Защитите phpMyAdmin, чтобы не потерять данные

Злоумышленники взламывают phpMyAdmin, удаляют базы данных и требуют выкуп за их возвращение. От подобной атаки уже пострадали несколько наших пользователей. Сегодня расскажем, как от нее можно защититься. phpMyAdmin — это бесплатное веб-приложение для управления базами данных MySQL. Оно популярно во всем мире, поэтому является целью для хакеров. Они запускают массовые автоматизированные атаки, которые используют уязвимости в защите приложения. Жертвой этих действий может стать любой пользователь phpMyAdmin. Наших клиентов коснулась атака "PLEASE_READ.WARNING". Она развивается по такому сценарию: бот находит адрес для входа в phpMyAdmin, подбирает пароль к логину root, а попав в приложение, удаляет базы данных пользователя, оставляя только одну с тем самым названием “PLEASE_READ.WARNING”. В базе данных содержится таблица с сообщением, где злоумышленники предлагают выслать копию удаленных данных за 0.2 Bitcoin (примерно $200).

Так выглядит взломанная база данных

Как защитить сайт

Запретите доступ от имени root-пользователя.У root-пользователя максимальные права доступа, поэтому взломщики в первую очередь подбирают пароль к нему. Для запрета доступа:

Измените адрес доступа к phpMyAdmin. По умолчанию он у всех одинаковый (https://вашдомен/phpmyadmin), поэтому боты хакеров легко находят его. Измените этот адрес на известный только вам. Придумайте сложный пароль. Злоумышленники получают доступ к приложению, подбирая пароль методом брутфорса. Чтобы усилить защиту от подбора, задайте сложный пароль: не менее 8 символов, любая комбинация букв, цифр и других допустимых знаков (символов ASCII). Сервис для генерации надежного пароля. Делайте бэкапы регулярно. Это не защитит от взлома, но если атака состоится, вам не придется платить выкуп. Сможете восстановить данные из своих резервных копий. Подробнее о бэкапах в ISPmanager см. в нашей документации. Своевременно обновляйте ПО на сервере. Разработчики постоянно исправляют уязвимости, поэтому нужно использовать актуальные версии приложений. Чтобы обновить phpMyAdmin, используйте инструкцию для вашей операционной системы.

Планировщик (cron) ISPmanager

Планировщик - это инструмент для автоматического выполнения заданий на сервере, повторяющихся с заданной периодичностью. С его помощью вы можете осуществлять гибкую настройку различных задач. Под заданием планировщика (cron) понимается полный путь до программы, которая должна выполняться автоматически с заданной периодичностью, и, если необходимо, набор аргументов. Более подробную информацию вы можете прочитать в данном документе: http://unixhelp.ed.ac.uk/CGI/man-cgi?cron. Модуль Планировщик (cron) предоставляет возможности по созданию, изменению, удалению и запуску заданий, а так же настройки параметров, общих для всех заданий планировщика. Внимание! Данный модуль не доступен для администратора, у которого не установлены права суперпользователя. Также смотрите статью Технические подробности работы с планировщиком (cron) (ISPmanager).

Просмотр списка заданий планировщика

• Период - периодичность выполнения задания.

• Команда - путь до программы, которая должна выполняться автоматически с заданной периодичностью.

Создание нового задания

Чтобы создать новое задание планировщика, нажмите кнопку "Создать" и заполните поля формы:

Модуль «Планировщик»

• Время на сервере - в данном поле указаны текущие дата и время сервера.

• Команда - укажите полный путь до программы, которая должна выполняться автоматически с заданной периодичностью, и, если необходимо, набор аргументов. Например: /bin/date "+%d-%m-%Y".

Не забудьте указать путь до интерпритатора перед скриптом, если это необходимо.

• Период - установите периодичность выполнения задания:

  • каждый час - задание будет выполняться в 0 минут каждого часа.

  • каждый день - задание будет выполняться ежедневно ровно в 00:00.

  • раз в неделю - задание будет выполняться каждое воскресенье ровно в 00:00.

  • раз в месяц - задание будет выполняться первого числа каждого месяца ровно в 00:00.

  • раз в год - задание будет выполняться каждый год 1 января ровно в 00:00.

  • при перезагрузке - задание будет выполняться после каждой перезагрузки операционной системы.

  • другое - более гибкая настройка периодичности с дополнительным набором полей. Возможны три варианта настройки настройки периодичности минут, часов, дней месяца, дней недели, месяцев и лет:

    • Все - задание будет выполняться каждую минуту (месяц и т.д.).

    • Каждые - задание будет выполняться с указанной периодичностью. Например, если вы укажете "10", то задание будет запускаться каждые 10 минут.

    • Выбранные - если вас не устраивают первые два варианта и вы знакомы с настройкой заданий cron, вы можете указать свои параметры выполнения заданий. Например, */10, 25, 35 означает, что задание будет выполняться каждые 10 минут, а также в 25 и 35 минут.

• Не посылать отчёт по e-mail - установите флажок, чтобы вывод команды (stdout и stderr) не пересылался на адрес электронной почты, указанный в Глобальных настройках планировщика.

Примеры гибкой настройки периодичности: Минуты = каждые - 15, часы = выбранные - 5, дни = все, месяцы = все, дни недели = все. Задание будет выполняться каждый день в 5:00, 5:15, 5:30 и 5:45. Минуты = выбранные - 01, часы = выбранные - 15, дни = все, месяцы = все, дни недели = выбранные - 02. Задание будет выполняться в 15:01 каждый понедельник. День недели 01 соответствует воскресенью. Внимание! При отключении пользователя его задания планировщика также отключаются.

Изменение параметров существующих заданий

Чтобы изменить параметры существующего задания, выберите его из списка, нажмите кнопку "Изменить" и выполните редактирование. Форма для редактирования аналогична форме создания нового задания.

Удаление заданий

Чтобы удалить задание, выберите его из списка и нажмите кнопку "Удалить". Для предотвращения случайного удаления программа попросит подтвердить или отменить ваши действия. После нажатия кнопки "ОК" выделенное задание будет удалено. При удалении пользователя, его задания планировщика так же удаляются.

Запуск задания

Чтобы проверить работу какого-либо задания планировщика, выделите нужную запись в списке и нажмите кнопку "Выполнить". После этого откроется форма, в которой будет отображён результат выполнения задания.

Настройка глобальных параметров

С помощью данной функции можно настроить параметры, общие для всех заданий планировщика. Для этого выберите необходимое задание, нажмите кнопку "Настройки" и заполните поле формы:

Модуль «Планировщик»

• E-mail - укажите адрес электронной почты, на который будут пересылаться результаты выполнения команд планировщика (stderr и stdout).

• Пути поиска программ - укажите пути, по которым будет производиться поиск запускаемых программ (переменная PATH). Для новых пользователей эта переменная будет принимать значение по умолчанию "/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin".

ОГРАНИЧЕНИЯ РАБОТЫ PHP И ПОЧТЫ

В режиме реального времени мы отслеживаем заражение сайтов и массовые рассылки. При обнаружении заражения или рассылки, мы вводим ограничения в работе почты и PHP, отправляя уведомление на регистрационный почтовый ящик. Для снятия ограничений, введенных вследствие заражения сайта, необходимо принять меры по очистке сайта и нажать в письме "Снять ограничения". При произведении массовой рассылки с сайта, снятие ограничений возможно только по обращению в отдел поддержки. Для определения источника рассылки, откройте информацию об отправленных письмах (ссылки содержатся в письме с уведомлением о зафиксированной массовой рассылке).

МЕДЛЕННАЯ РАБОТА САЙТОВ

РЕЗЕРВНЫЕ КОПИИ

Мы производим ежедневное и еженедельное резервное копирование всех услуг хостинга. Все резервные копии хранятся на отдельном сервере и доступны для скачивания из раздела услуг биллинг панели. Исключением являются серверы хостинга с панелью ISPmanager 5, в данном случае резервные копии доступны только из панели управления.

ВОССТАНОВЛЕНИЕ ПАРОЛЯ

Для восстановления пароля от биллинг панели необходимо воспользоваться специальной формой. Введите почтовый ящик и следуйте инструкциям системы. В случае необходимости восстановления данных для доступа в панель управления хостингом, перейдите в раздел услуг биллинг панели, выберите нужную услугу и во вкладке "изменить пароль" установите новый пароль (данный пароль будет использоваться для входа в панель управления хостингом, а также по FTP и SSH).

АКТИВАЦИЯ IONCUBE LOADER

ionCube Loader установлен и активирован по умолчанию на всех серверах, но бывают случаи, когда модуль не работает. Обычно это связано с наличием файла php.ini, в котором модуль ionCube не подключен.

Например, при использовании OpenCart для восстановления работы модуля ionCube Loader необходимо удалить файлы php.ini и admin/php.ini (модуль восстановит работу в течение 10 минут после удаления файлов).

ВКЛЮЧЕНИЕ ПОКАЗА ОШИБОК

По умолчанию показ ошибок отключен, сделано это для повышения безопасности размещаемых сайтов. Если сайт показывает ошибку с кодом 500 или белый экран, то добавьте в файл .htaccess строку php_value display_errors 1. Если после добавления данной строки ошибки не отображаются, то их вывод необходимо включать со стороны системы управления сайтом (CMS). Если добиться вывода ошибок не удается, то можно воспользоваться записью ошибок в файл, для этого воспользуйтесь директивами log_errors и error_log. Установить их значения можно через файл .htaccess (обратите внимание, что путь до файла должен быть полным):

php_value log_errors 1 php_value error_log /home/username/errors.txt

РАСПРОСТРАНЕННЫЕ ОШИБКИ

508 Resource Limit Is Reached The website is temporarily unable to service your request as it exceeded resource limit. Please try again later. Ошибка означает исчерпание доступных ресурсов. Обычно это срабатывание лимита на число одновременных соединений, число максимальных процессов или лимит на оперативную память. Для выяснения точных причин необходимо смотреть статистику потребления ресурсов в панели управления хостингом. 503 Internal Server Error The server encountered an internal error or misconfiguration and was unable to complete your request. Please contact the server administrator, and inform them of the time the error occurred, and anything you might have done that may have caused the error. More information about this error may be available in the server error log. Чаще всего ошибка возникает из-за ошибок в файле .htaccess, если Вы очищаете этот файл, а ошибка не пропадает, проверьте права на файлы и папки. Они должны быть 644 на файлы и 755 на папки. Если с правами всё в порядке, возможно проблема в скрипте. Для того, чтобы более точно определить причину возникновения ошибки необходимо смотреть лог ошибок сайта. Также ошибка может возникать при нехватки оперативной памяти при выполнении скрипта. Для исключения данной проблемы необходимо посмотреть потребление оперативной памяти в панели управления хостинга. Ошибка появляется также при исчерпании дискового пространства или лимита на число файлов и папок. В данном случае проверьте данные лимиты в панели управления хостингом, при необходимости удалите ненужные данные или перейдите на следующий тарифный план. 502 Bad Gateway Если ошибка появляется через продолжительное время, то это означает, что скрипт не выполнился за заданное ему время, по умолчанию это 60 секунд. В случае, если ошибка возникает моментально и на всех страницах сайтах, обратитесь в технический отдел. 404 Not Found The requested URL was not found on this server. Запрашиваемый файл или каталог не найден. Проверьте, верен ли адрес или проверьте наличие файла или каталога. 403 Forbidden You don’t have permission to access on this server. Обычно означает отсутствие index.php или index.html файла. Иногда ошибка может возникать из-за нехватки прав доступа, проверьте их. Они должны быть 644 на файлы и 755 на папки. Если с правами всё в порядке, то возможно доступ запрещен в файле .htaccess.

ПЕРЕНОС БАЗЫ ДАННЫХ

Обычно для переноса достаточно выполнить импорт резервной копии базы данных в phpMyAdmin, но если Ваша база данных имеет большой размер, то перенос необходимо выполнять с помощью SSH консоли.

Для того, чтобы выполнить перенос большой базы данных, необходимо войти в консоль и перейти в каталог, где хранится файл резервной копии. После этого выполните команду: mysql —user=имяпользователя —password=пароль имябазыданных < имяфайла.sql. Процесс импорта может занять некоторое время.

СОЕДИНЕНИЕ С БАЗОЙ ДАННЫХ

Для соединения с базой данных в качестве сервера всегда указывается localhost. Имя пользователя и пароль указываются те, которые использовались при создании базы данных.

Если Вы соединяетесь с базой данных с удаленного сервера, то в качестве сервера необходимо указывать имя сервера. Также в панели управления хостингом необходимо разрешить соединение для этого сервера с Вашей базой данных.

СОЗДАНИЕ БАЗЫ ДАННЫХ

Для создания базы данных необходимо войти в панель управления хостингом и перейти в раздел управления базами данных. Данные авторизации находятся в письме высланном после регистрации. Ниже приведена инструкция по созданию базы данных .

ИСПОЛЬЗОВАНИЕ SSH

Для использования SSH Вам необходим клиент, например, PuTTy. Для соединения необходимо заполнить поле Host Name, после чего нажать Open и ввести имя пользователя и пароль. Данные для соединения содержатся в письме с данными, которое высылается после регистрации в нашей системе.

НЕСТАБИЛЬНАЯ РАБОТА FTP

Если не удается соединиться по FTP, либо не устраивает скорость его работы, попробуйте изменить тип соединения с пассивного на активный (либо наоборот), а также включить шифрование (либо наоборот отключить). Если предложенные способы не помогают улучшить качество работы FTP, проверьте доступность 20, 21 и 40000 - 40999 портов с Вашего устройства до сервера.

При поддержке тарифным планом доступа по SSH, можете использовать протокол sFTP для работы с файлами на хостинге. Переход на данный протокол часто решает проблемы, возникшие при использовании FTP.

Обращаем внимание, что загрузка большого числа мелких файлов обычно происходит медленно, это связано с особенностью работы FTP и sFTP. Мы рекомендуем загружать архив (ZIP, TAR, TAR.GZ) с файлами и производить распаковку через панель управления хостингом, это занимает меньше времени и значительно удобнее.

ИСПОЛЬЗОВАНИЕ FTP

Для использования FTP Вам необходим клиент, например, FileZilla. Для соединения необходимо заполнить поля хост, имя пользователя и пароль. Данные для соединения содержатся в письме с данными, которое высылается после регистрации в нашей системе.

УСТАНОВКА CMS

У некоторых пользователей возникают сложности при установке сайтов. Для этого мы настроили автоматическую установку, обновление и удаление сайтов на многих CMS системах. Автоматически можно установить около 120 различных скриптов. Теперь установка блогов, систем управления сайтами, магазинов, галерей и прочих программ занимает считанные секунды.

Ниже представлено видео, где показана установка WordPress для панель ISPmanager.

ПЕРЕНОС САЙТА

Вы можете оставить заявку для переноса на нашем сайте . В случае, когда Вы переносите сайты самостоятельно, необходимо придерживаться описанной ниже схемы:

• 1. добавьте доменное имя в панель управления;

  2. загрузите файлы сайта по FTP или через файловый менеджер;

  3. если необходимо, выполните перенос базы данных сайта;

  4. обновите файл конфигурации (пропишите новые пути к корневой директории сайта, укажите данные для соединения с базой данных);

  5. обновите DNS серверы доменного имени на указанные в письме с данными аккаунта.

Если у Вас возникли какие-то сложности при выполнении переноса, Вы можете обратиться в технический отдел, мы постараемся помочь Вам. При обращении опишите детально и пошагово, что Вы сделали и что не получается сделать.

БЕСПЛАТНЫЕ SSL СЕРТИФИКАТЫ

На всех серверах хостинга есть поддержка бесплатных SSL сертификатов от Let's Encrypt. Впервые с данной технологией мы познакомились в начале 2016 года, на тот момент нами были замечены некоторые проблемы в работе сайтов с использованием данных сертификатов, но по состоянию на конец года, все проблемы решены и мы считаем, что сертификаты готовы для массового использования. На данный момент поддержкой сертификатов Let's Encrypt оборудованы все наши серверы виртуального хостинга, в преддверии 2017 года - это важный этап в развитии сервиса. В этой статье мы произведем сравнение сертификатов от Let's Encrypt с платными решениями, рассмотрим то, как они работают, разберем по шагам то, как их установить и подскажем решения часто возникающих проблем.

Когда мы знакомились с сертификатами в начале 2016 года, были проблемы в работе сайтов с операционной системы Windows XP, не было поддержки IPv6 и IDN доменных имен при выдаче сертификатов. На момент написания статьи, все данные проблемы были решены: https://letsencrypt.org/upcoming-features/ В сентябре этого года, компания Google навела много шума, заявлением о том, что сайты работающие через незащищенное соединение с января 2017 года будут помечаться как небезопасные: https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html, но если внимательно ознакомиться с записью в их блоге, то это изменение относится только для страниц, на которых собираются личные данные пользователей, при этом, красный индикатор незащищенного соединения будет только в режиме инкогнито.

ИЗМЕНЕНИЕ ВЕРСИИ PHP В КОНСОЛИ SSH

• Консольная версия PHP по умолчанию зависит от выбранного Вами сервера и панели управления. Версию PHP можно изменить временно, либо на постоянной основе. Постоянная смена версии PHP Версия 5.2 Команда echo 'PATH=/usr/local/php/5.2/bin:$PATH' >> ~/.bash_profile Версия 5.3 Команда echo 'PATH=/usr/local/php/5.3/bin:$PATH' >> ~/.bash_profile Версия 5.4 Команда echo 'PATH=/usr/local/php/5.4/bin:$PATH' >> ~/.bash_profile Версия 5.5 Команда echo 'PATH=/usr/local/php/5.5/bin:$PATH' >> ~/.bash_profile Версия 5.6 Команда echo 'PATH=/usr/local/php/5.6/bin:$PATH' >> ~/.bash_profile Версия 5.6 (для Битрикс в UTF-8) Команда echo 'PATH=/usr/local/php-bitrix/5.6/bin:$PATH' >> ~/.bash_profile Версия 7.0 Команда echo 'PATH=/usr/local/php/7.0/bin:$PATH' >> ~/.bash_profile Версия 7.0 (для Битрикс в UTF-8) Команда echo 'PATH=/usr/local/php-bitrix/7.0/bin:$PATH' >> ~/.bash_profile Версия 7.1 Команда echo 'PATH=/usr/local/php/7.1/bin:$PATH' >> ~/.bash_profile Версия 7.2 Команда echo 'PATH=/usr/local/php/7.2/bin:$PATH' >> ~/.bash_profile Временная смена версии PHP (на время сеанса) Версия 5.2 Команда PATH=/usr/local/php/5.2/bin:$PATH Версия 5.3 Команда PATH=/usr/local/php/5.3/bin:$PATH Версия 5.4 Команда PATH=/usr/local/php/5.4/bin:$PATH Версия 5.5 Команда PATH=/usr/local/php/5.5/bin:$PATH Версия 5.6 Команда PATH=/usr/local/php/5.6/bin:$PATH Версия 5.6 (для Битрикс в UTF-8) Команда PATH=/usr/local/php-bitrix/5.6/bin:$PATH Версия 7.0 Команда PATH=/usr/local/php/7.0/bin:$PATH Версия 7.0 (для Битрикс в UTF-8) Команда PATH=/usr/local/php-bitrix/7.0/bin:$PATH Версия 7.1 Команда PATH=/usr/local/php/7.1/bin:$PATH Версия 7.2 Команда PATH=/usr/local/php/7.2/bin:$PATH.

ИЗМЕНЕНИЕ ВЕРСИИ PHP

• По умолчанию на всех серверах используется версия PHP 5.6, для изменения версии необходимо произвести некоторые изменения. Если версию необходимо изменить для отдельного сайта, то вносить изменения в файл .htaccess, который находится в корневом каталоге сайта. Если версию меняете для всех сайтов, то Вы можете создать файл .htaccess в корне аккаунта и прописать строку в него. При отсутствии файла .htaccess, его необходимо создать и заполнить нужными строками. Версия 5.2 Добавьте в файл .htaccess: AddHandler application/x-httpd-php-5.2 .php Версия 5.3 Добавьте в файл .htaccess: AddHandler application/x-httpd-php-5.3 .php Версия 5.4 Добавьте в файл .htaccess: AddHandler application/x-httpd-php-5.4 .php Версия 5.5 Добавьте в файл .htaccess: AddHandler application/x-httpd-php-5.5 .php Версия 5.6 Добавьте в файл .htaccess: AddHandler application/x-httpd-php-5.6 .php Версия 5.6 (для Битрикс в UTF-8) Добавьте в файл .htaccess: AddHandler application/x-bitrix-php-5.6 .php Версия 7.0 Добавьте в файл .htaccess: AddHandler application/x-httpd-php-7.0 .php Версия 7.0 (для Битрикс в UTF-8) Добавьте в файл .htaccess: AddHandler application/x-bitrix-php-7.0 .php Версия 7.1 Добавьте в файл .htaccess: AddHandler application/x-httpd-php-7.1 .php Версия 7.2 Добавьте в файл .htaccess: AddHandler application/x-httpd-php-7.2 .php

MySQL ошибка: #1273 — Unknown collation: ‘utf8mb4_unicode_520_ci’

Решение ошибки, которая возникала при импорте базы данных MySQL в панели управления phpMyAdmin.

При переносе базы данных WordPress с одного хостинга на другой возникла ошибка:1273 - Unknown collation: 'utf8mb4_unicode_520_ci'

В целом сообщение об ошибке было таким:Ошибка SQL запрос: -- Структура таблицы `wp_subscribe_reloaded_subscribers` CREATE TABLE `wp_subscribe_reloaded_subscribers` ( `stcr_id` int(11) NOT NULL, `subscriber_email` varchar(100) COLLATE utf8mb4_unicode_520_ci NOT NULL, `salt` int(15) NOT NULL, `subscriber_unique_id` varchar(50) COLLATE utf8mb4_unicode_520_ci DEFAULT NULL, `add_date` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_520_ci Ответ MySQL: #1273 - Unknown collation: 'utf8mb4_unicode_520_ci'

Причина оказалась в том, что таблица в базе данных MySQL плагина Subscribe To Comments Reloaded находилась в кодировке utf8mb4_unicode_520_ci. А для верной работы необходима кодировка utf8mb4_unicode_ci.

Ошибка Unknown utf8mb4_unicode_520 может возникнуть из-за неверного формата таблицы любого другого плагина. Например, в одном из случаев, у меня такая ошибка возникала сразу во многих других таблицах (не только относящихся к плагинам), например:-- Структура таблицы `wp_commentmeta` CREATE TABLE `wp_commentmeta` ( `meta_id` bigint(20) UNSIGNED NOT NULL, `comment_id` bigint(20) UNSIGNED NOT NULL DEFAULT '0', `meta_key` varchar(255) COLLATE utf8mb4_unicode_520_ci DEFAULT NULL, `meta_value` longtext COLLATE utf8mb4_unicode_520_ci ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_520_ci

Любая ошибка такого рода (не важно что за таблица или плагин) исправляется одинаково. Причем операции со вкладкой «Структура» можно и пропускать и делать только «Операции» (об этом ниже). Но чтобы всё точно работало, лучше сделать и то и другое.

#Если ИМЕЕТСЯ доступ к базе данных старого хостинга

Заходим в эту базу через phpMyAdmin.

В колонке слева выбираем таблицу wp_subscribe_reloaded_subscribers. Сверху панели выбираем вкладку «Структура».

Нажимаем изменить и меняем сравнение utf8mb4_unicode_520_ci на utf8mb4_unicode_ci.

Затем выбираем вкладку «Операции», снова выбираем кодировку utf8mb4_unicode_ci, отмечаем галочку Change all column collations. Нажимаем вперед, подтверждаем, что хотим выполнить эту операцию.

После этого можно экспортировать свою базу данных и импортировать на новый хостинг. На этот раз всё должно пройти гладко.

#Если доступа к базе данных старого хостинга НЕТ

В этом случае надо открыть базу данных через специализированные программы, например, Notepad++ или Transmit в Mac OS. Там найти строчки utf8mb4_unicode_520_ci и заменить их на utf8mb4_unicode_ci. Сохранить и дальше импортировать к себе на хостинг.

Если ошибку вызывает другой плагин, не обязательно wp_subscribe_reloaded_subscribers или какая иная таблица, то действовать нужно по аналогии с этой инструкцией, но уже для другой таблицы.