51阅读吧 - 为您打造专业优质的文章分享平台!
您的当前位置: 51阅读吧 >

虚拟主机管理系统|什么是虚拟主机管理系统

NO.1 什么是虚拟主机管理系统

  由浅入深,我们先简单介绍一下什么是虚拟主机管理系统,可能这问题比较浅显,其实虚拟主机管理系统就是运营商用来在服务器上划分管理虚拟空间的确良个软件,针对操作系统的不同分为Linux和windows版本,由虚拟主机]相关技术和功能的不断发展,虚拟主机管理系统也不断增加新的功能,集成了空间+数据库+邮局+DNS等全方位的管理,有的还整合了国内的几个在线支付平台接口,大大方便虚机运营商建立虚机空间和运营管理;

  对于虚拟主机的用户也就是广大站长,虚机管理系统还提供一个强大的用户控制面板,对于域名、网站设置、网站空间、邮箱系统、文件系统、数据库、流量统计等方面的管理都可以在控制面板中进行,而且现在还越来越自动化,客户已经可以自主管理域名、虚拟主机,升级和续费,不需要像以前那样频繁的联系客服人员,给买卖双方都带来极大方便。

  有人说虚拟主机的市场已经饱和,我却不这样认为,最多只是虚拟主机商已经饱和,只要做有做网站的人,就有买虚拟主机的人,所以虚拟主机可以大胆放心的去做。但我们必须明白一点,那就是虚拟主机利润很有限。大公司卖1M1块钱,甚至还有1M2块钱的,100M的转50块钱,是有一点利润和赚,可是虚拟主机市场这么大,公司的未必就能竞争过私人手里的,大公司高价格战的话,可能成本会很大,将来赚不赚还说不定。私人可以黑放,免费就可以送给你用,因为他们一般都是综合型的,会做网站的,虚拟主机上的可以在网站上补会来,所以,虚拟主机的价格会下降的,尤其是性能好多的。

  经过上面的分析,我们不难看出,单做虚拟主机是不可行的,要做好就需要多方面的和做,尤其是和建站联系起来,这样才不会没单做。如果要做虚拟主机,建议装上砺青虚拟主机系统,管理方便,购买此软件就可以开展业务了。

NO.2 在Linux系统下用命令行工具管理虚拟机环境的方法

Linux系统的KVM管理

在这篇文章里没有什么新的概念,我们只是用命令行工具重复之前所做过的事情,也没有什么前提条件,都是相同的过程,之前的文章我们都讨论过。
第一步: 配置存储池

Virsh命令行工具是一款管理virsh客户域的用户界面。virsh程序能在命令行中运行所给的命令以及它的参数。

本节中,我们要用它给我们的KVM环境创建存储池。想知道关于这个工具的更多信息,用以下这条命令。

   

# man virsh

1. 用virsh带pool-define-as的命令来定义新的存储池,你需要指定名字、类型和类型参数。

本例中,我们将名字取为Spool1,类型为目录。默认情况下你可以提供五个参数给该类型:

  1.     source-host
        source-path
        source-dev
        source-name
        target

对于目录类型,我们需要用最后一个参数“target”来指定存储池的路径,其它参数项我们可以用“-”来填充。

   

# virsh pool-define-as Spool1 dir - - - - "/mnt/personal-data/SPool1/"


    

    创建新存储池

2. 查看环境中我们所有的存储池,用以下命令。

   

# virsh pool-list --all


    

    列出所有存储池

3. 现在我们来构造存储池了,用以下命令来构造我们刚才定义的存储池。

   

# virsh pool-build Spool1


    

    构造存储池

4. 用带pool-start参数的virsh命令来激活并启动我们刚才创建并构造完成的存储池。

   

# virsh pool-start Spool1


    

    激活存储池

5. 查看环境中存储池的状态,用以下命令。

   

# virsh pool-list --all


    

    查看存储池状态

你会发现Spool1的状态变成了已激活。

6. 对Spool1进行配置,让它每次都能被libvirtd服务自启动。

   

# virsh pool-autostart Spool1


    

    配置KVM存储池

7. 最后来看看我们新的存储池的信息吧。

   

# virsh pool-info Spool1


   

    查看KVM存储池信息

恭喜你,Spool1已经准备好待命,接下来我们试着创建存储卷来使用它。
第二步: 配置存储卷/磁盘映像

现在轮到磁盘映像了,用qemu-img命令在Spool1中创建一个新磁盘映像。获取更多细节信息,可以查看man手册。

   

# man qemu-img

8. 我们应该在qemu-img命令之后指定“create, check,…”等等操作、磁盘映像格式、你想要创建的磁盘映像的路径和大小。

   

# qemu-img create -f raw /mnt/personal-data/SPool1/SVol1.img 10G


   

    创建存储卷

9. 通过使用带info的qemu-img命令,你可以获取到你的新磁盘映像的一些信息。

查看存储卷信息

警告: 不要用qemu-img命令来修改被运行中的虚拟机或任何其它进程所正在使用的映像,那样映像会被破坏。

现在是时候来创建虚拟机了。
第三步: 创建虚拟机

10. 现在到最后一个环节了,在最后一步中,我们将用virt-install命令来创建虚拟机。virt-install是一个用来创建新的KVM虚拟机命令行工具,它使用“libvirt”管理程序库。想获取更多细节,同样可以查看man手册。

   

# man virt-install

要创建新的KVM虚拟机,你需要用到带以下所有信息的命令。

  •     Name: 虚拟机的名字。
        Disk Location: 磁盘映像的位置。
        Graphics : 怎样连接VM,通常是SPICE。
        vcpu : 虚拟CPU的数量。
        ram : 以兆字节计算的已分配内存大小。
        Location : 指定安装源路径。
        Network : 指定虚拟网络,通常是virbr0网桥。

    virt-install --name=rhel7 --disk path=/mnt/personal-data/SPool1/SVol1.img --graphics spice --vcpu=1 --ram=1024 --location=/run/media/dos/9e6f605a-f502-4e98-826e-e6376caea288/rhel-server-7.0-x86_64-dvd.iso --network bridge=virbr0
    

    创建新的虚拟机

11. 你会看到弹出一个virt-vierwer窗口,像是在通过它在与虚拟机通信。

虚拟机启动程式

虚拟机安装过程
以上就是我们KVM教程的最后一部分了,当然我们还没有完全覆盖到全部,我们只是打了个擦边球,所以现在该轮到你来好好地利用这些丰富的资源来做自己想做的事了。

NO.3 CentOS 5 安装免费虚拟主机管理系统Kloxo

对于不想学命令而直接使用CentOS VPS的新手来说,我们推荐一款傻瓜式的虚拟主机管理系统Kloxo,且是免费的,无限绑定域名。

Kloxo简介
Kloxo的前身是lxadmin,是一款免费的虚拟主机管理系统,安装简单,功能强大,可以快速地在red hat,centos系列linux系统的主机上搭建LAMP(Linux+Apache+Mysql+Perl/PHP/Python)环境。

系统要求
1、目前kloxo推荐使用CentOS 5 32位系统安装。
2、系统内存推荐256MB以上。
3、至少2GB空闲硬盘空间。

安装kloxo
Kloxo安装后会搭建LAMP环境,所以需要一个没有安装有php、mysql、apache等服务器软件的系统,如果已经安排有,我们则需要卸载它。

1、卸载服务器软件

查询Mysql命令:

rpm -qa | grep mysql

查询Apache命令:

rpm -qa | grep httpd

查询PHP命令:

rpm -qa | grep php

查询上面出来的文件,通过yum -y remove 文件名 卸载。
2、禁用selinux
编译/etc/sysconfig/selinux文件,更改为selinux=disabled。并以root用户执行setenforce 0临时关闭selinux。
3、下载Kloxo并安装

如果没有安装MySQL:

wget http://download.lxlabs.com/download/kloxo/production/kloxo-installer.sh
sh ./kloxo-installer.sh --type=master

如果已经安装有MySQL,并设置有root密码:

wget http://download.lxlabs.com/download/kloxo/production/kloxo-installer.sh
sh ./kloxo-installer.sh --type=master --db-rootpassword=PASSWORD

4、控制面板管理地址

https://IP:7777/ /*安全连接*/

http://IP:7778/ /*普通链接,常用*/
默认用户和密码都是admin。

Kloxo汉化
1、登录SSH,进入Kloxo语言包目录

cd /usr/local/lxlabs/kloxo/httpdocs/lang

2、下载中文语言包

wget http://xiazai.51jianli.com/201112/other/lxadmin_cn_pack.zip

3、解压语言包

unzip lxadmin_cn_pack.zip

4、访问http://你的IP:7778/ 进行kloxo后台,在Advanced->General Settings->Appearance下的Language里选择Chinese,然后点击update确认,这时会自动刷新,界面已经是中文的了。图片如下:

Kloxo对管理网站确实方便,也容易入手。不过自己想进一步优化服务器的性能还是需要自己通过SSH直接管理服务器,这样会对CentOS有更深入的了解,才能更好的维护好服务器。

NO.4 hzhost虚拟主机系统致命漏洞

编者注:HZHOST虚拟主机管理系统,在国内的虚拟主机应用比较广泛,但是存了这样的一个漏洞让人觉得心惊,也让整个虚拟主机系统沦陷。千里之堤,毁于蚁穴!在此提醒各位网络管理员(站长),在做好系统的维护的同时也要注意自己使用的web程序是否安全。

昨晚受学校老师委托,调查某人资料(是因为在学校BBS上乱发东西所以受到追查),老师给的ID是zszs11和lymft。这个2个ID看着都很随意,由于以前是也曾今得到过这个BBS权限所以管理员同志希望我协助维护,所以也给了我一个管理ID,不过太久没上已经被删除了。于是乎没办法上后台进行操作查询用户信息,前台查询到的信息太少。zszs11注册邮箱是zszs11@***.com,lymft则是lymft126@**Z*.com两个人同样因为回复了一个标题为“我们法律系居然有这样的败类…”的帖子而删除记录,帖子也不在了,所以没办法继续追查,但是猜测这2个ID都是马甲,但是没有确凿的证据就无法乱下定论,于是就有了下面的一次检测过程。

检测环境:
服务器:IIS6.0 (无服务器漏洞)
虚拟主机平台:HzHost
FTP:Serv-u6.4 (因为目录不存在访问权限所以没利用价值)
端口开放情况:
127.0.0.1:21.........开放
127.0.0.1:1433.........开放 (Mssql) 很开心有这个…
127.0.0.1:3306.........开放 (Mysql)
127.0.0.1:3389.........开放
127.0.0.1:5631.........关闭
127.0.0.1:8080.........开放
127.0.0.1:43958.........关闭 (再次说明没利用价值)

前面旁注得到一个普通Asp Access站点的过程这里就不详细说明了,主要讲后面深入渗透和获取权限个过程和思路。

500)this.width=500" title="点击这里用新窗口浏览图片" />

虚拟主机权限设置的非常死,连信息都无法查看。

尝试跳转其他目录提示:

500)this.width=500" title="点击这里用新窗口浏览图片" />

典型的虚拟主机,大部分人在这里就卡住放弃了。其实一开始我也是这个想法,可是是在是太无聊了,所以到处乱翻,结果让我不小心发现一个很严重的问题。在C:windowsTemp目录下居然存放了好多服务器IIS 进程池Session记录,还有一个更莫名其妙的文件Sysdbftp.scr(看名字和数据库还有FTP有关,不知道是干嘛的?)

500)this.width=500" title="点击这里用新窗口浏览图片" />

于是把这些记录下载到本地查看。

500)this.width=500" title="点击这里用新窗口浏览图片" />
用Notepad2的替换功能把这个日志整理下。

500)this.width=500" title="点击这里用新窗口浏览图片" />

(这里使用”;”来判断是否换行,基本网页脚本语法..选择使用转义字符并在替换为输入”n;” 这里的n 是转义字符换行的意思)惊现 “qwer1234”!!!经常完破解密码的人看到这个应该很熟悉,因为这个是一个常用密码…而且上面还有一个Phpmyadmin(Mysql管理程序),那么这个密码应该就是一个Mysql的管理密码了,上面看到了MYSQL配置文件Config.default.php于是猜想密码是Root的。

不过很可惜,因为Mysql的root权限是不允许外部登陆的,所以选择放弃了。(相信很多人在入侵Mysql php的网站的时候有一个困惑,得到账号密码,却无法连接数据库,或者不知道服务器上Phpmyadmin的地址吧?通过这个日志记录我们就轻易的找到地址了 ) 接下来看看那个可疑的Sysdbftp.scr。

500)this.width=500" title="点击这里用新窗口浏览图片" />

使用上面的账号密码顺利登陆到服务器

500)this.width=500" title="点击这里用新窗口浏览图片" />

不过很可惜上面的网站和目标站点不是一个服务器,是独立的备份服务器。上面的Bak文件不知道是什么,下载来本地看看,最近玩多了Mssql,所以看到这个觉得应该是数据库的备份文件。于是用工具导入本地数据库看看。

500)this.width=500" title="点击这里用新窗口浏览图片" />

提示恢复成功了!看来证明我的猜测是正确的。
来看看导入的数据是否有利用价值?

500)this.width=500" title="点击这里用新窗口浏览图片" />

从数据库的表结构可以看出这个应该是虚拟主机平台的用户数据。找了一个等级高的破解了Md5密码。后在网站登陆了下:

500)this.width=500" title="点击这里用新窗口浏览图片" />

现在是管理员了,切换到后台看看。这个就是HZHOST6.5版本后台。通过查看客户资料发现目标站点账号密码。居然还是明文的!!!数据库密码也是一样,下面就是登陆数据库远程备份回来或者自己加用户到论坛后台去查其他资料咯。无聊又接着逛了下后台的系统设置,因为原来一直以为刚才的密码是在本机登陆过FTP都会出现记录的。后来本地测试,发现不是,疑惑中!结果在后台有了惊人发现,原来是HZHOST的一个致命漏洞!

500)this.width=500" title="点击这里用新窗口浏览图片" />

在后台的任务计划处出现了这个系统备份的功能。上面的FTP地址、账号密码(星号部分在刚才备份得到的数据库里查询到的)和我们前面在sysdbftp.scr这个文件里读取到的是一模一样的,看来系统缓存里的日志文件是因为HZHOST的定时任务计划生成的。

另外在服务器管理的进程池部分看到了这些,看来刚才的Session记录也后台导致的。

500)this.width=500" title="点击这里用新窗口浏览图片" />

不仅如此,因为虚拟主机程序要对服务器进行操作(比如添加删除用户时候要远程或本地操作IIS和Serv-u等软件,)所以存在一个管理密码和接口,这个密码有什么用不需要多说了吧?接下来考虑下怎么拿下这个虚拟主机提供商网站权限看看。


因为后台保存的只是其他注册网站的FTP和数据库密码,所以不对这个虚拟主机程序本身存在操作权限密码的保存记录,前面经过漫长的资料收集过程(在完成整个渗透过程的时候当然没有我上面介绍的思路这么简单,我还通过社工手段搜集了网站管理员和公司员工的好多资料),但是最终放弃了使用社工。因为太浪费时间了。虽然社工确实很强大,但是非必要的时候还是不用的。前面说到上面有保存其他注册用户数据库和FTP密码,这里我就利用Mssql来进行深入渗透吧!

500)this.width=500" title="点击这里用新窗口浏览图片" />

这里权限肯定是DB权限,而且Sql2005默认把执行命令的组件都去掉了,不存在传统的提权途径了,但是知道MSSQL密码的时候根据权限大小可以进行列表和差异备份的操作。

500)this.width=500" title="点击这里用新窗口浏览图片" />

操作证明Xp_dirtree是存在的。接下来跳转到虚拟主机控制平台网站目录。

500)this.width=500" title="点击这里用新窗口浏览图片" />

然后执行差异备份即可得到一个webshell。

500)this.width=500" title="点击这里用新窗口浏览图片" />

这里就上传成功一个webshell了,接下来就不在说明。看来HZHOST的漏洞要让很多虚拟主机服务器沦陷了。笔者借此文给正在使用这套系统的站长们提个醒。

NO.5 Linux虚拟主机管理系统之:WDCP

  关于WDCP这款虚拟主机管理系统,是疯子使用的第二款Linux虚拟主机管理系统,使用是挺简单的,以前好像是因为编码问题而放弃这款面板。 WDCP功能比较完善,基本上需要的功能都能满足,例如:在线下载、解压缩、备份、创建站点、创建FTP、创建Mysql、301重定向等等。 安装环境:

  1,CentOS 5.x系列,CentOS 6.X系列,包括32位,64位, 2,RedHat 5.x系列,RedHat 6.x系列,包括32位,64位 3,Ubuntu 12.04,包括32位,64位

  本次安装环境及系统配置:

  系统:CentOS 6.4 内存:512M 硬盘:20G

  在线安装WDCP虚拟主机管理系统 1,为了确保安装过程中不受外部环境影响,建议创建一个远程会话,以下是命令:

  yum install -y screen;screen -S wdcp

  2,WDCP安装也比较简单,只需要几行命令就可以了。

  yum install -y wget #已安装wget工具可以忽略本步 wget –c http://soft.nzqi.com/wdcp/lanmp_laster.tar.gz tar zxvf lanmp_laster.tar.gz sh in.sh

  3,有多个环境选择,我这边选择LNMP,也就是2,大家可以看自己的需求。

  

  4,根据系统配置安装时间各不同,疯子这配置差不多花了半个小时,看到下图就表示已经安装成功了。

  

  5,后台地址为:http://IP:8080,默认账号admin,默认密码为wdlinux.cn

  安装到这边就结束了,进入后台之后一定要先修改一下默认的账号密码。

  文章出处:分享吧

上一篇:此去经年后会无期|此去经年,无尘无染 上一篇:祖国伴我成长|我在祖国怀抱中成长
与该文相关的文章

温馨提示:如果您对51阅读吧有任何建议,请通过网站联系邮箱向我们反馈,感谢各位的建议与支持!