Блог о технологиях, технократии и методиках борьбы с граблями
В начале апреля были обнаружены проблемы уязвимости веб-сервера Apache, благодаря которым вредоносное ПО Darkleech могло заражать компьютеры посетителей через уязвимости браузеров, используя iframe и JavaScript. Причем вредоносный код размещался как модуль Apache, что затрудняло его выявление.
Сам механизм заражения не был ясен, но уязвимости подвергались сервера под управлением панелей администрирования cPanel и Plesk.
Как то я тут распинался на тему защиты собственного хостинга под Cpanel WHM от брутфорса в том числе, через утилиту админки cPHulk Brute Force Protection, которая банит IP адреса, в случае произвести с них атаку брута. Но оказалось, что у этой защиты есть очень не приятный момент, благодаря которому хостинг в один прекрасный момент может, подобно Юлию Цезарю, сказать тебе: Et tu quoque, Brute!© и отрубить доступ к аккаунту вообще для всех, кроме адресов внесенных в белый список. Результатом чего станет отсутствие возможности залогиниться в админку и на сервак, через любой из протоколов: http, ssh, ftp и даже почтовую программу.
И именно поэтому необходимо дать доступ нескольким доверенным IP адресам, занеся их в белый список доверенных IP. В моем случае я дал доступ паре терминальных серверов, к которым имею доступ, двум купленным прокси серверам, а также к консоли еще пары серваков, которые удаленно администрирую по ssh. Ибо если у вас нет доступного терминального сервера, или же вы не можете использовать доверенный прокси сервер, то можно дать доступ хотя бы на какой нибудь собственный VPS с которого и можно разблокировать доступ к Cpanel WHM используя командную строку, путем обнуления базы брута.
Делается это следующим образом. Заходим в консоль, а дальше залезаем в командную строку мускуля:
# mysql
mysql> use cphulkd;
mysql>BACKUP TABLE `brutes` TO ‘/path/to/backup_file’;
Смотрим что вообще у нас есть в базе бана брута
mysql> SELECT * FROM `brutes`;
После этого, если список большой, то выбираем из базы свой IP и удаляем его
mysql> SELECT * FROM `brutes` WHERE `IP`=’X.X.X.X’;
mysql> DELETE FROM `brutes` WHERE `IP`=’X.X.X.X’;
mysql>\q
Узнать свой IP можно либо трейсом, либо зайдя на рутер либо воспользовавшись любым из многочисленных сервисов, определяющих IP адрес- ну хотя бы этот: WhatIsMyIP
До знака «***» читать не обязательно, поскольку это не относится никаким образом к делу, а всего лишь является стоном автора, многократно подтверждающим старую фразу: хочешь запороть дело, поручи его кому нибудь еще.
Год уже работаю с различными буржуинскими хостингами, и очень они мне нравятся во всем: удобство, поддержка, обслуживание, цены, скорости. Поддержка вообще прекрасна- поскольку у большинства из них имеется лайв-чат, что не так, помогут почти мгновенно, или хотя бы просто быстро. Но это если что то простое или стандартное. А вот если возникают какие то сложности, то тогда почти всегда выходило так, что мне быстрее было допетрить самому чем долго и занудно общаться с суппортом. Вот и сейчас- полтора часа ушли на объяснения что и почему и как не работает, консультации с админами на их стороне и прочее, и только когда понял, что со мной работают наотъебись™ , немножко включил мозг- в итоге сделалось все за 5 минут. :-/ Кто вернет полтора часа? Но ладно- это так
******
Вчера на одном из своих хостингов апгрейдил движки и удалял не нужные домены и сайты. В итоге сегодня обнаружил, что по глупости удалил нужный сайт, который хостился в папке, принадлежавшей ранее другому домену, и в этой связи удобнейшая утилита Fantastico показала что эту установку использует домен который я давно уже снес, за ненадобностью.
Вообщем используя Fantastico я снес сайт крутившийся на Joomla.
Как и писал в эту тяпницу- в поиске VPS остановился на WebIntellects и вечером пятницы заказал себе сервачок. Все подняли и наладили к утру субботы, т.е. где фактически весь процесс от оплаты до того момента как я смог залезть в панель, занял около 12 часов. Т.ч. почти сразу же перенес все необходимые зоны, немного поковырявшись в контрольной панели: для себя я выбрал cPanel, т.к. мне очень нравится еще со знакомства у Hostgator, хотя и Plesk, который так же сходит в поставку, тоже не дурен собой.
Но буквально по прошествии пары часов начали капать письма с дословным текстом:
tailwatchd failed @ Sun Nov 15 17:35:02 2009. A restart was attempted automagically.
Service Check Method: [check command] tailwatchd is not running
