Срочно обновитесь! Уязвимость в почтовом сервере Exim открывает полный доступ к серверу



Если вы используете почтовый сервер Exim версии ниже 4.92 — срочно обновитесь. Начиная с версии 4.87 по 4.91 включительно почтовый сервер содержит ошибку в коде, с помощью которого злоумышленники могут получить root-доступ к серверу, что крайне опасно. Подробности об уязвимости
www.opennet.ru/opennews/art.shtml?num=50819
threatpost.ru/new-exim-vulnerability-opens-email-servers-to-remote-command-execution-attacks/32969/
Уже получаем сообщения от пострадавших.

Как обновиться?
Для обновления необходимо подключиться к серверу по SSH под пользователем c правами root и последовательно выполнить приведённые ниже команды в терминале. Будьте осторожны — внеплановое обновление несёт определённые риски. Если сомневаетесь — поручите обновление администратору вашего сервера или обратитесь к нашим специалистам в рамках пакета поддержки.

На Centos
Убедитесь, что почтовый сервер установлен:
rpm -qa | grep exim

Результатом будет версия Exim: exim-4.88-3.el7.x86_64
Если версия ниже 4.92, выполните обновление:
yum update exim

Перезапустите почтовый сервер:
service exim restart

На Debian или Ubuntu
Убедитесь, что exim установлен:
dpkg -l | grep exim

Выполните обновление:
apt-get update && apt-get install exim4

Перезапустите почтовый сервер:
service exim4 restart

После обновления в профилактических целях смените все пароли на сервере: root, обычных пользователей, пароли баз данных, почты и др.

Как понять, что сервер взломан?
Проверьте запущенные процессы командой top
На заражённых серверах наблюдается 100%-я нагрузка, создаваемая процессом [kthrotlds] Также в планировщике cron добавляется задание с ограничением прав на редактирование.

Что делать, если сервер уже взломали?
Самый безопасный способ — перенос данных на новый виртуальный сервер с Centos 7 или Ubuntu 16/18 — на этих ОС при установке с ISPmanager автоматически устанавливается последняя версия Exim.

Менее безопасный — обновить на сервере Exim, сменить все пароли, выполнить проверку и чистку сервера от вирусов — самостоятельно или с помощью профильных специалистов. В теории это может помочь — но нет гарантий, что злоумышленники не спрятали бэкдоров для повторных заражений.

Рекомендуем как можно быстрее принять меры: чем раньше вы обновите почтовый сервер, тем меньше будет риск взлома VDS.

Май — инструкции для Bitrix и не только, уязвимости месяца и скидка 33% на дедики

Пока не уехали в отпуск, проверьте сервер. Оплатили? Бэкапы есть? С безопасностью всё ок? Ах, молодцы — тогда ловите новые инструкции для настройки сервера. Но сперва похвастаемся.



4 июня в дата-центре завершились все профилактические работы, которые планировались до 8-го. Ура! Ребята — герои. Работали ночами, не покладая рук. Теперь мы уверены в каждом узле электропитания в ДЦ. Можно спать спокойно =)

Инструкции
Для Linux:
Для Windows:
Для Bitrix VM:
Все инструкции пишут наши админы и техконсультанты — ребята плохого не посоветуют. А ещё они готовят для вас обучающие видео про загрузку сайта и работу с панелями: текст, монтаж, говорящая голова в кадре — всё сами. Следите за нашими рассылками, скоро пришлём ролики.

Уязвимости месяца
Уязвимость в библиотеке PharStreamWapper затрагивает Drupal, Joomla и TYPO3 — позволяет загрузить вредоносный phar-файл и добиться выполнения размещённого в нём PHP-кода под видом легитимного phar-архива. Подробности на opennet.ru.

Проблема в Docker-образах дистрибутива Alpine. Джерри Гамблин (ведущий инженер Kenna Security) проверил тысячу самых популярных контейнеров из каталога Docker Hub — в 194 из них (19,4%) для root установлен пустой пароль без блокировки учётной записи. Подробности на opennet.ru.

И обновления месяца…
Вышел WordPress 5.2 — добавили проверку обновлений по цифровой подписи, дополнительные инструменты для отладки проблем, систему проверки совместимости с плагинами в текущей конфигурации и т.п. А вы уже обновились? Подробности на opennet.ru.

Итоги конкурса
Недавно мы разыграли PS4, Go Pro и iPhone XR. А ещё мерч и деньги на хостинг. Участвовали, но трансляцию с результатами не видели? Смотрите победителей на сайте.

Две недели горячих цен
У наших партнеров из FirstDEDIC новая акция. Дают скидку 33% на выделенные серверы с процессорами Xeon E3v6. Тем, кто чувствует, что скоро вырастет из VDS, советуем сходить на разведку.

Подписывайтесь на наши соцсети — самое интересное всегда анонсируем там.
vk.com/firstvds
www.facebook.com/FirstVDS

Для самых терпеливых и любознательных
Промокод MOLODTCA — даёт Разгон по цене Старта
на 1 месяц, для новых серверов

Поздравляем победителей розыгрыша Мир! Труд! VDS!

Гип-гип ура! Майский розыгрыш завершён, и мы наконец-то можем поздравить победителей.
Сегодня в 12.00 по московскому времени с помощью генератора случайных чисел мы попробовали определить счастливые номера, но генератор не выдержал — так много было участников, и отвалился. Пришлось устроить небольшой технический перерыв, найти новый генератор и продолжить. Уф! В общем, в прямом эфире было жарко. Если пропустил, смотри в записи.

vk.com/firstvds?w=wall-25410576_23211
vk.com/firstvds?w=wall-25410576_23288

А теперь барабанная дробь! Объявляем имена счастливчиков:
iPhone XR 128 ГБ
Артем, номер билета 15534

Sony PlayStation 4 Pro
Иван, номер билета 19685

GoPro HERO7 Black Edition
Дмитрий, номер билета 12906

Сертификат на хостинг номиналом 5000 рублей
Юрий, номер билета 12214

Сертификаты номиналом 3000 рублей
Kirill, номер билета 13152
Линар, номер билета 17931

Сертификаты на хостинг номиналом 1000 рублей
Костя, номер билета 12339
Антон, номер билета 13462
Виктор, номер билета 12653

Футболки от FirstVDS
Артем, номера билета 14842
Евгений, номер билета 16831
Олеся, номер билета 14612

Блокноты от FirstVDS
Наталья, номер билета 20031
jmilkov, номер билета 17061
Иван, номер билета 18998
Александр, номер билета 17642
Andrey, номер билета 17866

Если вы забыли номера своих билетов, их можно посмотреть на странице акции по кнопке «Посчитать билетики».
my.firstvds.ru/mancgi/may-giveaway-2019?_ga=2.103375104.126143702.1559278073-539473536.1480460107

Дополнительно мы проводили конкурс репостов. И рады сообщить, что фотоаппарат мгновенной печати INSTAX SQUARE SQ6 тоже нашел своего владельца!
INSTAX SQUARE SQ6
Денис Неведров, профиль vk.com/id31492612

Как получить приз
Если ты в Москве
С 21 мая по 20 июня, за исключением субботы и воскресенья приходи с паспортом по адресу: проспект Вернадского, д.41, стр.1, офис 601. Призы выдаются с 10:00 до 13:00 (время московское).

Если ты не в Москве и не можешь получить приз лично
Напиши нам об этом на sales@firstvds.ru до 10 июня, попроси отправить тебе приз почтовым отправлением и обязательно укажи следующие данные:
  • адрес электронной почты и логин для доступа к личному кабинету на firstvds.ru,
  • фамилия, имя, отчество,
  • адрес для отправки на территории РФ, включая почтовый индекс,
  • контактный телефон.
Если до 10 июня сообщение не будет отправлено, приз будет считаться невостребованным.

Если твой приз — сертификат
До 20 июня отправим его тебе по электронной почте на адрес, который ты указал при регистрации на firstvds.ru

Напоминаем, что все участники обязательно пройдут проверку на соответствие условиям розыгрыша. Подробнее об условиях розыгрыша и получения призов читай в Положении.

С 1 по 8 июня проводятся плановые профилактические работы в дата-центре



С 1 по 8 июня мы проведём модернизацию схем электропитания в дата-центре, чтобы повысить уровень безопасности и стабильность работы всего оборудования. Большая часть работ запланирована на ночное время (по Мск), когда посещаемость сайтов минимальна.

Для проведения работ могут потребоваться два отключения вашего сервера на период от 30 до 60 минут. О начале работ сообщим заранее и приложим все усилия, чтобы уменьшить время простоя. А пока рекомендуем проверить бэкапы и не планировать работ на сервере в указанные сроки.

Команда FirstVDS

Поезд уходит... До конца розыгрыша осталось два дня



Уже в понедельник мы узнаем, кто эти счастливчики, что заберут себе по крутому призу от FirstVDS. Осталось два дня, чтобы запрыгнуть в уходящий поезд и испытать удачу. А вдруг ты — один из них? Время сомнений кончилось.

До 19 мая включительно закажи новый виртуальный сервер под свои задачи и участвуй в розыгрыше «Мир! Труд! VDS!». На кону по-прежнему:
  • iPhone XR 128 ГБ
  • Sony PlayStation 4 Pro
  • GoPro HERO7 Black Edition
  • Сертификаты на хостинг и мерч от FirstVDS.

Как стать участником?
  • Закажи и оплати любой сервер, кроме Разминки, на 1 месяц или больше.
  • Сделай это до 19 мая включительно.
  • Каждые 100 рублей месячной стоимости сервера = 1 лотерейный билет. Чем больше билетов, тем больше шанс выиграть.
firstvds.ru/may-contest-2019

А ещё ты можешь поучаствовать в конкурсе репостов и побороться за фотоаппарат мгновенной печати — INSTAX SQUARE SQ6

Поделись нашим последним постом про розыгрыш ВКонтакте, Фейсбуке или Инстаграме, поставь хештег #МирТрудVDS, и лови свой шанс на победу!

20 мая в прямом эфире нашего Инстаграма и на странице ВКонтакте определим победителей генератором случайных чисел и выложим результаты во ВКонтакте, Фейсбуке и на сайте firstvds.ru.

Чтобы ничего не пропустить, подписывайся на на наши странички в социальных сетях и следи за новостями.

Желаем удачи!
Майская команда FirstVDS

Майские продолжаются! Как и наш розыгрыш =)



Наше предложение всё ещё в силе, а впереди вторая волна майских праздников. Так что, если ждал подходящего времени для запуска нового проекта, оно пришло.

Закажи сервер под проект до 19 мая и получи шанс выиграть крутые призы:
  • 1 место — iPhone XR 128 ГБ
  • 2 место — Sony PlayStation 4 Pro
  • 3 место — GoPro HERO7 Black Edition
Дополнительно разыграем сертификаты на хостинг и мерч от FirstVDS.

Как стать участником?
  • Закажи любой сервер, кроме Разминки, на 1 месяц или больше.
  • Сделай это с 1 по 19 мая включительно.
  • Каждые 100 рублей месячной стоимости сервера = 1 лотерейному билету.

Конкурс репостов тоже продолжается, а фотоаппарат мгновенной печати ждёт своего победителя!
Подробнее
firstvds.ru/may-contest-2019

Мир! Труд! VDS! Хочешь выиграть iPhone XR, PS4 или GoPro?




Майские праздники — прекрасное время для шашлыков, новых «Мстителей» и запуска проектов, до которых никак не доходили руки. Присоединяйся к нам, чтобы остаться в выигрыше, пока другие отдыхают.

Закажи сервер для своего проекта и стань участником розыгрыша.
Что на кону?

  • 1 место — iPhone XR 128 ГБ
  • 2 место — Sony PlayStation 4 Pro
  • 3 место — GoPro HERO7 Black Edition
Дополнительно разыграем:
  • 1 сертификат на хостинг номиналом 5000 ₽
  • 2 сертификата на хостинг номиналом 3000 ₽
  • 3 сертификата на хостинг номиналом 1000 ₽
Мерч FirstVDS: 3 фирменных футболки и 5 блокнотов в твёрдой обложке
Как стать участником?
  • Закажи любой сервер, кроме Разминки, на 1 месяц или больше.
  • Сделай это с 1 по 19 мая включительно.
  • Каждые 100 рублей месячной стоимости сервера = 1 лотерейному билету.

Не нужен сервер? Сделай репост и поборись за INSTAX SQUARE SQ6:
Поделись постом про наш розыгрыш ВКонтакте, Фейсбуке или Инстаграме, используй хештег #МирТрудVDS. Разыграем за репосты отдельный приз — INSTAX SQUARE SQ6.

Мы определим выигрышные билеты и победителей среди репостов генератором случайных чисел. Подведём итоги 20 мая в прямом эфире нашего Инстаграма и выложим результаты во ВКонтакте и Фейсбуке.

firstvds.ru/may-contest-2019

Не забудьте пополнить баланс перед праздниками



Скоро длинные майские выходные. Убедитесь, что на балансе достаточно денег, чтобы сервер и другие услуги не отключились в праздники за неуплату. Напоминаем, что через 7 дней после остановки серверы автоматически удаляются со всеми данными.

Платежи банковским переводом лучше отправлять сегодня, 29 апреля, иначе они просто не успеют прийти и «зависнут» до 6 мая, так как банки в праздники и выходные не работают. Если оплату отправили, а деньги на счёт вовремя не поступили, отправьте нам платежное поручение с отметкой банка об оплате — зачислим платёж условно.
my.firstvds.ru/billmgr?startform=payment.add.method

График работы отделов с 1 по 12 мая:
С 1 по 5 мая и с 9 по 12 мая
Отдел продаж и отдел финансов будут обрабатывать запросы в ограниченном режиме, поэтому время ответа может увеличиться.
Отдел заботы о клиентах и служба технической поддержки продолжат работать круглосуточно без изменений.
6, 7 и 8 мая — отделы работают в обычном режиме.

С уважением, команда FirstVDS

1 месяц бесплатных бэкапов — последний день акции


Сегодня ещё можно получить бесплатные бэкапы:

1 месяц аренды диска для бэкапов
firstvds.ru/services/backup
И для нового, и действующего сервера. Закажите услугу «Диск для бэкапов», введите промокод but_first_backup в корзине. Не забудьте настроить бэкапы!

1 месяц автоматических бэкапов
firstvds.ru/technology/autobackup
Для нового сервера: закажите сервер с панелью ISPmanager. Поставьте галочку напротив «Резервное копирование», примените промокод but_first_autobackup в корзине. Здесь мы сами настроим бэкапы.

Для действующего сервера: обратитесь в отдел продаж.
Акция действует только на заказ новых услуг резервного копирования.

Производительность Битрикс: что сделать с сервером, чтобы сайт работал быстрее

От скорости сайта зависит многое: количество отказов, брошенных корзин. Согласно исследованию Google, большинство посетителей не ждёт загрузки больше 3 секунд и уходит к конкурентам. Бывает, что сайт тормозит только в момент пиковых нагрузок (часы наибольшей посещаемости, периоды акций) и вы теряете всех, кого так тщательно привлекали.

От чего зависит скорость сайта на Битриксе?
  • оптимизация компонентов сайта
  • набор модулей
  • оптимизация серверного ПО
  • достаточное количество ресурсов сервера
С оптимизацией компонентов сайта вам поможет разработчик. Но если есть навыки администрирования, можно перейти на nginx+php-fpm и оптимизировать настройки.

В большинстве случаев, чтобы повысить производительность, нужен анализ текущей нагрузки на сервер. Такое умеют наши администраторы. Но есть и базовые настройки, которых достаточно, чтобы улучшить производительность Битрикс на большинстве серверов. Америку не открываем, если вы хорошо знакомы с *nix, едва ли вы обнаружите что-то новое.

В качестве ОС будем использовать минимальную версию Debian 9. Потому что в предыдущей статье про производительность Битрикс мы использовали именно её. В конце сравним показатели получившейся конфигурации с BitrixVM.

Веб-сервер — Nginx
Лучшим решением будет использование в качестве веб-сервера Nginx. Он шустро работает со статичным контентом и не плодит форков, как это делает apache2. Форки apache2 часто оказываются причиной перерасхода сервером оперативной памяти, потому выбор Nginx снижает требования к объему RAM.

Ставим и конфигурируем Nginx:
apt install nginx
upstream php {
    server 127.0.0.1:9000;
}
server {
    root /var/www/html/;
    server_name _;
    listen 80 default_server;
    index index.php;
    location / {
        try_files \$uri \$uri/ /bitrix/urlrewrite.php?\$args;
    }
    location ~ \.php$ {
        include        fastcgi_params;
        fastcgi_pass   php;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME \$document_root/\$fastcgi_script_name;
    }
    location ~* \.(js|css|png|jpg|jpeg|gif|ico)\$ {
        expires max;
        log_not_found off;
    }
}


Важно! Это только базовая конфигурация, для специфичных функций могут понадобится дополнительные настройки. Наиболее совместимую конфигурацию можно взять из битрикс-окружения. Это учитывается в нашем GT-рецепте.

Сервер БД
В качестве сервера БД используем MariaDB 10.1 из репозитория ОС. Практика показывает, что для нашей задачи гнаться за последними версиями MySQL/MariaDB совершенно не обязательно — значительной разницы в производительности нет.

Важно! После развертывания сайта нужно выполнить «Проверку системы» с исправлением ошибок структуры БД, а также «Оптимизацию БД», оба действия выполняются в админке Битрикс. Эти операции создадут индексы и устранят фрагментацию, что благотворно скажется на производительности.

Ставим и конфигурируем MariaDB:
apt install mariadb-server
cat <<-\EOF >/etc/mysql/mysql.conf.d/server.conf
    [mysqld]
    innodb_buffer_pool_size=384M #это значение нужно подбирать исходя из размера innodb таблиц
    innodb_buffer_pool_instances=1 # По одному пункту на каждый Гб innodb_buffer_pool_size
    innodb_flush_log_at_trx_commit=2
    innodb_flush_method=O_DIRECT
    query_cache_type=1
    query_cache_size=16M
    query_cache_limit=4M
    key_buffer_size=256M
    join_buffer_size=2M
    sort_buffer_size=4M
    tmp_table_size=128M
    max_heap_table_size=128M
    thread_cache_size=4
    table_open_cache=2048
    max_allowed_packet=128M
    transaction-isolation=READ-COMMITTED
    performance_schema=OFF
    sql_mode=""
EOF


PHP-FPM
Ещё одна причина отказа от apache2 — использование php-fpm, наиболее быстрого режима работы php-интерпретатора. Наиболее производительной на текущей момент является php7.3, однако в официальном репозитории Debian 9 мы имеем php7. Из соображений связности с предыдущей статьей про производительность Битрикс тут мы тоже будем использовать php7 из репозитория Debian.

Ставим и конфигурируем php-fpm:
apt install php-fpm php-opcache php-mysqli php-gd php-curl php-xml php-mbstring php-json
cat <<-\EOF >/etc/mysql/mysql.conf.d/server.conf
    ;###Bitrix optimize
    date.timezone=Europe/Moscow
    short_open_tag=1
    max_input_vars=10000
    mbstring.func_overload=2 ;Этот пункт нужен если используется utf8
    mbstring.internal_encoding=utf-8 ;Этот пункт нужен если используется utf8
    upload_max_filesize=64M
    post_max_size=64M
    opcache.max_accelerated_files=100000
    realpath_cache_size=4096k
    memory_limit=512M
    pcre.jit=0
    opcache.revalidate_freq=0
EOF
cat <<-\EOF >/etc/php/7.0/fpm/php.ini
    [www]
    user = www-data
    group = www-data
    listen = 127.0.0.1:9000
    listen.allowed_clients = 127.0.0.1
    listen.owner = www-data
    listen.group = www-data
    pm = dynamic
    pm.max_children = 10
    pm.start_servers = 2
    pm.min_spare_servers = 2
    pm.max_spare_servers = 5
EOF


Governor
Этот пункт актуален только для выделенных серверов. Планировщик частоты процессора нужен для работы функций энергосбережения. Более низкие частоты процессора требуют меньше напряжения. В нашем случае потребности экономить электричество нет, потому нужно переключить планировщик в режим performance.

Настраиваем и применяем:
apt install cpufrequtils
echo 'GOVERNOR="performance"' > /etc/default/cpufrequtils
cpupower frequency-set --governor performance


Сравниваем производительность
Производительность получившейся конфигурации:


Производительность в окружении BitrixVM:



Если вы оптимизировали сервер по инструкции, но производительность всё равно не устраивает — нужно провести диагностику нагрузки и решить, что вам требуется:
1. Обратиться к разработчику для оптимизации кода
2. Найти дополнительные варианты оптимизации
Например, перенести сессии в оперативную память, настроить Nginx кеширование, заблокировать нежелательных ботов.
3. Добавить ресурсов сервера
Даже в случае с идеально написанным сайтом и не менее идеально оптимизированным сервером в какой то момент узким местом окажутся ресурсы.

Недостаток оперативной памяти не позволит полностью задействовать процессор, а избыток памяти при полностью загруженном работой процессоре не принесёт никакой пользы. Если узким местом оказывается пропускная способность сети — пришло время задуматься о переходе на выделенные серверы с гигабитным каналом. Как выбрать сервер для Битрикс есть в моей предыдущей статье.

Чтобы понять, какой вариант дальнейших действий ваш — обратитесь к системному администратору. Если ваш сайт на наших серверах для Битрикс — помогут наши ребята. Первый месяц после заказа сервера администрирование бесплатно.

Плюс для наших серверов под Битрикс можно использовать уже готовый рецепт с описанной оптимизацией — GT: для Centos7, с MariaDB (10.3), Nginx (1.14.2) и наиболее производительной версией php (7.3). Эти VDS живут на новейшем железе: высокочастотных процессорах Core i9-9900k и скоростных NVMe-дисках.
firstvds.ru/hosting/bitrix