Кто отвечает, если арендованный VPS попал в ботнет?

С точки зрения хостера — арендатор, то есть юрлицо. Хостер просто заблокирует сервер и пришлёт уведомление о нарушении AUP. Финансовая ответственность за рассылку спама или DDoS-участие лежит на компании, поэтому защита сервера — обязанность вашего IT-подрядчика, а не хостера.

Достаточно ли встроенного фаервола хостера?

У большинства московских хостеров (Selectel, Timeweb, RuVDS) есть базовый сетевой фаервол на уровне панели — он закрывает порты на входе. Но он не защищает от компрометации через слабый пароль SSH, уязвимый веб-движок или забытый майнер. Нужен полный комплекс: hardening ОС, fail2ban, автообновления, мониторинг.

Сколько стоит правильная защита одного VPS?

Разовая настройка hardening для одного Debian/Ubuntu сервера под ключ — от 8 000 до 18 000 руб. в зависимости от ролей сервера (просто веб или 1С + почта + БД). Дальнейшее ежемесячное сопровождение в рамках абонентки — 2 500–5 000 руб. за сервер.

Как часто надо обновлять сервер?

Критические обновления безопасности — автоматически в течение суток после выхода. Плановые обновления ОС — раз в квартал с тестированием. Major-апгрейд (например, Debian 11 → 12) — раз в 2–3 года, обязательно с предварительным бэкапом и окном простоя.

Можно ли проверить работу подрядчика, не будучи технарём?

Да. Запросите три отчёта: вывод утилиты Lynis (рейтинг должен быть 80+), список открытых портов на сервере (должно быть только то, что вам нужно — обычно SSH, 80, 443), и журнал последних логинов. Если подрядчик не может это предоставить за 30 минут — он не настраивал hardening.

Безопасность 17 апреля 2026 · 13 мин чтения

Защита Linux-сервера компании: что обязан знать IT-директор офиса до 50 рабочих мест

Меня зовут Семёнов Евгений Сергеевич, я директор АйТи Фреш и уже пятнадцать лет вожусь с серверами московских компаний. Эта статья — не для админов, а для IT-директора или собственника бизнеса, который арендует VPS под 1С, корпоративный сайт или почту и хочет понять, на что должен смотреть его подрядчик. Без долгих кодовых листингов, но с конкретикой, чтобы вы могли задать правильные вопросы и не оказаться в ситуации, когда хостер блокирует ваш сервер за рассылку спама.

Зачем эта статья руководителю, а не сисадмину

За последние два года в моей практике было четыре случая, когда IT-директор крупного клиента в панике звонил с одним и тем же вопросом: «Хостер прислал письмо, что наш сервер участвует в ботнете, что делать?» В трёх случаях из четырёх причиной была одна и та же история — VPS арендовали два года назад, кто-то «настроил» по быстрому, а потом про сервер забыли. Никто не обновлял пакеты, никто не проверял логи, никто не следил за тем, что туда залезли через уязвимость в плагине WordPress.

Так вот, я уверен, что IT-директор не обязан уметь настраивать sshd_config. Но он обязан понимать, какие вопросы задать подрядчику и как проверить, что работа реально сделана. Иначе вы платите за абонентку, а в момент истины оказывается, что у вас на сервере ни бэкапов, ни мониторинга, ни обновлений. Просто услуга на бумаге.

Из чего состоит правильная защита Linux-сервера

Hardening (это профессиональный термин — «укрепление») — не одна кнопка в панели, а набор из 7–8 шагов. Расскажу простыми словами, что входит в каждый, и зачем оно нужно бизнесу.

Шаг	Что это	Что даёт бизнесу
1. Минимизация пакетов	Удаление лишнего софта с сервера	Меньше уязвимостей — нечего ломать
2. SSH hardening	Закрытие удалённого входа	Защита от перебора паролей
3. Файрвол	Список разрешённых портов	Контроль того, что слушает сервер
4. Автообновления	Патчи безопасности по расписанию	Защита от свежих уязвимостей за 24 часа
5. Fail2ban	Автобан подозрительных IP	Снижение атак на 95%
6. Бэкапы	Копии данных вне сервера	Восстановление за 2 часа после взлома
7. Мониторинг	Сбор метрик и алертинг	Узнаёте о проблеме до клиентов
8. Логирование	Журналы действий на сервере	Следствие после инцидента

Когда я приезжаю на аудит к новому клиенту и начинаю задавать вопросы про эти 8 пунктов, в среднем 5–6 из них либо отсутствуют, либо настроены формально. Самое больное место — бэкапы. Я не помню, когда в последний раз видел реально работающий бэкап с проверкой восстановления у клиента, который пришёл «на аудит». Все говорят, что бэкап есть, но когда я прошу восстановить файл недельной давности — оказывается, что архив битый, или его нет, или к нему нет пароля.

SSH — главная дверь, через которую угоняют серверы

SSH (Secure Shell) — это протокол, по которому администратор подключается к серверу для управления. По умолчанию он торчит наружу в интернет на 22 порту, и каждые 5 минут к нему стучатся боты со всего мира, перебирающие популярные пароли. На неподготовленном сервере я регулярно вижу 10–15 тысяч попыток входа в сутки.

Что должен сделать ваш подрядчик с SSH:

Запретить вход под root. У root неограниченные права, и если бот его подберёт — вы потеряли всё. Должен быть отдельный пользователь с правами повышения привилегий.
Отключить вход по паролю. Только по ключу — это длинный криптографический файл, который перебрать невозможно за разумное время.
Сменить порт (опционально). Не защита, но фильтр шума: 95% автоматических ботов сканируют только 22 порт.
Ограничить список пользователей, которые в принципе могут подключаться по SSH. Не админ — не входишь.

Простая проверка для IT-директора: попросите подрядчика показать текущее количество SSH-логинов в логе за последний день. Если там только админы вашей компании — хорошо. Если там сотни странных IP-адресов из Китая, Бразилии и Нидерландов — значит, SSH не защищён, и взлом — вопрос времени.

Файрвол: что слушает сервер из интернета

Каждая открытая дверь — потенциальная уязвимость. Сервер должен слушать только те порты, которые реально нужны для работы:

80 и 443 — для веб-сервера, если на нём сайт.
SSH — для админов, желательно только из вашей офисной сети.
1С-порт (если сервер 1С) — только из локальной сети или VPN.
Почтовые порты 25, 465, 587, 993 — только если сервер реально отдаёт почту.

В прошлом году у клиента-стоматологии я обнаружил на их веб-сервере открытый порт 27017 — это MongoDB без пароля. Кто-то из бывших разработчиков поднял базу для тестов и забыл закрыть. Через эту базу утекли персональные данные 4000 пациентов клиники. Хорошо, что мы успели закрыть до того, как Роскомнадзор узнал — но штраф мог бы достичь 500 000 рублей по 152-ФЗ.

Запросите у подрядчика результат команды проверки открытых портов с внешнего IP — он умещается на одной странице. Если в списке есть что-то, чего вы не понимаете — задавайте вопросы.

Автоматические обновления: единственный способ не отстать от хакеров

В любом софте регулярно находят уязвимости. Команда разработки выпускает патч, и в течение 24–72 часов автоматизированные сканеры начинают пробовать атаковать всех, кто не обновился. Если ваш подрядчик обновляет серверы вручную раз в квартал — между выходом патча и его установкой проходит до 90 дней, и в это окно вы голые.

Правильная схема: unattended-upgrades на Debian/Ubuntu — это встроенный механизм, который скачивает и применяет обновления безопасности автоматически каждую ночь. Один раз настраивается, дальше работает. Раз в неделю мне на почту приходит отчёт о том, какие пакеты обновились на каждом сервере клиентов — я просматриваю за две минуты и спокойно сплю дальше.

Контрольный вопрос подрядчику: «Какая средняя задержка между выходом security-патча и его установкой на наш сервер?» Если ответ больше суток — у вас проблема.

Бэкапы: единственное, что спасёт после взлома

Если сервер взломали, скомпрометировали, зашифровали ransomware-вирусом — у вас есть один-единственный путь: уничтожить сервер и развернуть всё заново из бэкапа. Поэтому бэкап должен соответствовать правилу 3-2-1:

3 копии данных — рабочая база и две резервных.
2 разных носителя — например, внутренний диск сервера и внешний S3-хранилище.
1 копия офсайт — то есть физически в другом ЦОДе или регионе.

В АйТи Фреш мы делаем три типа бэкапов для каждого клиентского сервера: инкрементный каждый час с хранением 24 часа, ежедневный с хранением 30 дней, ежемесячный с хранением года. Раз в квартал я лично провожу учения по восстановлению — беру случайный сервер из списка клиентов и проверяю, что бэкап реально работает. За 15 лет работы я полностью восстанавливал клиентские системы 14 раз — последний случай в феврале 2026, когда у юридической фирмы шифровальщик зацепил файловый сервер. Восстановили за 2 часа 40 минут с потерей данных за 35 минут (с момента последнего инкремента до момента шифрования).

Мониторинг: чтобы узнавать о проблемах раньше клиентов

Сервер без мониторинга — это игра в русскую рулетку. Вы узнаёте о падении сайта, когда позвонит первый разозлённый клиент. Правильная конфигурация — Zabbix или Prometheus + Grafana, которые собирают метрики каждые 30 секунд и отправляют алерт в Telegram, как только что-то пошло не так.

За чем должен следить мониторинг минимум:

Доступность сервера (ping каждую минуту с двух разных точек).
Загрузка CPU, RAM, диска (алерт при 85%).
Доступность ключевых сервисов (HTTPS, 1С, почта).
Состояние бэкапов (был ли последний бэкап, и его размер).
Сертификаты SSL (алерт за 14 дней до истечения).
Подозрительная активность (резкий рост трафика, странные процессы).

У одного клиента в 2025 году я добавил алерт на резкий рост исходящего трафика. Через три месяца ночью прилетел в Telegram — сервер льёт 500 Мбит/с во вне. Зашёл, посмотрел — кто-то через уязвимость в старом плагине загрузил скрипт DDoS-атаки. Я остановил, почистил, поднял патчи — клиент даже не заметил, что у него что-то было. Без мониторинга мы бы узнали, когда пришло бы письмо от хостера со счётом за перерасход трафика на 80 000 рублей.

Реальная цена защиты — гораздо меньше, чем цена восстановления

В моей практике средний счёт за восстановление после серьёзного инцидента (компрометация, ransomware, утечка данных) для офиса до 50 рабочих мест — от 250 000 до 800 000 рублей. Это включает: расследование, переустановку систем, восстановление из бэкапов, юридические консультации по 152-ФЗ, иногда — выкуп ключа дешифрования. Не считая репутационных потерь, простоя бизнеса и нервов.

Для сравнения, правильная настройка одного VPS обходится клиенту в 12 000–18 000 рублей разово, плюс 3 000–5 000 рублей в месяц за сопровождение в рамках абонентки. То есть годовое обслуживание защиты сервера = 50 000–80 000 рублей. Один-единственный инцидент окупает защиту минимум на 5 лет вперёд.

Чек-лист для разговора с вашим подрядчиком

Распечатайте эту страницу и пройдитесь по пунктам с тем, кто обслуживает ваши серверы. Все ответы должны быть письменно — если человек уверенно говорит, но отказывается прислать в Telegram скриншоты или отчёты, это плохой знак.

Покажите, что root-логин по SSH запрещён на всех серверах.
Покажите список открытых портов с внешнего IP — расскажите, зачем нужен каждый.
Какая средняя задержка между выходом security-обновления и его установкой?
Покажите последний удачный тест восстановления из бэкапа — с датой и результатом.
Покажите дашборд мониторинга — какие метрики собираются, какие алерты настроены.
Покажите рейтинг Lynis или аналогичной утилиты аудита (норма — 80+ из 100).
Покажите журнал входов в SSH за последний месяц — кто, откуда, когда.

Если хоть на один из этих вопросов внятного ответа нет — у вас риск, и вы об этом теперь знаете. Дальше решение за вами: либо добавить эти работы в SLA с текущим подрядчиком, либо искать другого, который умеет это всё делать в стандартной комплектации.

Бесплатный аудит ваших Linux-серверов

За 2–3 рабочих дня я лично проведу проверку ваших Debian/Ubuntu/CentOS серверов по 50 пунктам hardening и пришлю письменный отчёт со списком уязвимостей, оценкой рисков и рекомендациями. Без обязательств. Если по итогам решите делегировать обслуживание нам — первый месяц со скидкой 50% при заключении годового договора.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы IT-директоров

Кто отвечает, если арендованный VPS попал в ботнет?: С точки зрения хостера — арендатор, то есть юрлицо. Хостер просто заблокирует сервер и пришлёт уведомление о нарушении AUP. Финансовая ответственность за рассылку спама или DDoS-участие лежит на компании, поэтому защита сервера — обязанность вашего IT-подрядчика, а не хостера.
Достаточно ли встроенного фаервола хостера?: У большинства московских хостеров (Selectel, Timeweb, RuVDS) есть базовый сетевой фаервол на уровне панели — он закрывает порты на входе. Но он не защищает от компрометации через слабый пароль SSH, уязвимый веб-движок или забытый майнер. Нужен полный комплекс: hardening ОС, fail2ban, автообновления, мониторинг.
Сколько стоит правильная защита одного VPS?: Разовая настройка hardening для одного Debian/Ubuntu сервера под ключ — от 8 000 до 18 000 руб. в зависимости от ролей сервера (просто веб или 1С + почта + БД). Дальнейшее ежемесячное сопровождение в рамках абонентки — 2 500–5 000 руб. за сервер.
Как часто надо обновлять сервер?: Критические обновления безопасности — автоматически в течение суток после выхода. Плановые обновления ОС — раз в квартал с тестированием. Major-апгрейд (например, Debian 11 → 12) — раз в 2–3 года, обязательно с предварительным бэкапом и окном простоя.
Можно ли проверить работу подрядчика, не будучи технарём?: Да. Запросите три отчёта: вывод утилиты Lynis (рейтинг должен быть 80+), список открытых портов на сервере (должно быть только то, что вам нужно — обычно SSH, 80, 443), и журнал последних логинов. Если подрядчик не может это предоставить за 30 минут — он не настраивал hardening.