Как запустить ClamAV сканирование из командной строки на cPanel сервере

Приведу пример проверки public_html директории c удалением зараженных файлов:

/usr/local/cpanel/3rdparty/bin/clamscan -ri --remove /home/user/public_html

Аналогичным образом проверяются и другие директории.

Чтобы запустить проверку только public_html директорий для всех пользователей:

/usr/local/cpanel/3rdparty/bin/clamscan -ri /home/*/public_html

Для обновления антивирусных баз используется команда:

/usr/local/cpanel/3rdparty/bin/freshclam

Как перезапустить службы в Cpanel

Службы необходимо перезапускать через WHM интерфейс, открыв меню «Home» > «Restart Services».

Если перезапуск службы через WHM интерфейс не удался, то необходимо использовать скрипт:

/usr/local/cpanel/scripts/restartsrv_*

Если используется IPv6 и была выполнена команда:

service network restart

То IPv6 не заработает, чтобы решить проблему выполним:

/etc/init.d/cpipv6 restart (for cPanel & WHM version 11.52 and earlier)
/usr/local/cpanel/scripts/restartsrv_cpipv6 (for cPanel & WHM version 54 and later)

В крайнем случае можно попробовать перезапустить службу напрямую:

/etc/rc.d/init.d/service restart
systemctl restart service-name.service

Смотрите также:
Расположение файлов логирования cPanel

Настройка почтового адреса по умолчанию в cPanel

Предположим вы хотите чтобы вся почта приходящая на несуществующие почтовые ящики вашего домена доставлялась на определенный почтовый ящик.

Для этого:

1) На главной странице cPanel в разделе «Электронная почта (Email)» выберем «Адрес по умолчанию (Default Address)»

2) В открывшемся окне укажем домен (если их несколько), выберем «Переслать на адрес электронной почты (Forward to Email Address)» и укажем на какой адрес пересылать.

Вместо пересылки там также можно выбрать удаление писем, пересылать на системный почтовый аккаунт либо направить какому нибудь скрипту.

Все.

Решение «Suspicious process running under user» и «Excessive resource usage»

Иногда некоторые нужные процессы используют много ресурсов на сервере и система начинает часто уведомлять об этом на email.
Например как в моем случае, после установки Zabbix агента начали приходить уведомления:

Suspicious process running under user zabbix
и
Excessive resource usage: zabbix

Чтобы исключить проверки Zabbix или других служб, необходимо в самом низу WHM панели открыть «ConfigServer Security & Firewall» и в разделе «lfd — Login Failure Daemon» где «Edit lfd ignore file» выбрать «csf.pignore, Process Tracking«, нажать «Edit» и в самом низу добавить путь к выполняемому процессу, например:

exe:/usr/sbin/zabbix_agentd

Чтобы применить изменения нажмем внизу кнопку «Change«.

Естественно если ресурсы использует неизвестный процесс, скрипт и т.д, то его необходимо исследовать.

Смотрите также мои статьи:
Как в Linux узнать PID процесса и убить его
Решение ошибки «LFD: Excessive resource usage»

Как включить Horde, SquirrelMail и RoundCube в cPanel

cPanel позволяет использовать сразу несколько web интерфейсов для просмотра почты, иногда они могут быть отключены или возможно некоторые из них нужно отключить.

Настройки находятся в «WHM» — «Server Configuration (Конфигурация сервера)» — «Tweak Settings (Параметры настройки)» — вкладка «Mail»

Где можно указать On (включено) или Off (выключено) напротив Enable Horde Webmail, Enable RoundCube Webmail или Enable SquirrelMail Webmail.

Для сохранения изменений нужно нажать внизу кнопку «Save (Сохранить)«.

Расположение файлов логирования cPanel

Приведу ниже список путей расположения файлов логирования cPanel.

Логи в директории /var/cpanel/:
/var/cpanel/horde/log/ (Horde)
/var/cpanel/roundcube/log/ (RoundCube)
/var/cpanel/squirrelmail/ (SquirrelMail)
/var/cpanel/logs (разные логи cpanel)
/var/cpanel/accounting.log (создание, удаление аккаунтов и т.д.)
/var/cpanel/bandwidth.cache/{USERNAME} (Per account bandwidth history (Cached))
/var/cpanel/bandwidth/{USERNAME} (Per account bandwidth history (Human Readable))
/var/cpanel/updatelogs/updated.DATE.log (отчеты об обновлении)

Логи в директории /usr/local/cpanel/logs/:
/usr/local/cpanel/logs/access_log (логи доступа и действий пользователей)
/usr/local/cpanel/logs/cpbackup (резервное копирование)
/usr/local/cpanel/logs/cphulkd.log (защита cPHulk)
/usr/local/cpanel/logs/dnsadmin_log (dnsadmin)
/usr/local/cpanel/logs/error_log (Ошибки cPanel)
/usr/local/cpanel/logs/license_log (Лицензии)
/usr/local/cpanel/logs/build_locale_database_log
/usr/local/cpanel/logs/login_log (Ошибки входа)
/usr/local/cpanel/logs/panic_log (Ошибки)
/usr/local/cpanel/logs/tailwatch_log (Tailwatch)
/usr/local/cpanel/logs/updated_analysis/{TIMESTAMP}.log
/usr/local/cpanel/logs/cpdavd_error_log (WebDisk)
/usr/local/cpanel/3rdparty/mailmain/logs (Mailman)
/usr/local/cpanel/logs/queueprocd.log
/usr/local/cpanel/logs/setupdbmap_log
/usr/local/cpanel/logs/easy/apache/
/usr/local/cpanel/logs/splitlogs_log
/usr/local/cpanel/logs/stats_log
/usr/local/cpanel/logs/safeapcherestart_log

Логи в директории /var/log/:
/var/log/cpanel (логи установки cpanel)
/var/log/cpanel-install.log
/var/log/chkservd.log (статус сервисов)
/var/log/maillog (почтовые логи)
/var/log/messages (почтовые логи)
/var/log/exim_rejectlog
/var/log/exim_paniclog (почтовые логи с ошибками)
/var/log/exim_mainlog (почтовые логи о доставке и получении)
/var/log/slowqueries (лог медленных запросов MySQL, если они включены в my.cnf)
/var/log/easy-tomcat7/localhost-access_log
/var/log/easy-tomcat7/catalina.err
/var/log/easy-tomcat7/catalina.out

Логи в других директориях:
/usr/local/apache/domlogs/DOMAIN
/usr/local/apache/logs/suphp_log (suPHP)
/usr/local/apache/logs/error_log (ошибки web сервера)
/usr/local/apache/domlogs/ftpxferlog (FTP)
/var/spool/exim/input/ (очередь входящей почты)
/var/lib/mysql/SERVER_NAME.err (Ошибки MySQL)

Решение ошибки Cpanel::MailAuth: cphulk blocked login for user to access service ‘mail’

Заметил как-то что не открывается почта из Cpanel через веб Roundcube, SquirrelMail, Horde, а также нельзя подключится к почте из PHP скриптов.

В логах /var/log/maillog увидел следующую ошибку:

Dec 14 13:21:04 hostname dovecot: auth: Error: Cpanel::MailAuth: cphulk blocked login for user ‘user@example.com’ to access service ‘mail’ from IP ‘::1’

Как выяснилось доступ к почте заблокировал cPHulk.
Сработала защита от атак на основе имени пользователя.

Если нужно блокировать атаки только по IP-адресам, то её в принципе можно выключить открыв панель «WHM» — «Защита от атак подбором cPHulk«, выключить переключатель напротив «Защита на основе имени пользователя» и нажать внизу кнопку «Сохранить«.

Текущие блокировки можно убрать открыв там же вкладку «Отчеты журнала» — «Удалить блоки и очистить отчеты»

Все.

Настройка Cron заданий в cPanel и WHM

Cron задания добавляются отдельно для каждого пользователя через cPanel и WHM web-интерфейс, а именно в cPanel «Advanced» -> «Cron Jobs«.
Через WHM панель «Home» -> «Server Configuration» -> «Configure cPanel Cron Jobs» (Главная -> Конфигурация сервера -> Настроить запланированные задания в cPanel)

Но есть также системные задания которые нельзя увидеть через панель.
Их можно увидеть подключившись через SSH к серверу и выполнив команду от root пользователя:

crontab -e

либо от другого пользователя через sudo:

sudo crontab -e

В редакторе nano комбинация клавиш Ctrl+X служит для выхода, а y/n для сохранения или отмены изменений.
Сам файл с заданиями находится по пути /var/spool/cron/root

Если при выполнении какого либо задания приходит надоедливый отчет на e-mail, то вывод результата выполнения задания можно скрыть добавив к концу нужной команды код:

>/dev/null 2>&1

Для перезапуска сервиса Cron используется команда:

service crond restart

Смотрите также похожую статью: Использование и настройка CRON

Решение ошибки «Using unique option prefix pass instead of password is deprecated …»

Заметил как-то ошибки приходящие на почту root с темой и текстом:

Cron /usr/bin/test -x /usr/local/cpanel/scripts/update_db_cache && /usr/local/cpanel/scripts/update_db_cache
Warning: Using unique option prefix pass instead of password is deprecated and will be removed in a future release. Please use the full name instead.

Проблема кроется в файле ~/.my.cnf, то есть /root/.my.cnf в моем случае.

В котором параметр «pass» устарел и должен быть изменен на новый «password».

Например вот так было когда ошибка возникала:

[client]
user=root
pass=пароль

Изменил на password и ошибка исчезла:

[client]
user=root
password=пароль

Смотрите также:
Подключение к MySQL из localhost без ввода пароля

Расположение файлов конфигурации cPanel & WHM

Приведу список и опишу стандартные пути до конфигурационных файлов cPanel & WHM:

/usr/local/apache/conf/httpd.conf (apache веб-сервер)
/usr/local/lib/php.ini (PHP)
/etc/ssh/sshd_config (SSH конфигурация)
/etc/proftpd.conf (proftpd FTP сервер)
/etc/pure-ftpd.conf (pure-ftpd FTP сервер)
/var/cpanel/cpanel.config (cpanel конфигурация)
/var/cpanel/root.accts (перечень root владельцев доменов)
/etc/wwwacct.conf (файл аккаунтов)
/etc/cpupdate.conf (cPanel конфигурация обновлений)
/etc/cpbackup.conf (резервные копии)
/var/spool/cron/ (запланированные задания cron)
/etc/clamav.conf (clamav антивирус)
/etc/my.cnf (mysql баз данных)
/var/lib/pgsql/data/postgresql.conf & pg_hba.conf (postgreSQL баз данных)
/etc/exim.conf (eExim почтовый сервер)
/etc/dovecot.conf (dovecot почтовый сервер)
/etc/valiases/domainname (настройки пересылки)
/etc/vfilters/domainname (email фильтры)
/etc/userdomains (перечень всех доменов, поддоменов и их пользователей)
/etc/localdomains (перечень всех локальных доменов, поддоменов для exim с которых возможна отправка почты)
/var/cpanel/users/ (параметры пользователей cpanel)
/etc/named.conf (DNS сервер имен)
/etc/resolv.conf (сетевые настройки)
/etc/sysconfig/network (параметры сети)
/etc/hosts (host конфигурация)
/etc/nameserverips (список серверов имен (NS))