BPanel v3

[admin]

Пока не планируется.

[Петро]

Так вот, в продолжение темы - перед тем как установить 3-ю версию - сделал по умолчанию php5 обработчиком php скриптов. После неудавшейся попытки установить 3-ю версию панели - вернул то что было - 2.8. Открываю админку, а там - та же картина - половина страниц не работают (просто белый экран). Обновил еще раз, пото еще... Все стало на свои места когда я догадался удалить запись

 

AddHandler application/x-httpd-php5 .php .php4 .php3 .phtml

 

из файла .htaccess

 

Итого, для себя сделал вывод что не каждая 5-ка является 5-кой, тоесть что-то в php5 на сервере то ли не доставлено, то ли не доработано...

 

А вот причина, по которой я решил провести апдейт.

 

Вчера утром обнаружил у нескольких пользователей следующую картину: (Точнее, пользователи обнаружили, поскольку не могли войти в cpanel)

 

Последний вход в cpanel с 89.108.22.202 либо 89.108.8.17 - диапазон Саудовской Аравии

Почтовые ящики - удалены

Пользователи баз данных - удалены

Контактный e-mail изменен на [email protected]

Пароль на вход изменен.

 

Первым делом я изменил пароли на свои WHM. Поскольку я реселлер у двух хостеров и на двух серверах были такие взломы - версия что хостер виноват отпадает.

 

После того, как я изменил свои пароли я восстановил необходимые значения взломанных аккаунтов. И с удивлением обнаружил, что за это время "взломаны" еще несколько - вывод - кто-то имеет базу с паролями моих пользователей.

 

Сразу же я сделал рассылку, где попросил срочно изменить пароль на вход в cpanel.

 

После этого пока все спокойно. Новые пароли в bpanel не держу, для новых аккаунтов в поле "пароль" вписываю "пароль будет отослан следующим письмом" и отсылаю его (пароль) отдельно от письма об активации из биллинг-панели.

 

Вопрос:

 

Как можно было получить базу пользователей?

 

Второй вопрос:

 

Как избегать такого в будущем?

 

Учитывая, что пароль на папку order/admin/ установлен, доступ к биллинг-панели ограничен одним IP - моим. Автоматические ничего не активируется, в файле с данными whm никаких данных нет.

 

Заранее благодарю.

[admin]

Может влезли в MySQL через phpmyadmin.

Если поимели пароль к реселлерскому аккаунту или к аккаунту, на котором находится биллинг, то заполучить базу биллинга не составляет труда, как бы не была запаролирована админ-панель скрипта.

[rrr]

может все-таки сделайте чтобы пароли не хранились в открытом виде? уже давно даже на самых простых гостевых книгах и форумах не хранят пароли в прямом виде.

[admin]

В данном случае пароли на cPanel вообще становится бессмысленно хранить. После активации аккаунта, дабы пароль не хранился в базе, можно отредактировать запись.

Если же биллинг находится на выделенном сервере, то пароли спокойно хранятся в открытом виде.

[Ru-hoster.Com]

В данном случае пароли на cPanel вообще становится бессмысленно хранить. После активации аккаунта, дабы пароль не хранился в базе, можно отредактировать запись.

Если же биллинг находится на выделенном сервере, то пароли спокойно хранятся в открытом виде.

 

Это все панятно... Но Admin - все таки хотелось бы гарантиии что Бпанель не взломают школьники-хакеры... Это слишком банально Не мешало бы увеличить безопасность... уже есть одна мысль - сдеать утилитку отдельно как нить или прям в админки для экственной смены паролей для всех юзеров Bpanel естественно с их высылкой конкретному клиенту. Это было бы ОЧЕНЬ удобно согласитесь...

Так например такая ситуация - ломанули пароли. Запустил и все пароли для Cpanel(D.A.) и биллинга сменились... Потом ещё сменить пароли админа - и всё в шоколаде

 

Незнаю даже, мне кто-то уже говорил что бпанель просто взламать, хотя я так не думаю

[admin]

Это все панятно... Но Admin - все таки хотелось бы гарантиии что Бпанель не взломают школьники-хакеры... Это слишком банально

Эх... Как же надоело отвечать на такие бредовые посты

Не мешало бы увеличить безопасность...

Если есть дельные предложения, кроме как создание утилит для уменьшения ущерба от потери базы, или информация по уязвимостям - смело сообщайте мне.

уже есть одна мысль - сдеать утилитку отдельно как нить или прям в админки для экственной смены паролей для всех юзеров Bpanel естественно с их высылкой конкретному клиенту. Это было бы ОЧЕНЬ удобно согласитесь...

Так например такая ситуация - ломанули пароли. Запустил и все пароли для Cpanel(D.A.) и биллинга сменились...

Вполне возможно, что будет реализовано в одной из новых версий.

[admin]

Изменения в текущем билде.

 

* Админ-панель. Просмотр истекающих аккаунтов. Отображается ID сервера, если аккаунт - хостинговый.

* Админ-панель. Просмотр информации по аккаунту. В нижнее меню добавлена ссылка "Add a Ticket".

* Доработаны шаблоны счет-фактуры и акта выполненных работ.

* Админ-панель. На страничке просмотра информации по аккаунта теперь отображается и ежемесячная стоимость тарифного плана.

- Админ-панель. Массовое удаление аккаунтов. Текст "Комментарии Администратора" в письмо клиенту более не добавляется по несколько раз.

- imap.php. Устранена ошибка недобавления билетов, если e-mail отправителя содержал "'". Теперь данное поле строго проверяется.

 

Вероятно, до нового года выйдет еще 1 билд.

[Ru-hoster.Com]

Изменения в текущем билде.

 

* Админ-панель. Просмотр истекающих аккаунтов. Отображается ID сервера, если аккаунт - хостинговый.

* Админ-панель. Просмотр информации по аккаунту. В нижнее меню добавлена ссылка "Add a Ticket".

* Доработаны шаблоны счет-фактуры и акта выполненных работ.

* Админ-панель. На страничке просмотра информации по аккаунта теперь отображается и ежемесячная стоимость тарифного плана.

- Админ-панель. Массовое удаление аккаунтов. Текст "Комментарии Администратора" в письмо клиенту более не добавляется по несколько раз.

- imap.php. Устранена ошибка недобавления билетов, если e-mail отправителя содержал "'". Теперь данное поле строго проверяется.

 

Вероятно, до нового года выйдет еще 1 билд.

 

Админ, не знаю что ты там накалдовал над скриптом, но почему то у меня заработало гараздо больше, чем ты тут описал ) Причем очень стабильно. Но всё таки есть один момент... WEBMONEY.PHP - по прежнему пустая страница. Тоесть, жмешь оплатить попадаешь на ней, а дальше ничего нет... Это получается 2 шаг оплаты (на моём сайте в биллинге всмысле)

 

Это было так гараздо раньше, приходится ставить WEBMONEY.PHP из предыдущего релиза...

 

Но тем не мение - респект тебе админ за твою работу

[admin]

Webmoney.php: действительно, есть ошибка , будет исправлено в ближайшее время.

[romodos]

Webmoney.php: действительно, есть ошибка , будет исправлено в ближайшее время.

А пока можно где-нибудь взять старую версию?

[admin]

Обновил архив на order.bpanel.ru

Изменения:

* price.php. Добавлена ссылка на подробное описание способов оплаты.

* styles.css для страницы входа в админ-панель теперь берется из /admin/template/$language/.

* Панель клиента. Страника продления срока действия доменов. Центрирование данных по ID, имени и сроку домена посредством таблицы.

- webmoney.php. Исправлен глюк с пустой страницей (который появился в предыдущем билде).

- Стол помощи. Ответ сотрудника. Установленная галочка "Назначить себя ответственным" снова выполяет действие.

- Админ-панель. Удаление домена. При ошибке "Домен является главным на аккаунте!" нижнее меню отображается снова.

[covenant]

Ребята, ткните носом:

 

Warning: bcdiv() [function.bcdiv]: Division by zero in /usr/home/admin/domains/zxhost.ru/public_html/bil/index.php on line 2916

 

Warning: bcmod() [function.bcmod]: Division by zero in /usr/home/admin/domains/zxhost.ru/public_html/bil/index.php on line 2917

 

В разделе "Домены" такая штука выходит. Что не так? Админа своего мучал, говорит все функции включены, что скрипту нужно =(

[admin]

Это видно не с функциями, а с настройками количества сообщений на странице.

[covenant]

Давайте найдем решение? Мне говорят, что трабл в скрипте. Может посмотрите?

[admin]

Для дальнейшего исследования проблемы необходимо следующее:

1. Данные FTP-доступа; Данные cPanel доступа (если они отличаются от FTP);

2. Cсылка на скрипт;

3. Данные доступа в админ-центр, проверка по IP адресу должна быть отключена.

4. Ссылка на эту тему.

на admin @ advanta.org

Правда, думаю, что проблема в Ваших настройках.

[covenant]

Написал с имейла: rriaz[dof]mail.ru

Жду.. Спасибо.

[admin]

Это еще что за такое

Я же вроде писал, что проблема в настройках!

[covenant]

Честно... стыдно

Прошу прощения за реальную тупость...

Мне просто настраивал человек давно уже все... ну и естественно начинают петь, что ошибка в скрипте и все такое.

 

ЗЫ - скриншот, лучше удалить.

 

Спасибо!

[admin]

ЗЫ - скриншот, лучше удалить.

Аргументируйте. Пусть будет для тех, кто столкнулся (столкнется) с подобной проблемой.

[covenant]

Попросил - можно было убрать. Выкладывайте свои урлы. Или затирайте урлы в скриншоте.

 

ЗЫ - то, что помогли мне - реально Вам спасибо за это.

[regid]

Извините за глупый вопрос, можете по подробно сказать как сделать пункт 4 из readme (4. В панели управления сайтом запаролируйте доступ к admin/;)

[Lazek]

Ставите пароль через панель управления (cPanel, Direct Admin) на папку /admin.

[Ru-hoster.Com]

Ставите пароль через панель управления (cPanel, Direct Admin) на папку /admin.

 

Такая трабла неприятная случилась... Короче при заказе VPS на мыло клиенту приходит письмо. А там написанно:

 

----

Способ оплаты: Яндекс.Деньги

Колешек: 41111111111111

----

 

Но в настройках скрипта (мерчанта Яндекс.Деньги) стоит мой нормальный кошелёк

 

 

В чем трабла?

[Lazek]

Изменить кошелек в способах оплаты..