Kloxo控制面板新发现的一个大漏洞

Posted by zuzhihui in 控制面板 on 2014/02/05 with No Comments

2014年1月,Kloxo控制面板爆出了一个大漏洞(SQL注入)。2014年1月30日,6.1.13版本的Kloxo控制面板推出,修复了这个漏洞。这个漏洞的影响很大,黑客利用这个漏洞,可以控制整个控制面板,删除所有的文件。版本6.1.12以及以前的Kloxo版本,都有这个大漏洞,都应该升级到6.1.13版本或者更新的版本,修复这个漏洞。

怎样升级到最新版本呢?有两种方法,任选其一即可,建议使用第二种方法,第二种方法不容易出错。

方法一:用admin用户登录到Kloxo控制面板,在首页点击“更新 主页”按钮(如图所示),即可显示当前版本和最新版本,如果不是最新版本,再点击Upgrade Now。注意,升级到最新版本可能需要点击多次,比如,从版本6.1.1升级到6.1.13,可能需要升级12次,因为Kloxo控制面板的升级是一个小版本升级一次。

kloxo-upgrade

方法二:用root用户SSH登录,然后运行/script/upcp命令即可。同样,升级到最新版本可能需要运行多次,比如,从版本6.1.1升级到6.1.13,可能需要升级12次,因为Kloxo控制面板的升级是一个小版本升级一次。

注意:

  • 如果升级失败,有可能是防火墙上屏蔽的相关的端口,请联系我们开通即可。
  • 升级后要检查网站是否能打开,如果网站打不开,报500错误,在命令行下运行命令/script/cleanup 即可。
  • 升级后检查一下FTP是否能正常工作,如果不正常,需要执行如下命令修复:

yum install mysql-devel -y
wget http://pptpd.rashost.com/kloxo/openssl-0.9.8e-12.el5_4.1.i686.rpm
rpm -ivh --force openssl-0.9.8e-12.el5_4.1.i686.rpm
/etc/init.d/kloxo restart

  • 其它问题,请联系我们解决。

lighttpd环境下在kloxo中把不带www的域名做301到带www的域名

Posted by yar999 in Linux技术 on 2011/06/18 with 4 Comments

按照下图操作即可

注意
如果是apache环境,这样设置是302跳转

在kloxo中把不带www的域名做301到带www的域名

给安装Kloxo控制面板的VPS添加新IP

Posted by yar999 in 控制面板 on 2011/04/29 with No Comments

给安装Kloxo控制面板的VPS配置一个新IP有两种方法。一种方法是按照标准的CentOS VPS配置新IP,配置方法参见 这里。第二种方法是通过Kloxo控制面板配置新IP,文本介绍第二种方法。

假设需要添加的ip是 74.82.180.226 子网掩码是 255.255.255.224

登录kloxo之后点

服务器->localhost->IP地址->Add IP 地址

然后在设备名那里保持默认
ip地址那里输入

74.82.180.226

子网掩码那里输入

255.255.255.224

然后点确定即可。

更新kloxo到6.1.3之后出现的bug修复

Posted by yar999 in 控制面板 on 2011/02/23 with No Comments

bug:
ftp添加用户的时候空白
切换web服务器的时候空白

解封方法
ssh登录到vps执行下面的命令

sed -i 's/^;zend_/zend_/' /usr/local/lxlabs/kloxo/httpdocs/htmllib/filecore/php.ini
/script/upcp
/etc/init.d/kloxo restart

然后刷新下浏览器就可以了

解除Kloxo/Lxadmin 默认40个域名绑定数限制

Posted by yar999 in Linux技术 on 2010/10/10 with No Comments

免费版的Kloxo/Lxadmin在安装后限制绑定域名数量为40个,如果想要无限制怎么办呢?
这就需要Kloxo/Lxadmin的授权通行证了
申请通行证的教程如下:
1.到Kloxo/Lxadmin官方:http://lxlabs.com/register 注册个账户
The Username you would Prefer: (你希望的用户名)
Contact Email Address: (你的Email地址)
填写完后点击”Register”
随后你会收到一封邮件,里面有你的”用户名”和”密码”
2.打开https://client.lxlabs.com:5557/login/
这里好像没有SSL证书,不过没关系只要你点击”继续浏览此网站(不推荐)。”就可以了.
3.进入Kloxo/Lxadmin后如图设置
点击Kloxo Licenses
再点击 Add Kloxo License
在 Ipaddress出 填入你要授权的ip 后点add
回到你的Kloxo/Lxadmin面板选择高级中的”授权更新”,然后点击”Update License From Lxlabs”,即可解除限制40个域名绑定数

kloxo切换web服务器为apache后的bug修复

Posted by yar999 in lighttpd on 2010/08/20 with No Comments

在kloxo中切换web服务器为apache之后,重启kloxo的时候会报错

(network.c.336) SSL: error:00000000:lib(0):func(0):reason(0)

kloxo后台也进不去。

可以按照下面的方法解决

wget http://dl.rashost.com/kloxo/openssl-0.9.8e-12.el5_4.1.i686.rpm
rpm -ivh –force openssl-0.9.8e-12.el5_4.1.i686.rpm
/etc/init.d/kloxo restart

kloxo中新建域名之后需要重启web服务才可以生效

Posted by yar999 in Linux技术 on 2010/07/29 with No Comments

在kloxo中新建完域名之后需要重启web服务才可以生效,kloxo默认使用的是lighttpd做为web服务。有些时候可能某些特殊需要把web服务切换成apache了,怎么看当前是那个程序在做web服务呢?

登录Kloxo进去以后,在首页左侧点击”Server: Linux”,然后在下拉出来的列表中点击”Command Center”,这时候右侧就会出现命令中心的界面,在该界面中的”Command”输入框中输入”netstat -tlnp | grep 80″(不带引号),然后点击右下角的 Execute,这个时候您可以在Output文本域中看到web服务的输出信息:
如果形如”tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1584/lighttpd “,那么您可以在”Command”输入框中输入”/etc/init.d/lighttpd restart”(不带引号),然后点右下角的Execute来重启lighttpd。

如果形如”tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1584/httpd “,那么您可以在”Command”输入框中输入”/etc/init.d/httpd restart”(不带引号),然后点右下角的Execute来重启httpd。

1584是pid号,实际情况中可能不一样。重启了lighttpd或者httpd就是重启了web服务,这样您新建的域名就可以生效了,您就可以通过您新建的域名来访问您的网站了

怎样在Kloxo里面运行Linux命令

Posted by zuzhihui in Linux技术 on 2009/11/11 with 1 Comment

Kloxo是一个强大的Linux控制面板,有了Kloxo,不懂Linux的人也可以通过Kloxo管理Linux。

Linux是个很强大的操作系统,强大在于Linux的各种命令非常灵活方便。

那怎样在Kloxo里面运行Linux命令呢?比如如果想在Kloxo里面运行reboot命令重启Linux,应该怎样操作?

登录Kloxo进去以后,在首页左侧点击”Server: Linux”,然后在下拉出来的列表中点击”Command Center”,这时候右侧就会出现命令中心的界面,在该界面中的”Command”输入框中输入”reboot”(不带引号),然后点击右下角的Execute,系统就会立即重启了。这种重启方法是非常有效的。

当然,也可以在命令中心中输入其他各种Linux命令来执行。

在Kloxo控制面板里面给网站安装SSL证书

Posted by zuzhihui in Linux技术 on 2009/11/07 with No Comments

用http方式访问网站是没有加密的,网络上传输的都是明文,在网络上很容易被窃听。

用https方式访问网站是经过SSL加密的,这种加密技术是国际上公认的,所有的网上银行都用https方式加密。RASHOST的客户中心也是要通过https访问的。

要实现https加密,就需要在Web服务器配置一个SSL证书。可以自己随便做一个SSL证书,但这样的证书只适合测试使用,要在正式网站上用SSL,还是要购买一个正式的SSL证书。

产生CSR

在购买SSL证书之前要先产生一个CSR。登录Kloxo控制面板,在首页的Resource部分有个SSL Certificate图标,点击这个图标,然后点击Add SSL Certificate,输入您的各项信息后点击确定就可以生产CSR了。

购买SSL证书

在客户中心 http://my.rashost.com 可以购买SSL证书,付款之后会很快收到一封邮件,这封邮件会给出一个地址,进入该地址来配置SSL证书的详细信息和自己产生的CSR。

配置完上面的信息之后,系统会列出该域名所有人的Email和这个域名为后缀的几个邮件地址,让你选择一个邮件,系统会给这个地址发送邮件,用来验证您是这个域名的所有人。验证域名完成之后,就等待证书吧,这个等待的过程大概要几个小时。

Kloxo(原名LxAdmin)控制面板 使用指南

Posted by zuzhihui in vps技术 on 2009/09/11 with 7 Comments

Kloxo是一个优秀的Web控制面板。瑞豪开源的VPS提供了预装Kloxo的Linux系统。本文介绍Kloxo控制面板的基本使用方法。

VPS安装好之后,我们会告诉客户Kloxo的登录地址以及admin用户的密码,登录之后就可以开始配置了。

升级Kloxo到最新版本

进入Kloxo后要做的第一件事情就是升级Kloxo到最新版本,这是非常必要的,因为老版本可能有bug存在,这些bug有可能导致Kloxo被入侵,而最新版本往往修复了这些bug。

在首页中间的Administration部分,点击Update Home然后就会看到当前的Kloxo是否是最新版本,如果不是最新版本,就点击下面的Update Now按钮进行升级。

添加用户

本步骤是可选的,不是必须的。Kloxo控制面板缺省只有一个admin用户,这个用户是管理员用户,管理员用户下面可以添加很多域名。也可以创建一些普通用户,每个普通用户下面也可以绑定很多域名。

点击左侧菜单中的Clients或者首页中部的Clients,然后在新页面中点击Add Customer,然后的窗口中:

  • Client Name:用户名
  • Domain Name:这个用户的第一个域名,可以先空着不填,让用户自己登录后自己填写
  • Install Application:缺省安装的网站程序,有Wordpress, Drupal等常用的网站程序,建议不要选择,因为这里安装的都是老版本,不好
  • Password:用户的密码
  • Email Address:用户的email地址,必须填写,当用户忘记密码后可以根据Email找回
  • Send Welcome Message:这个选项要选上
  • Choose Plan:这是要开通的空间的型号,不要管,除非你是卖空间的

然后点击Add,出现新的页面,新页面里的信息不需要修改,继续点击Add即可。然后系统就会给用户的邮箱里面发生邮件,告知登录地址,用户名密码等信息。

添加域名

admin用户和普通用户都可以绑定域名,创建普通用户的时候也可以顺便绑定一个域名。

在左侧菜单中点击domains即可进入添加域名的界面,假设我们要添加的域名是 raslab.com ,那么在该界面中Domain Name部分就填写raslab.com;Document Root是域名的文件所在的目录,通常也填写为域名;其他部分不用填写,点击Add即可。

上传文件

上传文件可以通过FTP,也可以通过网页上传

在左侧菜单中点击Resources–>File Manager(admin用户需要点击domain–>File Manager),然后进入文件管理器,在文件管理器里面可以点击upload上传文件。

也可以通过FTP上传文件,一般绑定了一个域名之后会自动创建一个FTP用户,FTP用户的名字和域名是相同的,FTP密码就是当前用户的密码。当然也可以另外创建FTP用户,在左侧菜单点击Resources–>FTP Users(admin用户需要点击domain–>FTP Users)就进入管理FTP用户的界面了。

Email邮箱管理

绑定一个域名之后,以这个域名为后缀的邮箱就开通了。我们仅需要创建一个邮箱帐户就可以了。

点击左侧菜单下部的Mail Accounts进入邮箱帐户管理页面,可以在这里管理邮箱帐户。

假设域名是raslab.com,新创建的邮箱帐号是zzh,那么邮件地址就是zzh@raslab.com。邮箱用户可以通过http://webmail.raslab.com 进入Web邮箱(前提是域名的webmail记录必须指向了VPS的IP地址)。

Kloxo的中文汉化

瑞豪开源提供的Kloxo已经汉化过了,如果您的Kloxo没有汉化,可以SSH登录到VPS上,执行如下命令:

cd /usr/local/lxlabs/kloxo/httpdocs/lang/
wget dl.rashost.com/kloxo-cn.tar.gz
tar zxf kloxo-cn.tar.gz
chown -R lxlabs: cn

然后登录Kloxo,在首页点击Appearance,然后点击Language框,选择Chinese,最后点击Update按钮即可

定期删除日志脚本

在/etc/cron.daily目录下面创建文件cleankloxolog.sh,修改该文件的权限为755:

chmod 755 /etc/cron.daily/cleankloxolog.sh

这个可执行文件每天会被自动执行一次,每次执行都会删除kloxo的日志。

该文件内容如下:

#!/bin/bash
rm -rf /home/admin/__processed_stats/*
rm -rf /home/kloxo/httpd/lighttpd/*
rm -rf /var/log/kloxo/*
rm -f /home/httpd/*/stats/*

其他功能

以上简述了一下必要的功能,Kloxo还有很多其他功能,用户可以自己去探索。

Back to Top

2007-2017 © 北京瑞豪开源科技有限公司 京ICP备13004995号-2