web-dev-qa-db-ja.com

このcphulkの状況を修正する方法はありますか?

おそらく今、cpanelの人たちを訴えるべきでしょう。

要点は、ログでcphulk(ブルートフォース検出システム)がボットをブロックできないという奇妙なメッセージをすべて受け取っていることです。この結果、私のWebサイトが機能していることがわかりました。 Googleが再び$ 0を支払うのに十分なほど遅くなりました。はい、10ミリ秒から40ミリ秒で終わりました。webpagetest.orgでテストを続けると、数値が以前よりも激しく変化する傾向があるため、ハッカーがゲームをプレイしているのはかなり確かです。

次に、エラーについて説明します。

メールログをチェックして、そこで何が起こっているのかを確認すると、次のような行が表示されます。

Feb  4 04:43:19 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user bar
Feb  4 05:31:06 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user base
Feb  4 06:18:47 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user besadmin
Feb  4 07:06:34 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user billing
Feb  4 07:54:13 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user bkupexec
Feb  4 08:41:58 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user blog
Feb  4 10:17:17 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user boffice
Feb  4 11:05:01 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user book

そして時々私はこのような行を受け取ります:

server dovecot: auth: Error: Cpanel::MailAuth: Brute force checking was skipped because cphulkd failed to process "[email protected]" from IP "xxx.xxx.xxx.xxx" for the "smtp" service.

ここで、xxx.xxx.xxx.xxxはリモートIPアドレスです。

次に、FTPログを確認して、次の行が多すぎることを確認します。

Feb  4 00:59:58 server pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [Shell]
Feb  4 01:00:05 server pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [Shell]
Feb  4 01:00:16 server pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [Shell]
Feb  4 01:00:31 server pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [Shell]
Feb  4 01:00:48 server pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [Shell]
Feb  4 01:01:07 server pure-ftpd: ([email protected]) [ERROR] Too many authentication failures

これらのFTP回線は少なくとも数百以上あると思います。

だから私はcphulkが悪いロボットをブロックするという仕事を適切に行っていないと信じるようになりました。私はこの問題について直接cpanelの人々と話しましたが、彼らは私のサーバーへのrootアクセスを続行したいと言っています。サーバーへのルートアクセスを他のユーザーに提供したくありません。

Cphulkを正しくリセットして、ジョブを正しく実行するために、どのような手順を実行できますか?

2
Mike

マイク、一ヶ月前にも同じ問題に直面しています。不要なファイル(スクリプト)、プラグイン、マルウェアスクリプトのいずれかがサーバー(またはホスティングスペース)を実行しています。そのファイルはあなたのSMTPリレーをはるかに取っています。

サーバーのSMTPレポートを確認する必要があります。ブラシフォース攻撃が発生するかどうかを確認します。これは、cphulkd-brutesリスト(IPアドレス)を意味します。

もう1つの理由は、ホスト名がドメインと同じであることです。そのため、ホスト名を変更してください。例:name.hostname.com

その更新/強制の後、SSHに対してサーバーパネルを再起動します。 PuTTYでログイン:
Sudo su-
/scripts/upcp --force

1
M Vinoth Kumar