آزمایشگاه انلاین

برای جلوگیری از نفوذ به سایت خود بهتر است موارد زیر را رعایت کنید .
این مقاله مناسب برای مشترکینی است که از اسکریپت های عمومی استفاده می کنند و توسعه دهندگان اسکریپت های اختصاصی منتظر ارسال مطالب آموزشی و تخصصی بعدی ما در این زمینه باشند .

۱- از رمز های قوی و ترکیبی برای آدرس ایمیل ، رمز هاست ، رمز ناحیه کاربری سرویس دهنده و رمز مدیریت محتوا استفاده کنید :
مثلا :

۶sY(2%27WS^2t

۲-از افزونه ها یا قالب های نال شده استفاده نکنید . نالر ها معمولا یک راه نفوذ برای هک یا ارسال ایمیل از طریق هاست شما برای خود ایجاد می کنند تا به مقاصد تجاری دست یابند . درصورتیکه بتوانید تک تک فایل های این افزونه یا قالب ها را بررسی کنید توصیه می شود استفاده کنید .
۳- فقط از سایت اصلی توسعه دهنده گان افزونه ها را دانلود و نصب نمایید .
۴- دسترسی ثبت نام به صورت پیشفرض در برخی اسکریپت ها فعال هست ، اگر نیاز به این گزینه ندارید حتما غیر فعال کنید یا در صورت لزوم دسترسی یوزر های ثبت نام شده را بر روی مشترک قرار دهید .
۵- پسورد دیتابیس قوی انتخاب نمایید و درصورتیکه نیاز به اتصال ریموت به دیتابیس ندارید قابلیت اتصال ریموت را غیرفعال ک نید .
۶- سطح دسترسی فایل کانفیگ مدیریت محتوا را به ۴۰۰ تغییر دهید.
۷- آدرس پوشه ادمین را تغییر دهید یا اینکه بر روی آن از طریق فایل منیجر هاست پسورد ست کنید .
۸- درصورتیکه در هاست شما امکانی نظیر آپلود عمومی وجود دارد پسوند های قابل آپلود را به عکس و فایل های آرشیوی نظیر zip محدود نمایید.
۹- سطح دسترسی فایل های هاست باید ۶۴۴ و پوشه ها ۷۵۵ باید باشد ، اگر غیر از این هست به هاستینگ خود اطلاع دهید.
۱۰- اسکریپت خود را همیشه به روز نگاه دارید.
۱۱- پلاگین های امنیتی را برای اسکریپت خود و فقط از سایت اصلی توسعه دهنده اسکریپت دانلود و نصب نمایید .
۱۲- پیشوند پیشفرض دیتابیس را تغییر دهید . ( به عنوان مثال در وردپرس به صورت پیشفرض wp هست که بهتر است به مواردی دیگر تغییر دهید )
۱۳- کد زیر را در htaccess خود قرار دهید تا از دسترسی سایرین به تغییر htaccess سایت شما جلوگیری شود

<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

۱۴- قابلیت مشاهده لیست فایل ها در دایرکتوری ها را غیرفعال کنید ( با قراردادن کد زیر در htaccess )

Options All -Indexes

۱۵- از اسکریپت injection جلوگیری کنید ! ( کد زیر را در فایل htaccess قرار دهید )

# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

وب سرور لایت اسپید امکان مقابله و کنترل حملات Dos و DDos در لایه HTTP داراست . هر چند که DDos های بسیار بزرگ و سنگین حتی توسط فایروال های سخت افزاری نیز قابل مدیریت و کنترل نیستند ولی به در هر صورت وب سرور لایت اسپید تاثیر بسیار خوبی در کنترل حملات کوچک تا متوسط روی پروتکل HTTP دارد .

وب سرور لایت اسپید امکان مقابله و کنترل حملات Dos و DDos در لایه HTTP داراست . هر چند که DDos های بسیار بزرگ و سنگین حتی توسط فایروال های سخت افزاری نیز قابل مدیریت و کنترل نیستند ولی به در هر صورت وب سرور لایت اسپید تاثیر بسیار خوبی در کنترل حملات کوچک تا متوسط روی پروتکل HTTP دارد .

آنتی Dos و آنتی DDos وب سرور لایت اسپید
آنتی Dos و آنتی DDos وب سرور لایت اسپید

کنترل حملات dos و ddos توسط وب سرور لایت اسپید

وب سرور لایت اسپید به ۳ روش حملات dos و ddos را کنترل و دفع میکند . استفاده حرفه ای از هر ۳ امکان در کانفیگ لایت اسپید شانس موفقیت شما را افزایش خواهد داد . برای استفاده از این ابزار لایت اسپید حتما از نسخه های Enterprise وب سرور لایت اسپید استفاده کنید . نسخه رایگان یا Open Litespeed بسیاری از امکانات نسخه Enterprise لایت اسپید را ندارد و فقط روی لینوکس های ۳۲ بیت نصب میشود .

از پنل ادمین تنظیمات وب سرور لایت اسپید به ترتیب وارد قسمت های Configuration و پس از آن Server شده و قسمت Tuning وب سرور لایت اسپید را باز کنید :

روش اول وب سرور لایت اسپید برای مقابله با حمله های Dos و DDos

مقادیر Max Request URL Length, Max Request Header Size, Max Request Body Size, Max Dyanmic Response Header Size, and Max Dynamic Response Body Size باید بر اساس قدرت و نوع حمله Dos یا DDos که در حال انجام است مقدار دهی شوند . مقدار دهی صحیح به این پارامتر ها سبب میشود تا زیر حمله Dos و DDos وب سرورکمترین مقدار رم و حافظه سرور شما را اشغال کند .

مقدار پارامتر Connection Timeout را روی ۳۰ و Keep-Alive را روی ۱۵ ثانیه یا کمتر قرار دهید و وب سرور لایت اسپید را ریستارت کنید . این کانفیگ وب سرور سبب بسته شدن کانکشن های مرده در کمترین زمان ممکن میگردد و در نتیجه منابع برای کاربران شبکه آزاد میشود .

روش اول وب سرور لایت اسپید برای مقابله با حمله های Dos و DDos

از قسمت Access Control table امکان دسترسی به ابزار بلاک کردن آی پی های حمله کننده به سرور را خواهید داشت . برای بلاک کردن این آی پی های در لایه وب سرور آن ها را به صورت دستی در لیست Denied List قرار دهید . اگر تعداد آی پی های حمله کننده به سرور کم باشند ، با این روش حمله Dos خیلی زود کنترل میشود .

اسفاده از Connection Soft Limit, Grace Period, Banned Period برای کنترل حملات Dos و DDos تاثیر بسیار موثر است . تنها شرط آن مقدار دهی صحیح و کانفیگ حرفه ای وب سرور لایت اسپید است .

با استفاده از Connection Hard Limit حد اکثر تعداد کانکشن های همزمان یا concurrent connections از یک آی پی به وب سرور را تعیین کنید . اگر تعدا کانکشن های همزمان یک IP به وب سرور لایت اسپید بیش از میزان تعیین شده در Hard Limit باشد ، لایت اسپید بلا فاصله کانکش های جدید را میبندد و در وضعیت pending قرار میدهد .

ابزار Outbound Bandwidth limit در وب سرور لایت اسپید تاثیر بسزایی در کنترل حمله های متوسط به سرور را دارد . مقدار ثابتی هم ندارد و بر اساس نوع کاربری سرور و شدت حمله و اتک روی سرور مقدار دهی میشود . تنظیمات اشتباه علاوه بر عدم کمک به دفع حمله سبب ایجاد اختلال در عملکرد وب سرور لایت اسپید میگردد .

روش سوم وب سرور لایت اسپید برای مقابله با حمله های Dos و DDos از نوع Flooding

حمله از نوع Flood شاید یکی از بد ترین انواع حمله های اینترنتی باشد . ارسال هزاران درخواست به سمت سرور از هزاران IP مختلف! معمولا راه حل های نرم افزاری برای این دسته از حمله های وجود ندارد . اگر این حمله فقط روی یک URL خاص صورت پذیرد شما میتوانید با ساخت یک Context در وب سرور لایت اسپید کلیه درخواست های ارسالی روی این URL را بلاک کنید . البته همه این ها منوط به Overflow نشدن پورت سرور شماست !

Configuration > Virtual Hosts > View/Edit > Context > Add > Type “Static”

مرجله ۱ : بروز رسانی و نصب نرم افزار های جانبی مورد نیاز OpenLitespeed

• sudo apt-get update
• sudo apt-get install build-essential libexpat1-dev libgeoip-dev libpng-dev libpcre3-dev libssl-dev libxml2-dev rcs zlib1g-dev

مرحله ۲ : دانلود اپن لایت اسپید توسط سرور. دانلود اخرین نسخه

• cd ~
• wget http://open.litespeedtech.com/packages/openlitespeed-1.4.23.tgz

مرحله ۳ : خارج کردن فایل لایت اسپید از حالت فشرده

• tar xzvf openlitespeed*
• cd openlitespeed*

مرحله ۴ : مراحل نصب

• ./configure
• make
• sudo make install

مرحله ۵ :

sudo service lsws start

ورود به لایت اسپید :

https://ip:7080

نام کاربری admin

کلمه عبور : ۱۲۳۴۵۶

یکی از سیاست های تولید کنندگان و طراحان وب سرور برای قبضه کردن بازار ، ارائه کردن نسخه های رایگان وب سرور است . یکی از بزرگ ترین دلاین موفقیت وب سرور های  آپاچی و انجین اکس ، رایگان بودن و متن باز بودن این وب سرور هاست . و دقیقا به همین دلیل است که تقاضا برای استفاده از وب سرور لایت اسپید در سال های گذشته (نسبت به آپاچی و انجین اکس) به شدت پایین بودن است .

کمپانی LiteSpeedTech نیز در راستای از دست ندادن بازار وب سرور ها و برای  رقابت با Apache و Nginx اقدام به ارائه یک نسخه رایگان و بدون نیاز به لایسنس از وب سرور LiteSpeed با نام OpenLiteSpeed کرده است .

نسخه رایگان لایت اسپید OpenLitespeed

لایت اسپید رایگان و متن باز تقریبا ۹۰٪ امکانات نسخه پولی و Enterprise را داشته و از یک پنل وب بیس بسیار قدرتمند سود میبرد . برای مثال LSPHP به مانند نسخه Enterprise در این وب سرور رایگان وجود دارد و امکان کامپایل PHP در نسخه های ۵٫۲ , ۵٫۳ , ۵٫۴ و نسخه ۵٫۵ را به وب مستر و مدیر سرور میدهد . شاید یکی از بزرگ ترین نقاط قوت وب سرور لایت اسپید همین lsphp باشد که در مقام مقایسه ، فقط PHP-FPM قادر به رقابت با آن است . در تصویر زیر ، نمایی از پنل مدیریت وب سرور لایت اسپید رایگان یا OpenLiteSpeed را مشاهده میکنید :

بازدهی و توان وب سرور متن باز لایت اسپید تقریبا برابر با نسخه Enterprise است و Benchmark های رسمی ارائه شده در وبلاگ Litespeed این برابری تقریبی را نشان میدهند . در نموداره ای تصاویر زیر هر ۲ نسخه وب سرور لایت اسپید در شرایط مختلف مقایسه شده اند .

بازدهی و قدرت نسخه های وب سرور لایت اسپید بدون فعال سازی Keep Alive

بازدهی و قدرت نسخه های وب سرور لایت اسپید در حالت فعال بودن Keep Alive

همانطور که ملاحظه میکنید ، تفاوت در قدرت پردازش و مدیریت ترافیک و همچنین سرعت نسخه رایگان و Enterprise وب سرور لایت اسپید خیلی محسوس نیست . پس قرق ۲ وب سرور در چیست؟ در ادامه به تفاوت های ۲ نسخه رایگان و  لایسنس دار وب سرور لایت اسپید می پردازیم .

امکانات وب سرور OpenLiteSpeed

اصلی ترین تفاوت های وب سرور اپن لایت اسپید با نسخه Enterprise عبارتند از :

• نسخه رایگان لایت اسپید از کنترل پنل های هاستینگ مانند سی پنل ، دایرکت ادمین و پلسک پشتیبانی نمیکند .
• نسخه OpenLiteSpeed از .htaccess پشتیبانی نمیکند . البته این به معنای عدم پشتیبانی از Apache Rewrite نیست . بلکه فقط قادر به شناسایی فایل .htaccess نیست .
• نسخه رایگان لایت اسپید از سیستم LiteSpeed Page Cache پشتیبانی نمیکند .
• نسخه رایگان لایت اسپید از mod_security پشتیبانی نمیکند .

وب سرور OpenLiteSpeed مناسب چه کسانیست؟

معمولا اولین وب سروری که تقریبا ۹۵٪ وب سایت ها فعالیت خود را با آن آغاز میکنند وب سرور آپاچی است . با رشد وب سایت و افزایش بازدید و ترافیک وب سایت ، معمولا کانفیگ های معمولی و پیش فرض وب سرور آپاچی جواب گو نخواهد بود و تغییرات در سخت افزار یا وب سرور تنها راه اغلب مدیران سرور ها خواهد بود .

لایت اسپید رایگان (در کنار Nginx) یکی از بهترین انتخاب ها برای سرور های شخصی و تک سایت های بزرگ و پر بازدید است . شاید تاثیر گذار ترین عامل در انتخاب یکی از وب سرور های Nginx و OpenLiteSpeed یکی سلیقه و دیگری میزان آشناییبا کانفیگ این وب سرور ها باشد . به هر حال با توجه به پشتیبانی لایت اسپید رایگان از syntax و ساختار rewrite های وب سرور آپاچی و همچنین وب بیس بودن پنل ادمین ، کار با آن برای اغلب وب مستران و ادمین های سرور ساده تر باشد .

برای استفاده از خدمات کانفیگ وب سرور رایگان و بدون نیاز به لایسنس OpenLiteSpeed درخواست خود را برای ما تیکت کنید . با استفاده از لایت اسپید رایگان ، بدون نیازبه ارتقاء سخت افزار سرور و پرداخت هزینه های لایسنس نسخه پولی لایت اسپید ، توان سرور خود را حد اقل ۳ برابر افزایش خواهید داد .

ارور اینترنال سرور ارور ( internal server error – error 500 ) یا خطای شماره ۵۰۰ یک خطای عمومی با احتمالات بالا می باشد !

ما در اینجا تمام احتمالات را برای شما بازگو می کنیم.

۱- اول از همه حالت دیباگ اسکریپت خود را فعال کنید ، اگر فعال کردید و تغییری حاصل نشد به مراحل بعدی بروید

۲- ممکن است اشکال از htaccess باشد ، تعریف برخی از مقادیر php value در htaccess موجب این رخداد می شود . برای بررسی این مورد فایل htaccess را یک بک آپ از آن بگیرید و سپس آنرا حذف کرده و تست نمایید

۳-  سطح دسترسی فایل های php ، باید همه فایل های php سطح دسترسیشان ۶۶۴ باشد ، فایل کانفیگ ۴۰۰ می تواند باشد.

۴- وقتی که در قالب یک تابع فراخوانی شود که در اسکریپت از پیش تعریف نشده باشد یا پیش نیاز یک افزونه دارد این مشکل رخ می دهد ، از طریق phpmyadmin قالب را تغییر دهید یا اینکه یک قالب خام در پوشه قالب اکسترکت کنید

۵- ممکن است ایراد از افزونه ای باشد که یک تابع فراخوانی کرده که در اسکریپت شما هنوز تعریف نشده است .  پس بهتر است از طریق phpmyadmin افزونه ها را غیرفعال کنید.

۶- ممکن است مصرف رم یا سی پی یو اکانت هاست شما فول شده باشد ، از سرویس دهنده خود بخواهید این مورد را بررسی کند .

۷- {دسترسی مدیر سرور} : مقدار gid و uid پوشه مربوط به این یوزر و نیز پوشه Public_html را چک کنید .

۸- {دسترسی مدیر سرور} : سطح دسترسی پوشه مربوط به این یوزر و نیز پوشه Public_html را چک کنید .

۹-  مقدار php memory را افزایش دهید . اگر دسترسی ندارید از مدیر سرور بخواهید ، { دسترسی مدیر سرور } : از درون فایل php.ini یوزر مربوطه یا ورژن انتخابی یا فایل اصلی سرور این مورد را افزایش دهید . مقدار ۱۲۸ الی ۲۵۶ برای سرویس میزبانی معمولی پیشنهاد می شود .

۱۰- راه یکی مانده به آخر ! از فایل کانفیگ اسکریپت یک نسخه روی رایانه کپی کنید ، سپس فایل های اصلی اسکریپت را ( نسخه خام ) اکسترکت نموده در همان مسیر اصلی

۱۱- و راه آخر ! اگر مشکل با موارد فوق حل نشد شما بسیار بدشانس هستید و تیم کانفیگ سرور در این مورد می تواند با دریافت هزینه مناسب شما را یاری کند . در این راه آخر شما باید روی یک پوشه دیگر اسکریپت خام را نصب کنید ، تیبل های مربوط به مطالب و کاربران و کامنت ها را منتقل کنید . پوشه فایل ها را منتقل کنید .

پس از تست کامل در پوشه تستی که ایجاد کرده اید یک بک آپ کلی از هاست بگیرید . کل محتویات مرتبط با هسته اصلی سایت را حذف کرده و محتویات پوشه تستی را به قسمت اصلی انتقال دهید .  در آخر از دیتابیس آدرس سایت را اصلاح کنید

در صورتیکه به هر دلیلی از داخل کنترل پنل نتوانستید لاگین کنید و آی پی را بلاک نمایید برای بلاک آی پی ( اضافه کردن به csf.deny ) دستور زیر را اجرا کنید ( آی پی مد نظرتان را بازنویسی کنید )
دستور -d به این منظور تعریف شده است .

csf -d 192.168.1.7

برای ریدایرکت آدرس قدیم به آدرس جدید در nginx از دستور زیر استفاده نمایید

    server_name www.old.iranpage.net old.iranpage.net;
    rewrite ^ http://new.iranpage.net$request_uri?;

برای فعال کردن فورس دانلود ( اجبار مرورگرها به دانلود ) کافیست تا در تنظیمات nginx یوزر مربوطه کد زیر را قرار دهید.
مثال زیر برای فایل mp3 هست ، برای پسوند دلخواه آنرا بازنویسی کنید

location ~*(.*\.mp3){
    types { application/force-download .mp3;}
    default_type application/force-download;
}

پس از اضافه کردن service nginx restart را بزنید

۱- دانلود کنترل پنل توسط سرور

curl -O http://vestacp.com/pub/vst-install.sh

۲-اقدام به نصب

bash vst-install.sh

۴- installer asks to confirm disabling SELinux and start the install process

میزنیم y

و در مرحله بعد ایمل ادرس خود را وارد میکنید.

مدت زمان ۵ دقیقه طول خواهد کشید تا vestacp نصب کردد.

در پایان کار مشخصات پنل برای شما کاربران عزیز نمایان میشود.

در این آموزش قصد داریم راه اندازی یک سرور سی پنل + نصب و کانفیگ موارد مورد نیاز را به شما آموزش دهیم

پس از انجام این موارد حتما فایروال را نصب کنید ( آموزش در سایت موجود هست )

موارد مورد نیاز برای نصب سی پنل

برای شروع پروسه ، بوسیله دستور yum update ، کلیه پکیج های centos را به روز رسانی کنید

 yum update

حال پکیج نصبی سی پنل را از سایت اصلی توسط دستور زیر دریافت می کنیم

cd /home

wget -N http://httpupdate.cpanel.net/latest

با توجه به این که پس از این پروسه سه الی ۴ ساعت زمان می برد و ممکن است سرعت اینترنت شما کند یا قطع شود ، به همین دلیل توصیه اکید می کنیم یا توسط یک سرور مجازی ویندوزی ، یا توسط حالت اسکرین ( لینک آموزش) از قطع شدن پروسه به دلایل اتصال جلوگیری کنید ، آگر در اواسط انجام کار ارتباط شما قطع شود می بایست مجدد centos را نصب کنید.

حال دستور زیر را بزنید :

sh latest

بسته به سخت افزار سرور شما بین ۴۰ دقیقه الی ۴ ساعت پروسه نصب ممکن است به طول بیانجامد ،

پس از اتمام پروسه نصب با متد زیر می توانید وارد بخش WHM شوید ( آی پی سرور را به جای ۱۰٫۱۰٫۱۰٫۱۲ وارد کنید :

http://10.10.10.12:2087

پس از وارد کردن لینک فوق می بایست با عکس زیر مواجه شوید :

پس از وارد کردن root و رمز روت سرور پنجره زیر را مشاهده می کنید که مبنی بر پذیرفتن قوانین خدمات سی پنل می باشد ، بر روی I Agree کلیک نمایید

در مرحله بعد که با عکس زیر مواجه می شوید ، در این مرحله آدرس ایمیل خود را حتما درج کنید ، هشدار های مهم و گزارش خطا ها به این ایمیل ارسال می شود. اگر سرویس دهنده سیمکارت شما از خدمات دریافت ایمیل با شماره پشتیبانی می کند ، آدرس آنرا در قسمت server contact sms address وارد کنید .

کمی که به پایین همین صفحه بیایید از شما هاست نیم می خواهد ، یک هاست نیم معتبر وارد کنید و دقت کنید که در کنترل پنل دامنه نیز یک آ رکورد بر روی آی پی سرور با همین هاست نیم بزنید ، از ست کردن دامنه های ir به عنوان هاست نیم جدا خودداری کنید !

primary و secondary resolver را به ترتیب بر روی ۸٫۸٫۸٫۸ و ۴٫۴٫۴٫۴ قرار دهید ، این دو آی پی گوگل هستند .

پس از ذخیره و وارد شدن به مرحله جدید با صفحه زیر که نشان دهنده آی پی های سرور شما هست وارد می شوید ، به مرحله بعد می رویم

در مرحله چهارم ، شما DNS server ای که می خواهید از آن استفاده کنید را انتخاب می کنید ، شما می توانید با توجه به کاربری سرور خود ، سخت افزار و مورد استفاده از سرور طبق توضیحاتی که نوشته شده ، DNS سرور خود را انتخاب نمایید ، اگر در این رابطه اطلاعات کافی ندارید بر روی Bind قرار دهید

کمی که به پایین صفحه بیایید در این مرحله Name server های خود را باید انتخاب کنید ، دو نیم سرور معتبر وارد کنید و دقت کنید که در کنترل پنل دامنه نیز یک آ رکورد بر روی آی پی سرور با همین نیم سرور ها بزنید ( همجنین قسمت child host در کنترل پنل دامنه ) ، از ست کردن دامنه های ir به عنوان نیم سرور اصلی سرور جدا خودداری کنید !

مثلا : ns12.iranpage.net

ns13.iranpage.net

در کادر پایین نیز تیک add A entries for all nameservers را نیز بزنید ، ذخیره کرده و وارد مرحله ۵ شوید

در مرحله پنجم تنظیمات FTP از شما پرسیده می شود ، بر روی Pure FTPD قرار دهید

در همین مرحله ، تنظیمات میل سرور نیز از شما پرسیده می شود ، بر روی Dovecot قرار دهید

در همین بخش ، تنظیمات CPHulk هست که در برابر حمله های brute force از سرور شما محافظت می کند

ذخیره کرده و به مرحله ۶ بروید ،  این مورد مربوط به تغییر شیوه فرمت هارد هست که توصیه می شود قرار دهید تا بر مورد پیشفرض بماند ، بر روی Finish setup wizard کلیک کنید

پس از اتمام با صفحه زیر مواجه می شوید