Clicky

Hospedado por Limestone Networks

Jump to content
  • Sign Up

Sign in to follow this  
EvertonMorais

[ Ataque ] Migrando de um Smart Layer na iWeb para um dedicado na OVH

Recommended Posts

Pessoal,

Estou migrando para um dedicado na OVH, depois de ter transferido todas as contas, aconteceu alguns problemas.

 

O WHM não ficava logado nem 5 minutos e logo depois eu era deslogado e não conseguia logar novamente, pesquisei, pesquisei e pesquisei, mais não encontrei nada que ajuda-se.

 

Eu só conseguia logar depois de reiniciar o servidor, e novamente só tinha cerca de 5 minutos para ficar logado no WHM.

 

Foi então que decidi abrir um chamado junto ao cPanel, eles constataram que eu estava sofrendo um ataque, um IP estava tentando logar no WHM 10 vezes a cada 25 segundos em meu usuário root, e segundo o atendente do cPanel quando um usuário sofre diversos erros de senha, ele desconecta qualquer um que esteja logado e bloqueia qualquer ip que não esteja na whitelist do cPHulk.

 

 

# grep -c 222.186.34.246 /usr/local/cpanel/logs/cphulkd.log

5561

 

http://awesomescreenshot.com/0e13tgk6a8

 

Adicionei meu IP na whitelist e tudo está normal agora.

Mais estou na dúvida... Preciso me preocupar com isso?

 

Esse ataque ocorre só no novo servidor para qual eu estava migrando as contas.

Share this post


Link to post
Share on other sites

Bom, vamos lá:

 

Sobre o ataque, o cPHulk deve dar conta, porém, você deve se preocupar sim e fazer uma boa configuração. Lembre-se ainda que, caso seu IP (da sua casa ou escritório) não seja fixo, terá que ficar adicionando e removendo IPs da Whitelist. Recomendo que instale o CSF e já coloque esse IP na blacklist do cPHulk e do CSF.

 

Sobre remover todas as contas: WHM >> Multi-funções da conta >> Terminar várias contas


Recomendo: MobaXterm

Share this post


Link to post
Share on other sites

Pedro, obrigado pela resposta...

 

Já está tudo instalado e bem configurado.

Já adicionei o IP nas blacklists, eu já havia bloqueado um IP ontem, e hoje o IP já é diferente.

 

No relatório que é exibido em baixo "Brutes (Excessive Login Failures)" são varios ips diferentes... Saio jogando cada ip que encontrar desse relatorio nas blacklists do CSF e cPHulk?

Share this post


Link to post
Share on other sites

Quem está te bloqueando é o cphulk, se você ainda está sendo bloqueado, desliga o cphulk quando conseguir acessar o servidor novamente e instala o CSF como o Pedro sugeriu, ou configura ele pra não bloquear o login do usuário, só bloquear os IPs de quem estiver fazendo o ataque.

O CSF vai bloquear os IPs dos ataques, mas não vai bloquear o login do root completamente (como o cphulk faz na conf padrão). Você não precisa ficar adicionando os IPs manualmente em blacklist, os dois fazem isso automaticamente depois de X erros.


| TiGerencia | Gerenciamento e Suporte

Share this post


Link to post
Share on other sites

Pedro, obrigado pela resposta...

 

Já está tudo instalado e bem configurado.

Já adicionei o IP nas blacklists, eu já havia bloqueado um IP ontem, e hoje o IP já é diferente.

 

No relatório que é exibido em baixo "Brutes (Excessive Login Failures)" são varios ips diferentes... Saio jogando cada ip que encontrar desse relatorio nas blacklists do CSF e cPHulk?

O CSF faz isso automático se bem configurado. Na verdade ele bloqueia bem mais do que o login como o cPHulk, ele vai "anular" toda a transferência de tráfego entre o IP e o ao servidor (digamos assim). 

 

Você ainda pode verificar a localização (país) dos IPs e bloquear todo o país, caso seja algum país aleatório que não te geraria visita.


Recomendo: MobaXterm

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.



×
×
  • Create New...