PDA

Bekijk Volledige Versie : cPHulk: Ramp of ligt dat aan mij?



snel.com
30/01/15, 17:43
Wij zijn, waarschijnlijk zoals velen hier, een fan van CSF icm LFD. Iedere keer als ik cPanel installeer geef ik cPHulk opnieuw een kans maar iedere keer loopt dat uit op het feit dat of het root account wordt uitgeschakeld (ik heb geen idee wie dat bedacht heeft) of mijn IP adres op de een of andere manier toch geblokkeerd wordt ondanks het feit dat ik mijn eigen IP op de whitelist heb gezet.

Is er iemand hier die cPHulk gewoon in gebruik heeft en een cheatsheet heeft met wat hij/zij instelt? Of schakelt iedereen het uit om zsm CSF te installeren?

Spyder01
30/01/15, 19:41
Nooit last van zolang ik via de cli eenmalig de belangrijkste IP's whitelist. Via SSH kan ik er middels keys altijd bij. Ik vermoed dat je inloggen met wachtwoord aan hebt staan en dan kunnen ze inderdaad op root bruteforcen. Gewoon met keys werken dus.

Domenico
30/01/15, 21:22
Hier ook nergens last van zolang je eigen IP in de whitelist staat en staat hier standaar aan ism CSF. Je gebruikt ook de whitelist van CSF voor je eigen IP's?

snel.com
31/01/15, 17:38
Mijn OP is niet helemaal juist als ik het zo nalees. Ik kom er zelf wel in, desnoods via IPMI / DRAC, en gebruik zelf ook keys, en dat gaat inderdaad beter. Maar als ik voor mijn klanten een installatie doe, dan loopt dat vrijwel altijd uit op een fiasco. Vroeg of laat lukt het de klant om zichzelf buiten te sluiten. Bij sommigen gebeurt het nog voordat de klant er ooit in is geweest. Levert werk op, houdt je van de straat enzo maar wat ik opmerk is dat het eigenlijk altijd wel op een fiasco uitloopt zolang je geen keys gebruikt, en wij self-managed leveren dus onze keys er niet in laten zitten.

Dus voortaan eigen keys erin laten zitten en eigen IP's er ook in laten zitten dan maar lijkt me.

Domenico
31/01/15, 18:10
Vaak is de boosdoener een ftp client die meerdere (veel) connecties naar de server maakt.

vDong
31/01/15, 23:29
Vaak is de boosdoener een ftp client die meerdere (veel) connecties naar de server maakt.
Raar, mijn ervaring is mail accounts op android (je vergeet snel je telefoon/tablet) als enige reden waarom mensen in de filters komen, zowel de bruteforce van DA als de cphulkd

vDong
31/01/15, 23:32
Is er iemand hier die cPHulk gewoon in gebruik heeft en een cheatsheet heeft met wat hij/zij instelt?
Je wil de poort die root gebruikt (2087) eigenlijk gewoon firewallen voor de hele wereld behalve jezelf, dan kan root niet in de cphulkd komen.

Ik heb een paar klanten van klanten die in elke blocklist terecht lijken te komen en dat is inclusief CSF. Die moet ik dan maar gewoon keihard overal whitelisten.

Bart L
01/02/15, 10:14
Dat zijn Mac gebruikers toevallig ?


Sent from my iPhone using webhostingtalk mobile app

vDong
01/02/15, 16:33
Dat zijn Mac gebruikers toevallig ?
Heb ik me niet in verdiept, maar zou me niks verbazen.

snel.com
11/02/15, 13:28
Nu weer een klant die aangeeft dat mail gebruikers niet kunnen inloggen. Heb er verder niet veel tijd in gestopt, cPHulkd gestopt en CSF geinstalleerd.

1. Ik had al wel gelezen dat dovecot beschermd wordt door cphulkd, maar is het ook zo dat mail gebruikers geblokkeerd worden (naast de IP's die aanvallen ook de mail gebruikers die aangevallen worden).

2. Indien ja, hoe gaan jullie daarmee om?

joriz
11/02/15, 14:23
cPHulk is inderdaad niet heel handig. Genoeg klanten die te vaak een verkeerd of oud wachtwoord intoetsen die je dan weer kan deblokkeren.

Qua root-logins kan je je zelf natuurlijk makkelijk whitelisten, maar klanten zouden eigenlijk ook zelf toegang moeten hebben tot cPHulk zodat ze hun eigen IP-adres kunnen whitelisten of kunnen zien wat er precies gebeurd.
Natuurlijk kan je zelf de waardes aanpassen wanneer cpHulk wat doet, daarnaast is CSF gelukkig veel uitgebreider en houdt CSF gelukkig ook heel veel kwaadwillend tegen.

4service
12/02/15, 11:32
maar klanten zouden eigenlijk ook zelf toegang moeten hebben tot cPHulk zodat ze hun eigen IP-adres kunnen whitelisten
Dat doe ik toch maar liever niet.
Je kunt cPHulk en CSF ook de geblackliste IP's een bepaalde tijd meegeven. Dan komen ze vanzelf na b.v. 10min weer vrij. En heeft de klant de tijd om de juiste setting te vinden.
Als maar vrijgeven is er hier niet bij.

Spyder01
12/02/15, 11:37
Wij hebben zelf gewoon een simpele schil om cPHulk gemaakt die met de cphulk db praat. Kunnen klanten mooi hun eigen IP er uit halen.

joriz
12/02/15, 21:43
Wij hebben zelf gewoon een simpele schil om cPHulk gemaakt die met de cphulk db praat. Kunnen klanten mooi hun eigen IP er uit halen.

Kan je er wat meer over vertellen en ben je bereid om deze plugin te delen?

Spyder01
12/02/15, 22:48
Kan je er wat meer over vertellen en ben je bereid om deze plugin te delen?

Het is gemaakt voor een klant, dus delen gaat niet. Maar zo spannend is het niet, met een beetje kennis van MySQL en PHP.

1. Server / vps centraal waar geen klanten opstaan die geblokkeerd kunnen worden
2. Deze server remote MySQL toegang geven (grant access) op de cphulk db van cPanel
3. Script maken waarbij je klant of reseller een IP in kan voeren welke gecheckt wordt op een te selecteren server (je kunt ook alle servers laten checken, is leuk bij 5 servers, bij 50+ toch wat minder) in de cphulkd database (let op: zowel de brutes als failed / login )
4. Je kunt hier nog een limiet aan stellen zodat ze het maar 2 of 3x achter elkaar kunnen doen, dan een uur niet enz.
5. Je kan er voor kiezen wel of niet de reden van de bruteforce listing door te geven

Geen rocket science of andere spannende dingen dus :) voor iemand met PHP en MySQL kennis binnen een uurtje veilig in elkaar te kloppen :)