Clicky

Ir para conteúdo
  • Cadastre-se
owsbr

Novo ataque na praça?

Posts Recomendados

Boa tarde Srs.

Após longos dias de ataques de bruteforce sentido por todos e amplamente discutido aqui:

Eu recebi o que parece ser um novo tipo de ataque (assim espero) que me chamou muito a atenção:

scn_27092018_01490.thumb.png.5d3bab5a76ec076112b99cfadf486df0.png

É como se o usuário root estivesse abrindo dezenas de conexões do cPanel, o estranho é que ao pesquisar pelos IP's eu tenho os seguintes logs:
 

179.209.108.92 - - [09/27/2018:16:32:25 -0000] "-" 503 0 "-" "-" "-" "-" 2082
179.209.108.92 - - [09/27/2018:16:36:35 -0000] "-" 503 0 "-" "-" "-" "-" 2082
179.209.108.92 - - [09/27/2018:16:44:17 -0000] "-" 503 0 "-" "-" "-" "-" 2082

191.193.7.38 - - [09/27/2018:17:23:27 -0000] "-" 503 0 "-" "-" "-" "-" 2082
191.193.7.38 - - [09/27/2018:17:29:36 -0000] "-" 503 0 "-" "-" "-" "-" 2082
191.193.7.38 - - [09/27/2018:17:33:00 -0000] "-" 503 0 "-" "-" "-" "-" 2082

Fiz um teste tentando acessar o cPanel de qualquer conta via user + pass root e não obtive sucesso.
Acessei o WHM - cPanel do Usuário e nos processos + logs ele exibe o usuário em questão e não o root.

Agora estou em dúvida se meu servidor foi comprometido, se é uma tentativa de ataque e/ou algum tipo de bug da nova versão 11.74.

 

Alguém já passou por isso?

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
52 minutos atrás, owsbr disse:

Boa tarde Srs.

Após longos dias de ataques de bruteforce sentido por todos e amplamente discutido aqui:

Eu recebi o que parece ser um novo tipo de ataque (assim espero) que me chamou muito a atenção:

scn_27092018_01490.thumb.png.5d3bab5a76ec076112b99cfadf486df0.png

É como se o usuário root estivesse abrindo dezenas de conexões do cPanel, o estranho é que ao pesquisar pelos IP's eu tenho os seguintes logs:
 

179.209.108.92 - - [09/27/2018:16:32:25 -0000] "-" 503 0 "-" "-" "-" "-" 2082
179.209.108.92 - - [09/27/2018:16:36:35 -0000] "-" 503 0 "-" "-" "-" "-" 2082
179.209.108.92 - - [09/27/2018:16:44:17 -0000] "-" 503 0 "-" "-" "-" "-" 2082

191.193.7.38 - - [09/27/2018:17:23:27 -0000] "-" 503 0 "-" "-" "-" "-" 2082
191.193.7.38 - - [09/27/2018:17:29:36 -0000] "-" 503 0 "-" "-" "-" "-" 2082
191.193.7.38 - - [09/27/2018:17:33:00 -0000] "-" 503 0 "-" "-" "-" "-" 2082

Fiz um teste tentando acessar o cPanel de qualquer conta via user + pass root e não obtive sucesso.
Acessei o WHM - cPanel do Usuário e nos processos + logs ele exibe o usuário em questão e não o root.

Agora estou em dúvida se meu servidor foi comprometido, se é uma tentativa de ataque e/ou algum tipo de bug da nova versão 11.74.

 

Alguém já passou por isso?

 

 

é tentativa de brute force na porta não segura do CPanel, recomedaria bloquear e deixar só as portas com SSL aberta.

  • Gostei! 1

Compartilhar este post


Link para o post
Compartilhar em outros sites
1 minuto atrás, LucianoZ disse:

é tentativa de brute force na porta não segura do CPanel, recomedaria bloquear e deixar só as portas com SSL aberta.

Pois é, imaginei isso MAS o que me chama a atenção é que não há logs de bruteforce nessa porta/serviço.

É como se houvesse alguém logado com conta root acessando as contas dos usuários via WHM (sem necessidade da senha do usuário final).

Bem estranho isso.

Compartilhar este post


Link para o post
Compartilhar em outros sites
2 minutos atrás, owsbr disse:

Pois é, imaginei isso MAS o que me chama a atenção é que não há logs de bruteforce nessa porta/serviço.

É como se houvesse alguém logado com conta root acessando as contas dos usuários via WHM (sem necessidade da senha do usuário final).

Bem estranho isso.

Então no mesmo tempo que você teve, aconteceu em um servidor aqui, unica solução é a porta em down.

Sobre acesso, creio que não tenham conseguido, mas tentaram bruteforce isso consequentemente vai subir load.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa tarde!
Desabilite o mod_cpanel em seu apache e verifique se o problema sanou, estava com esses processos, diversos deles criando uma sobre carga nunca vista antes, ao analisar, notei que erá o mod_cpanel, o desabilitei e entrei em contato com a equipe técnica do cPanel para eles verificarem, e sim, descobriram um bug no mod_cpanel.

Veja nas imagens abaixo que após o meu relato, outros chegaram ao cPanel, e isso os deu um pouco de trabalho, até entraram em contato conosco para trabalhar em uma correção em cima de nosso servidor.

 

Screenshot_1.png

 

 

Screenshot_2.png

 

 

Screenshot_3.png

 

 

Screenshot_4.png

 

 

Screenshot_5.png

 

 

Screenshot_6.png

 

Esperou que seja apenas isso.

  • Gostei! 1

Compartilhar este post


Link para o post
Compartilhar em outros sites
6 minutos atrás, Maik disse:

desculpa a pergunta pra que serve o mod_cpanel kkkkk

Boa noite,

Foi criado para auxiliar o  processo de  solicitações do Apache. Este módulo armazena em cache solicitações para o htaccess de arquivos que não existem, o que permite que o Apache pule esses arquivos quando processar solicitações posteriores. 

https://documentation.cpanel.net/display/EA4/Apache+Module%3A+cPanel

Compartilhar este post


Link para o post
Compartilhar em outros sites
2 horas atrás, DELTA SERVERS disse:

Boa tarde!
Desabilite o mod_cpanel em seu apache e verifique se o problema sanou, estava com esses processos, diversos deles criando uma sobre carga nunca vista antes, ao analisar, notei que erá o mod_cpanel, o desabilitei e entrei em contato com a equipe técnica do cPanel para eles verificarem, e sim, descobriram um bug no mod_cpanel.

Veja nas imagens abaixo que após o meu relato, outros chegaram ao cPanel, e isso os deu um pouco de trabalho, até entraram em contato conosco para trabalhar em uma correção em cima de nosso servidor. 

 

Screenshot_1.png

 

 

Screenshot_2.png

 

 

Screenshot_3.png

 

 

Screenshot_4.png

 

 

Screenshot_5.png

 

 

Screenshot_6.png

 

Esperou que seja apenas isso.

Interessante isso, algo que me chamou a atenção é que não causou nenhuma sobrecarga no servidor...absolutamente nada.

Em uma inspeção de rotina eu vi essa quantidade de processos rodando o cPanel e com usuário root....achei extremamente estranho já que com absoluta certeza minha senha não vazou.

No seu caso, na época era o mesmo "sintoma"? Inúmeros processos root rodando o cPanel ?

Compartilhar este post


Link para o post
Compartilhar em outros sites
4 minutos atrás, owsbr disse:

Interessante isso, algo que me chamou a atenção é que não causou nenhuma sobrecarga no servidor...absolutamente nada.

Em uma inspeção de rotina eu vi essa quantidade de processos rodando o cPanel e com usuário root....achei extremamente estranho já que com absoluta certeza minha senha não vazou.

No seu caso, na época era o mesmo "sintoma"? Inúmeros processos root rodando o cPanel ?

Boa noite!

Sim, ocorreu em servidores de clientes e outros cujo gerenciamos, as vezes dava um pico no load e do nada voltava ao normal, só que o CSF informava que o load subiu por X momento. Ao analisar esses avisos, notei o causador do problema, ao desabilitar sanamos esses problemas.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Agora, DELTA SERVERS disse:

Boa noite!

Sim, ocorreu em servidores de clientes e outros cujo gerenciamos, as vezes dava um pico no load e do nada voltava ao normal, só que o CSF informava que o load subiu por X momento. Ao analisar esses avisos, notei o causador do problema, ao desabilitar sanamos esses problemas.

Entendi, chequei aqui e o servidor do meu cliente ainda está no EA3 SEM mod_cpanel....
Acho que vou acionar a turma do CLoudLinux (que respondem mais rápido que do cPanel) para verificarem.

Mas fico mais "calmo" suspeitando que seja apenas um bug.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.





×