cPHulk: configurarea protecției brute force native din WHM

Atacurile brute force sunt printre cele mai frecvente amenințări la adresa unui server cPanel: boți automatizați încearcă mii de combinații de parole pe minut pe porturile WHM, cPanel, SSH, FTP și serviciile de email. cPHulk (cPanel Hulk) este sistemul nativ de protecție brute force inclus în orice instalare cPanel/WHM, care monitorizează aceste servicii și blochează automat adresele IP sau conturile care generează tentative de autentificare repetate eșuate.

Spre deosebire de CSF (ConfigServer Security and Firewall) care operează la nivel de firewall de rețea, cPHulk operează la nivel de aplicație și cunoaște specificul serviciilor cPanel, ceea ce îi permite să ia decizii mai granulare. Cele două instrumente se complementează și este recomandat să le folosiți simultan.

cPHulk: configurarea protecției brute force native din WHM

cPHulk monitorizează tentativele de autentificare pe: serviciul cPanel (portul 2083), serviciul WHM (portul 2087), SSH (portul 22 sau cel configurat), serviciul FTP, IMAP și Exim (email). Atunci când numărul de tentative eșuate depășește pragul configurat, cPHulk blochează fie contul specific (indiferent de IP-ul sursă), fie adresa IP sursă (indiferent de contul țintă), în funcție de tipul de protecție declanșat.

Activarea cPHulk

Navigați în WHM la Security Center, cPHulk Brute Force Protection. Dacă nu este activat, comutați starea la On. Implicit, cPHulk vine dezactivat pe unele instalări cPanel și trebuie activat manual.

Înainte de a activa cPHulk, adăugați adresa IP proprie în whitelist. Dacă uitați acest pas și generați accidental prea multe tentative de autentificare eșuate (de exemplu, tastând greșit parola WHM de mai multe ori), vă puteți bloca propriul acces.

Configurarea parametrilor de protecție

Navigați la tab-ul Configuration pentru a ajusta parametrii principali:

IP Based Brute Force Protection Period (minute)

Durata în minute pentru care cPHulk urmărește tentativele eșuate de la o adresă IP. Valoarea implicită este 15 minute. Înseamnă că dacă o adresă IP generează mai mult decât Maximum Failures Per IP tentative eșuate în 15 minute, IP-ul este blocat temporar. Recomandare: 15-30 minute.

Maximum Failures Per IP

Numărul maxim de tentative eșuate permise de la o singură adresă IP în perioada definită anterior, înainte ca IP-ul să fie blocat temporar. Recomandare: 5-10 tentative.

Maximum Failures Per IP Before Two-Week Block

Pragul mai înalt după care IP-ul este blocat pentru două săptămâni în loc de perioada temporară. Aceasta penalizează atacatorii persistenți cu o blocare de durată mai lungă. Recomandare: 30-50 tentative.

Brute Force Protection Period in Minutes

Perioada de urmărire pentru protecția bazată pe cont (nu pe IP). Dacă contul specificat primește mai mult decât Maximum Failures By Account tentative eșuate în această perioadă, contul este blocat complet pentru toate adresele IP. Recomandare: 15-60 minute.

Maximum Failures By Account

Numărul de tentative eșuate pe un cont specific înainte de blocarea completă a contului. Atenție: blocarea contului înseamnă că utilizatorul legitim nu se poate autentifica de pe nicio adresă IP până la deblocare. Recomandare: 15-25 tentative, valoare mai mare decât Maximum Failures Per IP pentru a evita blocările accidentale ale utilizatorilor legitimi care tastează greșit parola.

Notification Settings

Activați Send notification when a brute force user is detected pentru a primi email la fiecare blocare. Pe serverele cu trafic mare de atacuri aceasta poate genera zeci de email-uri pe zi, ceea ce poate deveni deranjant. Evaluați dacă monitorizarea prin log-uri este mai potrivită pentru serverul dumneavoastră.

Configurarea whitelist-ului

Whitelist-ul cPHulk conține adresele IP care nu vor fi niciodată blocate, indiferent de numărul de tentative eșuate. Adăugați obligatoriu:

• Adresa IP de acasă sau de la birou de unde administrați serverul.
• IP-urile echipei tehnice care au acces la server.
• IP-ul serverului de monitorizare dacă folosiți un serviciu de monitoring extern.

Navigați la tab-ul Whitelist/Blacklist, câmpul White List Entry și adăugați fiecare IP sau intervalul de IP-uri (în format CIDR, de exemplu 192.168.1.0/24 pentru o întreagă subrețea).

Configurarea blacklist-ului permanent

Dacă identificați adrese IP sau intervale de IP-uri care generează constant atacuri și care nu au niciun motiv legitim să acceseze serverul, adăugați-le în blacklist-ul permanent al cPHulk. Acestea vor fi blocate imediat la orice tentativă, fără să mai aștepte atingerea pragului de tentative eșuate.

Deblocarea unui IP sau cont blocat

Dacă v-ați blocat accidentul propriul IP sau un utilizator legitim este blocat, deblocați-l din WHM, cPHulk, tab-ul Reports. Găsiți înregistrarea și faceți clic pe Delete. Alternativ, puteți debloca prin SSH direct în baza de date cPHulk:

# Deblocare IP prin SSH
/usr/local/cpanel/scripts/cphulkdwhitelist IP_DE_DEBLOCAT

# Curatare completa a blocurilor active (folositi cu atentie)
/usr/local/cpanel/scripts/cphulkd_cleanup

cPHulk vs. CSF: diferența și complementaritatea

cPHulk operează la nivelul aplicației cPanel și cunoaște contextul autentificărilor. CSF operează la nivelul kernel-ului Linux (iptables/nftables) și blochează traficul la nivel de rețea, înainte ca pachetele să ajungă la aplicații. Combinarea celor două oferă protecție în adâncime: CSF blochează scanerele de porturi și atacurile de rețea, cPHulk blochează atacurile specifice aplicațiilor cPanel.

Dezavantajul suprapunerii este că ambele sisteme mențin propriile liste de blocuri și pot intra uneori în conflict sau pot genera confuzie la depanare. Verificați întotdeauna ambele sisteme când un utilizator raportează că nu se poate autentifica.

Concluzie

cPHulk activat și configurat corect este prima linie de apărare împotriva atacurilor brute force pe un server cPanel, cu efort minim de configurare. Combinat cu CSF și cu parole puternice pentru toate conturile, acoperă marea majoritate a atacurilor automatizate pe care le va întâmpina serverul dumneavoastră.

Pentru un server VPS cu performanță suficientă să ruleze cPanel, CSF și toate celelalte servicii fără degradare vizibilă, consultați planurile noastre de server VPS cu 24, 32 sau 64 de nuclee CPU disponibile pe hosting-seo.ro.