curuja Posted January 2, 2014 Share Posted January 2, 2014 Olá Amigos. Feliz 2014 para todos. No dia 31, tivemos uma infelicidade com a qual está por causar grandes danos a nossa empresa. Nosso servidor de hospedagem (gearcloud.com.br) foi invadido por alguém. O sujeito entrou no whm e suspendeu todas as contas e alterou a senha root, impossibilitando nosso acesso ao sistema e causando danos drásticos aos nossos clientes! Não temos conhecimento necessário de como sair dessa! Alguém consegue nos ajudar ou nos auxiliar para resolver esta questão? a informação que temos até agora é que o ataque ocorreu por um possível "exploit" utilizado em nosso carrinho de compras no whmcs! Ficaremos imensamente gratos! No aguardo. Link to comment Share on other sites More sharing options...
Marco Antonio Posted January 2, 2014 Share Posted January 2, 2014 primeira coisa, abra um ticket no DC e solicite a troca de senha root IMEDIATAMENTE, tambem se possível trocar a porta do ssh (este ultimo é uma OBRIGATORIEDADE para quem tem servidor) Link to comment Share on other sites More sharing options...
Jaime Silva Posted January 2, 2014 Share Posted January 2, 2014 Tomara que você tenha backup. Após reaver a senha, mude a porta SSH, desabilite o uso de compiladores por usuários sem privilégio, escolha uma senha de root realmente boa, habilite o CpHulk, atualize o sistema operacional e outras coisas mais. Não há bem nem mal que dure para sempre. Um dia tudo acaba. Link to comment Share on other sites More sharing options...
Otavio Posted January 2, 2014 Share Posted January 2, 2014 Outra coisa mas creio que algum bem próximo a vocês ou de sua própria equipe tenha feito isso . Fox Soluções | (011) 3090 4444 / (011) 96841-9797 | www.FoxSolucoes.com | Streaming Áudio | CentovaCast | Revendas de Streaming | Data Center Brasil EUA | | Streaming Vídeo | CastControl WOWZA | Revendas de Streaming | Data Center Brasil EUA | Link to comment Share on other sites More sharing options...
chuvadenovembro Posted January 2, 2014 Share Posted January 2, 2014 Se foi um exploit, pouco importa a porta que você vai usar... O invasor escala privilégios do cpanel da conta explorada e a partir dai tem conhecimento da porta ssh. Eu também espero que você tenha backup dessas contas. Já o servidor, depois dessa invasão com direito a troca de senha root pode estar comprometido...eu não confiaria manter as contas nele sem formatar. E acho que não adianta simplesmente formartar e colocar as contas novamente no servidor, alguma atitude precisa ser tomada para evitar esse tipo de transtorno...aqui no forum vai encontrar sugestões para quem teve uma experiencia negativa como essa. Boa sorte! █ AtarWeb.com.br • Hospedagem de Site + SSL Grátis █ Revenda de Hospedagem DirectAdmin SSD + SSL Grátis Link to comment Share on other sites More sharing options...
Paulo Zivieri Posted January 2, 2014 Share Posted January 2, 2014 Concordo com o Chuva. O ideal mesmo seria você contratar um novo servidor para poder migrar seus clientes e depois contratar uma empresa especializada em gerenciamento técnico, como a rack911 para executar a segurança preventiva de seu ambiente. Link to comment Share on other sites More sharing options...
c0l3r4 Posted January 2, 2014 Share Posted January 2, 2014 A senha de root era forte? Se o invasor não apagou os logs comece a investigação vendo os endereços IPs que acessaram o servidor com o comando "last", na sequência confira se o ataque não foi resultado de ataques de força bruta ou se o usuário acessou rapidamente o servidor(já sabia a senha) em /var/log/secure. Verifique com anti-vírus todos os computadores que acessavam o WHM/SSH do servidor. Link to comment Share on other sites More sharing options...
maksol Posted January 2, 2014 Share Posted January 2, 2014 Estória mal contada, isso está com cara de servidor não pago e suspenso pelo provedor. Link to comment Share on other sites More sharing options...
c0l3r4 Posted January 2, 2014 Share Posted January 2, 2014 Estória mal contada, isso está com cara de servidor não pago e suspenso pelo provedor. Mas a suspensão do servidor geralmente não é feita com anulamento de rota para o mesmo? Suspensão de contas e alteração de senha até então nunca vi. Link to comment Share on other sites More sharing options...
maksol Posted January 2, 2014 Share Posted January 2, 2014 Revendedor para ver se o cliente paga, eu nunca ví hacker suspender conta e tirar a senha root somente. Link to comment Share on other sites More sharing options...
Recommended Posts