Dichiariamo guerra agli hacker/lamer

Magari si fanno vivi ancora ma il fatto di dover aspettare minuti ogni pochi tentativi gli fa passare la voglia.

Se non sbaglio SSH ha già questa protezione mentre non so come si comporta FTP.

Non conosco Plesk ma dal loro sito sembra possibile gestire questa funzione stando ai dettagli indicati a questo link http://www.parallels.com/it/products/plesk95/docs/
Livello Amministratore del Server > Gestione del Server >
Gestione di Sessioni del Pannello di Controllo (Tempo d'inattività, tentativi di login, ecc.)

Per quanto riguarda PHP a qualcuno potrebbe interessare questo:
http://www.php-firewall.info/

Quello che ho fatto sul nuovo server, dopo 3 tentativi di pagina non trovata, di login sbagliato di qualsiasi cosa si è bannati per 15 minuti, e non si è fatto più vivo nessun lamer

Grazie per le utili indicazioni, ma scusate, una domanda forse ingenua, visto che si fa riferimento agli attacchi di brute force, non è possibile abilitare il buon vecchio sistema di bloccare un IP per x minuti dopo y tentativi falliti?

lo sappiamo tutti che il codice "sicuro" non esiste, ma prima di dare la colpa a CentOS o Plesk che sia, si deve tenere presente che la maggior parte degli attacchi viene effettuata con exploit ben noti e con scansioni di massa; bisogna, quindi, dare uno sguardo anche ad altre cose:

• i siti su che piattaforma sono sviluppati?
• i software sono stati testati prima di essere messi on line?
• le cose "out of the box" spesso non funzionano: e' stato effettuato un tuning delle piattaforme?
• i software in questione (CMS, forum board o altro) vengono aggiornati di frequente o sono abbandonati a loro stessi?

e ora le dolenti note..
una buona lettura dei manuali di Apache, MySQL, iptables e php (o di altro se si opta per altri strumenti) non farebbe assolutamente male per capire la struttura di cio' che si utilizza.
insomma, e' necessario studiare per fare le cose come si deve, ma - sebbene apprezzi moltissimo la voglia di apprendere - si studia in locale e non in produzione.
sistemisti non ci si improvvisa e non lo si diventa da un giorno all'altro: purtroppo il risultato sono server malconfigurati che diventano fonte di attacchi dDoS o spam.
rivolgersi ad esperti del settore per farsi amministrare i server non e' una sconfitta perche' non si e' in grado di fare qualcosa, ma semplicemente cercare di fare bene il proprio lavoro (web designer o programmatore che sia) offrendo quanto di meglio per i propri clienti.

chiedo scusa per il post forse lungo.

Io mi configuro tutto a manina, iptables compreso e poi installo il pannello, da 6 mesi che sono in ovh , 5 server e mi devono ancora bucare un server, pannelli utilizzati ispconfig e cpanel

Sono stato per l'ennesima volta bucato, plesk e centos come configurazioni di base fanno decisamente schifo, mi hanno appeso un file tramite il config di php che hanno messo nella temp nella radice, mi stanno girando le palle a mille !

Certo raffo ti fornisco tutta la roba che mi son salvato

Ti do due suggerimenti:
1) tieni tutte le cartelle esposte da apache su un filesystem montato con le opzioni nosuid,nodev,noexec
2) Disabilita l'engine PHP (o Perl o Mono o qualsiasi altro esecutore di codice server-side che usi) sulle cartelle degli upload.
Ad esempio, nella configurazione del virtualhost:
( o .htaccess)
php_flag engine off


Non dico che questa sia una soluzione "insuperabile", ma di certo gli metti TANTI TANTI bastoni tra le ruote!
ciao
Massimo

la 9.5 di plesk è sicurissima la consiglio

Non avevi preso le giuste precauzioni, se ti va, posso fare qualche test e spiegarti come difendersi.
Sono interessato ad analizzare l'attacco ai fini di statistica.

Mi hanno proprio ora hakerato tutto il server, dopo gli indonesiani ora i turchi, ma cel' hanno con me ? sempre stessa procedura upload di roba dentro cartelle di upload immagini di siti e poi non si sa come prendono l'accesso di root, poi cancellano tutti i log, mi son rimasti alcuni loro comandi memorizzati nella cronologia della shell -.-, centos e plesk han buchi da tutte le parti !

E una patch GRSecurity per l'ultima versione del Kernel?
OVH già lo fornisce ma ha disattivato comunque dei moduli..

Oltre ai vari consigli già riportati, mi sentirei di aggiungerne 3 da paranoico:

• usate un HIDS (ad esempio, samhain compilato staticamente e con supporto a GnuPG per autenticare policy file e database) per monitorare l'integrità dei file critici del sistema;
• kernel monolitico (quando possibile);
• disattivate categoricamente /dev/mem, /dev/port e /dev/kmem (o - se siete in grado di farlo - segate via il supporto a write(2) per quei 3 pseudodevice, /dev/kmem in sola lettura può essere utile per verificare l'integrità di alcune strutture dati "calde" del kernel).

Sempre a proposito di paranoia, rkhunter e chkrootkit sono inaffidabili su un sistema presumibilmente compromesso: usandoli (ad esempio) in rescue mode, invece, si avrebbe la garanzia di avere kernel, librerie e utility di sistema "pulite" (sì, è un messaggio subliminale per ovh )

Non installate, ci son ancora troppi bug, neanche mi fa i backup si inchioda

Ho aggiornato a plesk 10 in quanto oggi son riuscito a sputtanare tutto tentando un downgrade del php, quindi consiglio di evitare aggiornamenti a php 5.3.3 che compare in vari repository se non si trova il 5.2.8 mi pare meglio lasciar perdere, horde smette di funzionare e i vecchi siti che si hostano danno problemi.

Plesk 10 + centos di ovh è una distribuzione che pare abbastanza robusta, a livello di sistema non ci sono grosse migliorie mi pare, soliti processi, ci mette una vita a ripristinare i siti da i vecchi backup, forse perché rende tutto conforme a plesk 10 che è strutturalmente diverso, nel mio caso poi il backup era di 60 giga, 80 domini circa.
Plesk 10 è stato trasformato da pannello di amministratore a pannello commerciale praticamente, ovunque richiami all'acquisto di servizi, creazione di pacchetti servizi clienti e sistemi di fatturazione, evidentemente han visto che il target degli acquirenti era per lo più di questa categoria, le cose sono tutte spostate in bene e in male, bisogna rifarci l'occhio.
Ovh non fornisce automaticamente la licenza a plesk 10 che va richiesta non so se prima o dopo l'installazione, altrimenti dopo 15 giorni scade questa specie di demo.
Il sistema usa sempre gli stessi percorsi del vecchio plesk, e i vari servizi sono identici, dal php 5.1.6 non ci si schioda per i felici utilizzatori di magento, drupal e similari.
Prestata apparentemente maggiore attenzione alla sicurezza, focalizzando su sistemi per accessi limitati al lato admin principale di plesk tramite firewall, tramite un icona bella grossa, e sistemi di controllo simili al dr.web per la stabilità del sistema.
Dopo l'installazione di siti di versioni precedenti appare la seguente scritta troncata
"Parallels Plesk Panel 10 utilizza un nuovo modello aziendale. Gli oggetti aziendali fondamentali sono stati automaticamente convertiti durante l'aggiornamento: I clienti sono stati convertiti a clienti, i domini ad abbonamenti, eccetera. Nonostante, sono richiesti alcuni passaggi aggiuntivi per completare il passaggio al nuovo modello. I passaggi dipendono dal modo in cui avevi usato una versione precedente di Plesk per organizzare la tua attività, quindi non è possibile realizzarli in modo completamente automatico. Si prega di " ma non si sa cosa si deve fare

Per ora mi fermo qui, prima di fare aggiornamenti o qualsiasi cosa di rischioso, eseguire un backup completo, se non si ha accesso a plesk per problemi di danneggiamento del sistema, si può usare la riga di comando.
Un sistema con vecchie versioni non vuol dire che non sia aggiornato verso falle di sicurezza, ogni tanto un "yum php update" non fa male forse, anche se son quasi convinto che ogni tanto plesk li lanci da solo.
Ah plesk ora integra un nuovo sistema di aggiornamento, speriamo che sia la volta buona che smettano i casini da aggiornamento...

in effetti non bisogna aggiornare a plesk 10, è sconsigliato succedono cose strane tipo apache che si riavvia da solo ogni 5 minuti, tutto il server in blocco ecc ecc, bisogna invece installarlo nella versione che ha distribuito da un pò di giorni ovh assieme a centos tutto in un solo pacchetto, all'inizio non c'era la versione di ovh, c'era solamente l'aggiornamento tramite il pannello di controllo di plesk

scusami hai cambiato idea?
o non eri proprio te a dire di non aggiornate a plesk 10?

Non è che me son reso conto alle 5 del mattino, è che siccome in questi giorni il reseller che si è trasferito da me, mi aveva segnalato la presenza di codice malevolo che per errore era stato trasferito assieme ai siti dal suo server precedente, e che avevo poi eliminato, mi è venuto lo scrupolo di lanciare un paio di find.
Per ora sto usando apache standard e l'ultima versione di plesk 9, poi se sto fine settimana mi decido installo nuovamente centos con integrato plesk 10 fornito da ovh, che è stabile, visto che gli aggiornamenti creano solo casini, del tipo plesk inaccessibile, apache che si riavvia da solo ecc ecc, una volta reinstallato e ripristinato tutto, mi metterò attivamente a sviluppare la sicurezza, bloccando tutto quello che posso e installando qualche modulo in apache.

Come te sei reso conto di ciò alle 5 del mattino?
Che plesk utilizzi?
Apache con che moduli?

ragazzi son le 5 del mattino e mi sto mettendo le mani nei capelli, consiglio a tutti, per lo meno ai noob come me di fare un "find /var/www/vhosts/ -name *.pl" tralasciando i file di test dentro la cgi-bin ho trovato dentro diversi siti (non miei ) che sto ospitando pacchetti ri rootkit addirittura con dentro le istruzioni ! ma roba da matti, mi sto salvando tutto in locale e sto cancellando, li trovo tipo dentro le cartelle delle immagini delle gallery prima compressi e poi addirittura decompressi !, ma come è possibile decomprimere un tar.gz senza essere dentro unix ? poi dentro cose abominevoli, script che nascondolo ai comandi da shell i file lamer, nascondono i processi, una cosa spaventosa !

Vi incollo una parte del readme:

###############

This packages includes the following:

bindshell port/shell type daemon!
chfn Trojaned! User->r00t
chsh Trojaned! User->r00t
crontab Trojaned! Hidden Crontab Entries
du Trojaned! Hide files
find Trojaned! Hide files
fix File fixer!
ifconfig Trojaned! Hide sniffing
inetd Trojaned! Remote access
killall Trojaned! Wont kill hidden processes
linsniffer Packet sniffer!
login Trojaned! Remote access
ls Trojaned! Hide files
netstat Trojaned! Hide connections
passwd Trojaned! User->r00t
pidof Trojaned! Hide processes
ps Trojaned! Hide processes
rshd Trojaned! Remote access
sniffchk Program to check if sniffer is up and running
syslogd Trojaned! Hide logs
tcpd Trojaned! Hide connections, avoid denies
top Trojaned! Hide processes
wted wtmp/utmp editor!
z2 Zap2 utmp/wtmp/lastlog eraser!

#########

Detto questo, siamo sicuri che i perl vengano eseguiti solamente dentro cgi-bin ? e non usando dei bug anche dentro altre cartelle ? anche con perl e cgi disabilitato dal pannello plesk ? a me sinceramente sta venendo voglia di mandare tutto a quel paese

Dimenticavo: ma drweb non è l'antivirus ? non le vede ste cose ? sto sistema lamer che ho trovato ora è del 1998, appena l'ho copiato su windows mi è partito kaspersky idem per gli altri script dannosi che mi sono scaricato in locale, quindi devo comprare il modulo kaspersky per il server ? e dr.web da dove cavolo si configura ? invece watchdog che principalmente deve controllare la stabilità del sistema scopro che ti fa anche la scansione di virus, rootkit e backdoor ma solo su richiesta, non è che ogni tanto la fa per conto suo......ma come bisogna comportarsi con sti strumenti di plesk ? perchè io non l'ho mica capito !

Esatto, è proprio quello il servizio che ho accennato.. spero ci siano maggiori informazioni in questi giorni..

Per i syncoockie e tutto il resto sono configurazioni ovvie che si devono fare quando bisogna gestire un gran traffico, è altrettanto scontato il problema degli ip via NAT. Ecco perchè da soli non ci si puo difendere a questo tipo di attacco, purtroppo.

Già è difficile scoprire ip spoonfig, limitare attacchi synflood di tipo syn_sent ancora di più, senza l'ausilio di un firewall esterno.

Una possibile parziale soluzione al problema indicato da raffo è l'utilizzo dei SYN Cookies:
http://en.wikipedia.org/wiki/SYN_cookies
http://cr.yp.to/syncookies.html
Per il limite alle connessioni con iptables, bisogna ricordarsi che in troppi casi (tra cui Fastweb in Italia) gli stessi provider fanno un enorme NAT per i loro clienti:
centinaia o forse anche più di utenti che escono con lo stesso IP pubblico.
Per questi utenti tale limite può risultare ancor più fastidioso che per altri!

Ci sono poi tanti altri parametri di cui un buon sysadmin dovrebbe almeno conoscere l'esistenza, e se è il caso di "metterci le mani" o lasciare a default (nella maggior parte dei casi, ma non tutti!)
Ecco un utile link riferito al kernel 2.6.36 (ma non credo che siano variati significativamente, di recente)
http://git.kernel.org/?p=linux/kerne...tl.txt;hb=HEAD
Alcuni dei parametri di cui secondo me vale la pena conoscerne significato e implicazioni:

• ip_forward
• rp_filter
• tcp_syncookies
• accept_source_route
• log_martians
• accept_redirects

Ovviamente contro un DoS o peggio DDoS "serio", c'è poco che si possa fare "in locale". Ma in OVH c'è già qualcuno che ci sta lavorando!!
Il servizio di protezione di cui parlavi credo che sia:

http://forum.ovh.it/showthread.php?t...highlight=ddos

Io vorrei aggiungere una cosa molto importante, al dilà delle varie precauzioni sulle applicazioni.

Se provate a fare un synflood con connessioni mezze aperte, ovvero le syn_sent, il vostro server non potrà bloccarle molto facilmente..

fate questa prova su un server in locale o con pari risorse di connessione:

hping3 -i u1 -S -p 80 192.168.1.1

rimpiazzare l'ip con il vostro server o gateway/firewall e lanciate il test.
in parallelo aprire un tcpdump (preferisco tcptrack per questo) e vedete migliaia di connessioni aperte da una sola sorgente.

Il vostro server o firewall dovrebbe bloccarle ma non sempre riesce.
Limitate massimo 3 connessioni al secondo (che potrebbe recare problemi nella navigazione delle pagine)
iptables -m limit --limit 3/second --limit-burst 5

E il risultato non cambia di molto.

OVH Offre firewall che non coprono tutta la connessione gigabit offerta nei server pro quindi purtroppo non ci sono molti rimedi per ora, anche se mi giunge voce che stanno preparando un servizio firewall a livello IP che dovrebbe aiutare.

Fatemi sapere voi, se avete soluzioni e come sono andati i vostri test.
hping è un generatore di pacchetti, la versione 2 è disponibile anche per windows. Potete usare anche nmap per fare questi test

Io sto ospitando un sito che al momento non è in produzione ma lo è stato tempo fa. Ha alcuni nemici e appena va online viene costantemente attaccato! dai 300mbps fino a saturare 1Gbps..

exploit su plesk 10 chi lo ha installato dia un occhio per vedere se i bug non son stati risolti
http://www.exploit-db.com/exploits/15313/

Degli aggiornamenti parallels non mi fido, quando lo riterrò opportuno braserò il sistema e ripartirò da zero credo

LOL... è una minaccia
Ad ogni modo è vero. Al solito Parallels deve patchare alcuni script inerenti l'aggiornamento.

NON AGGIORNARE ANCORA A PLESK 10 !

Qualcuno di mia conoscenza facendo l'aggiornamento è già riuscito a mandare a quel paese il server e ha dovuto reinstallare, aspettiamo ancora per aggiornare.

Detto questo continuiamo con la sicurezza, sto testando oggi il firewall di plesk, devo dire che per quel che posso vedere si comporta bene, ho fatto un blocco su apache per tutti quelli non "libero/wind/infostrada" e funziona, poi l'ho tolto per ovvie ragioni, ora l'ho messo solo su ssh creando la regola di esclusione per tutti quelli non appartenenti al gruppo 151.0.0.0/8 ovvero da 151.0.0.0 a 151.255.255.255 , ora devo fare un po' di ricerca per beccare tutte le altre classi di ip italiani.

Ragazzi non come rimprovero, ma per tenere una sorta di ordine pregherei di scrivere i consigli più o meno come ho fatto io e massimo, del tipo:

Fare questa cosa, per questo motivo (motivare l'azione da compiere ), potete trovare informazioni in questo posto, o potete farlo in questo modo.

Non è questione di pappa pronta, ma questo thread che ho creato mira alla condivisione di conoscenze acquisite per far risparmiare tempo all'amministratore medio :P

Poi quando ci sarà abbastanza materiale farò richiesta a ovh di mettere tutto in una guida dentro la sezione apposita del sito.

bravissimo! me lo merito

idem!
anche il vecchio http://www.chkrootkit.org/ può tornare utile

ma dite che cambiando le porte, negli script di automatismo non fanno la scansione delle porte per beccare i servizi in ascolto lo stesso ?

Io ricordo il mio triste passato da lamer di quando ero ancora minorenne, cosa non facevano già allora questi software tra scansione porte, brute force, dizionario ecc ecc :/
Però devo dire che almeno il mio gruppo si limitava ad utilizzare spazio disco di server senza danneggiarli, non eravamo cattive persone

Ahahaha No dai lo prendiamo come un commento di spirito

Ad ogni modo altro tool per la sicurezza che utilizzo anche io:
* rkhunter ( http://rkhunter.sourceforge.net )

Non vorrei sembrare acido, ma...colgo l'occasione per usare uno strumento bellissimo:
http://lmgtfy.com/?q=%22massima+di+Shannon%22&l=1

certamente, avete ragione!
ma non ho ancora capito qual'è la massima di Shannon... mi interessano molto a livello di curiosità personale queste citazioni

Aiuta a togliere di torno "il grosso dei rompiscatole".
Ma consigliavo di proteggere meglio pma in particolare per questa ragione:
http://pastebin.com/s0NZmL8Q
Ho preso un un estratto di Logwatch di giorno a caso, ma succede molto spesso!
Pare ci sia qualcuno molto accanito nel volerlo trovare.

Assolutamente si. Ha la sua utilità ma non è l'unica misura da adottare, giustamente.

Per curiosità personale quale sarebbe "la massima di Shannon" ?

Al di là delle varie scuole di pensiero in proposito, non ho capito se consigliate o meno di cambiare le porte di default (che è a tutti gli effetti "security through obscurity").

Dalla prima frase:
sembrerebbe di si, mentre da questa:
sembra di no.

Che come ho già detto prima deve essere la prima misura da prendere immediatamente ove possibile.

Esiste apposta la "massima di Shannon"

Ciao,
non uso Plesk, ma in riferimento al titolo della discussione provo ad indicarvi alcune misure di sicurezza che magari sono utilizzabili anche con Plesk (o sicuramente utili se non lo utilizzate).

Alcune "impattano" sull'utilizzo da parte dei "webmaster", ma in misura a mio giudizio limitata rispetto ai vantaggi.

*Non usare FTP, ma SFTP. La maggior parte dei client oggi lo supporta.
*Con l'SFTP Utilizzare degli account solo-sftp con chroot (direttive MatchGroup e ChrootDirectory nella configurazione di OpenSSH)
*Usare le chiavi pubbliche/private anzichè le password.
*Non usare le porte standard!!
*Usare meccanismi tipo port-knocking
*Usare IPTables per bloccare il traffico su porte non utilizzate e magari traffico in qualche modo "anomalo" (esistono libri interi su questo...)
*Usare OpenVPN quando possibile: Per il vecchio FTP, per l'accesso diretto a MySQL, per PhpMyAdmin .......
*_NON_ Lasciare phpmyadmin accessibile senza qualche forma di autenticazione PRIMA che vengano eseguiti i suoi script: Nei log i tentativi di accesso più frequenti che trovo hanno chiaramente come bersaglio phpmyadmin. Security-through-obscurity non è una soluzione: Le provano davvero tutte.
*Utilizzare i certificati SSL _LATO CLIENT_ per le operazioni sulle interfacce di backend (p.es. dei CMS, o PhpMYAdmin,ecc). Una volta "capito" come funziona, usando XCA (opensource, multipiattaforma) la gestione diventa davvero semplice.
**Se utilizzate PHP con FastCGI e il suggerimento al punto precedente, è utile usare suEXEC per accedere con due utenti differenti a seconda se si è collegati via SSL col certificato o in HTTP normale. Nel caso HTTP normale l'utente avrà i permessi di sola lettura su tutta la web-root tranne alcune cartelle come log,cache,temp o eventuali cartelle per upload "pubblici", mentre l'utente "dell'SSL" potrà scrivere su tutta la webroot, quindi entrando come amministrazione nel pannello del CMS sarà comunque possibile installare / aggiornare componenti e plugin. (ogni riferimento a Joomla è puramente voluto)
*Usando direttive di Apache o .htaccess, negare il permesso di eseguire codice php sulle cartelle degli upload immagini/allegati.
*Usare programmi come Logcheck o Logwatch e sopratutto _LEGGERE_ le email che vengono spedite.
*Fare i !!!!!BACKUP!!!!!
*Usare Suhosin e ModSecurity.
**Usando l'accesso differenziato webmaster(con SSL) e utente normale,come sopra indicato, si possono alterare i parametri di configurare ModSecurity e Suhosin in modo che siano più stringenti sul lato "pubblico" e più permissivi sul lato "webmaster".

cyberdany chiedeva come bloccare gli ip non-italiani.
So che esiste un modulo aggiuntivo per iptables (http://xtables-addons.sourceforge.net/modules.php), anche se personalmente non l'ho mai usato.

Bravo!
suggerimenti molto utili per chi usa Plesk
attenzione solo che il "safe mode" è deprecato nel php >= 5.3.0 (ed era ora)
per arginare i problemi derivanti da script malevoli consiglio altri sistemi.
Una soluzione valida è suhosin per PHP e/o mod_security per apache

Bravo! Gran bel post e ottima spiegazione senza giri di parole delle più comuni problematiche derivate dall'uso di Plesk.

Io aggiungerei il fatto che è un'ottima cosa anche cambiare le porte di default di Plesk, SSH e FTP (se non fosse rognoso a causa di ovvi motivi cambierei anche quella di Apache ).

Basta è ora di difendersi, plesk (e non solo) ha pesanti vulnerabilità, exploit un po' qui e un po' la, veniamo attaccati tutto il giorno da tentativi di intrusione, basti leggere qualche riga di log per rendersi conto della situazione, centinaia di tentativi di accesso all'ssh al phpmyadmin (accesso diretto che per fortuna plesk non permette), agli ftp.
Ci sforziamo di mettere password da 14 caratteri piene di simboli strani, ma entrano lo stesso, ci inoculano script per spam mail, ci fanno blacklistare, ci fanno passare per delinquenti, ci buttano giù tutti i siti dei clienti, ci fanno passare per incompetenti, ci fanno perdere un sacco di tempo a ripristinare tutto.
E' ora di dire basta !
Basta con attacchi rivendicati da gruppi lamer indonesiani o russi, aiutiamoci, consigliamoci in questo thread !

Io non sono un sistemista, mi son sempre arrangiato in tutto, e così continuerò a fare, la maggior parte di noi che hanno preso un dedicato non sono sistemisti, ma grafici e programmatori.

Come prime richieste direi se qualcuno conosce il modo di bannare dalle porte 22, 21, e 8443 (ssh ftp e plesk) tutti gli ip fuori dal range italiano, almeno se voglio fare qualcosa si devono sbattere a trovare un proxy italiano, magari bloccare pure i proxy, visto che ho notato che alcuni siti si accorgono se ti colleghi con un proxy e ti bloccano, quindi immagino si possa fare.



Intanto do alcuni consigli miei di sicurezza per quanto riguarda plesk e centos.

1 ovviamente creare password impossibili da 14 caratteri alfanumerici, e visto che non so come si fa a bloccare la cosa, sconsigliare ai clienti di cambiare la loro password di cliente plesk, che combinazione è la stessa di ftp del dominio normalmente.

2 alla prima installazione del server o alla reinstallazione, rifiutare il partizionamento automatico che solitamente crea una micropartizione da 7 giga, invece impostare quella del sistema operativo almeno di un centinaio di giga, in quanto oltre al sistema operativo la partizione viene utilizzata da plesk per altre importantissime funzioni quali:

• File temporanei di migrazione
• file temporanei compressi per il download dei backup in locale
• altri file temporanei che si dimentica poi di cancellare

Il mancato partizionamento corretto può portare in caso di migrazione e download backup alla saturazione del disco, plesk diventa inaccessibile, e alcuni processi si bloccano utilizzando tutto il processore, in particolare il Perl.
I dischi vanno impostati in raid 1, di modo che in caso di rottura di uno dei due dischi non vada perso nulla.

3 Impostare i backup totali del server tra le due di notte e le sei del mattino sia in locale che in remoto, con l'opzione di sospensione domini durante il backup attiva; per il salvataggio locale in presenza di molti siti è consigliabile affittare un disco usb da 500 giga da montare su /var/lib/psa/dumps/, per diverse ragioni, plesk anche dalla versione 9 non è molto affidabile sui backup, soprattutto se abbiamo fatto l'aggiornamento dall'8 alla 9, a volte di danneggia ed esegue diversi backup invece di uno solo, a volte non mostrandoli tutti, è quindi necessario in caso di dubbio andare a controllare nella cartella dei dumps.
Settare diversi backup settimanali, magari 4 o 5, che si sovrascrivono a rotazione.

4 impostare il backup sull'ftp interno gratuito di ovh, almeno una volta alla settimana, ovh non permette la connessione di plesk per il ripristino del backup ma solo la scrittura, sarà quindi necessario una volta pieno l'ftp andare ad eliminare manualmente i file accedendo via ftp tramite la shell di comando del server.
In caso di ripristino invece è necessario svuotare la cartella dumps del server e scaricarci dentro il tar (o tgz non ricordo) dell'ultimo backup sicuro e decomprimerlo, a quel punto dalla gestione backup di plesk sarà possibile ripristinare tutti i siti in un colpo solo, se un sito è stato danneggiato singolarmente una volta decompresso il file sarà necessario andare a spulciare nei file, fino a trovare il backup dei dati del dominio ed eventuale database, andando poi a spostare i file nel dominio e ricaricando il database dal phpmyadmin, forse modificando il file xml di backup è possibile eseguire il ripristino del sito in modo automatico, facendolo comparire come backup singolo di dominio, ma non ci giurerei conoscendo plesk.

5 Non abilitare l'accesso ssh al cliente dal pannello, o se lo volete fare prima attivatelo e provate ad entrare voi con le credenziali per controllare cosa effettivamente può fare, in un mio test ero riuscito con dei semplici cd e cd .. ad entrare dentro i siti di altre persone -.-

6 Se possibile tenere abilitato dal pannello clienti il php safe mode, disabilitarlo solo se richiesto (joomla ecc ecc)

7 dal pannello "web hosting setting" non abilitare cgi, perl e python se non richiesto, grazie a una vulnerabilità si riuscivano ad uploadare nella cartella cgi-bin script cgi e perl dannosissimi, in questo modo anche se venisse inoculato li dentro codice malevolo non sarebbe possibile eseguirlo (per lo meno spero)

8 creare un template clienti e uno domini con opzioni sicure da usare come base per quando si creano domini e client, per evitare di commettere errori di sicurezza tutte le volte.

9 magari impostare delle hard disk quota, per evitare che un sito si espanda troppo in caso di attacco riempiendo il disco(non so se funzioni mai provato)

10 controllare che dentro il php.ini che (su plesk e centos) si trova in /etc/php.ini non ci siano attivate opzioni pericolose, i settaggi pericolosi direi che sono abbastanza soggettivi.

11 In caso di utilizzo anomalo dello spazio su una partizione o di spazio che continua a diminuire di decine di megabyte ad ogni secondo, accedere repentinamente ad ssh e tramite il comando top andate a visualizzare se qualche processo sta usando tutte le risorse (di solito c'è ) e uccidetelo, magari non ci sono problemi di sicurezza ma a causa di un errore di programmazione php una serie di richieste stanno andando in errore in modo ridondante, e il file dei log di qualche dominio sta letteralmente esplodendo, una volta ucciso il processo digitate df (sempre nella shell) per controllare l'effettivo spazio utilizzato sul disco (il grafico di plesk non è per forza aggiornato ), in caso di grave anomalia digitate qualcosa di simile a "find / -size +100000 -print" per cercare in tutto il server file più grossi di 100 mega, al posto di "/" potete mettere solamente "/var/" se il problema è solo nella partizione dati, il comando find è lento per interromperlo basta premere ctrl +c comunque.

12 se vi collegate al server dedicato usando putty, abilitate la registrazione dei log, in caso di errori gravi almeno potete raccontare cosa avete fatto, e i comandi lanciateli sempre in modalità verbose "v" almeno potete accorgevi in tempo di un comando errato dato bloccandolo in tempo con ctrl +c senza fare troppi danni.

Le cose sarebbero tantissime, spero di aver dato un valido aiuto, aiutatemi ad aiutarvi, se ho scritto delle stupidate correggetemi, sono un umile grafico tuttofare