Je devrais probablement poursuivre les gars de Cpanel tout de suite.
Le fait est que je reçois dans mes journaux de bord tous ces messages étranges sur le fait que cphulk (système de détection de force brute) ne peut pas faire son travail de blocage des bots et que, par conséquent, je découvre que mon site Web fonctionne Un peu moins vite, juste assez pour que Google me paye 0 $. Oui, je suis entre 10 ms et 40 ms et lorsque je teste régulièrement sur webpagetest.org, les chiffres ont tendance à changer plus brutalement qu'auparavant. Je suis donc presque certain que les pirates informatiques jouent à des jeux.
Maintenant sur les erreurs:
Je vérifie mon maillog pour voir ce qui se passe là-bas et je vois ce genre de lignes:
Feb 4 04:43:19 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user bar
Feb 4 05:31:06 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user base
Feb 4 06:18:47 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user besadmin
Feb 4 07:06:34 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user billing
Feb 4 07:54:13 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user bkupexec
Feb 4 08:41:58 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user blog
Feb 4 10:17:17 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user boffice
Feb 4 11:05:01 server dovecot: auth: Error: Cpanel::MailAuth: Failed to getpwnam for user book
et parfois je reçois des lignes comme celle-ci:
server dovecot: auth: Error: Cpanel::MailAuth: Brute force checking was skipped because cphulkd failed to process "[email protected]" from IP "xxx.xxx.xxx.xxx" for the "smtp" service.
où xxx.xxx.xxx.xxx est l'adresse IP distante.
Je vérifie ensuite mes journaux FTP et vois trop de lignes de ce qui suit:
Feb 4 00:59:58 server pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [Shell]
Feb 4 01:00:05 server pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [Shell]
Feb 4 01:00:16 server pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [Shell]
Feb 4 01:00:31 server pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [Shell]
Feb 4 01:00:48 server pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [Shell]
Feb 4 01:01:07 server pure-ftpd: ([email protected]) [ERROR] Too many authentication failures
Je pense qu'il y a au moins plusieurs centaines de lignes FTP.
Je finis donc par croire que cphulk ne bloque pas correctement les mauvais robots. J'ai directement parlé à ce sujet aux membres du comité cpanel et ils ont déclaré vouloir que l'accès root à mon serveur soit possible. Je ne veux donner à personne d'autre un accès root à mon serveur.
Quelles mesures puis-je prendre pour réinitialiser littéralement cphulk afin qu'il puisse faire son travail correctement?
Mike, je suis aussi confronté au même problème il y a un mois. certains fichiers indésirables (scripts), tous les plugins ou certains logiciels malveillants exécutent votre serveur (ou espace d'hébergement). Ce fichier prend beaucoup plus votre relais SMTP.
Vous devriez vérifier le rapport SMTP de votre serveur. et vérifiez si l'attaque par force de pinceau se produit, c’est-à-dire la liste cphulkd-brutes (adresse IP).
une autre raison est que votre nom d’hôte est identique à celui de votre domaine. alors changez votre nom d'hôte, quelque chose de différent. ex: nom.nomhôte.com
Après cette mise à jour/force, redémarrez votre serveur Cpanel vis SSH. Connexion avec PuTTY:
Sudo su -
/scripts/upcp --force