Dans cet article, nous verrons comment désactiver le cPanel /scgi-bin répertoire, de sorte que si votre site Web échoue à une analyse PCI en raison de sa découverte, vous pouvez le faire analyser à nouveau, puis réussir l'analyse. Si vous avez lu notre article précédent sur la façon de réussir les analyses de conformité PCI, avoir le /scgi-bin L'activation du répertoire est un moyen courant de faire échouer une analyse PCI de votre site Web.
Un fournisseur d'analyse PCI détecte généralement ces problèmes en raison de la façon dont /usr/local/cpanel/cgi-sys/scgiwrap fonctions de script. Essentiellement, ce script est utilisé pour exécuter des scripts CGI en tant qu'utilisateur cPanel, au lieu de personne du serveur Web. utilisateur. Lorsqu'une analyse PCI est en cours, ils tentent généralement de demander un large éventail de scripts problématiques connus. Dans la plupart des cas, la majorité de ces scripts n'existeront pas sur votre site Web. Mais avec la façon dont les requêtes sont traitées, le serveur répond avec un HTTP 200 OK réponse affichant une page indiquant que le script n'a pas été trouvé, au lieu d'un HTTP 404 Not Found réponse.
Ainsi, la société d'analyse PCI pense que le script problématique réel est présent sur le serveur, alors qu'en réalité, si c'était un humain regardant la page, il pourrait être déterminé que le script problématique n'existait pas réellement et n'a pas été exécuté. Vous pouvez utiliser les étapes ci-dessous pour désactiver l'accès à /scgi-bin répertoire afin que vous puissiez réussir une analyse PCI. Ces étapes nécessiteront un accès root à votre VPS ou à votre serveur dédié.
- Connectez-vous à votre serveur via SSH en tant qu'utilisateur root.
- Faites d'abord une copie de votre fichier de configuration cPanel Apache avec la commande suivante :
cp -frp /var/cpanel/conf/apache/main{.,backup}Cela créera un /var/cpanel/conf/apache/main.backup fichier pour vous.
- Maintenant, vous voudrez modifier le fichier de configuration cPanel Apache avec la commande suivante, dans cet exemple, nous utilisons le vim éditeur de texte :
vim /var/cpanel/conf/apache/main
Quand vim est chargé, vous serez en mode édition, ce qui signifie que si vous tapez quelque chose, il ne sera pas inséré dans le document.
Nous voulons rechercher scgiwrap , donc tapez d'abord une barre oblique / pour entrer en mode de recherche, le curseur descendra au bas de l'écran, puis tapez scgiwrap et appuyez sur Entrée .
Vous devriez maintenant être déposé directement sur la ligne contenant une référence au scgiwrap script, avec ce mot en surbrillance.
Appuyez sur Haut flèche une fois sur votre clavier pour vous déplacer au-dessus de la ligne en surbrillance, qui ne doit contenir qu'un seul tiret – .
Dans vim lorsque vous êtes encore en mode édition, vous pouvez appuyer sur jj qui consiste simplement à appuyer sur le d touche deux fois, pour supprimer une ligne. Vous voudrez donc supprimer les 3 lignes concernant le scgiwrap script.
Tapez maintenant deux-points : pour entrer en mode commande, puis tapez wq pour w rite et q uit, appuyez sur Entrée
- Vous allez maintenant vouloir reconstruire la configuration Apache avec la commande suivante :
/scripts/rebuildhttpdconfCela devrait vous renvoyer la réponse suivante :
Built /usr/local/apache/conf/httpd.conf OK - Enfin, redémarrez le service Apache avec la commande suivante :
service httpd restart - Ci-dessous montre l'avant et après la désactivation, le premier est avec /scgi-bin toujours activé, et le second est avec lui désactivé en suivant les instructions ci-dessus.
Vous devriez maintenant pouvoir réussir une analyse PCI qui avait précédemment échoué pour /scgi-bin/ répertoire étant accessible.