связность с Европой. Пользователям это не понравилось, хотя формально мы ничего сами не отключали =)

Г. Blackhole
Наверное, это самый печальный вариант отбития атаки, потому что, по сути, мы просто жертвуем атакуемым ресурсом ради того, чтобы остальные ресурсы продолжили работу. Метод равносилен признанию победы атакующего и единственная его цель — минимизация ущерба для остальных клиентов. Осуществляется через специальное BGP Community у операторов связи. Метод не подходит в случае атаки на множество адресов (например, когда пытаются положить сразу весь хостинг).

К счастью, прибегать к этому методу приходится очень редко.

Атаки на уровне приложения (L7)
Атаки на уровне приложения (в случае с виртуальным хостингом это как правило HTTP(S)-флуд) с одной стороны редко когда приносят глобальные проблемы, т.к. целью атаки почти всегда является конкретный сайт пользователя, конечный сервер хостинга (5), и редко когда мы упираемся в каналы связи. С другой стороны, они происходят, буквально, постоянно и непрерывно, поэтому и средства борьбы с ними должны быть максимально экологичными и универсальными.

Суть атаки заключается в флуде HTTP(S)-запросами к сайту/на ip-адрес пользователя с целью:
Превысить лимиты хостинга на количество одновременных запросов/процессорное время с целью спровоцировать отключение сайта. По факту мы видим либо большой объем запросов к сайту, либо запросы к “тяжелым страницам” сайта, генерация которых требует много процессорного времени. Использовать уязвимости в CMS/фреймворках, чтобы выполнить какой-либо произвольный код. Чаще всего так запускают различные майнеры или флудеры (тут у нас появляется интересная тема про исходящие ddos-атаки, о которой мы можем рассказать отдельно).
Методы борьбы с такими атаками достаточно разнообразные:
А. Блокировка подозрительных запросов по-умолчанию
Любой хороший системный администратор знает, что доступ к ресурсам необходимо предоставлять только тем клиентам, которые ожидаются. В пределе это называется “политикой белого списка”: все, что явно не разрешено, — запрещено. Для веб-серверов массового хостинга это чрезмерно жесткая мера, но и свои “списки” у нас тоже есть.

Так, например, мы по умолчанию блокируем запросы от уникальных User-Agent, которые были замечены в массовом флуде, блокируем ряд ботов и сканеров, которые ведут себя неадекватно: не считают нужным смотреть robots.txt, ходят по сайтам в несколько потоков и прочими способами увеличивают нагрузку на сервер, не принося никакой пользы. Таких ботов в интернете довольно много и список постоянно расширяется.

Также иногда на длительное время блокируются целые подсети, с которых практически нет легитимного трафика, но зато есть массовые автоматические запросы: привет друзьям из поднебесной и сопредельных стран!

Как ни странно, без этих мер, количество паразитных запросов к серверам было бы просто огромным. Зачастую различные сканеры работают по принципу: если сервер что-то вменяемое ответил, то начинаем активно его исследовать; иначе — просто забиваем на него на некоторое время и прекращаем запросы. Поэтому, по нашей практике, если вы начали отвечать на мусорные запросы — дальнейший их поток будет только возрастать.

Б. Слежение за процессами пользователей (MCPU)
Зачастую проблемы на сервере может создать не миллион http-запросов к одному сайту, а всего пару десятков, но очень “точных”. К таким запросам относятся различные уязвимые страницы на сайте, скрипты (как правило, в админках/плагинах), которых при определенных входных данных начинают “творить дичь”: уходить в бесконечные циклы с запросами к БД, генерацию превьюшек из полноразмерных картинок товаров, сбросу кеша. В конце концов, есть множество уязвимостей, результатом эксплуатации которых будет майнер крипты, работающий от вашего имени на хостинге (и, к сожалению, майнить он будет не в ваш кошелек).

В итоге сервер загибается под бесполезной нагрузкой.

Бороться с этим достаточно сложно, если мы не хотим вводить драконовские ограничения на время выполнения скриптов пользователей или потребляемое CPU.

Мы пошли по пути активного мониторинга процессов на сервере. У нас есть свой демон на Rust, который постоянно следит за всеми процессами пользователей и имеет постоянно пополняющийся набор правил для выставления ограничений (вплоть до убийства), для тех процессов, которые мы считаем неуместными. Он умеет смотреть на:
Различные атрибуты процесса (uid, gid, cmdline, cgroup и т.п.).Объем потребляемой памяти.Затраченное процессорное время.Содержимое исполняемого файла.В случае совпадения, в зависимости от конкретной задачи, он может выполнять различные действия:
Логирует событие (для дальнейшего анализа).Убивает процесс.Помещает в cgroup с заданными параметрами.Настраивает OOM Killer для этого процесса.… любое другое действие, которое нам потребуется.Вот кусочек такого конфига:
# kill all binaries with miner cmdline patterns - match: - proc.group: newcustomers - proc.exe: ^/home/\w/\w+/ - proc.cmdline: zcash\.flypool\.org action: - log - kill - last
Иногда пользователи добровольно хотят запускать валидный процесс convert для того же самого ресайза картинок в своих интернет-магазинах. Как правило, он хочет потреблять довольно много ресурсов и надо, с одной стороны, дать ему выполниться, с другой стороны, — не мешать другим пользователям:
- match: - proc.group: newcustomers - proc.command: convert action: - log - adjust_oom: 1000 - cgroup: name: convert memory: memory.limit_in_bytes: 40543505612 # лимит памяти по умолчанию для других процессов меньше memory.move_charge_at_immigrate: 0 blkio: blkio.weight: 100 - last
Помимо прочего этот демон выставляет нужные нам cgroup для ряда служебных процессов в случае их появления.

В. Анализ и слежение за запросами к сайтам в реальном времени
Безусловно, выявить зловредные запросы только по атрибутам вроде User-Agent или характерного URL невозможно: часто флудят вполне валидными на вид запросами к разным страницам с разными адресами.

Чтобы работать с такими атаками можно использовать несколько уровней защиты:

На сервере (5)
Полезно будет анализировать лог входящих запросов, искать подозрительные паттерны, характерные тайминги и автоматически выставлять ограничения/rate-limit для тех src ip, user-agent, которые кажутся нам подозрительными. Подойдет против простых атак, которые может переварить сервер без ущерба для остальных. Но на самом деле простых атак —большинство и именно на этом уровне выполняется большая часть блокировок.

Внутри сети (4)
Если сервер не справляется, то уместно будет проксировать трафик к сайту/серверу через специальные серверы, которые могут переварить множество tls-хендшейков и отделить невалидные запросы от валидных, и выполнить еще какую-либо дополнительную фильтрацию. На сервер при этом прилетает уже только валидный HTTP-трафик. Подойдет, если флуд состоит из множества невалидных https-запросов и атака нацелена на перегрузку CPU.

В качестве заключения
Увы, нет какого-то единственно верного способа защитить всех, навсегда и от всего.

Нельзя ни делегировать защиту на подрядчика (по крайней мере полностью), ни настроить 1 раз правила фильтрации.

Более того, под DDoS порой попадают даже самые безобидные сайты, а общий объём атак поистине огромен и в последние месяцы их интенсивность только возрастает.

По сути, ключевой способ защиты для любого хостинга — это накопленная экспертиза админов, которые систематизируют и внедряют защиту: где-то с помощью внешних решений, где-то с помощью “креатива и творчества” — например, иногда полезно вместо закрытия соединения отправить в ответ пару килобайт мусора, чтобы атакующая вас взломанная веб-камера надолго уходила в раздумья перед тем, как отправить следующий запрос =)

Благодаря всему этому пользователи хостинга чувствуют последствия атак лишь изредка.

Да пребудет с нами аптайм!
beget.com/ru

В любой, даже самой ненастной ситуации, важно найти свою точку опоры. Одна из основных тактик — делать то, что получается у вас лучше всего. Поэтому мы продолжаем работать и поддерживать вас 24/7.

В сентябрьском выпуске дайджеста напоминанием о полезных статьях в Базе знаний, делимся подборкой свежих материалов из нашего блога на Хабре и рассказываем новости о проекте CLO.
Статьи и инструкции
Если у вас есть вопросы
В нашей Базе знаний более 300 инструкций и статей, которые помогут вам в управлении сервером и другими услугами. Также в отдельном материале мы собрали самые частые вопросы, с которыми клиенты обычно обращаются в службу поддержки. Как сменить проверенный номер телефона, сформировать счёт или изменить пароль на сервере — отвечаем в статье на эти и другие вопросы.
firstvds.ru/technology/technical-support-questions
Если вам нужна помощь
Наша техподдержка работает круглосуточно и готова помочь вам с любым вопросом. Простые технические задачи консультанты решают бесплатно, сложные работы выполняются администраторами в рамках пакета администрирования или за разовую оплату. В статье рассказываем, как правильно написать запрос в службу поддержки, чтобы ваш вопрос был решён как можно быстрее.
firstvds.ru/technology/how-to-create-a-ticket-correctly

Habr: самое интересное за сентябрь
Находим равновесие в привычных вещах, например, в чтении интересной статьи за чашкой утреннего кофе. Какие наушники носят операторы дата-центров, в чем сходство ИИ и человеческого мозга, как работает самый большой ЦОД — об этом и многом другом рассказываем в нашем блоге на Хабре.
Citadel — самый крупный дата-центр в мире. Что известно о 7,2 млн кв. футов, работающих на возобновляемой энергии?1–2–3. Простой мониторинг для маленьких веб-сервисов Берегите слух! Личный опыт подбора наушников для работы в ЦОДеИИ-самоучка демонстрирует сходство с тем, как работает мозг Репликация MySQL и MariaDB: мониторинг с помощью Zabbix
Новости
А теперь к новостям сентября.
Изменения в работе IP-адресов на проекте CLO

CLO: изменение принципа работы IP-адресов
На проекте CLO больше нет разделения IP на плавающие и статичные, теперь все внешние адреса можно свободно переносить между серверами — переключение происходит быстро и без перезагрузки. SNAT больше не используется, IP-адреса подключаются напрямую на сетевой интерфейс сервера.
Если вы еще не знакомы с CLO, можете протестировать его, заказав сервер на сутки. Благодаря почасовой оплате вам не нужно брать сервер в аренду на месяц — достаточно пополнить баланс на сумму от 100 рублей.

Новые конфигурации на аукционе FirstDEDIC

На аукционе выделенных серверов FirstDEDIC новые конфигурации на базе процессоров Intel, и цены на них снижаются каждый день. Следить за процессом, чтобы забрать сервер по максимально выгодной цене, можно на сайте или через специальный тг-канал.


Получи скидку за отзыв до 25%
Нам очень важна обратная связь, ведь благодаря вашим отзывам мы можем узнать, что делаем хорошо, а что, наоборот, следует подтянуть — это помогает держать верный курс и становиться лучше. Поэтому за каждый отзыв на одном из перечисленных в списке ресурсов мы дарим скидку от 5% до 25% на один виртуальный сервер на месяц. Спасибо, что пользуетесь нашими услугами и делитесь мнением о нас!
firstvds.ru/promotion/skidka_do_25_kazhdomu

Уязвимости
0-day уязвимости в плагинах WordPress
Уязвимые WordPress-плагины BackupBuddy и WPGateway подвергаются массовым атакам злоумышленников. Чтобы обезопасить себя, пользователям настоятельно рекомендуется обновить BackupBuddy до последней версии, а WPGateway — немедленно удалить, пока не появится исправляющий патч.
xakep.ru/2022/09/12/backupbuddy-attacks/
xakep.ru/2022/09/15/wpgateway-attacks/

Устранена уязвимость в СУБД Redis 7
В обновлении CУБД Redis 7.0.5 устранена уязвимость, позволяющая злоумышленнику выполнить свой код с правами процесса Redis. Проблема вызвана целочисленным переполнением, возникающим при указании некорректного значения параметра «COUNT» в команде «XAUTOCLAIM».
www.opennet.ru/opennews/art.shtml?num=57827

Обнаружена утечка паролей в Chrome и Microsoft Edge
Оказалось, что при включении расширенного режима проверки правописания с использованием внешнего сервиса в браузерах Chrome и Microsoft Edge (с дополнением Microsoft Editor) текст для проверки передаётся также и из форм ввода, содержащих конфиденциальные данные. Чтобы заблокировать отправку данных, пользователям рекомендуется отключить в настройках расширенную проверку.
www.opennet.ru/opennews/art.shtml?num=57798

Некоторые версии PuTTY заражены бэкдором
Аналитики из компании Mandiant предупредили пользователей о появлении троянизированной версии утилиты PuTTY, которая используется злоумышленниками для взлома различных организаций. При установке обязательно обращайте внимание, легитимные версии PuTTY подписаны разработчиком, а версии хакеров — нет.
xakep.ru/2022/09/16/malicious-putty/

Информируем клиентов хостинга DDoS-Guard, которые используют шаблон интерфейса Paper Lantern в cPanel, что со следующим обновлением в интерфейсе панели управления хостингом произойдут изменения. Это связано с тем, что Paper, начиная с версии 108, более не будет поддерживаться.

Постепенный отказ от Paper Lantern в cPanel анонсировали еще летом 2021 года. С обновлением до версии 108 (ориентировочно во втором-третьем квартале 2022 года) шаблон полностью уберут из панели. После обновления до версии 108, существующие пользователи, у которых был установлен интерфейс Paper Lantern, автоматически будут переведены на шаблон Jupiter. Функционально он полностью эквивалентен предыдущему шаблону, так что никаких неудобств с переходом на Jupiter пользователи ощутить не должны.

С апреля 2022 года в хостинге DDoS-Guard используется предшествующая большому обновлению версия cPanel (102). Что в ней изменилось:
Команды разработки и выпуска cPanel перешли на работу над шаблоном Jupiter;Техподдержка и обновление Paper Lantern, за исключением исправлений безопасности, прекращены;Версия 102 станет последней, где можно будет использовать Paper Lantern.
Что будет на практике означать для клиентов хостинга DDoS-GUARD обновление cPanel до версии 108:
Тема Paper Lantern будет удалена из интерфейса cPanel вместе со всеми пользовательскими модификациями;Поддержка шаблона и его обновление, в том числе, что важно, исправления безопасности, будут прекращены;Общедоступная документация cPanel и WHM будет отображаться в шаблоне Jupiter в интерфейсе cPanel;Для всех предыдущих версий cPanel до обновления тема Paper Lantern будет поддерживаться в соответствии с Политикой долгосрочной поддержки компании;
Разработчики будут поддерживать новый шаблон интерфейса Jupiter и дополнять его функциональность со следующими обновлениями (в том числе добавляя возможности кастомизации).

Отзывы и комментарии по поводу перехода на Jupiter можно оставить в соцсетях компании cPanel. Также она подготовила базу знаний для ручного перехода с Paper Lantern на новую тему на тот случай, если вы не уверены, что при автоматическом обновлении cPanel до версии 108 все будет корректно перенесено.

https://ddos-guard.net

ФГУП «Паспортно-визовый сервис» МВД России является крупнейшим Предприятием по оказанию услуг в сфере миграции и представлен почти в каждом уголке страны. Сотрудники ФГУП «ПВС» МВД России оказывают информационно-консультационную помощь в сфере миграции, а также занимаются оформлением заявлений и иных документов, подаваемых в территориальные органы МВД России. Только в 2021 году Предприятием оказано 3 миллиона услуг, из которых более 1 миллиона по оформлению патентов.

Большой объём обрабатываемых персональных данных и широкая географическая распределённость филиалов усложняют задачу Предприятия по защите сведений. В связи с этим, а также в целях выполнения требований ФЗ №152 «О персональных данных», ФГУП «Паспортно-визовый сервис» МВД России принял решение использовать решения облачных провайдеров. В частности, корпоративного облачного провайдера «Cloud4Y».

После небольшого тестового периода, необходимого для оценки качества оказываемых услуг, Предприятие мигрировало на облачную платформу. На принятие решения о сотрудничестве повлиял большой опыт работы «Cloud4Y» в сфере обеспечения защиты чувствительной информации, высокая скорость реакции на обращения, а также компетентность сотрудников технической поддержки.

ФГУП «Паспортно-визовый сервис» МВД России получил закрытый защищённый контур для хранения персональных данных. Предложенное компанией решение «Облако ФЗ 152» упрощает соблюдение требований законодательства 152-ФЗ для операторов ПДн и помогает избежать нарушений, связанных с хранением персональных данных граждан. Наличие средств защиты информации (СЗИ), лицензированных ФСБ и ФСТЭК, а также сертификатов УЗ1-4, 1К, 1Г гарантирует безопасность и отказоустойчивость облачной платформы. Теперь данные граждан, пользующихся услугами Предприятия, находятся под надёжной защитой.