راهنمای جامع پیکربندی تخصصی اسکنر CXS روی سیپنل
ایمنسازی زیرساختهای میزبانی وب و سرورهای اختصاصی در برابر کدهای مخرب، شلهای امنیتی و بدافزارها، یکی از حیاتیترین وظایف مدیران سیستم است. کنترلپنل سیپنل (cPanel) به دلیل محبوبیت بالا، همواره در معرض حملات سایبری قرار دارد. آنتیشل و اسکنر قدرتمند ConfigServer eXploit Scanner که به اختصار اسکنر CXS نامیده میشود، یکی از بهترین ابزارهای لایه دفاعی برای شناسایی فایلهای مخرب در لحظه (Real-time) است. پس از اتمام فرآیند نصب، بهینهسازی و کانفیگ دقیق این نرمافزار جهت جلوگیری از خطاهای سیستم و مصرف بیرویه منابع سرور، اهمیت بالایی دارد.
الزامات اولیه و آمادهسازی محیط قرنطینه اسکنر
برای شروع فرآیند پیکربندی، ابتدا باید از طریق پروتکل SSH و با دسترسی کاربر ریشه (Root) به سرور مجازی یا اختصاصی خود متصل شوید. اسکنر CXS برای مدیریت فایلهای آلوده شناساییشده، نیاز به یک محیط ایزوله و امن دارد تا دسترسی کدهای مخرب به کل سیستمفایل (File System) سرور قطع شود.
برای راهاندازی این لایه و ایجاد دایرکتوری قرنطینه، دستور زیر را در ترمینال اجرا کنید:
cxs --qcreate --quarantine /etc/cxs/quarantine
در قدم بعدی، فایل لاگ اختصاصی سیستم را برای ذخیره گزارشهای اسکن ایجاد کرده و دسترسیهای امنیتی آن را جهت جلوگیری از دستکاری توسط سایر یوزرها تنظیم میکنیم:
touch /var/log/cxs.log chmod 600 /var/log/cxs.log
یکپارچهسازی با آنتیویروس ClamAV در نسخههای مدرن سیپنل
اسکنر CXS برای افزایش قدرت تشخیص خود، به دیتابیس آنتیویروس ClamAV متصل میشود. در نسخههای جدید سیپنل، سیستم مدیریت پکیجها تغییر کرده است و استفاده از دستورات قدیمی متوقف شده است.
برای نصب و فعالسازی صحیح و بدون خطای ClamAV در ساختار مدرن cPanel، باید از پکیجمدیریت تخصصی ابزار به صورت زیر استفاده کنید:
dnf install cpanel-clamav -y /usr/local/cpanel/scripts/check_cpanel_rpms --fix
پس از نصب، دیتابیسهای ابزار را با دستور freshclam بهروزرسانی کنید تا اسکنر به آخرین امضاهای شناسایی بدافزار مجهز شود.
فعالسازی لایه اسکن در لحظه برای پروتکل FTP
یکی از راههای اصلی ورود شلها به هاست کاربران، آپلود فایل از طریق FTP است. برای اینکه سرویس به محض آپلود فایل توسط Pure-FTPd آن را اسکن کند، نباید فایل کانفیگ را به صورت دستی دستکاری کرد، زیرا در آپدیتهای سیپنل اوررایت میشود.
روش استاندارد و اصولی برای فعالسازی ویژگی CallUploadScript در مدیریت نوین سرور، استفاده از ساختار جفتکلید در دایرکتوری ابزار است:
echo "yes" > /etc/pure-ftpd/conf/CallUploadScript /usr/local/cpanel/scripts/setupftpserver pure-ftpd --force systemctl restart pure-ftpd systemctl restart pure-uploadscript
تزریق قوانین اختصاصی ModSecurity و وبسرور
وبسرورهای مدرن برای تحلیل ترافیک HTTP به وبفایروال (WAF) متصل هستند. سرویس CXS دارای یک وندور اختصاصی برای ModSecurity است که رفتارهای مشکوک در وب را بلاک میکند. در نسخههای امروزی، ساختار مدیریت وندورها بهینهتر شده است.
جهت افزودن و فعالسازی این قوانین بدون ایجاد تداخل در هسته اصلی وبسرور، دستورات زیر را وارد کنید:
/usr/local/cpanel/scripts/modsec_vendor add https://download.configserver.com/waf/meta_configserver.yaml /usr/local/cpanel/scripts/modsec_vendor enable configserver systemctl restart httpd
در صورت استفاده از وبسرورهای جایگزین مانند لایتاستپید یا لایتاسپید (LiteSpeed)، پس از اجرای دستورات فوق، حتما سرویس وبسرور مربوطه را یکبار راهاندازی مجدد کنید تا قوانین لایه امنیتی جدید را لود کند.
پیکربندی کرونجاب روزانه و مدیریت دیمون cxswatch
برای تضمین پایداری و امنیت سرور، اسکنر CXS باید به صورت خودکار دیتابیس امضاها و کدهای خود را بهروزرسانی کند. برای این کار، اسکریپت Crob job روزانه ابزار را به دایرکتوری زمانبندی سیستمعامل متصل میکنیم:
ln -s /etc/cxs/cxsdaily.sh /etc/cron.daily/
در گام نهایی، باید سرویس نظارت دائم یا همان cxswatch daemon را فعال کنیم تا به عنوان یک پردازش پسزمینه، تمام تغییرات فایلها را در لایه هسته لینوکس مانیتور کند. در سیستمعاملهای نوین (مانند AlmaLinux و Rocky Linux) دستورات قدیمی service و chkconfig منسوخ شدهاند و مدیریت سرویسها کاملا تحت کنترل systemd است:
systemctl daemon-reload systemctl enable cxswatch systemctl start cxswatch
سخن پایانی: اسکنر CXS ، دژ مستحکم امنیت و پایداری هاستینگ
پیکربندی بهینه اسکنر CXS روی سرورهای مبتنی بر سیپنل، یکی از موثرترین گامها در کاهش نرخ فیشینگ، نفوذ بدافزارها و انتشار شلهای مخرب است. با پیادهسازی گامبهگام این فرآیند بر اساس لایههای جدید مدیریت لینوکس و ساختار مدرن cPanel، زیرساخت میزبانی شما نه تنها در برابر الگوهای سنتی حملات ایمن میشود، بلکه با تکیه بر اسکن هوشمند در لحظه، مانع از مصرف ناگهانی و شدید منابع سختافزاری سرور توسط پردازشهای آلوده میگردد؛ راهکاری پایدار که ثبات شبکه و امنیت دادههای کاربران را در بالاترین سطح ممکن تضمین خواهد کرد.
سوالات متداول
بالا رفتن ناگهانی لود سرور معمولا به دلیل اسکن همزمان فایلهای بسیار بزرگ یا دایرکتوریهای موقت پرتردد رخ میدهد. برای رفع این مشکل، باید فایلهای آرشیو بزرگ، دایرکتوریهای بکاپ و واژههای کلیدی سنگین را از طریق فایل پیکربندی /etc/cxs/cxs.ignore مستثنی کنید تا منابع سیپییو بیهوده مصرف نشوند.
اسکن دستی با دستور چشمی کدهای مخرب را در یک زمان مشخص در کل سرور یا یک هاست خاص بررسی میکند. اما دیمون cxswatch به صورت یک سرویس پسزمینه دائمی در لایه هسته سیستمعامل فعال است و به محض ایجاد، تغییر یا آپلود هر فایلی در سرور، آن را در همان لحظه اسکن و در صورت نیاز قرنطینه میکند.
در صورت بروز خطای مثبت کاذب (False Positive)، ابتدا باید به دایرکتوری قرنطینه مراجعه کرده و فایل را بازیابی کنید. سپس برای جلوگیری از حذف مجدد آن، مسیر دقیق فایل یا شناسه بدافزار شناساییشده را در فایل /etc/cxs/cxs.ignore وارد کنید تا در اسکنهای بعدی نادیده گرفته شود.
در نسخههای نوین سیپنل، وبسرور و سرویسهای جانبی از سیستم مدیریت یکپارچه محلی استفاده میکنند. اگر فایل تنظیمات را دستی ویرایش کنید، با اولین آپدیت خودکار سیپنل یا ریست سرویسها، تنظیمات شما اوررایت و پاک خواهند شد. روش صحیح، استفاده از ابزار تخصصی جفتکلید در مسیر /etc/pure-ftpd/conf/ است.
ابزار CXS در لایه فایل اسکن را انجام میدهد و جلوی آپلود یا تغییر فایل مخرب را میگیرد. با این حال، برای بستن کامل راه اجرای شلهایی که از قبل پنهان شدهاند، باید حتما توابع خطرناک پیاچپی (مانند exec و system) را در فایل php.ini سرور غیرفعال کنید و از وبفایروال ModSecurity بهره بگیرید.
شما میتوانید دیدگاه خود را در مورد این مطلب با ما با اشتراک بگذارید.