cPanel / WHM disable_functions Kuralları

cPanel Sunucularda Güvenlik İçin php.ini Dosyası İle Bazı Uygulama ve Servislerin Çalışmasını Engellemek Gereklidir.

php.ini dosyası içinde disable_functions olarak aratın ve karşısına ekleyin.

restore_ini,glob,hopenbasedir,f_open,system,dl,pas sthru,cat,exec,popen,proc_close,proc_get_status,pr oc_nice,proc_open,escapeshellcmd,escapeshellarg,sh ow_source,posix_mkfifo,mysql_list_dbs,get_current_ user,getmyuid,pconnect,link,symlink,pcntl_exec,ini _alter,parse_ini_file,leak,apache_child_terminate, posix_kill,posix_setpgid,posix_setsid,posix_setuid ,proc_terminate,syslog,fpassthru,stream_select,soc ket_select,socket_create,socket_create_listen,sock et_create_pair,socket_listen,socket_accept,socket_ bind,foreach,socket_strerror,pcntl_fork,pcntl_sign al,pcntl_waitpid,pcntl_wexitstatus,pcntl_wifexited ,pcntl_wifsignaled,pcntl_wifstopped,pcntl_wstopsig ,pcntl_wtermsig,openlog,apache_get_modules,apache_ get_version,apache_getenv,apache_note,apache_seten v,virtual

Web Server servisinizi yeniden başlattığınızda etkin olacaktır.

Bunu yaptığımızda R57 gibi shell scriptleri engellemiş olacağız.

Tabi geliştirebilirsiniz wordpress gibi scriptlerden çıkan spam maillerden bıktıysanız php mail fonksiyonunu da listeye ekleyip php mail çıkışını durdurabilirsiniz.

cPanel / WHM Güvenlik Ayarları

WHM Panelinizden “Security” basliginda yer alan “Security Center” bölümüne giriniz.

Altta Yer Alan Maddeleri Uygulayınız

  1. Apache mod_userdir Tweak – Enable mod_userdir Protection yanındaki kutucuğu işaretliyoruz. Bu seçeneği aktifleştirerek kullanıcıya ait bir dosya isteği yapıldığında dizin kontrolü yapılmasını sağlayabilirsiniz. Home dizini dışından yapılan bir isteği engellemiş olursunuz.
  2. Compiler Access – Disable Compilers butonuna basarak butonda Enable Compilers yazmasını sağlayın. Compiler yetkisini kısıtlayarak, dışarıdan erişim sağlayan kullanıcının grup yetkisi root olsa dahi compiler çalıştırmasını engelleyebilirsiniz. Bu sayede bir güvenlik açığını da kapatmış olursunuz.
  3. Manage External Authentications – Configure tabına geçerek servisleri kontrol edin. Dışarıdan erişim sağlayabilecek tüm servisleri ( cPanel dahil ) disabled konumuna getirin.
  4. Password Strength Configuration – Default Required Password Strength: alanını en az 70 olacak şekilde ayarlayın. Bu sayede şifre güvenlik seviyeniz yükseldiği için kullanıcılarınızın oluşturacağı şifrelerin güvenlik seviyesi yükselecek ve güvenli şifreler oluşturacaklardır.
  5. PHP open_basedir Tweak – Enable php open_basedir Protection yanındaki kutucuğu işaretleyerek sunucudaki bir hesaba atılan shell, exploid vb.. scriptlerin hesaba ait dizinin üstüne çıkmasını engellemiş olursunuz. Yani müşterilerinize ait sitelerden birisi hacklenirse diğerlerini kurtarma şansınız olacaktır.
  6. Shell Fork Bomb Protection – Enable Protection butonuna basarak butonda Disable Protection yazmasını sağlayın. Bu sayede atılan shell dosyaları ile ilgili güvenlik önleminide almış olursunuz.
  7. SSH Password Authorization Tweak – Bu kısım için tercihinizi kullanabilirsiniz. Disable Password Auth butonuna bastıktan sonra, ssh ile bağlantı yaptığınızda şifrenizi doğru girseniz dahi ssh a bağlantı yapamayacaksınız. Bunun yerine uyarısını “” alacaksınız.
  8. Traceroute Enable/Disable – Disable butonuna bastıktan sonra Permissions CHMOD 700 olacak. Bu sayede bu kısımda da yazma izinleri ile ilgili güvenlik önlemini almış olduk.
  9. ModSecurity™ Vendors – OWASP ModSecurity Core Rule Set paketini kurun bu paket sizi birçok saldırı türüne karşı koruyacaktır.(Layer 7 Application saldırılar , RFI , XSS , DOS vs)

Maldet Kurulumu ve Malware Tarama

Maldet Yazılımı Sunuculara Bulaşan Shell , Virüs ve Bu Tarz Zararlı Yazılımları Tespit Amaçlı Kullanılmaktadır.

Öncelikle Maldet Kurulumu İle Başlayalım :

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar zxvf maldetect-current.tar.gz
cd maldetect-*
sh install.sh

Tüm Sunucuyu Tarama :

maldet-a/home/?/public_html

Devamlı Tarama (Ciddi Performans Kaybı Yaratır)

maldet–monitor

Maldet Konfigürasyon Dizini

/usr/local/maldetect/conf.maldet

Maldet Veritabanı Güncelleme

maldet -u

İyi Çalışmalar.