Clicky

Ir para conteúdo

Thiago Santos

Membro Bronze
  • Total de itens

    842
  • Registro em

  • Última visita

6 Seguidores

Sobre Thiago Santos

Corporativo
  • Rank
    Thiago Santos

Informações pessoais

  • Nome
    Thiago dos Santos Oliveira

Meios de contato

Últimos Visitantes

1.437 visualizações
  1. Thiago Santos

    Retorno Paghiper + WHMCS 7.6

    WHMC 7.6.1 e PHP 7.0
  2. Thiago Santos

    Pagamentos utilizando Banco Inter

    Boleto bancário é padrão, um dia útil para compensação, já contas de consumo variam, algumas levam até 5 dias para compensação dependendo da concessionária. No caso dos boletos, como dito acima depende muito de empresa para empresa e os seus adquirentes.
  3. Thiago Santos

    Retorno Paghiper + WHMCS 7.6

    Estou pagando R$ 1,85 (que repasso ao cliente) no PagHiper e o retorno automático sempre funcionou, isso que já migrei o WHMCS para dois servidores diferentes. Sempre com CloudFlare e WAF ativados, PagHiper 100%
  4. Um pesquisador de segurança descobriu, divulgou e divulgou agora uma dezena de bugs que tornavam fácil roubar informações confidenciais ou assumir a conta de qualquer cliente de algumas das maiores empresas de hospedagem na Internet. Em alguns casos, clicar em um link simples teria sido suficiente para Paulos Yibelo , um conhecido e respeitado caçador de bugs, assumir as contas de qualquer um usando cinco grandes provedores de hospedagem – Bluehost, Dreamhost, Hostgator, OVH e iPage. “Todos os cinco tiveram pelo menos uma vulnerabilidade séria, permitindo um sequestro de conta de usuário”, disse ele ao TechCrunch, com o qual compartilhou suas descobertas antes de abrir o capital. Os resultados de seus testes de vulnerabilidade provavelmente não iriam encher os clientes com muita confiança. Os bugs, agora corrigidos – de acordo com o artigo de Yibelo , representam casos de infraestrutura obsoleta, sistemas back-end baseados na web complicados e alastrando, e cada empresa com uma base de usuários massiva – com o potencial de errar facilmente. Ao todo, os bugs poderiam ter sido usados para direcionar qualquer número dos dois milhões de domínios coletivos sob os domínios BlueHouse, Hostgator e iPage da Endurance, um milhão de domínios da Dreamhost e quatro milhões de domínios da OVH – totalizando cerca de sete milhões de domínios. A maioria dos ataques de Yibelo foi bastante simples, mas eficaz se combinada com uma campanha de spearphishing direcionada que visava usuários de alto perfil. Com os dados de registro de domínio disponíveis para a maioria dos grandes clientes em bancos de dados WHOIS de registradores, a maioria dos ataques dependeria do envio de um link malicioso ao proprietário do domínio por e-mail, esperando que eles clicassem. No caso do Bluehost, o Yibelo incorporou JavaScript malicioso em uma página cheia de gatinhos ou filhotes, ou qualquer coisa que ele queira. Assim que um usuário do Bluehost conectado clicar em um link de um e-mail ou um tweet para essa página, o JavaScript oculto entrará na página e injetará as informações do perfil do invasor na conta da vítima – supondo que o usuário já esteja conectado no Bluehost – explorando uma falha de falsificação de solicitação entre sites (CSRF). Isso permite que o atacante modifique dados no servidor de seu site malicioso, enquanto a vítima não é a mais sábia. Ao injetar suas próprias informações, incluindo o endereço de e-mail, o invasor pode solicitar uma nova senha ao endereço de e-mail desse atacante e assumir a conta. Yibelo também descobriu que o ataque poderia funcionar na forma de um ataque cross-site scripting (XSS). Ele demonstrou como um único clique em um link malicioso poderia instantaneamente trocar o endereço de email do proprietário da conta Dreamhost para aquele que um atacante usa, permitindo Yibelo – ou um atacante – para enviar um código de redefinição de senha a ser enviada para o e-mail do atacante, permitindo uma aquisição de conta. Hostgator, por sua vez, sofreu várias vulnerabilidades, incluindo uma falha CSRF similar que enganou contramedidas para impedir que um script cross-site de execução, o que lhe permitiu adicionar, editar ou modificar quaisquer dados no perfil da vítima, como um endereço de e-mail que poderia ser usado para redefinir a senha do usuário. Yibelo também encontrou várias outras falhas menos prováveis, mas ainda sérias, permitindo ataques man-in-the-middle em uma rede local – como um hotspot Wi-Fi público. A OVH, por sua vez, teve uma falha semelhante que permitiu à Yibelo ignorar suas proteções CSRF que lhe permitem adicionar, alterar ou editar os dados do perfil do usuário. Ao utilizar outra vulnerabilidade na API, poderia ter permitido a um invasor buscar e ler as respostas da OVH. E, o iPage, teve uma falha de um clique semelhante que pode ser facilmente explorada porque o host não exige uma senha antiga ou atual ao redefinir os detalhes de login da conta. Isso possibilitou que um invasor criasse um endereço da Web mal-intencionado que, quando clicado, redefiniria a senha para uma das opções do invasor – permitindo que ele fizesse login como esse usuário. A maioria das empresas de hospedagem também corrigiu outras falhas de informação e vazamento de dados, também descobertas pela Yibelo. Todas as empresas, além da OVH – que não respondeu a um pedido de comentário enviado antes da publicação – confirmaram que os bugs foram corrigidos. Kristen Andrews, porta-voz da Endurance, uma empresa de hospedagem que é dona da Bluehost, Hostgator e iPage, disse que a empresa “tomou medidas para resolver e corrigir as vulnerabilidades potenciais em questão”, mas, quando perguntado, não disse se os bugs foram exploradas ou se as contas ou dados do cliente foram comprometidos. A Dreamhost, por sua vez, disse que consertou os bugs “menos de 48 horas depois”, de acordo com o porta-voz Brett Dunst, e não encontrou evidências que sugiram que alguém tenha explorado o inseto fora dos testes de Yibelo. “Depois de uma revisão completa dos nossos registros de acesso ao sistema, podemos confirmar que nenhuma conta de cliente foi afetada e nenhum dado do cliente foi comprometido”, disse ele. “O exploit teria exigido que um usuário do DreamHost logado clicasse em um link malicioso especialmente formatado para alterar as informações de contato de sua própria conta.” É incrível pensar que de todas as formas de entrar em um site, muitas vezes – como Yibelo mostrou – não é através de um ataque complicado ou firewalls rebentando. É simplesmente pela porta da frente do host do site, exigindo pouco esforço para o hacker comum. Fonte: https://mundohacker.net.br/alguns-dos-maiores-sites-de-hospedagem-eram-vulneraveis-a-simples-invasoes-de-conta/
  5. Thiago Santos

    Alteração de caminho do PHPMyAdmin

    Olá pessoal, estou precisando de uma luz. Estou tentando alterar a URL do PHPMyAdmin, uma configuração simples que sempre executei, mas tenho um servidor que não me deixa em paz, por mais que eu tente encontrar o problema, ele não altera. Pra resumir, preciso alterar a URL de ip-do-server/phpmayadmin para ip-do-server/outracoisa Eu segui arrisca o tutorial: https://www.tecmint.com/change-secure-phpmyadmin-login-url-page/ Não surtiu efeito. O servidor roda nginx, então também alterei o arquivo default, veja como está agora: server { listen 80; root /var/www/html; index index.html index.htm index.php; server_name domain.com; location / { try_files $uri $uri/ /index.php?$query_string; } location ~ \.php$ { fastcgi_pass unix:/run/php/php7.0-fpm.sock; #fastcgi_pass 127.0.0.1:9002; include fastcgi_params; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_param SCRIPT_NAME $fastcgi_script_name; } location ~ /\.ht { deny all; } location /phpmyadmin { root /usr/share/; index index.php; try_files $uri $uri/ =404; location ~ ^/phpmyadmin/(doc|sql|setup)/ { deny all; } location ~ /phpmyadmin/(.+\.php)$ { fastcgi_pass unix:/run/php/php7.0-fpm.sock; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; include snippets/fastcgi-php.conf; } } location /base { alias /usr/share/phpmyadmin/; index index.php; location ~ /([^/]+\.php)$ { try_files /$1 =404; fastcgi_pass unix:/run/php/php7.0-fpm.sock; fastcgi_index index.php; include fastcgi_params; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; location ~ /phpmyadmin/js/([^/]+\.php)$ { try_files /phpmyadmin/js/$1 =404; fastcgi_pass unix:/run/php/php7.0-fpm.sock; fastcgi_index index.php; include fastcgi_params; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; } } } } Qualquer alteração que eu faça nos "location" para o /qualquercoisa ele dá erro 404 ou "File not found". Sabem me dar uma luz onde eu estou errando?
  6. Thiago Santos

    Cliente de FTP portable

    Sem dúvidas: https://portableapps.com/apps/internet/filezilla_portable
  7. Thiago Santos

    Cliente com CPF cancelado, o que fazer?

    Eu tive meu CPF suspenso a alguns anos atrás por não ter votado em algumas eleições e não ter justificado, fui na receita federal e atualizaram rapidinho. As vezes pode ser o CPF de alguém que já faleceu, se eu fosse você, pediria para o cliente outro número CPF ou CNPJ para registrar os domínios e informaria que com o CPF atual não é possível registrar domínios .br
  8. Thiago Santos

    [Recomendação] Dedicado para backups

    Dacentec, 20 doletas: https://billing.dacentec.com/hostbill/index.php?/cart/dedicated-servers/ Kimsufi, 8 euros: https://www.kimsufi.com/pt/servidores.xml
  9. Thiago Santos

    Sugestão de slogan/tagline

    "As melhores dicas e indicações da internet estão aqui"
  10. Thiago Santos

    Como está a OVH hoje?

    Desde que entrei no fórum tem vários relatos bons e ruins. OVH ou você ama ou você odeia, não há um meio termo. Eu prefiro não arriscar e ir na 10/10 como Hivelocity por exemplo.
  11. Thiago Santos

    Achei o acesso da empresa toda em .txt

    Excelente atitude. Muitas vezes algumas empresas não prestam atenção nos pequenos detalhes e pode por tudo a perder por descuido. Tudo o que é reportado para nós é verificado mais de uma vez, estamos sempre de olho em relação a segurança, ainda mais em tempos de dados vazados de várias grandes empresas. Eu por padrão sempre tenho um pé atrás com tudo e todos, levo a minha privacidade a as dos meus clientes como o primeiro passo fundamental para o sucesso.
  12. Thiago Santos

    Dúvidas com Host de Hospedagem

    Somente servidores VPS ou dedicados e em empresas que permitem jogos.
  13. Thiago Santos

    Liberar acesso SSH pelo cPanel

    Em contas compartilhadas nós liberamos caso o cliente solicite, nunca houve problema em relação ao SSH em contas compartilhadas, o mesmo acontece em revendas.
  14. Merchant ID você encontra aqui: https://www.coinpayments.net/acct-settings IPN Secret você encontra no mesmo link acima, na última aba "Configurações do operador". Exibir no Formulário de Pedido = Deixe marcado Exibir o Nome = É o que aparece para o cliente quando for gerar a fatura Merchant ID = No link acima IPN Secret = No link acima Include shipping information = Não marque IPN Debug Email = E-mail para receber informações e problemas na integração, coloque o seu pessoal. Seja feliz 🙂
  15. Thiago Santos

    Contato MyWay - Tudo OFF -

    WhatsApp: 5199235053

O Portal do Host

Dicas para sua empresa de hospedagem. Artigos, notícias, tutoriais e os aspectos da indústria de hospedagem.

Limestone Networks

A LSN tem sido parceira e patrocinadora do PDH, fornecendo uma plataforma segura e confiável.

Cloud - Servidores decicados - Co-location
×