Почти каждый день приносит новости про новые уязвимости. Иной раз кажется, что мир сошел с ума. Искать процессорные баги и называть их Spectre_и_циферки — тренд этого года. Развитие способов эксплуатации уязвимостей Spectre продолжается, выходят все новые патчи, так что «ребутнуть кластер» — теперь норма. Мы продолжаем патчить ноды, и чтобы все прошло максимально незаметно, стараемся для этого мигрировать клиентов и проводить работы на пустых серверах.

А пока системные администраторы в офисах и дата-центрах мужественно предотвращают атаки, злоумышленники добрались до домашних маршрутизаторов. Под раздачу попали популярные марки. Чтобы не потерять свои пароли и другую конфиденциальную информацию, следите за выходом новых прошивок для своего домашнего сетевого оборудования.

Вернемся к веб-серверам и веб-угрозам.

У каждой из трех лидирующих бесплатных CMS что-то произошло. В марте Drupalgeddon 2 заставил разработчиков обновить ядро, а уже в апреле вышло следующее внеочередное критическое обновление. Для WordPress в июле вышло внеплановое обновление, устранившее две критических уязвимости, у Joomla в этом году пока поспокойнее, все обновления безопасности заявлены некритическими, но обновиться на всякий случай стоит.

Впрочем, если вы используете коммерческие CMS, это не повод расслабляться: уязвимости есть и в них, просто о них не так широко известно. Так что не забывайте своевременно обновляться.

Ну и топ сегодняшнего хит-парада. В популярной бесплатной панели Vesta CP обнаружена критическая уязвимость, позволяющая злоумышленнику получить root-доступ к панели, а затем и к серверу. Уязвимость уже привела к эксплуатации серверов для DDoS-атак и следом к их блокировке.

Так что если вы этого еще не сделали, то срочно обновитесь.

P.S. А еще проверьте доступы к .git-папкам и базам своих сайтов: на 390 тыс. сайтах каталог .git оказался доступным для загрузки, а крупнейшая утечка персональных данных произошла из-за использования конфигурации по умолчанию.

С сегодняшнего дня услуги по проекту FirstVDS оказывает АО «ИОТ» вместо АО «Первый». Беспокоиться не о чем — это формальное изменение, которое не повлияет на порядок оплаты и оказания услуг. Никаких дополнительных действий предпринимать не нужно. Как только вы внесете очередную оплату, мы будем считать, что вы согласились с публичным договором-офертой (в нем незначительные изменения).

Изменения касаются только лиц, которые не оплачивают банковскими переводами. Договоры с юридическими лицами будут перезаключаться по мере истечения срока их действия.
firstvds.ru/company/documents/contract-vds-oferta

Мы обновили защиту от DDoS-атак — теперь она дешевле и защищает на большем количестве уровней по модели OSI. Обо всем по порядку:
Изменение цены

• Стоимость защиты от DDoS-атак теперь 250 р/месяц за канал 1 Мбит/сек вместо 500 р/месяц.

Условия оплаты услуги те же:

• Списание ежедневное — плата за защищенный канал списывается одновременно с платой за сервер каждый день.
• Стоимость превышения канала — 250 рублей за каждый дополнительный 1 Мбит/сек.

Доступная защита на 7-м уровне
Атаки на 7 уровне модели OSI — на уровне приложений. Это единственный уровень, на котором непосредственно работают посетители сайта. Открытие страниц, удаленный доступ к файлам и базам данных, отправка электронной почты — эти и другие важные сетевые операции происходят на 7 уровне. Сюда относятся протоколы FTP, SMTP, HTTP, POP3 и другие.

Раньше для защиты от DDoS-атак на 7-м уровне у нас была отдельная услуга. Стоила она немало: от 6000 рублей в неделю. Теперь защита на всех уровнях — 2, 3, 4 и 7 — это одна услуга, которая стоит 250 руб/мес.

Обратите внимание: если вы подключаете защиту от DDoS-атак на активный сервер потребуется смена IP-адреса сервера на защищенный. После этого обновляются доменные записи, из-за чего сайты могут быть недоступны до суток.

Для защиты от атак на 7-м уровне потребуется дополнительная настройка — до 1 часа на каждый домен.

https://firstvds.ru

Соблюдаем традиции и в пятницу 13-ое делаем невероятное. Скоростные VDS на NVMe-дисках со скидкой 75%.

Промокод FRIDAYSALE действует только сегодня для 100 самых быстрых клиентов. Скидка дается на месяц для серверов готовых конфигураций: Старт, Разгон, Отрыв, Улёт.

Если ещё не слышали про NVMe: это новые накопители в 3 раза быстрее SSD, потому что работают через шину PCI Express. Выше скорость чтения и записи, больше запросов обрабатывают в единицу времени.

Заказать сервер с NVMe

Форсаж — гибкий тариф, которые растет вместе с вашим проектом. Тариф Форсаж существует уже 3 года, и всё это время пользуется популярностью у наших клиентов. Но, признаемся, последнее время мы про него немного забыли. Стандартную линейку тарифов обновляли: цены сначала повышали, потом понижали, увеличивали ресурсы. А Форсаж застыл на месте. Настало время обновить этот замечательный тариф!

Вот самые большие изменения:

• Бесплатное администрирование с каждым сервером
• Скоростные накопители NVMe
• Сниженные цены

Бесплатное администрирование
С каждым сервером Форсаж пакет администрирования бесплатно. Напишите в поддержку, и администраторы решат любые задачи, которые входят в регламент. В месяц можно заказывать до 5 работ. Это не акция, а неотъемлемая часть тарифа — администраторы в вашем распоряжении на всё время действия сервера.

Опция будет полезной и при первоначальной настройке сервера, и при дальнейшей работе: специалисты помогут найти причины сбоев внутри сервера и устранить их.

Скоростные NVMe-накопители
Что это такое? Те же самые SSD-накопители, но подключенные через PCI Express и работающие по новому протоколу. Накопители NVMe теперь доступны для заказа на тарифе Форсаж. Сейчас это, пожалуй, самый простой способ ускорить работу интернет-проекта. Наши внутренние тесты показывают ускорение работы в 3 раза по сравнению с обычными SSD!

Доступны виртуальные серверы с накопителем NVMe от 20 до 500 Гб. Заодно увеличили максимальный размер SSD до 1 Тб.

Ах да, пришлось отказаться от гибридных накопителей HDD+SSD. Но это не повод расстраиваться, потому что мы…

Снизили цены
На старом Форсаже можно было устанавливать любые параметры: процессор, память, диск. Изначально планировали, что из-за дисбаланса ресурсов виртуальных машин не получится эффективно утилизировать ресурсы физического сервера. Это повлияло на цену.

Теперь процессор и память — зависимые ресурсы:


Это позволило значительно снизить цену. Сравним аналогичные серверы (2 ядра, 2 Гб памяти):

• Старый Форсаж: SSD 20 Гб — 919 руб/мес
• Новый Форсаж: NVMe 20 Гб — 809 руб/мес
• Новый Форсаж: SSD 20 Гб — 749 руб/мес

Новый сервер на NVMe стоит дешевле старого аналогичного сервера на SSD.

Новый Форсаж 2.0

C 12 по 18 февраля проводим акцию ко дню всех влюбленных.

Мы предоставим скидку 20%, если:

• у вас есть только один активный виртуальный сервер, и вы заказали ему пару в виде ещё одного сервера. Скидка будет назначена на второй сервер.
• у вас нет активных VDS, и вы заказали два виртуальных сервера. Скидка на меньший по стоимости сервер.

Для активации скидки укажите промокод togethervds. Скидка назначается автоматически в течении нескольких минут, после чего вы можете переходить к оплате заказа. Скидка действует, пока активны оба сервера.

Подробные условия:

• В акции не принимает участие VDS-Разминка.
• Если у вас несколько активных серверов, вы не попадаете под условия акции, и скидка не назначается.
• Если вы заказываете два одинаковых по цене VDS, скидка будет действовать на второй виртуальный сервер.
• На каждый аккаунт скидка активируется только один раз.
• Если вы покупаете второй сервер, на аккаунте должен быть только один VDS.
• Для получения скидки за заказ двух серверов, на аккаунте не должно быть активных VDS.
• Если вы докупаете второй сервер, чтобы получить скидку, первый должен быть активирован до 12.02.2018 г.
• Если со временем клиент отказывается от сервера со скидкой, скидка на другие услуги не переносится.
• Скидка применяется автоматически через 3 минуты после введения промокода.

В сети обсуждают массовый взлом FirstVDS. Давайте разберёмся, в чём причина такого шума.
Претензия — FirstVDS не обеспечил защиту серверов

Вы должны обеспечить своевременное обновление и защиту серверов клиентов

Компании со своей стороны обеспечивает поддержку работоспособности инфраструктуры. За администрирование конечного VDS, актуальность обновлений и безопасность сервера ответственен администратор VDS — сам клиент. В рамках услуги администрирования и чёткого ТЗ системные администраторы могут провести работы по настройке и усилению безопасности сервера клиента.

Серверы взломала недобросовестная поддержка

У сотрудников саппорта действительно есть SSH-доступ к VDS клиентов. Однако он происходит через закрытый сервер аутентификации, который доступен только во внутренней сети, все запросы жёстко логируются. Мы мониторим логи, чтобы выявлять подозрительные подключения. Подробнее о системе авторизации мы писали тут.

Учитывая репутационные последствия и затраты на обработку подобных тикетов, для компании подобный «бизнес» крайне невыгоден.

Взлом происходит через уязвимости на серверах компании

Основные цели атакующих — рассылка спама и запуск «криптомайнеров». Мы изучили достаточно много кейсов, чтобы утверждать: эксплуатируются локальные уязвимости на стороне конкретного VDS. Кроме того, уязвимости разные.

Цели злоумышленников достигаются путём запуска вредоносного ПО с правами локального пользователя. Если бы эксплуатировались уязвимости на серверах компании, злоумышленники получили бы полный доступ к конечным услугам, что повлекло бы более серьёзные последствия. Нет смысла запускать сервисы в ограниченном окружении пользователя, когда есть root-доступ на сервер.

Чтобы локализовать уязвимый ресурс и отследить атаку, рекомендуем настраивать каждый сайт под отдельным пользователем.

А как же Meltdown/Spectre?

Обновления безопасности ПО проводятся на регулярной основе. Родительские ноды обновлены и защищены от данного типа атак.

Эксплуатация атак meltdown/spectre достаточно трудоёмкая и требует большого количества ручной работы. Масштаб проблемы даёт повод предполагать, что атаки автоматизированы и, вероятнее всего, работает ботнет. Нет смысла эксплуатировать уязвимости чтения памяти, когда пароль пользователя Qwerty123 или CMS обновлялась более 3-х лет назад.

На моём сервере совсем нет сайтов или сайты самописные, без публичных уязвимостей. Как его взломали?

Кроме сайтов, на сервере есть программное обеспечение (например, phpmyadmin, proftpd, httpd), которое каждый день становится объектом исследований в области безопасности. Вероятность появления уязвимости нулевого дня для любого из сервисов каждый день достаточно велика. Поэтому в задачи администратора сервера входит своевременная реакция на подобные инциденты и обновление ПО. В некоторых рассмотренных нами случаях эксплуатировались старые бэкдоры, «заложенные» злоумышленниками заранее. Возможно, даже через сайт, которого уже нет на сервере.

Уязвимое ПО было установлено на мой сервер при покупке? Меня взломали через ПО в ваших шаблонах?

Все программное обеспечение устанавливается на сервер из актуальных репозиториев операционной системы, вероятность эксплуатации таких сервисов крайне мала. Но, как было сказано выше, уязвимости могут появляться каждый день, и задача администратора — следить за актуальностью своих программных компонентов. Сканеры уязвимостей находятся в свободном доступе, и взлом уязвимой системы — вопрос времени и целесообразности. При текущем спросе на криптовалюты второй вопрос отпадает сам собой.

Наша позиция — взлом осуществляется через уязвимости внутри VDS

Кейсы, которые мы уже разобрали и похожие случаи:

• Отчёт от sucuri о подобных случаях (англ).
• Мы также зафиксировали ряд взломов через уязвимости веб-сервисов.
• Часть устаревшего программного обеспечения подвержена достаточно старым типам атак, например, CVE-2015-3306.

Если дело в уязвимостях ПО, почему заражают только клиентов FirstVDS?

Это не так, заражению подвержены клиенты любого провайдера. Однако FirstVDS — крупный хостер (57 435 доменов, по данным Hosting101 за 2017 год — самый популярный в России хостинг виртуальных серверов). И на нашем примере эта проблема особенно хорошо заметна.

К тому же не у каждого крупного хостера есть VDS с виртуализацией OpenVZ.

Мы предоставляем неадминистрируемые VDS, поэтому обычно не знаем, если их взломали. Однако у VDS с виртуализацией OpenVZ общее ядро, поэтому можно отследить всех нарушителей с запрещённым ПО (в том числе майнеров) по возросшей нагрузке на родительский сервер. Среди них будут и намеренные, и взломанные.

Именно майнеров мы можем разделить на намеренных и взломанных — последних выдаёт скрипт phpBWa1dd_ysvh5cdgl5zu7gf4. Намеренных останавливаем сразу и просим удалить запрещённое ПО. Со взломами ситуация неоднозначная, но, так как из-за повышенной нагрузки страдают все клиенты на ноде, не можем оставить её без внимания.

Для начала решили останавливать паразитный процесс, не пришлось бы беспокоить клиентов уведомлениями про взлом. Но у нас нет возможности автоматически закрывать уязвимости на VDS, а без этого сервер будет вновь заражен. На данный момент процедура выглядит так: останавливаем паразитный процесс, уведомляем клиента и рекомендуем закрыть уязвимости. Если клиент не реагирует, уязвимости не закрыты, а сервер заразили уже 4 раза подряд, мы останавливаем VDS.

На виртуализации KVM с уровня родительского сервера не видны процессы конкретного VDS. В этом случае мы не можем отследить взлом. Поэтому блокируем VDS, которые генерируют большое количество паразитного трафика, и разбираемся в причинах индивидуально.

Почему вы не решаете проблему?

В каждой такой ситуации взлома требуется индивидуальное решение. Поэтому в первую очередь мы рекомендуем обратиться к специалистам, занимающимся защитой сайтов. Например, в компанию Revisium. Ни о каком партнёрстве и денежной выгоде тут речи нет. Ещё у них есть бесплатный сканер вирусов и вредоносных скриптов Ai-bolit.

Также мы рекомендуем Virusdie (700 руб. в месяц) — это хороший антивирус и модуль в панели ISPmanager, с которой мы работаем. Плагин позволяет самостоятельно производить неограниченное количество очисток всех сайтов в течение месяца. Подключается в панели ISPmanager в раздел Интеграция → Модули.

Наши специалисты могут вручную произвести проверку и очистку сайтов от вирусов, но она разовая и обходится дороже — 1000 руб. Кроме того, проблема не решается только чисткой вирусов.

Если вы обладаете достаточными навыками администрирования Linux, можно провести проверку самостоятельно. В нашей базе знаний вы найдёте статьи в помощь: Поиск вирусов на сайте, Поиск вирусов с помощью Linux Malware и другие в разделе Безопасность.

Так как чистка не предотвращает повторное заражение, сначала нужно закрыть уязвимости.

Если вас не взломали, всё равно стоит позаботиться о профилактике. Воспользуйтесь рекомендациями по ссылке и статей про защиту Wordpress от брутфорс атак.

Если ваш сервер взломали, и это не связано с описанными уязвимостями — напишите запрос в поддержку, мы заинтересованы разбирать нестандартные кейсы…

Добавили защиту от DDoS на всех тарифах
Раньше защищенный канал был доступен только для Атлантов и Форсажей, а теперь его можно подключить и на готовых тарифах за 500 рублей в месяц. Канал DDoS-Guard защищает серверы от самых распространённых атак на 3-4 уровне: Smurf, SYN-, ICMP-флуд.
firstvds.ru/products/vds_vps_hosting


Оптимизировали серверы для Битрикс24
Подобрали виртуальные и выделенные серверы под корпоративные порталы Битрикс24 разного размера. Учли, что вам могут пригодиться бэкапы и администрирование — уже в комплекте.
firstvds.ru/products/bitrix24


Снизили цену на хостинг для Windows
В марте Windows подняли цены на лицензии, и нам пришлось повысить цены на Windows-серверы. Но в июле мы нашли способ сделать их даже дешевле, чем было — от 589 рублей в месяц. Собрали отдельный кластер, взяли под него одну лицензию Datacenter и вуаля.
firstvds.ru/hosting/windowsvps


Добавили диска на Форсажах и Битриксах
Увеличили лимит диска для серверов в своей конфигурации, под 1С-Битрикс и Битрикс24: HDD до 1 ТБ и SSD до 500 Гб. Больше места для ваших больших проектов!




Счастливого Нового года, друзья!
Команда эльфов FirstVDS

У нас сегодня день рождения, 15 лет. Не, не так.

У нас сегодня юбилей, и мы позвали всех друзей. То есть собрали их со всех отделов и поспрашивали за жизнь. Узнали, как оно было на заре FirstVDS и какие невероятные истории запомнились больше всего.

Истории гендиректора, Алексея Чекушкина
Евграф Шматкунос — 2003 г.
На заре Интернета не принято было подписываться реальными именами. В ходу были ники, и мы тоже ими пользовались. А ещё всегда любили поржать, так у Димы С. был псевдоним Евграф Шматкунос.

Однажды он делал рассылку и вместо макроса %client_name% в приветствии поставил %admin_name% (копипастил и перепутал). Всем клиентам ушло письмо, начинающееся со слов «Здравствуйте, Евграф Шматкунос!». По тем временам это не казалось большой трагедией. Чухнули, поржали и собрались забыть. Но Дима на этом не остановился и зафигачил следующую рассылку:

Вы не Евграф Шматкунос

Здравствуйте!
Приносим свои извинения, вы не Евграф Шматкунос. Но информация по вашему серверу в предыдущем письме актуальная.

С уважением,
команда FirstVDS

С этого и началась наша клиентоориентированность.

Первый биллинг — 2003 г.
Весной 2003 года я писал биллинг для сайта. До этого мы вели клиентов в экселечке и считали расходы руками. Сейчас смешно хвастать, но раньше все так жили: получали письмо от клиента с заказом — шли VDS-ку открывать, заканчивались у клиента деньги — шли закрывать. И каждое письмо сами писали — индивидуальный подход, самый что ни на есть.

Конечно, так бездарно не хотелось время тратить. Поэтому я 3 месяца корпел над биллингом — по тем временам это казалось страшно долго. Автоматизировал открытие VDS, письмо об этом событии клиенту, выписку счетов, управление услугами и др. В команде тогда было всего человек пять-семь, и все о моих трудах знали, но всё же был назначен торжественный день релиза.

Я готовился почти как к диплому, кажется, даже надел пиджак и причесался тщательнее, чем обычно. Но старался, конечно, зря. Потому что Саша Б. — новичок, который за неделю уже всем полюбился и приглянулся — удалил весь мой труд. Вот так беспощадно и, конечно, непреднамеренно. От этого даже обиднее было. Саша сам был так обескуражен и так искренне извинялся, что злиться было невозможно.

Бэкапов, само собой, не было. Так что я махнул рукой и переписал всё за месяц. Вышло даже лучше прежнего — отловил кучу багов, архитектурно много чего переделал. Но всё равно припоминаю это Сане при случае, а про баги молчу. Ну теперь-то он всё узнает :)

Пожар в офисе — 2003 г.
Это сейчас мы занимаем три этажа, один из которых построили сами. А поначалу сидели только на втором, в двух кабинетах.

И вот у соседей на первом этаже что-то загорелось. Но обошлось — затушили быстро и реальной угрозы не было (сам сходил проверил). Однако надымило нормально — работать было невозможно, а надо. Принял волевое решение и распустил всех по домам. Работать. Закрыл все двери и ушёл. Возвращаюсь на завтра, а входная дверь практически приставлена к косяку. Зашаталась и рухнула под ноги — ждала меня буквально, держалась из последних сил.

Оказалось, это пожарные её так. Решили проверить, всё ли в порядке на втором этаже, столкнулись с закрытой дверью и, не долго думая, открыли её топором. Слава богу, за время отсутствия нас и двери ничего не пропало.

Директор по маркетингу с 2012 по 2016 гг., Татьяна Гребенюкова
Как я заминировала Шереметьево — 2016 г.
На один из RIW-ов мы возили с собой макет Атланта — нашего отказоустойчивого кластера. Напечатали на 3D-принтере, склеили, припаяли разноцветные лампочки и запитали батарейками. Атлант мигал, сиял и привлекал всеобщее внимание к нашему стенду. Люди подходили, спрашивали — в общем всё, как мы и хотели.

После выставки я отстала от коллег — опоздала на сдачу багажа. Поменяла билет и ждала своего рейса в кафешке. Макет Атланта со всеми проводами и лампочками лежал рядом, в коробке из-под PS3. Там он и остался.

Спохватилась я только перед выходом на посадку. Позвонила в кафе — спрашиваю про свою коробку и понимаю, что описываю что-то, похожее на бомбу. Так и есть, нашего Атланта сначала испугались посетители, потом сотрудники кафе, наконец полиция и саперы. Их испугались пассажиры терминала D. А вся эта история немного напугала меня.

Сотрудники кафе аккуратно посоветовали за коробкой не возвращаться. Хотела бежать из страны, но решила, что в родную Сибирь вполне достаточно.

Руководитель отдела продаж, Наталья Дузенко
Сайт не работает — 2015 г.
Как-то пришёл к нам в офис знакомый директора (назовём его Олег). Пожаловался, что сайт не работает, и Алексей позвал меня — помочь товарищу, подобрать подходящий сервер.

— Я вложил в создание и продвижение моего интернет-магазина мульёны! А сайт не работает.

Но выяснить, что Олегу подойдёт, было не так просто. Он не очень хорошо разбирался в теме и с трудом отвечал на мои вопросы. На одном из них вообще растерялся и предложил посмотреть вживую. Я очень удивилась, ведь «сайт не работает». Однако Олег без труда открыл его в браузере.

Сайт быстро загрузился, все страницы были доступны. Конечно, фото товаров и общий дизайн были плохонькие… Но Олег спокойно открывал страницы, переходил по ссылкам, все с тем же возмущением констатируя, что сайт не работает. Глаза мои становились шире. Наконец это стало заметно даже Олегу, и он решил уточнить, что меня так удивило.
— Сайт же работает! — с радостью и недоумением сказала я.
— Да как же он работает! Ни одного заказа, ни одной продажи, ни одного обращения!

Руководитель IT-службы, Артём Артемьев
Как мы с органами сотрудничали — 2017 г.
Сидим этой осенью в офисе. Никого не трогаем, работаем. Звонок в дверь — полиция. Ну да, должна была в abuse прийти за какими-то бумажками, — подумала Юля секретарь, — и открыла. Потом глянула на монитор, а там ребята с автоматами всё заходят-заходят и не заканчиваются.

Попросили выйти всех из кабинетов (зачем-то). Узнали, кто директор, и пошли говорить с ним. Оказывается, искали наркотики, которые продавали с одной из наших VDS-ок. Вот прям в офисе искали. Ну мы не сильно удивились, когда-то с нас уже спрашивали станок для печати дипломов. Вот теперь ждем, когда за барышнями придут.

30 ноября в 12:00 по Москве начнется праздничный квест FirstVDS.

Игроки, прошедшие квест до конца, разделят 100 000 рублей на счёт, а трое счастливчиков, решивших седьмое задание быстрее всех, получат главные призы — шлем виртуальной реальности OculusRift CV1, игровую приставку Sony PlayStation 4 Slim и квадрокоптер DJI Phantom 3.

Конкурс продлится до 6 декабря. Мы придумали 7 админских, логических и игровых заданий — по одному на каждый день и спрятали их на специальном сервере VDS Квест. Чтобы решить их, придется немного поработать в консоли. Будем выкладывать по одному в день. Первое опубликуем 30 ноября в 12:00 по Москве. Вступить в игру можно до 5 декабря 23:59 по Москве — дня публикации последнего задания.

Задачи непростые, поэтому дадим подсказки на каждом уровне.

Игровой сервер пока недоступен для заказа. Откроем заказ по ссылке ниже, как только начнется игра.

firstvds.ru/vdsquest