Тем кто пользуется Cpanel

Дыкть на опеннете еще 27 запостили...

http://www.opennet.ru/opennews/art.shtml?num=36810

Вот только хостеры никак не хотят его читать.

Хотят, читают.

На хабре тоже было.

Если клиентам не выдается ssh то поставить ограничение в файерволе по айпи на порт ssh.

Не будет брута - не будет и взлома. Хотя это уже другая история, методов защиты от брута множество. А те кому наплевать и получают взлом и хакнутый апач.

Для этого надо получить рут.

В WHM есть блокировка такой фигни, чтобы не брутили + отключаем ssh по логину и паролю.

И пусть все хакеры хоть изломаются.

Давать клиентам на виртуальном хостинге SSH анахронизм, пусть себе VPS берут и тусят там с рутом.

На opennet конечно бывает полезное, но в основном то что касается веб технологий и веб специфики - тамошние "бородатые" админы все кроме ssh называют говном и вообще freebsd рулит.

По уязвимости,

Получается, если перед апачем стоит nginx, то атака или вообще не возможно, или во всяком случае будет крайне затруднительна, т.к. nginx будет бить соединение по таймауту.

И не совсем понятно, как веб сервер инфицируется и причем тут cPanel.

Вроде как речь идет о замене бинарного файла. Но чтобы его заменить, нужен рут доступ?

И все равно остается вопрос, причем тут cPanel? Если есть рут доступ, то заменить можно файл на любых серверах.

---------- Добавлено 30.04.2013 в 13:17 ----------

Да как раз наоборот, ssh на виртуальном хостинге уже необходимость очень часто.

Но,

1. У cPanel есть штатный ssh jail

2. Под CloudLinux`s CageFS (что мягко говоря рекомендуется хостинг серверам) полностью изолированное окружение. Полный chroot.

Я думаю, что лучше пусть клиенты обращаются к админам, чтобы они что-то сделали им, чем вдруг. Бывает же, не правда ли? :)

Весь ответ заключается вот тут (собственно у источника создания паники :D ):

http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cpanel-based-servers.html

Доведу смысл может кто-то не понимает "Мы не располагаем информацией на тему как именно был взломан этот сервер но мы думаем, что это произошло через брутфорс атаки на SSH. "

А теперь по русски: Если вам взломали SSH получили root доступ .... только в 2000х годах хакер мог сделать "rm -rf / " и поржать дома у ПК :D Сегодня же куда интереснее поработить сервер и заставить его выполнять что-то для себя.... по этому хакер на стал убивать и даже трогать вашу систему, он скомпилил новый веб сервер который делает что-то для него и ушел....

Я лично пока не нашел пруфов, что это уязвимость апача, ssh-a, cpanel или чего либо другого, просто был выявлен факт того, что сервера с cPanel были заражены, но разве там написано что в исследование принимало участие 100 серверов с cPanel, 100 DirectADmin, 100 ... еще каких-то панелей, просто судя по тому что сказано, анализ проводился на серверах с cPanel, с таким же успехом я могу предполагать что у всех этих адресов оказался 1 админ который пропил свой пароль (http://www.securitylab.ru/news/439716.php) :D

/// Обновление

Только что проверил 10 серверов (2 из них вообще клиентские) путем предлагаемого примера:

Ни в одном из случаев не было позитивного поиска.

На всех установлена cPanel.

Кто-то из здешних с cPanel может подтвердить наличие бекдора у себя?

Спустя четыре года нашли

Проверил дюжину серверов с cPanel (в разных случаях на серверах установлены либо nginx, либо cloudlinux + cagefs, либо grsecurity патч, либо нет ничего этого) - ничего подозрительного найдено не было.

P. S. Не совсем понятно, почему уязвимость "ограничивают" серверами с cPanel.

Ну в этом и дело.

Даже проверять лениво :)

Из серии того что я написал выше про opennet. cPanel по определению гавно и все в дырках, поэтому и так понятно что проблема в cPanel.

Всех с праздниками!

P.S. Имеет смысл выделить хостинг-админов в отдельную профессию, а? И самое главное, праздник отдельный сделать :)