Хостинг

SpaceWeb объединил управление хостингом, VPS и доменами в одном мобильном приложении

SpaceWeb перезапустил мобильное приложение и перевел его на технологию Progressive Web App (PWA). Теперь все ключевые функции управления услугами доступны в одном интерфейсе прямо со смартфона — без ограничений по функциональности.

Приложение полностью повторяет возможности веб-панели управления. Пользователи могут заказывать и контролировать хостинг, VPS/VDS и облачные сервисы, управлять доменами, DNS и SSL/TLS-сертификатами, отслеживать баланс и нагрузку, настраивать доступы. Также доступны пополнение счёта, автоплатежи и участие в партнерской программе.

Переход на PWA позволил синхронизировать обновления: все новые функции, которые появляются в основной панели управления, сразу становятся доступны и в мобильной версии.

Все подробности о перезапуске — на сайте SpaceWeb.

Русский хакер взломал почту президента Соединенных Штатов Америки Дональда Трампа!

Так могла бы быть озаглавлена статья в каком-нибудь новостном агрегаторе, но, конечно же, это далеко от истины, хотя письма от его имени (с домена POTUS*) я все же могу отправлять. Как такое могло произойти давайте разберем под катом.

Одним из самых распространенных методов обмана людей была и остается рассылка по электронной почте. Еще до индусских колл-центров и служб безопасности банков, в начале нулевых главным средством выманивания денег были африканские e-mail'ы, которые с сожалением сообщали о кончине вашего родственника, но завещавшего вам пару десятков миллионов долларов 🇷🇺.

Со временем, специалисты по ИБ разработали антифишинговые механизмы и ПО, которые блокировали входящую почту по распространенным паттернам, включая подозрительные слова. Именно поэтому, если вы вдруг не знали, фишинговые письма содержат грамматические ошибки - банально чтобы обойти защитные механизмы. Однако сейчас не об этом.

Главными критериями определения легальности письма являются 2 доменные записи: SPF и DMARС (есть еще DKIM, который отвечает за цифровую подпись писем, но о нем как-нибудь в другой раз).
Sender Policy Framework aka SPF — это запись со списком серверов и IP-адресов, с которых разрешается рассылать письма от имени домена. Если письмо пришло с отличного от записанного в SPF айпишника или домена - письмо помечается как подозрительное.
Domain-based Message Authentication, Reporting and Conformance aka DMARC — это политика, которая задаёт сценарий действий с письмами, которые признаны через SPF подозрительными: none - ничего не делать, quarantin - пропускать, но поместить в папку спам, и reject - отклонять.

Соответственно, если у домена в DNS не прописаны SPF и DMARС, то принимаемый mail-сервер не может проверить легальность отправления и не понимает, что с ним делать дальше кроме как пропустить.
Так и случилось в текущем примере: коммерческий домен POTUS.com не имеет соответствующей записи DMARC и любой желающий может отправлять письма от его имени, включая якобы действующего президента 🇺🇸 США.

К счастью, большие почтовые корпорации типа 📧 Google и ❤️ Яндекс, даже при отсутствии или неправильной конфигурации SPF и DMARC, научились отличать фишинг от реального письма. Однако ряд других почтовиков (не будем показывать пальцем) не только пропускают такие письма, но еще и подставляют аватарки (на основе фавиконки с домена), а под письмом пишут, что оно проверено "докторским" антивирусом.

Как же установить, что проверяемый домен подвержен такой атаке? Ранее я пользовался встроенной в Kali утилитой под названием spoofcheck (проверка на спуффинг), но она просто проверяет DNS записи и говорит возможно ли заспуфить проверяемый домен или нет.
Поэтому около года назад я сделал свою утилиту 🧠 HydrAttack PoC eMailSpoofer Module, которая проверяет домен на уязвимость (чекает DNS записи), и если так оно и есть - поднимается майл сервер со всеми необходимыми настройками и отправляется спуффинговое письмо. Особенностью моего ПО является то, что в письмо вложен Excel файл с макросом, который открывает калькулятор.

В общем, за год эксплуатации моя утилита показала свою работоспособность в боевых условиях: и на реальных проектах дала жару, и в рамках Баг Баунти программ от Bi.Zone я также заработал пару тысяч. Поэтому пользуйтесь, но помните, что с большой силой приходит и большая ответственность (с).

🧠 Обязательно поделись с теми, кому это может быть полезно 📱 Телеграм | 📝 Хабр | 💙 ВКонтакте | ⚡️Бустануть канал

*President of the United States - Президент Соединенных Штатов

Как зарегистрировать новый домен и сразу получить проблемы

25 декабря 2025 я зарегистрировал в RU-Center новый домен в зоне .RU.
Прописал NS-записи на Beget, но сам домен в панели не добавлял — не нужен был на этом этапе. Обычно в таких случаях при открытии домена в браузере показывается стандартная заглушка Beget: «Домен не прилинкован к директории».
Начались праздники, я забыл о нём.

14 января — сюрприз от RU-Center

Получаю письмо:

«В соответствии с пунктом 5.7 Правил регистрации доменных имен делегирование домена [domain.tld] приостановлено...»
«По вопросам разъяснения причин прекращения делегирования рекомендуем обращаться: incident@cert.gov.ru».

А чуть ниже — цитата от НКЦКИ (Национальный координационный центр по компьютерным инцидентам):

«Доменное имя [domain.tld] используется для проведения компьютерных атак.»
«Тип атаки: фишинг.»
«Легитимный сайт — https://web.telegram.org/».

Видимо, мой домен кто-то использовал для фишинга Telegram.

Первая реакция — «ну и ладно, не сильно нужен он мне», но потом включилась профессиональная деформация: надо разобраться.

Пишу в RU-Center

«Подскажите дату, когда была зафиксирована атака. Я зарегистрировал домен 29.12.2025, он был на DNS Beget, но не использовался — только заглушка.»

Ответ стандартный:

«Жалоба поступила 14.01.2026. По вопросам разъяснения причин рекомендуем обращаться в НКЦКИ.»

Пишу в НКЦКИ

«Домен зарегистрирован 29.12.2025, DNS прописаны на Beget, но не прилинкован. Как он мог участвовать в атаке?»

Ответ неожиданный:

«Ваш домен был взломан путем подмены DNS-записи у провайдера хостинга. В результате размещался фишинговый контент. Дата обнаружения — 14.01.2026. Возможно, взлом произошёл раньше. Просим обратиться к хостинг-провайдеру и обеспечить корректную настройку DNS.»

Хорошо. Пишу в Beget.

Пишу в Beget

«Домен был зарегистрирован 29.12, прописан в NS, но не добавлен в аккаунт. НКЦКИ пишет, что DNS были подменены. Прошу разобраться.»

Ответ:

«Домен [domain.tld] находится на аккаунте с логином [username]. У вас есть доступ к этому аккаунту?»

Нет, конечно. И понятия не имею, кто это.

Дальше — процесс восстановления, подтверждения, перенос на мой аккаунт. Всё закончилось благополучно, но с неприятным послевкусием.

Развязка

Позже я уточнил у Beget:

«Когда домен был добавлен в чужой аккаунт?»
Ответ: «30.12.2025.»

То есть сразу после регистрации домена кто-то добавил его к себе.
Это даже не взлом в классическом смысле, а скорее «киберсквоттинг на уровне DNS» — когда ловят новые домены, прописанные на публичные NS, и быстро создают запись у себя, пока владелец не дошёл до панели.

Выводы

1. Не оставляйте домен “висеть” без зоны. Даже если кажется, что всё под контролем.

2. Сразу добавляйте домен в хостинг и создавайте зону DNS. Пусть даже просто указывает на пустую директорию.

3. Проверяйте, на чьих серверах реально отвечает ваш домен.

4. Не полагайтесь на “по умолчанию” — иногда именно там и происходит самое интересное.

Действуя на расслабоне, я оставил лазейку, которой кто-то воспользовался.

Я делаю конструктор Телеграм-ботов «Бот в блокноте» и веду канал про ИИ-клиент «Cherry Studio» — ссылки можно найти в моём профиле 👇. Присоединяйтесь!

Спрос на VPS вырос на 40%: рынок хостинга уходит от shared-модели

За последний год рынок хостинга заметно сместился в сторону виртуальных серверов. По данным SpaceWeb, за последние 12 месяцев число активных VPS-аренд выросло на 40%.

Этот рост отражает более широкий сдвиг: бизнес и разработчики всё чаще уходят от shared-хостинга к VPS для работы над сложными инфраструктурными онлайн-проектами.

Примечательно и распределение спроса: большая часть пользователей по-прежнему выбирает базовые конфигурации, но растет доля более производительных решений — для сервисов с повышенной нагрузкой и сложной логикой. К тому же, за последний месяц на 50% увеличился спрос на зарубежные VPS серверы для международных проектов.

Какие задачи решают VPS сегодня и как меняется поведение клиентов — читайте на сайте.

Подборка базовых статей о DNS

Привет, Хабр! На дворе пятница, а это значит, что я снова с непрошенной подборкой статей для начинающих. Сегодня на очереди DNS. Прошу:

• Что такое DNS-сервер — объясняем простыми словами. Как работает технология, какие DNS-серверы бывают, что такое DNS-зоны, как управлять доменом.

• DNS-сервер не отвечает: что делать и как исправить? Делимся решениями для тех, у кого возникли проблемы с DNS-сервером.

• Как разобраться в DNS-хостинге и ничего не сломать. Какие типы ресурсных записей бывают, зачем их так много и как добавить их в DNS-хостинг так, чтобы все работало без нареканий.

Прославленный путешественник Федор Конюхов подписывает флаг экспедиции RUVDS!

До крутых новостей осталось 3.. 2.. 1.. 😉

Наша экспедиция уже на месте, а значит скоро будут большие новости. Не переключайтесь!

Прошли аттестацию высшего уровня защиты данных УЗ-1 🛡

Официально подтвердили максимальный уровень защищенности нашей инфраструктуры.

Теперь вы можете размещать медицинские системы и работать с любыми специальными категориями данных (здоровье, биометрия).

➖ Локации: Москва, Санкт-Петербург, Новосибирск
➖ Защита: аппаратные межсетевые экраны, IDS/IPS, сканирование уязвимостей, контроль целостности среды виртуализации

Ссылка на документы →

В панели управления SpaceWeb добавили облако

Теперь в панели управления SpaceWeb можно в один клик создать облачный аккаунт. А это значит — получить доступ ко всем возможностям облачной платформы. Новая фича уже действует для всех пользователей виртуального хостинга. 

Вот что стало доступно:

• VPS с готовыми решениями: виртуальные серверы с предустановленным ПО для быстрого запуска IT-проектов;

• S3-хранилище: надежное облачное хранилище для файлов, бэкапов и медиа;

• Kubernetes: оркестрация контейнеров для масштабируемых приложений;

• DBaaS: готовые облачные базы данных MySQL и PostgreSQL без необходимости настройки и администрирования.

Для того, чтобы активировать новый функционал нужно перейти в новый раздел «Облако» в панели управления, выбрать «Создать аккаунт в облаке» и подтвердить ваши данные — они подтянутся автоматически. 

SpaceWeb включен в реестр российского ПО

Платформа управления хостингом и облачными сервисами SpaceWeb внесена в Единый реестр российского программного обеспечения Минцифры России. Это означает, что инфраструктура SpaceWeb полностью основана на российских технологиях и соответствует требованиям законодательства.

Теперь для пользователей это дополнительная гарантия прозрачности, устойчивости и независимости сервисов, на которых работают сайты и приложения.

В наших планах — дальнейшее развитие собственных технологий с акцентом на безопасность, производительность и надежность инфраструктуры.

Начинаем собрание анонимных любителей S3 👀

С крутейшей новости — мы добавили возможность создавать неограниченное число дополнительных пользователей в S3, чтобы вы не скучали в своем бакете :)

Что входит в фичу:

➖ Настройка индивидуальных прав для пользователей
➖ Управление добавленными пользователями из бакета и из общего раздела
➖ Возможность сброса ключей доступа

Юзкейс 1: Можно выдать одному сотруднику доступ для просмотра, а другому — полное управление конкретным бакетом.

Юзкейс 2: Если у вас есть приложение, которое работает с S3, вы сможете завести для него отдельного пользователя с ограниченными правами.

Подключить допов можно в виджете на дашборде бакета → потом добавить в бакет через вкладку «Пользователи».

Потестить фичу в деле →

Что можно сказать и на баттле по Kubernetes, и на семейном застолье? 🥂

«Ну чего вы опять спорите, нормально же сидели!»

Именно так и прошел наш прямой эфир в прошлый четверг. Георг Гаал вкидывал неудобные вопросы, а Артем Гаврилов — парировал и рассказывал, как мы прокачали наш Кубер.

«Идея вебинара была в том, чтобы сделать проблемы более прозрачными. Такие сложные продукты не создаются за один день. Тарифы и конфиги нового Kubernetes не всегда способны сразу закрыть все возможные юзкейсы».

(с) Артем Гаврилов, продакт-лид Timeweb Cloud

До драки не дошло, но за спором понаблюдать можно на ютубе, рутубе и в вк.

✍️ НаПоправку печатает сообщение

— Timeweb Cloud, сможете перенести наши критические IT-системы в облако за один день?
— Ни слова больше...

Продолжаем делиться докладами с бизнес-завтрака, где выступала не только наша команда, но и партнеры 🤝

Марк Дерманов, СТО НаПоправку, рассказал, как переезд в облако сэкономил до 50% бюджета, стабилизировал работу сервисов и дал возможность масштабироваться в будущем. Теперь можно мгновенно записаться к врачу без помощи мамы.

Смотрите на ютубе, рутубе и вк

Да, это Артем. Хорошо живет, купается в бассейне, пьет джус 🧃

И запускает Кубер за рубль, чтобы вы смогли его затестить.

Подробности по тарифу:

➖ Полный доступ к интеграциям: внешний балансировщик, сетевые диски, S3 и др.
➖ Без ограничений внутреннего функционала
➖ Можно создать до 3 тестовых кластеров и в каждом до 10 воркер-нод

Запустить кластер за 1 ₽ →

Мы зарелизили виртуальные роутеры

Они позволяют создавать маршрутизируемые сети — когда один или несколько компонентов вашей инфраструктуры ходит в интернет. Пример 👇

У вас 4 виртуалки и 1 база под корп портал, объединенные в приватную сеть. Одна из виртуалок должна раз в месяц скачивать обновления для Битрикса. Вот тут-то и пригодится роутер, который пропустит ее в сеть за обновлением. Безопасно и без переплаты за внешние IP.

В наличии: роутеры с резервированием (High Availability, aka HA) и без. Если вы проектируете полностью отказоустойчивую инфру, то HA — это мастхев, и за него стоит переплатить. Если отказоустойчивость роутера не важна, рекомендуем выбрать самый доступный по цене тариф.

🦐 Минималка без HA: 1 нода, 1 CPU, 1 RAM + IP — 300 руб/мес
🦑 Максималка с HA: 2 ноды, 6 CPU, 8 RAM + IP — 3 150 руб/мес

Ищите в панели → «Сети» → «Роутеры» и выбирайте нужный регион и конфиги.

Потестить роутер на своей сети →

Ловко управляем мультипарт-сессиями в S3 🏇

Как следить за всеми мультипарт-сессиями в вашем бакете и контролировать их для любых загрузок?

Добавили функции, с которыми это будет проще:

• Показ всех активных мультипарт-сессий прямо в интерфейсе

• Для каждой детальная метаинформация: когда началась загрузка, сколько частей уже загружено, какой объект создается

• Возможность вручную завершить любую сессию с очисткой загруженных частей, если аплоад завис или отменился

Загрузить свой S3 до предела →

Заказ на Kubernetes готов... Курьер уже у вашего компа 🛴

Наш продакт-лид сейчас вкинул новости по Куберу, которых еще даже во внутреннем ченжлоге не было. С ними наш Куб уже не ребенок, а превращается в настоящего мужчину — это цитата.

1️⃣ Пачка обновлений кластеров:

v1.33.1 → v1.33.2
v1.32.5 → v1.32.6
v1.31.9 → v1.31.10
v1.30.13 → v1.30.14

2️⃣ Новый раздел «Сеть»:

Теперь в панели сразу видно, к какой приватной сети подключен кластер, какой CNI используется и какие подсети подов и сервисов были указаны при сетапе.

3️⃣ Обновление версий Kubernetes прямо в панели:

🙂 Для патч-версий доступно самое последнее обновление.
🙃 Для минорных можно выбрать любую доступную версию старше текущей.

3️⃣ OpenFaaS теперь в маркетплейсе:

Удобный способ запускать serverless-функции без развертывания отдельных сервисов. Например, для автоматизации, событийных задач и CI/CD-сценариев.

Забрать все обновы Кубера →

Наш digital-продюсер Лиза просила вам передать…

Что теперь кейсы с клиентами Timeweb Cloud можно не только читать, но и смотреть 👀

Продолжим рассказывать про облачные решения в новом формате. Все технические подробности оставим для статей, а в роликах покажем только самое интересное.

Первый видеокейс записали с Денисом Сметневым, сооснователем Skyeng и uForce. Денис рассказал про несостоявшийся переезд в облако. Спойлер для тревожных: все закончилось хорошо.

Смотрите на YouTube, VK, Rutube

Читать про остальные наши кейсы на сайте →

Приручить Кафку 😌

Сделали настройку Kafka более чуткой по вашим многочисленным просьбам — теперь вы можете детально управлять параметрами топиков прямо из панели.

Что добавили:

➖ Кастомные настройки для каждого топика
➖ Возможность задать нужное количество партиций
➖ Поддержку настроек как для новых, так и для уже созданных топиков

Более тонкая настройка поможет адаптировать Kafka под вашу архитектуру и упростить работу на проде. Кайф же?

Откалибровать Kafka под свой сервис →

Мечты сбываются — открыт предзаказ на серверы с GPU NVIDIA 🥳

Хорошие новости для тех, кто давно искал тот самый сервер с мощной видеокартой под игры, AI-задачи или работу с графикой.

Какие видеокарты доступны:

• Tesla H200 141GB (PCIe)

• Tesla H100 80GB HBM2

• Tesla A100 80GB HBM2

• Tesla A30 24GB GDDR6

• RTX A6000 48GB GDDR6

• RTX A5000 24GB GDDR6

• RTX 4090 24GB GDDR6X

• RTX 5070 Ti 16Gb GDDR7

Как получить сервер:

1️⃣ Оставляете заявку на сайте или в панели управления;
2️⃣ Менеджер связывается с вами и уточняет детали;
3️⃣ Для предзаказа нужно внести минимальный платеж 5 000 ₽;
4️⃣ После получения сервера остается только доплатить оставшуюся сумму по выбранному тарифу.

Важно: если нужной видеокарты нет в списке, то напишите об этом менеджеру, уточним наличие.

Оформить предзаказ на сервер с GPU →