Servidor Sofrendo Ataques

[julioaugusto]

Bom, isso não é muito "sua área".

ou melhor, seu trabalho.

 

Pelo o que pude entender, o cara está conseguindo o acesso ao banco de dados MySQL e/ou, o login e senha do WHMCS (que também pode ser obtido pelo banco de dados), e está usufruindo a seu bel prazer.

[wandersonbraz]

nao so noob nisso mas to aprendendo rapido ja o banco de dados se nao me engano tem senha e pra ter ideia a senha e bem forte eu nao consegui decorar ela ate hj tem mais de 1 mes

[julioaugusto]

Opa, Wanderson, não considere uma ofensa o que eu disse.

Não estava me referindo ao "não é sua área ou seu trabalho", a parte do "você não entende" e sim, "não é sua função bloquea-los, isso é com a empresa".

 

:D

 

Bom, ele pode ter usado um BruteForce.

OU! A onde você baixou o seu WHMCS ou os módulos / plugins dele?

Já parou para pensar que seja algum destes?

[wandersonbraz]

não considerei e o whmcs foi instalado pelo host incluído os módulos de pagamento e as traduções de emai. 

[julioaugusto]

Me manda por MP o site do seu host?

[Alexandre B]

até agora eu não entendi qual é o ataque, amigo seja mais claro, vamos lá, você possui um VPS Linux com WHM/cPanel. Ok, dentro dele possui uma revenda linux sua, e nela um WHMCS ok... você diz que que recebeu 500 tentativas, o que está se referindo... ? você está recebendo e-mail desse tipo: 

Large Number of Failed Login Attempts from IP XXXXXXXXX

[Marco Antonio]

se seu site ainda é hostw.com.br  o mesmo nao tem licença whmcs ativa, de uma conferida se nao é alguma licença Nulled, etc.

[wandersonbraz]

Alexandre B

 

os emails vao para o host sim me enviarao alguns desses com varias tentativas de acesso ao WHM e incrivelmente quem fez isso burlo ate o whmcs pois stivou um pedido que eu tinha deichado desativado por falta de pagamento

 

eu ano tenho acesso ao firewall a revenda que contratei cria VPs e coloca o cliente neles.

[wandersonbraz]

vo conferir a qestao do whmcs

[Alexandre B]

Alexandre B

 

os emails vao para o host sim me enviarao alguns desses com varias tentativas de acesso ao WHM e incrivelmente quem fez isso burlo ate o whmcs pois stivou um pedido que eu tinha deichado desativado por falta de pagamento

 

eu ano tenho acesso ao firewall a revenda que contratei cria VPs e coloca o cliente neles.

 

Agora eu estou começando a entender... então você está se baseando nesses tipos de e-mail certo?

Amigo, esses e-mails são notificações do CPHulk... são meras notificações... eu recebo 300 por dia e umas 1.000 por mês... mas vamos lá... isso não comprova que seu site foi invadido ou foi atacado... isso são "tentativas"... ai você recebe: Large "Number of Failed Login Attempts from IP XXXXXXXXX".... Ok... vamos aos pontos:

Quer ter certeza que uma dessas tentativas não se sigam em frente:

1º Use Senhas bem complexas no usuário root senhas com 12 caracteres para cima, com todos os tipos de caracteres, desde acentos a pontos, enfim...

2ª troque a porta do seu SSH de 22 para outra. isso reduzirá muito as notificações de tentativas de login, pois o ataque terá que adivinhar a porta.

3ª verifique as conexões no apache, para de fato concluir se é uma ataque a um site, você via WHM/cPanel acesse "Apache Status" se ali estiver congestionado e um único site, veja, talvez não seja ataque, seja limite de MaxClient baixo... caso contrário verá muito IP sinistro de tudo quanto é canto do mundo.

4º acompanhe o load do servidor, todo servidor alvo de ataque tende ao load subir muito, ocasionando o travamento ou lentidão extrema...

5º Instale o CSF/LDF Firewall.. - http://configserver.com/cp/csf.html

 

6º verifique sua versão do PHP/Apache, de preferência recompile para uma versão mais recente ou v5.3.20 PHP.

na recompilação marque o mod_security e aplique as configurações default de inicio.

7º faça com que seu PHP rode em modo SuPHP... isso evita você e algum cliente ter que ficar aplicando chmod 777 em arquivos ou pasta ou no próprio WHMCS.

Por enquanto isso deve te ajudar um pouco.... até porque eu não sei como está o ambiente que está sendo atacado. desculpe por não detalhar como realizar todos os procedimentos, mas a empresa que lhê vendeu o VPS com a revenda, creio que sabe realizar os procedimentos, passe a ela ou peça para ela verificar...

Sobre o WHMCS, onde baixou ele? quem te deu ele? como conseguiu a licença? se infelizmente você for enganado e estiver com um Nulled... ai amigo... bom...

eu queria detalhar passo a passo mas digitei muito correndo mesmo, eu preciso resolver um compromisso 13h já estou atrasado... eu por volta de 15:30h estou de volta... ai dou uma olhada aqui no tópico...

 

Abração e boa sorte.