К нам периодически обращаются хостинг-компании с различными вопросами, и у нас скопился неплохой опыт в администрировании и разработке WHMCS как самой системы, так и дополнений\хуков. Несколько примеров выполненных работ:
- Hook для уведомления о новых тикетах, новых ответах и назначениях тикетов по Jabber-у
- Серверный модуль для Leaseweb, Hetzner и ряда других ДЦ.
- Серверный модуль для Proxmox - как KVM (qemu), так и OpenVZ.
- Расширение для сокрытия значений настраиваемых опций у некоторых продуктов. Удобно, если у вас есть настраиваемая опция, например, HDD (250ГБ, 500ГБ, 1ТБ), которая есть у большинства продуктов. Отличие лишь в том, что для одних недоступно значение в 500ГБ, у некоторых невозможен апгрейд до 1ТБ. Вместо того, чтобы создавать на каждый такой продукт отдельную опцию HDD_250ГБ_500ГБ, HDD_250ГБ_1ТБ в админке WHMCS на странице расширения для конкретного продукта можно отметить ненужное значение - оно пропадет из списка во время конфигурации.
- Расширение для создания описаний ДЦ. Удобно для реселлеров, которые продают серверы в разных ДЦ и им хочется дополнительно на странице группы продуктов выводить описание ДЦ, время установки серверов.
- Модуль отзывов. Добавляет страницу с отзывами, пополняемые в админке WHM. Дает возможность собрать все отзыва о вашей фирме с разных мест на одной странице вашего сайта. Указывается текст, дата, имя пользователя и внешняя ссылка на отзыв.
Нами осуществляется сопровождение серверов с установленным whmcs, выполнение настроек на противодействию взлому и проведения регулярных мониторингов активности.
Я так понимаю это бизнес подписка в cloudflare?
Какие-то технические конкретные требования есть? По трафику, нагрузке.
А так вообще есть http://www.incapsula.com/pricing-and-plans.html
Остается только надеяться, что ранее нас планомерно не имели через эти дыры :)
Судорожно пересматриваю логи с последние много месяцев. Надо было ставить анализатор заголовков ...
iRedMail есть, если лень самому все настраивать. По сути то же самое, что предложил MrBrik
У кого стоит modsecurity - он реагирует на такого рода странности в заголовках?
Кто-нибудь вообще проверил эксплуатируемость уязвимости через что-то торчащее наружу?
А то всех пугают, что вещи такого типа должны работать:
curl http://x.x.x.x -A "env x='() { :;}; echo owned > /tmp/file'"
Но попробовал с PHP5-FPM и system вызовом - не прокатило. Посмотрел на вывод команды "env" через system(...) - там всего USER, HOME и PWD. Получается только создав папку можно что-либо натворить на сервере.
С mod_cgi и spawned-fcgi ситуация иная?
Ну, вообще, наверное, подойдет rsnapshot в таком случае.
Кстати в статье про уязвимость в bash было решение через бан iptables по hex строке. На FreeBSD, наверное, можно его использовать, если bash нужен, а обновить - большой геморрой.
Действительно, в целях безопасности вывод этой информации выпилили точно в Debian и Ubuntu.
Но ничего не мешает сделать:
apt-get install php5-devphp-config --configure-options
Для CentOS, думаю, можно поступить аналогично :)
Для squeeze (lts), wheezy (security) и sid тоже выкатили обновления.
