Приветы!
Хоть Хэллоуин и не является официальным праздником, считаем неплохой идеей разбавить осенние будни жутким весельем. Вырезать тыквенные лица и готовить яблоки в карамели необязательно – погрузиться в атмосферу Хэллоуина можно вместе с новым выпуском нашего дайджеста.



А теперь подробнее о том, что нас сегодня ждёт. В октябрьском выпуске поделимся с вами полезными статьями о Линуксе и доменах, расскажем про обновления CLO и заглянем к FirstDEDIC посмотреть на тесты AMD Ryzen 9 3950X. А ещё не пропустите праздничную акцию – о ней в конце дайджеста.

Статьи и манускрипты
Станьте заклинателем Линукс
Если вы всегда обходили стороной операционную систему Линукс, а команды в терминале напоминали вам странные заклинания – у нас есть решение. В этом месяце выпустили целый цикл статей о работе
с Линукс, чтобы вы могли сделать свои первые шаги в администрировании. Не будем тянуть и перейдём к первым статьям. Остальные материалы вы найдете в разделе «Гайды по Linux» в Базе знаний.

• Знакомство с Linux
• Подключение к Linux-серверу
• Первые шаги в командной строке

Разгадайте тайну доменного имени
У каждого сайта в интернете есть уникальное имя – домен. DNS, система доменных имён, позволяет связывать сложные для запоминания IP-адреса сайтов с их названиями. Всего за долю секунды DNS-запрос проходит огромный путь от вашего браузера до авторитетного сервера. Если хотите разобраться, как происходит эта магия, читайте наши статьи, в них вы найдете ответы на все свои вопросы.

• Вопросы о доменных именах
• Что такое серверы имён?
• Что такое DNS и как это работает

Если не нашли решение проблемы в Базе знаний, напишите нам на sales@firstvds.ru — добавим статью.

Новости
Статьи на сегодня всё, перейдем к новостям.

Поставь оценку всяк сюда входящий
Расскажите, насколько вы удовлетворены качеством наших услуг, чтобы мы могли провести работу над ошибками. На сайте запущен опрос, в котором вы можете поставить оценку и подробно раскрыть её в комментарии. Ваши ответы укажут на наши сильные и слабые стороны и помогут нам стать ещё лучше.
firstvds.ru/

Магический камень для дедиков
У наших коллег FirstDEDIC в продаже появились новые конфигурации серверов, теперь вы можете заказать выделенный сервер на базе AMD Ryzen 9 3950X. Новинка имеет 16 ядер и может разгоняться до 4,7 ГГц в турборежиме. Перед началом продаж процессор прошёл череду тестов, а также выдержал сравнение с флагманами от Intel. Если хотите узнать, чем кончилось их противостояние, заглядывайте к FirstDEDIC.
1dedic.ru/content/amd-ryzen-9-3950x-okazalsya-proizvoditelnee-flagmana-intel-i9-10900k

Что нового на облаках
Весной наши разработчики запустили виртуальные серверы в облачной инфраструктуре – проект CLO. Прошло полгода, сервис растёт и развивается. В последних обновлениях ребята добавили снапшоты (быстрые точки восстановления) и возможность использовать SSH-ключи для доступа к серверу без ввода логина-пароля. Также на сайте проекта появился Changelog, в котором можно следить за нововведениями.
clo.ru/changelog

Мешок релизов
Релиз ядра Linux 5.9
Представлена новая версия ядра Linux 5.9, в ней принято более 16 тысяч исправлений от двух тысяч разработчиков. Почти половина всех изменений относится к драйверам устройств, также обновлена часть кода, связанного с аппаратными архитектурами и сетевым стеком. Например, добавлена поддержка ARM-плат, графических процессоров AMD Navi 21 и Navi 22, поддержка сжатия образа ядра с помощью алгоритма Zstandard и многое другое.
Подробнее о обновлении на opennet.ru

Релиз сервера приложений NGINX Unit 1.20.0
Выпущена новая версия сервера приложений NGINX Unit 1.20.0, который позволяет одновременно запускать приложения на разных языках программирования. В текущем релизе добавлена поддержка ПО ASGI (аналог WSGI) для Python, обеспечивающая взаимодействие серверов, фреймворков и приложений, которые поддерживают работу в асинхронном режиме.
О других изменениях на opennet.ru

Релиз Python 3.9
В прошлом году разработчики языка программирования Python решили выпускать корректирующие обновления каждые два месяца, а крупные релизы – раз в год. Таким образом, в октябре состоялся первый большой релиз Python 3.9. Из интересных новшеств: увеличена скорость работы за счёт протокола Vectorcall, к декораторам теперь можно обращаться без ограничений, добавлен оператор для объединения словарей.
Узнать больше на opennet.ru

Релиз Nextcloud Hub 20
Состоялся выпуск Nextcloud Hub 20, платформы для организации совместной работы и общего облачного хранилища. Она представляет собой аналог Google Docs и Microsoft 365, однако позволяет развернуть на своих серверах полностью контролируемую инфраструктуру, независимую от внешних облачных сервисов. Для работы с Nextcloud можно использовать любой хостинг с PHP-скриптами и доступом к SQLite, MariaDB/MySQL или PostgreSQL.
Подробнее на opennet.ru

Магические скидки на Форсаж

Традиционно в Хэллоуин принято наряжаться в костюмы и просить сладости. Сладостями поделиться не можем, но кое-что для вас всё же приготовили. С 29 октября до 12 ноября дарим скидку 15% на гибкий тариф VDS Форсаж по промокоду HALLOWEEN15. Подробные условия акции читайте на нашем сайте.
firstvds.ru/products/vds_vps_forcing

Сентябрь — месяц, богатый на IT-праздники. Тут тебе и День интернета, и День программиста. Хотели традиционно посвятить дайджест кодерам, но что-то пошло не так и выпуск оказался захвачен вредоносным кодом. А точнее котом.



И всё-таки о программистах. Уж кто-кто, а эти ребята точно знают толк в хорошем ПО, надёжных паролях и грамотном планировании. Отдавая дань прошедшему празднику, собрали обо всем понемногу в новый выпуск.

Статьи и инструкции
Про жизнь программиста в отделе маркетинга и наш новый блог
В честь Дня программиста, который традиционно отмечается в сентябре, наш разработчик Алексей приготовил особенную статью. Если хотите узнать, как сработаться со смешанной командой, выдержать шквал креативных идей и уложиться в дедлайн «а давайте запилим новую фичу сегодня» — милости просим в наш блог на сайте VC.ru (да-да, теперь нас можно найти не только на Хабре).


Про Личный кабинет, надёжные пароли и меры безопасности
Если вы забыли данные для авторизации или ваш кот прошелся по клавиатуре и несколько раз ввёл неверный пароль — наша статья поможет вернуть доступ к Личному кабинету. Вдогонку написали пару материалов о том, как обезопасить свой аккаунт и придумать надёжный пароль, на взлом которого потребуется квинтиллион лет… Надеемся, наши криптографические лайфхаки будут вам полезны.

• Доступ в Личный кабинет FirstVDS
• Как создать надежный пароль
• Безопасность паролей

Про установку ПО и размещение сайтов
Чтобы сайт работал и клиенты были, важно позаботиться о первоначальной настройке сервера — установить операционную систему, настроить необходимое ПО… Можно все сделать вручную, а если не хотите разбираться, то установить наш рецепт LAMP. Подробнее про настройку ПО и размещение сайта на сервере рассказываем в новых статьях. А для тех, кому вместо веб-сервера Apache нужен Nginx, приготовили отдельные инструкции по работе с LEMP.

• Установка LAMP
• Как разместить сайт на сервере с LAMP
• Установка LEMP
• Как разместить сайт на сервере с LEMP

Про установку и настройку CMS
Если устанавливать ПО для работы сайтов и веб-приложений вы уже научились, то самое время перейти к установке CMS, системы управления сайтом. Но перед этим рекомендуем изучить возможности каждой системы. В целом, разместить сайт можно на любой, но отличия всё-таки есть. Как только определитесь с выбором — заходите к нам: подготовили для вас несколько инструкций для трёх самых популярных CMS. После этого останется только наполнить сайт контентом и запустить его в продакшн.

• Установка CMS для сайта в ISPmanager
• Как установить WordPress на виртуальный сервер
• Как установить Drupal на виртуальный сервер
• Как установить Joomla! на виртуальный сервер

Если не нашли решение проблемы в Базе знаний, напишите нам на sales@firstvds.ru — добавим статью.

Новости
А теперь перейдём к новостям сентября.

Гигабитный канал теперь и на гибких тарифах
Недавно мы обновили линейку готовых тарифов и добавили возможность выбора канала до 1 Гбит/с. Теперь такая опция появилась и на тарифах с гибкой конфигурацией. При заказе сервера Битрикс или CPU.Турбо можно выбрать канал со скоростью до 500 Мбит/с, а при заказе Форсажа и Атланта доступен канал до 1 Гбит/с. Это бесплатно, но трафик ограничен — 32 ТБ в месяц, превышение оплачивается отдельно.


«Срок жизни» SSL-сертификатов сократили до 1 года
В начале года многие браузеры выступили с заявлением, что скоро прекратят доверять двухлетним SSL-сертификатам, чтобы повысить безопасность сайтов. Удостоверяющие центры присоединились к инициативе и с 1 сентября официально прекратили выпуск двухлетних SSL-сертификатов, теперь они ограничены сроком в 1 год. Если вы приобрели сертификат до 01.09.2020 — не беспокойтесь, он будет действовать до конца своего срока.

Неудержимые скидки на выделенные серверы

Лето кончилось, а запас бодрости и сил нет — наши партнеры FirstDEDIC весь сентябрь раздавали неудержимые скидки до 20% на все готовые выделенные серверы на базе Xeon и Intel Core. Если хотите успеть забрать сервер по выгодной цене, то у вас остался один день — акция закончится 30 сентября в 23.59. А если вашему проекту нужны мощности побольше, предлагаем обратить внимание на выделенные серверы с AMD Ryzen 9 3900X. Отличное решение, если вам важна многопоточность — ядер больше даже чем у флагманского проца от Intel (при более лояльной цене). Если интересно, то у нас и результаты тестов есть.
1dedic.ru

Уязвимости и релизы месяца
Критическая уязвимость в ftpd FreeBSD
В сервере ftpd в составе FreeBSD обнаружили критическую уязвимость, которая позволяет пользователям домашнего каталога получить root-доступ, используя опцию ftpchroot. Однако уязвимость не проявляется при подключении без ftpchroot или в анонимном режиме. Чтобы обезопасить сервер, обновитесь до 12.1-RELEASE-p10, 11.4-RELEASE-p4 или 11.3-RELEASE-p14 (также в этих обновлениях устранены уязвимости гипервизора Bhyve и драйвера ure).
www.opennet.ru/opennews/art.shtml?num=53720

Обнаружена уязвимость в AF_PACKET ядра Linux
В подсистеме AF_PACKET ядра Linux выявлена уязвимость, предположительно существующая аж с 2016 года. Она позволяет локальному пользователю с полномочиями CAP_NET_RAW получить права root и записать от 1 до 10 байт за пределами выделенного ему буфера. Уязвимость присутствует в функции tpacket_rcv и вызвана ошибкой вычисления переменной netoff. Устранить проблему в данный момент можно с помощью соответствующего патча, обновление пока недоступно.
www.opennet.ru/opennews/art.shtml?num=53656

Уязвимость в плагине WordPress File Manager
В версиях 6.0-6.8 File Manager, популярного плагина WordPress, нашли уязвимость, позволяющую запускать произвольный код и загружать на сайт вредоносные файлы. Таким образом злоумышленники могут настроить автоматизированные атаки на сервер. В первый же день уязвимостью попытались воспользоваться более 450 тысяч раз. Если вы используете данный плагин, настоятельно советуем обновиться до версии 6.9 — в ней уязвимость уже устранена.
www.opennet.ru/opennews/art.shtml?num=53646

До конца лета всего ничего. Надеемся, вы успели подзарядиться в сезон отпусков и восполнить ресурсы, чтобы их хватило на год. Или хотя бы на весь деловой сезон. А пока готовитесь к началу осени, полистайте новый выпуск дайджеста. Как всегда собрали самое интересное за месяц — новости, статьи и запасы летнего настроения.



А ещё поговорим сегодня о ресурсах сервера. Их ведь тоже должно хватать, особенно в чудесную пору возрастающей активности. Так что устраивайтесь поудобнее и поехали!

Статьи и инструкции
О новом поколении процессоров Intel Core
Да, время идёт, всё меняется. И на смену девятому поколению процессоров Intel Core приходит десятое. Мы уже писали о том, что обновили линейку тарифов Турбо и теперь у нас есть серверы на базе новых процессоров i9-10900K. Если хотите узнать, насколько они круче своих предшественников, читайте статью в нашем блоге на Хабре. Там всё по полочкам. И с графиками.

i9-10900K против i9-9900K: что можно выжать из новых Intel Core
на старой архитектуре

О способах переноса сайта на сервер с GT
Для тех, кто не знает, поясним. Окружение GT — специальное программное обеспечение, которое ускоряет работу сайтов на CMS Битрикс. Так как GT-окружение не имеет меню, все действия необходимо выполнять самостоятельно. Для тех, кто захочет попробовать новые скорости и соберётся перенести свой сайт на сервер для Битрикса, подготовили в помощь инструкцию.
Как перенести сайт на сервер с окружением GT

О ресурсах сервера и смене тарифа
Нагрузка на сервер как уровень воды в океане. Растёт постоянно. Больше данных, больше посетителей, а как следствие — сервер не вывозит, потому что ресурсов «маловато будет». О том, что делать, если хочется увеличить производительность хостинга, рассказываем в нашей статье-шпаргалке.
Изменение ресурсов сервера и смена тарифа

Новости
А теперь коротко о главных новостях августа.
Проапгрейдили линейку готовых тарифов и добавили ещё один
В этом месяце мы обновили дизайн главной страницы сайта и переработали линейку готовых тарифов. Они стали производительнее, чем раньше. Кроме того, добавили новый тарифный план «Прогрев» — подходит для размещения простых проектов и небольших сайтов. А ещё увеличили скорость соединения. Теперь при заказе готовых тарифов с виртуализацией KVM можно выбрать канал до 1 Гбит/с.
firstvds.ru/products/vds_vps_hosting

Объединили группы в социальных сетях с FirstDEDIC
Да, да, с августа у нас общие группы с партнерским проектом FirstDEDIC. Мы, конечно, не ром и кока-кола, но вместе однозначно веселей. А вам теперь станет легче следить за акциями и новостями как о виртуальных, так и о выделенных серверах — вдруг однажды соберётесь пересаживаться на машины помощнее. Подписка, лайк, шер повышают карму подписчика и настроение админов групп.

Панель ISPmanager получила новый дизайн

Совсем недавно панель управления ISPmanager Lite получила новый дизайн. Все кнопки и функции остались на привычных для пользователей местах, а вот интерфейс значительно эволюционировал: стал более современным и удобным.

Уязвимости и релизы месяца
В популярном движке для форумов vBulletin исправили уязвимость
Причём повторно… Опасная уязвимость нулевого дня была обнаружена в прошлом сентябре. Затрагивала версии vBulletin с 5.0 по 5.4 и позволяла выполнять произвольные PHP-команды на удалённом сервере, не требуя авторизации на форуме. Патч выпустили сразу, но часть компаний пострадала-таки от рук хакеров.
С тех пор прошёл почти год, и вот неожиданность — оказалось, выпущенный патч можно обойти. Это подтвердилось обнародованными PoC-эксплоитами — на Bash, Python и Ruby. Свежий патч для старой-новой проблемы уже выпущен и разработчики советуют не затягивать с обновлением. Подробнее на xakep.ru

Выявлен червь FritzFrog, поражающий серверы по SSH
Неравнодушные ребята из Guardicore выявили новое вредоносное ПО FritzFrog, поражающее серверы на базе Linux. Причём высокотехнологичное. Мало того, что оно сочетает в себя червя, который распространяется через bruteforce-атаку, с компонентами для построения умного ботнета без единой точки отказа, так его ещё и не так просто выявить… В основном хакеры используют «лягушку» для взлома серверов госучреждений и банков, чтобы потом майнить на них криптовалюту. Простого решения для защиты пока не нашлось, но для выявления FritzFrog исследователями предложен некий shell-скрипт и указан ряд признаков наличия червя, например, наличие трафика на сетевой порт 5555. Подробнее об этом на opennet.ru

Уязвимость в chrony
Выявлена уязвимость в реализации протокола сетевого времени chrony. Она позволяет перезаписать любой файл в системе и при этом может быть эксплуатирована через пользователя chrony. Устранена в выпуске 3.5.1. Обновления пакетов доступны для Fedora. В процессе подготовки обновления для RHEL, Debian и Ubuntu. Подробнее на opennet.ru

Релиз WordPress 5.5 с поддержкой обновления плагинов
Состоялся в середине августа и получил кодовое имя «Eckstine» в честь певца Билли Экстайна. Если любите джаз, то наверно в курсе, кто это.
Выпуск интересен тем, что в нём есть режим автообновления плагинов и тем оформления. Такая палка о двух концах. С одной стороны, может решить проблему с уязвимостями в старых плагинах, где решает скорость «вкатывания» свежих пакетов, с другой — нет гарантии, что не возникнет опасность автоматизированного распространения вредоносного кода в процессе доставки обновлений или типа того.
По умолчанию автоматическая установка обновлений в WordPress 5.5 отключена. Так что решать будет пользователь.
О других новшествах WP 5.5. на opennet.ru

Хеллоу, диа френдс!

Впереди ещё целый месяц лета, и это прекрасно. Так же как и то, что завтра пятница и День системного администратора в одном флаконе. С чем вас и поздравляем! И прежде, чем мы традиционно начнём рассказывать о самом интересном за месяц, предлагаем пройти короткий тест на интуицию. Посмотрите на фото наших ребят и угадайте, кто из них настоящий системный администратор. Отгадка ниже.


Ну, а теперь коротко о том, что мы для вас приготовили. Статьи про вирусы и взломы, новости о Турбо-тарифах, уязвимости месяца и на десерт — ещё один тест на тру-сисадмина, который поможет определить, кто есть кто. В общем, если хардкор, скорость и драйв — это то, что вам нужно накануне праздничной пятницы, то вам сюда. Погнали!

Статьи и инструкции
О взломах, вирусах и способах борбы с ними
Чем больше жизнь перетекает в онлайн, тем больше желающих приходит отыскать слабое звено в ваших сайтах. И ладно бы с благими целями, так ведь нет. Взломы, вирусы, слив данных пользователей… счёт идет на секунды… В общем, боевик какой-то. Кстати, заметили, что в таких фильмах побеждает тот, кто успевает подготовиться? Пулемет зарядить, ловушек наставить, ну, или хотя бы морально собраться. Так вот пока есть время, берите пример с Рэмбо: если войны избежать не получится, то хотя бы будете знать, как отстреливаться. Подобрали тут для изучения матчасти:

• Профилактика сайтов от вирусов и взлома
• Признаки и способы заражения и взлома сайтов
• Инструменты проверки сайта на вирусы
• Установка AI-BOLIT и проверка сайта на вирусы
• Способы лечения вирусов на сайте
• Лечение вирусов на сайтах: чек-лист
• Восстановление репутации сайта после заражения

О проблемах с доступностью сайта и сервера
Код 200 на языке протокола HTTPS — почти то же самое, что «окей» на английском. Только для сайта, который сообщает, что с ним все в порядке. Причины, почему с сайтом может быть не «окей», бывают самые разные. Но это не значит, что пришла пора опускать руки — для начала можно найти, где и что именно пошло не так. А там, глядишь, и решение отыщется. Кстати, если по сети недоступен сервер — рекомендации те же: искать и не сдаваться. Подробнее об этом в наших статьях в базе знаний. Не Чернышевский конечно, но на вопрос «что делать» ответы имеются.

• Что делать, если сайт недоступен по сети (код 200)
• Что делать, если сервер недоступен по сети

О правильных запросах в поддержку
Средняя скорость ответа нашей техподдержки — 15 минут. Но кто не мечтает о том, чтобы ему отвечали мгновенно. Мы бы и сами так хотели, честно. Увы, человеческие и технические возможности имеют свои пределы. Правда, есть тут один лайфхак. Чтобы обработка тикета проходила быстрее, нужно правильно составить текст запроса. О том, как это работает, чистосердечно рассказываем в статье. Прям тут.

• Как правильно написать запрос в службу технической поддержки

Новости
Турбо-тарифы стали еще быстрее

Если пропустили новость от Intel о выпуске процессоров Core десятого поколения i9-10900K — не беда. Главное, не пропустить тот факт, что теперь у нас есть виртуальные серверы на базе этих процессоров — с частотой до 5,3 ГГц. Еще одна хорошая новость: мощность VDS выросла, а цена нет. За техническими характеристиками, результатами тестов и подробностями — сюда.

В сервисе CLO появились пять новых функций
Команда разработки проекта CLO не сидит сложа руки даже летом. И пока вы читаете новости — тоже. Но о перспективах чуть позже. А сейчас о том, что же изменилось с момента старта.

• Добавилась возможность заказывать сервер, самостоятельно настраивая нужное количество ресурсов. В разумных пределах, естественно.
• Также вы можете изменить ресурсы уже созданных серверов как в большую, так и в меньшую сторону.
• Если при запуске ОСи возникают ошибки, теперь можно перевести сервер в режим восстановления и получить доступ к консоли, чтобы починить всё, что сломалось.
• Пополнился список способов оплаты — стали доступны банковские переводы.
• Усилили систему безопасности, добавив возможность подключения двухфакторной аутентификации.

Подробнее в базе знаний CLO, ссылки прилагаются.

• Гибкие настройки ресурсов сервера
• Оплата банковским переводом
• Режим восстановления сервера (rescue mode)
• Двухфакторная аутентификация

В ближайшее время команда проекта планирует добавить кое-что ещё. Если хотите быть в курсе всех изменений и планов по развитию CLO, заглядывайте на сайт проекта.
clo.ru/about

Уязвимости месяца
Уязвимости в libc и IPv6-стеке FreeBSD
Для кого-то июль оказался весьма плодотворным. Во FreeBSD устранено четыре уязвимости, позволяющие локальному пользователю получить больше прав, и три проблемы, не связанные с безопасностью, но от этого не менее опасные, так как при совпадении некоторых условий вполне способны привести к краху ядра. Совет традиционный — обнулитесь обновитесь. Подробнее об уязвимостях на opennet.ru
www.opennet.ru/opennews/art.shtml?num=53317

50 тысяч TLS-сертификатов EV подлежат отзыву
В начале месяца удостоверяющий центр Digicert сообщил, что 11 июля намерен отозвать около 50 тысяч сертификатов уровня EV. Такое решение было связано с тем, что расширенные отчёты по этим сертификатам за почти пятилетний период были пропущены. Отзыву подлежат сертификаты, выданные через аккредитованные удостоверяющие центры, не фигурирующие в отчётах для аудита. Изменение коснется клиентов, выпустивших EV-сертификаты в центрах сертификации CertCentral, Symantec, Thawte и GeoTrust, им может потребоваться перевыпуск. Подробнее на opennet.ru
www.opennet.ru/opennews/art.shtml?num=53334

Время Flash Player истекает
31 декабря 2020 года — официальная дата end of life (EOL) Flash Player, анонсированная компанией Adobe. После этого дня поддержка технологии будет прекращена, а выпуск обновлений завершится. В Adobe также намерены ликвидировать все загрузочные ссылки с сайта, добавить в код блокировки для запуска и обратиться к пользователям с просьбой удалить Flash Player со своих компьютеров, чтобы исключить возможность установки и использования неподдерживаемого ПО. Ведь после того, как технология лишится поддержки, она станет более уязвимой — компания планирует сделать всё, чтобы защитить пользователей. Подробнее на xakep.ru
xakep.ru/2020/06/22/uninstall-flash-player/

В Windows DNS Server устранена критическая уязвимость 17-летней давности
Критическая уязвимость существовала в коде 17 лет прежде, чем была обнаружена специалистами компании Check Point­ в мае этого года. Она уже успела получить кодовое имя SigRed, 10 из 10 баллов по шкале оценки уязвимости, что означает высокий уровень опасности, и мотивировать компанию Microsoft на экстренное устранение проблемы. Так как эксплуатация уязвимости почти не требует технических знаний, а сама она может быть использована для удаленных атак, рекомендуется не затягивать с обновлением. От слова совсем. Подробнее на xakep.ru
xakep.ru/2020/07/15/sigred/

А вы тоже не заметили, как просвистел июнь? Если пока не думали о том, как провести оставшуюся часть лета так, чтоб запомнилось, готовы подкинуть варианты. И нет, это не ремонт или шашлыки.


В новый выпуск традиционно собрали полезные инструкции, горячие новости и, раз уж пообещали, 5 идей о том, чем занять себя летом, не выходя из-за монитора.

Статьи и инструкции
Идея 1. Разобраться с бэкапами и не только
Внешний диск для бэкапов — штука отличная, тем более, что никто не может вам запретить хранить там… тссс… не бэкапы! Взять, к примеру, все папки с названиями «Разобрать» и «Temp11111» да и залить на удалённый сервер. Как говорится, с глаз долой… В общем, как использовать диск — дело сугубо личное. Но если что, в инструкции подробно объясняем, как переносить файлы в хранилище по FTP-протоколу с помощью FileZilla, и рассказываем про встроенные возможности веб-интерфейса.
Управление внешним диском для бэкапов

А чтоб было проще начать, ловите от нас летний промокод и подключайте внешний диск для бэкапов со скидкой 30% на 3 месяца. Промокод 3MONTHBACKUP. Успевайте до 31 июля. Потом поезд уйдёт.

Идея 2. Установить нужное ПО
Пока большая часть народа в отпусках, можно наконец-то выкроить время и поставить дополнительное программное обеспечение. Отдавая дань 25-летию php, в этот раз рассказываем, как установить приложение phpMyAdmin на Битрикс-сервер с привычным окружением и скоростным рецептом GT. Для прода админы приложение использовать не советуют, а на dev в принципе можно накатить. Ну вы и сами всё знаете.
Установка phpMyAdmin на Bitrix-сервер
Как установить phpMyAdmin на Bitrix-сервер с GT

Идея 3. Запустить новый проект в Minecraft
Кажется, у игры Майнкрафт открылось второе дыхание. Или даже третье. Строительство из кубиков вышло на новый уровень — теперь тут проводят выпускные в виртуальных стенах родного учебного заведения и даже ставят спектакли, «Вишнёвый сад» например. В общем, не паханное поле для креатива. Пока обдумываете, как использовать популярную игру в своих целях — для работы или отдыха, рассказываем, как установить Minecraft на свой сервер. Не все же в Red Dead Redemption планерки проводить…
Как установить Minecraft-сервер версии 1.15.2 на Ubuntu\Debian
Как установить Minecraft-сервер версии 1.15.2 на Windows

Идея 4. Разработать telegram-бота
Он работает — вы отдыхаете. Тем более, что теперь никаких обходных путей выдумывать не надо. И вот почему…

Новости
Дождались! 18 июня Роскомнадзор разблокировал телеграм. Пользователи в сети шутят на тему, как можно разблокировать то, что так и не было заблокировано. Да большинство даже не заметило проблем в работе мессенджера — телеграм проксировал трафик и вообще он молодец, но кое-где костыли и велосипеды все же потребовались. После блокировки 13 апреля 2018 года боты телеграма перестали работать. Поскольку инструмент хорош и востребован, многим пришлось искать обходные пути — настраивать vpn, переезжать на забугорные серверы, писать на скорую руку скрипты…

Теперь можно вздохнуть свободно — боты снова работают на серверах, находящихся в РФ. И на наших в том числе. Если что, мы проверили. Проверьте и вы — заодно узнаете о том, кто и как работает в нашей компании.
t.me/ThinkFirst_bot

Идея 5. Повысить уровень безопасности данных
Проводить профилактику безопасности никогда не лишне. Ведь иногда кажется, что хакеры никогда не спят, не болеют и не отдыхают…

Уязвимости месяца
Опасный шифровальщик PonyFinal
Компания Microsoft советует компаниям остерегаться кибератак с использованием опасного шифровальщика PonyFinal. От него уже пострадали организации в разных странах. Эффективность вредоносу обеспечивают хакеры, которые после взлома вручную размещают в корпоративных сетях своё ПО, а не автоматизируют процесс. Чаще всего взлом происходит через учётные записи со слабыми паролями, далее активируется скрипт Visual Basic, который запускает процесс сбора и передачи данных. Затем внедряется сам шифровальщик PonyFinal. Так как способов для расшифровки пострадавших данных пока нет, специалисты по безопасности советуют не ограничиваться изучением кода вируса, но и обращать внимание на сам ход атаки. Подробнее на xakep.ru

Уязвимость в GnuTLS
Выявлена уязвимость в библиотеке GnuTLS, которая по умолчанию применяется во многих пакетах из состава Debian. Уязвимость позволяет возобновить ранее прекращенный сеанс TLS без знания сессионного ключа и может быть использована для организации так называемых атак посредника (MITM). Проблема проявляется с выпуска 3.6.4. Устранена в версии GnuTLS 3.6.14. Проблема была исправлена в дистрибутивах Debian, SUSE, FreeBSD, Fedora, Ubuntu, EPEL и RHEL 8. Подробнее на opennet.ru

Масштабная кампания по взлому сайтов на WordPress
В начале июня специалистами Wordfence была зафиксирована вторая волна хакерских атак на сайты на WordPress. Первая была в мае. Поскольку атаки были организованы с IP-адресов, часть которых использовалась хакерами ранее, эксперты Wordfence считают, что обе кампании по взлому — дело рук одной и той же группы злоумышленников.

В этот раз взломщики использовали старые уязвимости в плагинах и попытались скачать с сайтов файлы конфигурации. По оценкам экспертов, это составило около 75% всех попыток использования уязвимостей в плагинах и темах для WordPress. Подробнее на xakep.ru

Протоколу SMB угрожает новая проблема SMBLeed
Уязвимость, получившая название SMBLeed, позволяет злоумышленнику удаленно, минуя аутентификацию, «сливать» данные из памяти ядра. Проблема проявляется в Windows 10 и Windows Server версий 1903, 1909 и 2004. Патчи для бага уже доступны, но у Microsoft есть и другие варианты решения этой проблемы. Подробнее на xakep.ru

И релизы
Релиз OpenSSH 8.3
Представлен релиз OpenSSH 8.3, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новом выпуске добавлена защита от атаки на scp и внесен целый ряд изменений. Подробнее на oppenet.ru

Релиз Windows 10
Если вдруг пропустили, напоминаем, что состоялся релиз Windows 10 (2004). В его состав вошло немало улучшений по безопасности. Но до идеала, видимо, делеко. Уже составлен список проблем, с которыми столкнулись пользователи. Подробнее на xakep.ru

Релиз почтового сервера Exim 4.94
В новом выпуске внесены накопившиеся исправления и добавлен ряд возможностей. И как уже стало известно, часть из них могут привести к нарушению обратной совместимости. Нет в мире совершенства. Подробнее на opennet.ru

Вот и подоспел очередной выпуск нашего дайджеста. Сегодня говорим о том, что делать, когда задач становится всё больше, а сил — всё меньше. Во время пандемии почему-то такое особенно актуально.



На самом деле совет простой — оптимизировать всё, до чего можно дотянуться. Если подойти к этому с умом, бесконечный список задач сократится сразу до приемлемого. Далее на примерах расскажем о том, какие пункты вполне могут попасть в кандидаты на выбывание. Итак, поехали.

Статьи и инструкции
Установка ПО на сервер — пропусти и забудь
Если нет желания заморачиваться и самостоятельно устанавливать дополнительное программное обеспечение на сервер, можно взять VDS с готовым рецептом. Всё установят за вас. Такой вот лайфхак. Тем более, что в этом месяце добавились еще два варианта предустановленного ПО — Nextcloud и OpenVPN. Сейчас, когда многие компании перевели своих сотрудников на удалёнку, эти рецепты оказались особенно востребованы. О том, что это такое и для чего нужно, в статьях в Базе знаний.

• NextCloud: знакомство и быстрый старт
• Что такое OpenVPN и зачем он нужен

Резервное копирование: нажми на «галку», получишь результат
Не устанем повторять, что бэкапы — это важно и при этом совсем не трудно. Один клик в Личном кабинете, чтобы поставить «галочку» для подтверждения, и вуаля! Резервные копии начинают сохраняться на отдельный независимый сервер. Причём регулярно и автоматически. Тем, у кого нет панели управления сервером, придётся повозиться чуть дольше, но оно и правда того стоит — сперва силы сбережёте, потом нервы, если что-то пойдёт не так. Всё об автобэкапах прямо здесь и сейчас — тык-тык по ссылкам.

• Автобэкапы: что такое и как это работает
• Как настроить бэкап баз данных
• Как восстановить бэкап на сервере без ISPmanager

Перед отпуском
И, кстати, о продлении. Впереди лето — пора отпусков. Путёвки к друзьям на дачу, накопившиеся домашние дела, мммм… и другие прелести жизни в самоизоляции. Если её не отменят, конечно. В любом случае, если собираетесь хорошенько отдохнуть от работы, проведите заранее ревизию задач, которые могут внезапно потребовать вашего участия. Одной из них может стать продление услуг, остановленных за неуплату. Чтобы все работало, пока вы отдыхаете, проверьте услуги и продлите те, срок оплаты которых закончится в разгар каникул. Собрали в статью всё, что нужно знать о продлении.

• Продление услуг

Оплата услуг — автоматически и вовремя
Самое время зайти в Личный кабинет и примерить на себя два новых инструмента, которые помогут быстро и с комфортом справляться с оплатой услуг. Привязка счёта позволит уйти от того, чтобы каждый раз заполнять одни и те же данные в платёжной системе. А автопродление даст возможность продлевать выбранную услугу напрямую с вашего счёта, а не с баланса аккаунта: не придётся вручную пополнять лицевой счёт. Об этих и других полезных инструментах рассказываем тут:

• Как комфортно продлевать и оплачивать услуги

Новости
Обновили условия #SaveFirst
В прошлом выпуске мы рассказывали об инициативе #SaveFirst, которую запустили на время пандемии для того, чтобы поддерживать социально значимые проекты. Изначально ориентировались только на наших клиентов, но после запуска к нам обращались разные проекты, которым мы также не могли отказать в помощи, хоть они и не соответствовали всем критериям инициативы. Поэтому мы пересмотрели условия #SaveFirst, сделали их более гибкими. И теперь есть всего четыре пункта, по которым мы оцениваем любой онлайн-проект на предмет предоставления бесплатных вычислительных мощностей:
firstvds.ru/savefirst
firstvds.ru/blog/savefirst-novye-usloviya-dlya-onlayn-proektov

• услуги проекта можно заказать или получить онлайн,
• проект готов к запуску или уже выпущен на рынок,
• он доступен всем желающим,
• все услуги во время пандемии оказываются бесплатно.

Бесплатно помочь всем мы, к сожалению, не можем, так как ресурсы инициативы ограничены количеством серверов. Тем не менее, мы рассматриваем каждый проект и тем, кому мы не готовы выделить бесплатные серверы, предлагаем индивидуальные условия сотрудничества. Подробнее об этом и о том, как подать заявку на участие, на странице инициативы.

Уязвимости месяца
Уязвимости в Saltstack
В конце апреля появилась информация о двух уязвимостях в SaltStack, которым был присвоен наивысший уровень опасности — 10 из 10. Опасность обнаруженных уязвимостей заключается в том, что позволяет атакующему получить права суперпользователя и выполнить свои команды на удалённой машине.От действий хакеров, использующих дыры в Salstack, в начале мая пострадало сразу несколько компаний, в том числе LineageOS. На данный момент уже выпущены обновления платформы SaltStack 3000.2 и 2019.2.4, в которых уязвимости устранены, поэтому всем, кто еще не обновился, рекомендовано сделать это как можно быстрее. Подробнее на opennet.ru

Надо сказать, что в этом мае возросла не только активность клещей, но и хакеров. Если хотите больше подробностей, вот вам небольшая подборка на эту тему.

• Массовые взломы суперкомьютеров с целью майнинга криптовалюты
• 900 тысяч сайтов на Wordpress подверглись атакам хакеров

Уязвимость в Apache Tomcat
Через отправку специально оформленного запроса позволяет добиться выполнения кода на сервере. Чтобы это провернуть, у атакующего должно сойтись сразу несколько условий, например, ему необходимо получить возможность контролировать содержимое и имя файла на сервере и каким-то образом вычислить путь до него. Несмотря на это и на то, что атака возможна не во всех системах, обновление явно не помешает. Уязвимость устранена в выпусках Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 и 7.0.104. Подробнее на opennet.ru

Атака NXNSAttack, затрагивающая все DNS-резолверы
Разработан новый метод атаки NXNSAttack, который позволяет приумножить число пакетов при отправке запросов DNS-резолверу.
Суть в том, что атакующий использует запросы, ссылающиеся на фиктивные NS-записи, которым делегируется определение имени, при этом А-запись отсутствует.
Резолвер, пытаясь определить IP-адрес неизвестного NS-сервера, отправляет запрос к DNS-серверу жертвы. Но благодаря усилиям атакующего натыкается на огромный список неповторяющихся NS-серверов с несуществующими именами поддоменов жертвы, не находит домен и переходит к следующему NS-серверу, перебирая весь список. Поскольку имена NS-серверов ссылаются на поддомены, которых нет, они не извлекаются из кэша и каждый запрос атакующего приводит к шквалу запросов к DNS-серверу, обслуживающему домен жертвы. Защита от атаки реализована в выпусках Unbound 1.10.1, Knot Resolver 5.1.1 и других. Подробнее о стратегиях защиты на opennet.ru

Ну как вы там? Держитесь? Помощь рядом. Ловите лучи бодрости и хорошего настроения от ребят и девушек из FirstVDS. Удалёнка наше все!


А пока вы немного отвлеклись от работы или вынужденного отдыха, в котором все дни как День сурка, рассказываем, что интересного произошло у нас в апреле. Тут и запуск сервиса CLO, и бесплатные серверы, и свежеиспечённые статьи с последними новостями (не про коронавирус).

Так что устраивайтесь поудобнее. И поехали!

Статьи и инструкции
Нагрузка на сервер: как проверить и что исправить
Нагрузить сервер по самое «не хочу» и создать проблемы на пустом месте может не только массовый исход людей в онлайн во время пандемии. Причины бывают разные.

Если наблюдаете проблемы в работе приложений, загрузке файлов или при подключении к серверу, наш совет: начните с мониторинга. Когда поймёте, где и что пошло не так, разберётесь и с остальным. А поможет в этом наша подборка. Составили, что была под рукой, а то мало ли что…

• Нагрузка на сервер: определение причин
• Диагностика ресурсов сервера
• Статистика нагрузки на сервер, atop
• Уменьшение нагрузки на VDS
• Что делать, когда осталось мало места на диске
• Что делать, когда на сервере кончаются файловые дескрипторы (inode)

Браузер на страже API-запросов: строим безопасное общение фронтенда с бэкендом
Разработчики одностраничных приложений SPA так или иначе вынуждены сталкиваться с ограничениями браузерной безопасности. С особенным подозрением браузер присматривается к тем, кто держит фронтенд и бэкенд на разных доменах — правила строже, санкции жёстче, а работать надо. О том, как сделать так, чтобы фронтенд-сторона могла беспрепятственно и, что тоже важно, безопасно общаться с бэкенд API-сервером, в статье нашего разработчика Сергея на Хабре.
habr.com/ru/company/first/blog/497342/

Новый сервис CLO

Ура! Есть повод похвастаться. В апреле мы не только перешли на удалёнку, продолжая поддерживать работу всех систем и услуг, но и запустили новый сервис CLO. Это привычные виртуальные серверы с расширенными облачными возможностями: почасовая оплата, плавающие IP, переключаемые диски.
Если вам нужна гибкая и отказоустойчивая инфраструктура — CLO поможет её построить, решая задачи, которые не под силу обычному VDS. Чтобы узнать больше о сервисе, посмотреть тарифы и получить доступ в Личный кабинет, велкам по ссылке на сайт CLO.
clo.ru

И это еще не всё. Руководитель команды разработки поделился, с какими трудностями его ребятам пришлось столкнуться во время работы над сервисом. История в словах и картинках, приправленная киберпанком, уже в нашем блоге на Хабре.

habr.com/ru/company/first/blog/493606/

Уязвимости и релизы месяца
Ещё одна хорошая новость — уязвимостей в этом месяце нет. По крайней мере, тех, что были бы удостоены чести попасть в дайджест. Но расходиться рано. Буквально пара слов о релизе WP.

Релиз Wordpress 5.4
В апреле стала доступна версия 5.4 системы управления контентом сайтов WordPress. Основные изменения затронули редактор блоков: их выбор стал больше, а возможности настроек — шире. Чтобы CMS работала корректно, используйте рекомендованные версии ПО: PHP 7.3+, MySQL 5.6 или MariaDB 10.1+. Подробнее об изменениях на linux.org

Инициатива #SaveFirst в условиях COVID-19
Для многих людей апрель оказался непростым временем. И чтобы улучшить их жизнь в период самоизоляции, некоторые компании стали помогать бесплатно. Чтобы поддержать их начинания, мы запустили инициативу #SaveFirst. Благодаря ей образовательные, досуговые и другие социально значимые проекты, готовые помогать людям бесплатно, могут получить у нас виртуальные серверы, просто заполнив заявку на сайте.
firstvds.ru/savefirst
Надеемся, что скоро жизнь вернётся в привычное русло, а пока помощь ближнему — то, что позволяет всем нам оставаться людьми.

Привет, привет!

В тревожное время живем, не иначе. И тут главное соблюдать два основных правила, не считая регулярного мытья рук, конечно. Не поддаваться панике — это раз. И не забывать прокачивать скиллы. Это два. Эпидемии когда-нибудь заканчиваются, а полезные знания и навыки остаются с вами на веки вечные. И облегчают жизнь, особенно в кризис.


В мартовском выпуске рассказываем о пяти полезных умениях, которые могут пригодится каждому. А ещё делимся свежими материалами и новостями за месяц. Итак, поехали!

1. Учиться новому
Хороший специалист никогда не перестаёт учиться, потому что знает: мир меняется быстро и нужно успевать меняться вместе с ним. Наш совет — больше читайте и закрепляйте знания на практике, так эффективнее.

Статья в тему
Проверка сайтов после переноса
Вы перенесли данные с сервера на сервер и кажется, что все хорошо. Но на авось полагаться не стоит. Путь профи — пойти и самолично убедиться, что сайты открываются, как надо, а файлы по дороге не потерялись. В нашей инструкции раскрываем пошаговый план, как проверить работу сайтов до того, как вы пустили туда посетителей.
firstvds.ru/technology/check-after-transfer

2. Быть продуктивным
Чтобы успевать больше, не забывайте пользоваться «горячими клавишами», делать перерывы на отдых и выбирать удобные инструменты — сэкономите немало времени.
Статья в тему

Как установить Composer
Пакетный менеджер Composer, если утрировать, работает про принципу Google Play или AppStore — только для языка программирования PHP. Он обеспечивает доступ к библиотекам или расширениям, которые можно найти и использовать для своего PHP-проекта. О том, как установить Composer, рассказываем в инструкции.
firstvds.ru/technology/kak-ustanovit-composer

3. Думать на несколько шагов вперед
Тактическое мышление — то, что отличает профессионала от «чайника». Прогнозируя возможные риски и последствия, хороший специалист ограждает себя от лишних проблем и внедряет превентивные меры ещё до того, как «гром грянет». Чтобы выработать такой навык, начать можно с малого. Хотя бы иногда задавайте вслух вопрос: «Так, а за какую дату у нас есть бэкап базы данных?»

Краткий анонс, и тоже в тему
31 марта весь мир будет праздновать международный День бэкапа. По крайней мере, весь сознательный мир. И поскольку мы не исключение, то уже готовим для вас кое-какие полезности. Не пропустите. И помните, дата праздника выбрана не случайно. Кто знает, к чему могут привести все эти первоапрельские шутки…

firstvds.ru/technology/autobackup

4. Не убегать от проблем, а решать их
Чем дольше откладывается сложная задача, тем страшнее она кажется. Поэтому так важно взглянуть трудностям в лицо и начать действовать. И спокойствия прибавится, и решение найдётся. А теперь — к практике.

Уязвимости месяца
Уязвимость в процессорах AMD, выпущенных после 2011 года
Группа австрийских ученых из Градкого техуниверситета разработала два новых метода атак, перед которыми оказались уязвимы все процессоры AMD, выпущенные в последние 9 лет. С помощью этих атак, под общим названием Take a way, можно получить доступ к конфиденциальным данным через кэш первого уровня. По данным тех же ученых проблему можно блокировать на уровне обновления микрокода. Подробнее на opennet.ru

Уязвимость в pppd и IwIP
В пакете pppd выявлена уязвимость, которая позволяет удалённо выполнить код с правами root. Вызвана переполнением буфера в реализации протокола аутентификации EAP и проявляется как на стороне сервера, так и клиента. Затрагивает версии pppd с 2.4.2 по 2.4.8 и устранена в форме патча. В стеке IwIP тоже имеет место быть, но угрозы не представляет. Чтобы пользователи могли проверить, подвержены ли их системы проблеме, подготовлен прототип эксплоита. Подробнее на opennet.ru

5. Развивать стрессоустойчивость
Одно из главных качеств профи — выполнять свою работу на «отлично» в любых условиях, даже в самых напряжённых. А помочь в этом может тренировка устойчивости к стрессу.

Февраль прошёл, а мы так и не рассказали, что интересного произошло в нашей жизни за этот месяц. Исправляемся!

Тихо и скромно, как и полагается защитникам серверов и Отечества, отметили 23 февраля и День безопасного интернета. Одержали победу над проблемами с сетью в новом ДЦ и подготовили чёткие инструкции, как повысить безопасность сервера, чтобы он работал долго и счастливо. Почти как Джон Коннор под охраной Терминатора. Обо всем этом — в новом выпуске дайджеста.

Как защитить сервер от взлома
Кибератаки совершаются в мире каждую секунду. И нет никаких гарантий, что злоумышленников не заинтересуют данные на вашем сервере. Если вдруг получили сообщение, что кто-то пробует осуществить вход на сервер и это не вы, — аларм! Чтобы избежать взлома сервера, воспользуйтесь нашими рекомендациями.
firstvds.ru/technology/protection-against-hacking

Зачем нужен проверенный номер телефона
При заказе услуг на FirstVDS система просит подтвердить телефон для активации услуги. И это не просто каприз провайдера. Проверенный телефон, привязанный к вашему аккаунту, может выручить в самых разных ситуациях, в том числе и при попытке злоумышленников проникнуть на ваш сервер. Подробнее об этом в статье в Базе знаний.
firstvds.ru/technology/proverennyy-nomer-telefona

Как добавить русский язык в Windows Server 2019
Не про безопасность. Но тоже важно, ведь удобство влияет не только на скорость работы, но и на вероятность ошибки тоже. Для тех, кому не по нраву английский интерфейс серверной Windows, подготовили подробную инструкцию о том, как изменить язык, к примеру, на русский.
firstvds.ru/technology/kak-dobavit-russkiy-yazyk-v-windows-server-2019

Минутка рекламы

Oдному из наших самых популярных тарифов «Битрикс.Турбо» 28 февраля исполнился год. В честь дня его рождения дарим скидку 30% на 3 месяца по промокоду BITRIX-FVDS. Сегодня последний день акции — успевайте!
firstvds.ru/hosting/bitrix

Уязвимости месяца
Уязвимости протокола SMBv1 на серверах Exchange
Exchange Team в очередной раз просит администраторов отказаться от использования протокола SMBv1, так как в эту версию протокола не вносились улучшения безопасности, добавленные в более поздних версиях. Наличие уязвимостей развязывает руки злоумышленникам — «дыры» используются для внедрения таких эксплоитов, как EternalBlue и EternalRomance, а также малварей TrickBot, Emotet, Destroyer и других. Последствия как всегда печальны: потеря данных, заражение машин, выполнение деструктивных операций на сервере под суперпользователем. Подробнее на xakep.ru

Массовый отзыв сертификатов Let’s Encrypt
Удостоверяющий центр Let's Encrypt планирует отозвать более 3 миллионов действующих сертификатов. Отзыв был запланирован на 4 марта. Главной причиной сложившейся ситуации названа ошибка, которая проявляется, если запрос сертификата охватывает сразу несколько доменных имен, каждый из которых требует проверки CAA-записей в DNS. Суть ошибки в том, что повторной проверке подвергается только один домен из списка, а не все. Это означает, что при продлении сертификата центром выдачи учитываются неактуальные результаты валидации. Решается проблема перевыпуском отозванного сертификата. Подробнее на opennet.ru

Релиз OpenSSH 8.2 с поддержкой двухфакторной аутентификации
В программный пакет OpenSSH новой версии внесен ряд изменений, но главным нововведением стала возможность использовать двухфакторную аутентификацию при помощи устройств, которые поддерживают U2F-протокол. Для этого в последнюю версию пакета были добавлены новые типы ключей «ecdsa-sk» и «ed25519-sk», вместе с соответствующими сертификатами. Также было объявлено о том, что скоро алгоритм хэширования SHA-1 будет признан устаревшим. Подробнее linux.org

Цели определили? Задачи поставили? Значит январь прошёл не зря. Пора переходить к следующему пункту и подумать о том, как сделать так, чтоб всё задуманное шло по плану.



Если успех вашего проекта во многом зависит от надёжности IT-инфраструктуры, а вы несёте на своих плечах тяжелое бремя ответственности за её работу, то не проходите мимо свежего выпуска дайджеста. В нём собрали новости и статьи, которые помогут облегчить вам жизнь и заложить крепкий «фундамент» для успеха дела.

Как защититься от DDoS-атак
DDoS всё более популярен у конкурентов и вымогателей, и от него никто не застрахован. Или нет?

Злоумышленники отправляют множество запросов на сетевой ресурс. Сервер под атакой не справляется и становится недоступен. Провайдер, чтобы не страдали «соседи» по родительскому серверу, отключает IP-адрес атакуемого сервера. Ситуация безрадостная, но не безнадёжная.

О типах DDoS-атак, профилактических мерах и о том, что делать, если вас ддосят прямо сейчас («шеф, все пропало!»), в нашей статье.
firstvds.ru/technology/faq/ddos_problem

Что делать, если письма попадают в «спам»
Что если бы вы узнали, что письма, которые вы отправляете, не доходят до адресатов или попадают в «спам»? Так себе ситуация… Мало того, что придётся повозиться, доставая IP из чёрных списков спам-баз. Ещё и потеря контакта с клиентами в конечном счёте грозит финансовыми потерями. Но не всё так плохо. Рассказываем о базовых настройках, которые помогут избежать большинство проблем с рассылками.
firstvds.ru/technology/chto-delat-esli-moi-pisma-ne-dohodyat-ili-popadayut-v-papku-spam

Как настроить бэкапы ISPmanager в Amazon
После того, как Яндекс изменил свою политику в отношении сервиса Яндекс.Диск, отобрав возможность создавать бэкапы через ISPmanager, многие лишились выгодного варианта для хранения резервных копий. Если вы попали в число тех, кто ищет надёжный сторонний сервис, куда складывать бэкапы, то вот в помощь статья от нашего сисадмина Станислава Авдеева. В ней он рассказывает, как сравнивал сервисы между собой, почему выбрал Amazon и как настраивал бэкапы с помощью панели.
firstvds.ru/blog/kak-nastroit-bekapy-ispmanager-v-amazon

Для тех, кому не хочется разбираться с особенностями настройки через ISPmanager, напоминаем про автобэкапы. Одна «галочка» в Личном кабинете и резервные копии начинают создаваться на сторонний диск автоматически.

И хорошая новость для тех, кто не использует ISPmanager. Совсем скоро услуга автобэкапов станет доступной и для вас — следите за новостями.

Уязвимости месяца
Найдена уязвимость в Windows
Уязвимость выявлена в важном криптографическом компоненте и касается динамической библиотеки crypt32.dll. Опасность уязвимости в том, что злоумышленник может использовать её для подделки сертификата и подписать вредоносный исполняемый файл, создавая впечатление, что он принадлежит доверенному поставщику. Как следствие — вредоносное ПО подаётся как легитимное. Проблема коснулась и серверных, и десктопных версий Windows. Перечень ОС и подробности на Хабре.

Вредоносный пакет npm ворует данные из систем UNIX
В популярном менеджере пакетов npm обнаружен вредоносный пакет 1337qq-js, предназначенный исключительно для систем UNIX. С помощью скриптов установки пакет ворует конфиденциальные данные, в числе которых могут оказаться закодированные пароли и токены доступа API. По результатам проверки специалистами безопасности, малварь, загруженную в репозиторий в декабре прошлого года, успели скачать 32 раза. Всем разработчикам, получивший опасный «подарок», рекомендуется срочно удалить его из своих систем и сменить учётные записи. Подробнее на xakep.ru

Критические уязвимости в популярных плагинах WordPress
«Дыры» обнаружены в трёх плагинах, которые насчитывают более 400 тысяч установок: WP Database Reset, InfiniteWP Client и WP Time Capsule. Три из четырёх выявленных уязвимостей позволяют обойти проверку подлинности пользователя и получить права администратора, открывая доступ к управлению сайтом или даже сайтами. Четвёртая уязвимость требует аутентификации, но в её случае достаточно наличия учётки с минимальными правами подписчика, чтобы добиться прав суперпользователя. Так, воспользовавшись одной из уязвимостей в плагине WP Database Reset, мошенники могут обнулить данные любых таблиц в БД, а через баг в плагине InfiniteWP Client — захватить контроль сразу над всеми сайтами, на которых он используется. Совет — обновиться до версий, в которых проблемы уже устранены. Подробнее на opennet.ru

Как бороться с уязвимостями
Владельцы серверов регулярно страдают от уязвимостей в популярном ПО. Снизить вероятность потери данных можно, если поддерживать программное обеспечение сервера и компоненты сайта в актуальном состоянии. Рассказываем о 4 шагах к безопасности вашего сайта в статье.
firstvds.ru/technology/kak-borotsya-s-uyazvimostyami-4-shaga-k-bezopasnosti-sayta

Свежие новости из дата-центра

Продолжаем осваивать новый машинный зал IXcellerate с уровнем надежности Tier III — Moscow Two. Устанавливаем и настраиваем оборудование, обновляем прошивки для повышения безопасности и стабильности работы сети. Чтобы все проходило безболезненно для клиентов, мигрируем VDS «вживую», без простоев, на ноды в новом ДЦ, а затем уже пустые серверы перевозим из одного дата-центра в другой. Это требует больше времени и дополнительных нод, но работоспособность серверов наших клиентов важнее.

Кластер готовых KVM-серверов на NVMe-дисках уже полностью в новом ДЦ. Остальные кластеры ещё в процессе, но новые услуги на большинстве тарифов открываем уже в IXcellerate.

Как повысить отказоустойчивость
Если ваши требования к отказоустойчивости растут, переводите проекты на «Атлант» — отказоустойчивый облачный сервер. Все узлы «Атланта» резервированы, и в случае выхода из строя одного, работоспособность VDS восстанавливается другими узлами за 1-2 минуты.
firstvds.ru/products/vds_vps_cloud

Подробнее можно узнать по ссылке, а читателям нашего дайджеста подарок — скидка 20% на «Атлант» по промокоду ATLAS_20. Действует 3 месяца при заказе нового сервера до 17 февраля.