Одминский блог

Разблокировка бана IP адреса в cpanel

Как то я тут распинался на тему защиты собственного хостинга под Cpanel WHM от брутфорса в том числе, через утилиту админки cPHulk Brute Force Protection, которая банит IP адреса, в случае произвести с них атаку брута. Но оказалось, что у этой защиты есть очень не приятный момент, благодаря которому хостинг в один прекрасный момент может, подобно Юлию Цезарю, сказать тебе: Et tu quoque, Brute!© и отрубить доступ к аккаунту вообще для всех, кроме адресов внесенных в белый список. Результатом чего станет отсутствие возможности залогиниться в админку и на сервак, через любой из протоколов: http, ssh, ftp и даже почтовую программу.

И именно поэтому необходимо дать доступ нескольким доверенным IP адресам, занеся их в белый список доверенных IP. В моем случае я дал доступ паре терминальных серверов, к которым имею доступ, двум купленным прокси серверам, а также к консоли еще пары серваков, которые удаленно администрирую по ssh. Ибо если у вас нет доступного терминального сервера, или же вы не можете использовать доверенный прокси сервер, то можно дать доступ хотя бы на какой нибудь собственный VPS с которого и можно разблокировать доступ к Cpanel WHM используя командную строку, путем обнуления базы брута.

Делается это следующим образом. Заходим в консоль, а дальше залезаем в командную строку мускуля:
# mysql
mysql> use cphulkd;
mysql>BACKUP TABLE `brutes` TO ‘/path/to/backup_file’;
Смотрим что вообще у нас есть в базе бана брута
mysql> SELECT * FROM `brutes`;
После этого, если список большой, то выбираем из базы свой IP и удаляем его
mysql> SELECT * FROM `brutes` WHERE `IP`=’X.X.X.X’;
mysql> DELETE FROM `brutes` WHERE `IP`=’X.X.X.X’;
mysql>\q

Узнать свой IP можно либо трейсом, либо зайдя на рутер либо воспользовавшись любым из многочисленных сервисов, определяющих IP адрес- ну хотя бы этот: WhatIsMyIP

Рубрика: IT безопасность, Хостинг | 1 отзыв »

Настраиваем MySQL для работы на VPS с 512Mb RAM

Прикупил я тут клиенту хостинг под его новый сайт. Поскольку была необходимость в прикручивании библиотеки ffmpeg на сайт под Drupal, для того чтобы видюшки конвертились сами во флешки при добавлении, хотя для меня это не убедительно, так как на локальном компе можно нормально законвертить ручками. Ну вообщем по причине наличия ffmpeg решил взять самый дешевый VPS за 5,95$ у Burst.NET с 512 оперативы, 1MHz, 20Gb HDD, 10Tb трафа и 2IP + Direct Admin за 7$, так как настраивать руками меня ломало.

Взять то я его взял, но вебмастера не могли ничего делать, так как на любую операцию система ругалась:
ERROR 1135 (HY000): Can’t create a new thread (errno 11); if you are not out of available memory
gzip: error while loading shared libraries: cannot create cache for search path: Cannot allocate memory
подключившись, я обнаружил что при попытке логина по ssh вылетала ошибка:
bash: fork: Cannot allocate memory

(more…)

Рубрика: Базы данных, Сайты и их проблемы, Хостинг | Отзывов: 3 »

Какой VPS сервер выбрать: OpenVZ или Xen

В процессе рысканья по инету, обнаружил еще одного интересного хостера, который в том числе реселлит дедики от Burst.NET. Хостинг именуется Inferno Solutions и помимо русской поддержки имеет неоспоримое преимущество среди многих русскоязычных хостингов- это реселлер зарубежных площадок, то есть они берут в аренду гарантированно рабочее оборудование, накидывают небольшую маржу и толкают их со своей поддержкой, которая является так называемым тир1 суппортом. То есть все что могут делают сами, если сталкиваются с какими то проблемами, то эскалируют уже хостеру. И судя по отличным отзывам в рунете, справляются со своими обязанностями на твердую пятерку. И на этом можно было бы закончить это пост, снабдив его ссылкой перехода на хостинг VPS и выделенных серверов (которые у них, кстати, предлагаются по очень и очень приемлемым ценам); если бы не одно но.

В своей рекламе, хостинг Inferno Solutions пользует старинную формулу “це не бага, це фича”, порождающую нормальную холивару, которую я и хочу разобрать в том посте.

В своих рекламных слоганах, хостинг упирается в то, что их клиенты защищены от так называемого оверселлинга (overselling), или избыточного использования мощности VPS сервера, когда администратор сервера закладывает в совокупную мощность виртуальных серверов хоста, больше чем имеется ресурсов в системе, то есть при 4 GB оперативы (оверселить можно также и полосу пропускания канала, дисковое пространство), она распределяется по 512Mb не между 6 машинами, по 512Gb на гестов и 1Gb на хостовую часть, а между 20 машинами, которые дергают мощности друг у друга. На этом собственно и базируется технология Burst RAM, когда у VPS сервера имеется гарантированная память и burst, которая может кратковременно увеличиваться раза в полтора, при кратковременных нагрузках. Собственно гарантией того, что Inferno Solutions не использует в своих VSP серверах функционал overselling, является использование продукта вируализации Xen, который по заверению хостера невозможно настроить на оверселлинг, как например конкурентный продукт OpenVZ.

По большому счету соперничество OpenVZ и Xen собственно и порождает всю холивару, поскольку и у той и у другой системы имеются сторонники и противники, утверждающие что OpenVZ  более изолирована, более безопасна, в то время как Xen быстрее и надежнее, имеет возможность использования swap раздела, ну и всякое и прочее. Помимо этого обе системы, наравне в платным аналогом от VMware (также имеются бесплатные версии с урезанным функционалом), представляют собой разные технологии виртуализации: OpenVZ это модифицированное ядро Linux системы, позволяющее запускать виртуальные среды (то есть ничего кроме линуха); тогда как Xen базируется на перестройке ядра системы, для адаптации работы системы (запускаем что угодно). Скажу откровенно- Xen меня не возбудил, ибо я его ставил пару раз, но мне более импонирует VMware, как в плане настройки, так и в плане идеологии. Кстати, со слов “рекламного слогана”, многие хостеры как раз и выбирают OpenVZ в связи с простотой настройки системы.

Но основным  камнем преткновения всегда оставался функционал overselling или burst ram, который отсутствовал в Xen и присутствовал в OpenVZ, и который считался, многими сторонниками Xen, как недостаток продукта OpenVZ. Но видимо команда Xen, ко многим не относится, так как они полагая от обратного, начиная с версии Xen 3.3 внедрили функционал, позволяющий забирать оперативную память гестами и хостовой станции. Называется этот функционал Memory Overcommit, и именно он позволяет забирать память у работающих гестов (или доменов пользуясь терминологией Xen), в случае если эта память ими в данный момент не используется. Механизм использующийся при этом, зовется ballooning, который представляет собой специфический драйвер инсталяющийся в систему и предоставляющий доступную память домена, при запросе от гипервизора Xen.

При этом память, выделенная другому домену, будет числиться в системе, но в виде занятой, что можно проверить соответствием команд # free # ps aux и  # top.
Ну и само наличие механизма ballooning в системе, можно увидеть по листингу следующей команды:
# cat /proc/xen/balloon
При этом также имеется дополнительный демон xenballoond, написанный на баше, который поддерживается два механизма: selfballooning  и direct ballooning, в которых назначение доступной памяти осуществляется из самого домена (но полагаю, что хостеры данные механизм навряд ли буду использовать).

Так что использование или не использование overselling в случае использования любой среды виртуализации, остается на совести хостера, и этот момент желательно выяснять еще на уровне приобретения того или иного тарифного плана. Надо полагать, что Inferno Solutions следуют своей рекламе и не занимаются накруткой статсов VPS серверов, тогда как хостер и регистратор GoDaddy особенно даже и не скрывает данного функционала.

Напоследок надо отметить, что overselling у нормального хостера должен отражаться на цене, в сторону её уменьшения.

Рубрика: Хостинг | Отзывов: 11 »

Новый хостинг, новые проблемы

Переведя сайты на новый VPS сервер, я со спокойной совестью отправился на дачу, где собственно выйдя в середине субботы в инет, обнаружил что мои сайты, включая cpanel, снова находятся в глубоком дауне, что повергло меня в уныние, так как по воспоминаниям о Webitellects следовало писать в поддержку и ждать перегруза VPS. Но как оказалось, все сервисы VPS сервера работали исправно, за исключением апача. Но самое радостное во всем это был тот факт, что у Burst.NET, помимо контрольной панели хостинга на выбор из cpanel, Direct Admin или Plesk, также предоставляется управление VPS сервером уже на уровне гостевой виртуальной машины OpenVZ, так что залипоны VPS можно вылечивать собственноручно, даже не обращаясь к службе поддержки.

Оттуда же можно создавать резервные копии, смотреть загрузку, перегружать или вырубать VPS сервер. Так что я спокойно перегрузил сервак и отправился по своим делам. Но приехав домой в понедельник обнаружил, что мои сайты работают очень странно, так как на них не отображались теги и категории. То есть посты, видео и прочее на месте, а вот теги и категории не привязаны к системе, причем движок WP говорил что категории отсутствуют.
Естественно что я решил что проблема с базами, так что стал смотреть что у меня происходит на Webintellects, и как оказалось, что не смотря на тот факт что я не оплатил хостинг еще в субботу, он продолжает фунциклировать. Так что я начал не спеша вытягивать сайты со старого хостинга, пытаясь понять что же происходит на новом.

Но оказалось, что проблема не только с категориями и тегами на сайтах, а еще и с квотами на диске, ибо я не мог закачать бэкапы на новый VPS сервер, который отвечал мне “Disk quota exceeded“, а также cpanel не пускавшая меня вовнутрь со следующей ошибкой: “Internal Server Error 500,  more than 400 attempts to create a session failed“.

Кароче полный трындец по всем фронтам.

Для начала я попробовал отрубить квоты, которые вроде не врубал при установке и настройке cpanel, но после ввода команды отключения квот
# quotaoff -vaug
ругань продолжалась, не смотря на то что система рапортовала об их отключении.
То есть надо было отрубить их в cpanel или же на уровне вируталки, но поскольку cpanel у меня не грузилась, то я стал рыть в сторону ошибки “Internal Server Error 500,  more than 400 attempts to create a session failed”. Рылся не особо долго, ибо ошибка оказалась чуть ли не стандартной и была описана на сайте cpanel- превышение числа инодов, что подтвердилось командой:
# df -i
Filesystem            Inodes   IUsed   IFree IUse% Mounted on
/dev/simfs           600000  600000 0   100% /

Как говорится- приплыли, ибо этот параметр задается уже на уровне управления VPS , или же переносом инодо-генерящего приложения на другой диск- обычно это логи почтаря или какого нить еще высконагруженного сервиса.

Но поскольку у меня раздел в системе был только один, то я накатал тикет в суппорт, который и реанимировал все в течении 2 часов, подняв лимит нодов в несколько раз. После чего оставалось только перезапустить exim, который выпал в ошибку от невозможности записи на диск, и начать работать.
Как оказалось- все теги и категории не работавшие после переезда, также заработали после увеличения лимита разрешенных инодов.

Рубрика: Хостинг | Ваш отзыв »

Переезд на новый хостинг Burst.NET

Ну что же- продолжаю мою тему с терзаниями вокруг хостингов, в связи с чем я все таки остановил свой выбор на довольно интересном штатовском хостинге Burst.NET, предлагающем дешевые VPS севера, чья стоимость начинается от 6$. Поковырявшись в тарифах, я нашел себе интересный планчик за 42$ с 2,5Ghz, 2,5Gb оперативки, 150Gb дискового пространства, и 2Tb ежемесячного трафа (с включенной сюда ежемесячной платой за аренду cpanel), при том что за те же деньги я столовался в Webintellects на втрое меньших мощностях.

В итоге я в течении двух дней пытался списаться со службой суппорта Burst.NET через систему тикетов, на предмет выяснения – помогут ли мне инженеры хостинга с переносом моих сайтов с VPS сервера Webintellects на новую площадку; но в ответ была лишь тишина. Поэтому я сделал ход лошадью- просто взял аналогичный вебинтеллектовскому VPS сервер за 22$ (из которых 12$ пришлось на cpanel, о чем я ни разу не пожалел в последствии, но об этом ниже) и решил что перенесу все на него, после чего подниму уровень VPS до выбранного мною.

Оказалось что со службой поддержки можно было связаться не только через систему тикетов, но и через почту, просто отписав им на служебный мейл- и как оказалось- это наиболее действенный способ связи с суппортом хостинга, так как на письма они отвечают в течении 30-40 минут. Ответ был- нет, переезд ваши собственные проблемы. Хотя оно и понятно, за такие то башли. Возможно трансфер обеспечивается суппортом, если вы приобретаете полноценный менеджмент за 45$ в месяц, но на мой взгляд  такой уровень поддержки имеет смысл брать на серьезный дедик или верхнюю ступень VPS планов. В итоге поматерившись на суппорт, я решил что с оказией перевезу свой сервак сам, благо у меня там хостилось от силы 10 сайтов.

В итоге седня мне с середины дня позвонил коллега, чьи доменные зоны также крутились на моем серваке и поведал мне историю о том, что мои серваки не отдают ничего, что естественно могло означать только одно- мой VPS сервер на площадке Webitellects снова накернился. Так что добравшись до стационара, я опять же нагнул хостинг и решил, что ХВАТИТ. Пришло время для переезда.

Естественно ручной переезд дело унылое и долгое, так что я начал с маленького и никому не нужного сателлита, ибо его падение было бы незаметно ни для кого. Созда резервную копию, скопировал её себе на комп, перенес на новый VPS сервер, после чего полез изучать cpanel, а точнее её VPS вариант WHM.

И тут то оказалось, что в cPanel предусмотрена отличная функция переноса сайтов между cpanel и другими консолями управления, которая на автомате трансферит информацию с одного сервера на другой на уровне аккаунтов: левый фрейм управления -> Transfers -> Copy an account from another server. Там в принципе вариантов для заполнения не так много, единственно что в процессе переноса, стоит включить галку Change DNS on Source Server to Point to Local Server для того чтобы видеть, что сервера на новом хостинге уже фурычат. Переносим все под рутовыми правами доступа для ускорения процедуры доступа.

Собственно в течении часа я перенес все сайты, кроме основного, который занимает порядка пяти гигов дискового пространства, так что он трансферился порядка 2+ часов, так что к ночи у меня уже все уверенно работало на новом VPS хостинге.

Так что основная проблема, с которой я столкнулся на данный момент в процессе знакомства с новым хостингом Burst.NET заключается в том, что парни не помогают при переезде, предоставляя пользователю решать эту проблему самому (и как понятно- это проблема решается малой кровью, с помощью cpanel), а также тот факт что служба суппорта очень неспешно реагирует на обращения- среднее время реакции 2-3 часа.

Рубрика: Хостинг | Отзывов: 4 »

Очередные разборки с хостингом

Видимо у меня все не может быть слишком хорошо в делах, так как не успел я толком разобраться с DDOS-атакой на свой туристический блог, как у меня начались проблемы на основном сайте и десятке всяких кривых поделок, что в данный момент хостятся на Webintellects.

С полгода назад, когда мой туристический сайт тока вышел на уровень 250+ уников в день, мой VPS с 256Mb на бору, стал эпизодически залипать, и в процессе натягивания суппорта на кукан, я получил VPS с 1Gb на борту, за те же самые 35$, что я и платил за 512Mb, но проблему это не решило, поэтому я перенес сайт на Cyberwurx, где он успешно и хостится последние полгода. При этом помимо нормальной работы блог на ежедневном трафике уже в ~500 уников, на этом же акке крутится порядка 5 сателлитов, делающих еще пару сотен уников в день. И при этом все резво шуршит и летает.

А вот Webintellects дал знать о себе на той неделе, когда в четверг у него благополучно вышла из строя сетка, после чего мои сайты были не доступны в течении часа или более. Затем через день пошли не понятные пропажи сайта, при этом VPS просто исчезал, то есть все сервисы не отвечали- не только веб, но и пинги, ssh и прочее. На второй раз, уже на этой неделе, я разосрался с суппортом, так как они стали мне лить в уши про overload и то, что я могу посмотреть сам по логам, что у меня там происходит. При том что в логах была тишина, и использование памяти и cpu не превышало 20-25%. По итогам гневной переписки мне сменили инженера и новый чел пообещал, что будут мониторить мой сервак на предмет выяснения причин залипонов.

В итоге мониторили, аж до середины сегодняшнего дня, когда я опять, попытавшись зайти на свой сайт, обнаружил что он снова полностью залип. После чего я накатал полувопрос, с просьбой рестартнуть мой сервак. Прошло полчаса, после чего я написал вторую заявку. Еще через час, не получив ответа и работающего VPS, я накатал матерную телегу на предмет вопроса о том, каким же надо быть мудланом, что не суметь перегрузить факин VPS сервер. И что же- сервак заработал через 5 минут. То есть “через мать” бурги все таки понимают, но в данный момент нахожусь в состоянии поиска нового VPS, ибо такие расклады меня естественно совершенно не радуют.

Нашел парочку хостингов и в данный момент терзаю сейлов на предмет выяснения всех подробностей, ибо помимо того что хочется за минимум денег, максимум фич, так еще и чтобы все перенесли умные и ловкие парни, ибо самому переносить и настраивать 15 сайтов нет особого желания.

Рубрика: Хостинг | Ваш отзыв »

Разборки с хостингом Мастерхост по поводу атаки из их сети

Многие интернетчики и сеошники морочатся поиском так называемых bulletproof или абузоустойчивых хостингов, выкладывая за них не малые бабки, ибо это довольно специфический сервис, который обеспечивает злоумышленнику, проводящему спам-рассылку или же хостинг каких то незаконных материалов, вроде фармы, порева и прочего, полную безнаказанность.

Ибо у вменяемого хостинга, в случае размещения краденного контента или вирусов, аккаунт злоумышленника, в случае жалобы на него, банится и после этого проводится проверка, которая в случае если указанные данные подтверждаются лишают человека данного аккаунта, а в некоторых особо циничных случаях, дело может продолжится уже в уголовной плоскости. Ну да не суть- в любом случае хостинги дорожащие своей репутацией, мгновенно реагируют на все жалобы и отвечают в течении суток, как максимум.
Но оказалось что в России есть пара очень интересных хостингов, которые работая “на отъебись”, покрывают злоумышленников располагающихся на их серверах, и что самое интересное на вопрос можно ли считать их абузоустойчивыми серверами- скромно потупив глазки, говорят нет.

(more…)

Рубрика: Хостинг | Ваш отзыв »