Notificação de Login no cPanel

[MyWay Hosting]

Oi

 

Não use o CSF para bloquear ips estrangeiros. Com o HULK você pode bloquear todos ips internacionais e liberar os nacionais e assim não irá gerar sobrecarga no firewall. O Hulk protege todas portas que precisam de user e senha

 

Caso deseje a dica de como fazer isso, me pergunte aqui no tópico que te dou os passos.

 

Faz anos que tudo ( portas que necessitam de user e senha para acesso como email, cpanel, whm, webmail, smtp, pop e etc - mas não para http. O acesso aos sites está liberado para o mundo inteiro ) está bloqueado para ips estrangeiros por aqui. Em alguns servidores liberei Argentina e Paraguai onde tenho clientes também

 

Abraços 

[MyWay Hosting]

Recentemente tive que lidar com vários casos em que vadios, por método desconhecido, conseguiram acesso a conta cPanel de usuários.

Como os acessos sempre partem de países estrangeiros, resolvi criar um script que monitora acesso a todas as contas cPanel de um servidor.

 

Ele verifica logins a cada 1 segundo e, em caso de o IP de onde o acesso é feito for de outro país (dados obtidos pelo GeoIP), o script (1) bloqueia o IP no firewall e/ou (2) suspende a conta cPanel, além de enviar um email para o administrador do servidor.

 

É possível:

• específicar os países a partir dos quais o acesso é permitido
• bloquear o IP do invasor
• suspender a conta cPanel invadida
• notificar o próprietário da conta ou o administrador

O script já está quase pronto, restando apenas um retoque final: revisão do código-fonte.

Postarei o código-fonte no Github para quem quiser usar, se possível já neste fim de semana.

Quem achar uma boa ideia - ou não -, por favor, comente.

 

Meu objetivo posterior é criar um sistema mais completo, que permita definir configurações por usuário, IP, contar com uma interface de administração, permitir acesso somente de determinados IPs, além de extender esta funcionalidade para outros serviços: WHM, webmail e FTP. Envio de SMS também é algo interessante a ser adicionado.

 

Jaime, 

 

parabéns pelo seu script. Mas informo e posso dar detalhes de como fazer o bloqueio para ips internacionais. Assim não precisa de verificação, suspensão e etc. Basta bloquear os ips internacionais que é exatamente o que seu script faz porem sem consumir nada de CPU.

 

Abraços

[matt]

Jaime, 

 

parabéns pelo seu script. Mas informo e posso dar detalhes de como fazer o bloqueio para ips internacionais. Assim não precisa de verificação, suspensão e etc. Basta bloquear os ips internacionais que é exatamente o que seu script faz porem sem consumir nada de CPU.

 

Abraços

Tenho interesse. Pode passar pra gente?

[MyWay Hosting]

Link 

[Jaime Silva]

Sua solução me parece ser mesmo mais viável. Mas, ao colocar um IP na lista branca, não se corre o risco de isentar o IP de bloqueio em caso de falha de login?

[Jaime Silva]

Acabei de fazer um teste, adicionei meu IP à lista branca, tentei fazer login com uma senha errada e, pelo menos para um único IP, o cPHulk nem sequer salvou as tentativas de login inválido.

O único bloqueio ao IP foi feito no firewall iptables pelo CSF. Você já deu uma olhada nas tentativas de login do cPHulk e encontrou algum IP que pertença ao Brasil?

[MyWay Hosting]

Sua solução me parece ser mesmo mais viável. Mas, ao colocar um IP na lista branca, não se corre o risco de isentar o IP de bloqueio em caso de falha de login?

 

Olá Jaime

 

neste caso vc precisa configurar seu CSF ou firewall que usa afim que ele venha a bloquear.

 

Caso algum ip nacional tente fazer um brutal force então o responsável pelo bloqueio deve ficar a cargo do firewall.

 

Entenda que são duas camadas de proteção

 

1 - HULK  + 2 - FIREWALL

 

Inclusive se vc desativou o firewall para isso, reative. O firewall tem que ficar ativo afim de efetuar o bloqueio.

[MyWay Hosting]

Acabei de fazer um teste, adicionei meu IP à lista branca, tentei fazer login com uma senha errada e, pelo menos para um único IP, o cPHulk nem sequer salvou as tentativas de login inválido.

O único bloqueio ao IP foi feito no firewall iptables pelo CSF. Você já deu uma olhada nas tentativas de login do cPHulk e encontrou algum IP que pertença ao Brasil?

 

 

Acabei de fazer um teste, adicionei meu IP à lista branca, tentei fazer login com uma senha errada e, pelo menos para um único IP, o cPHulk nem sequer salvou as tentativas de login inválido.

O único bloqueio ao IP foi feito no firewall iptables pelo CSF. Você já deu uma olhada nas tentativas de login do cPHulk e encontrou algum IP que pertença ao Brasil?

 

Sim, entenda que o bloqueio em caso de muitos erros ficará a cargo do firewall e não do hulk

 

O HULK irá deixar ou não o IP logar ( de acordo com a localização geográfica ).

 

O FIREWALL  irá bloquear, caso erre muitas vezes a senha mesmo que esteja autorizado ou não a logar ( ip nacional ou internacional )

 

Em caso de dúvidas, me questione.

 

Abraços

 

[tekobr]

Jaime, seu script será muito útil mesmo, mas acho melhor que a verificação fosse baseada numa lista de IP's. Digo isso por quê o GeoTool tem indicado os meus IP's do meu Velox como da Rússia, por exemplo, e com isso iria bloquear um acesso legítimo. No link do tutorial que o MyWay citou tem como capturar a lista de IP's do Brasil (e sem as falhas do GeoTool). Na minha opinião, usando essa lista seu script ficaria quase perfeito.

[MyWay Hosting]

Jaime

 

Sua ideia é brilhante mas me dei a liberdade de escrever em seu tópico afim de ter uma solução mais simples baseado naquilo que vc procura, lhe ajudar e ajudar quem passa por estas dores de cabeça. 

 

Eu resolvi escrever no seu tópico pq sei exatamente o problema que vc passa. É duro ver um subdominio de paypal, american express ou bank of boston criado numa conta de cliente.

 

Os clientes tem as senhas roubadas muito frequentemente por não serem cuidadosos. 

 

Abraços