Clicky

Ir para conteúdo

EvertonMorais

[ Ataque ] Migrando de um Smart Layer na iWeb para um dedicado na OVH

Posts Recomendados

Pessoal,

Estou migrando para um dedicado na OVH, depois de ter transferido todas as contas, aconteceu alguns problemas.

 

O WHM não ficava logado nem 5 minutos e logo depois eu era deslogado e não conseguia logar novamente, pesquisei, pesquisei e pesquisei, mais não encontrei nada que ajuda-se.

 

Eu só conseguia logar depois de reiniciar o servidor, e novamente só tinha cerca de 5 minutos para ficar logado no WHM.

 

Foi então que decidi abrir um chamado junto ao cPanel, eles constataram que eu estava sofrendo um ataque, um IP estava tentando logar no WHM 10 vezes a cada 25 segundos em meu usuário root, e segundo o atendente do cPanel quando um usuário sofre diversos erros de senha, ele desconecta qualquer um que esteja logado e bloqueia qualquer ip que não esteja na whitelist do cPHulk.

 

 

# grep -c 222.186.34.246 /usr/local/cpanel/logs/cphulkd.log

5561

 

http://awesomescreenshot.com/0e13tgk6a8

 

Adicionei meu IP na whitelist e tudo está normal agora.

Mais estou na dúvida... Preciso me preocupar com isso?

 

Esse ataque ocorre só no novo servidor para qual eu estava migrando as contas.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom, vamos lá:

 

Sobre o ataque, o cPHulk deve dar conta, porém, você deve se preocupar sim e fazer uma boa configuração. Lembre-se ainda que, caso seu IP (da sua casa ou escritório) não seja fixo, terá que ficar adicionando e removendo IPs da Whitelist. Recomendo que instale o CSF e já coloque esse IP na blacklist do cPHulk e do CSF.

 

Sobre remover todas as contas: WHM >> Multi-funções da conta >> Terminar várias contas

Compartilhar este post


Link para o post
Compartilhar em outros sites

Pedro, obrigado pela resposta...

 

Já está tudo instalado e bem configurado.

Já adicionei o IP nas blacklists, eu já havia bloqueado um IP ontem, e hoje o IP já é diferente.

 

No relatório que é exibido em baixo "Brutes (Excessive Login Failures)" são varios ips diferentes... Saio jogando cada ip que encontrar desse relatorio nas blacklists do CSF e cPHulk?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Quem está te bloqueando é o cphulk, se você ainda está sendo bloqueado, desliga o cphulk quando conseguir acessar o servidor novamente e instala o CSF como o Pedro sugeriu, ou configura ele pra não bloquear o login do usuário, só bloquear os IPs de quem estiver fazendo o ataque.

O CSF vai bloquear os IPs dos ataques, mas não vai bloquear o login do root completamente (como o cphulk faz na conf padrão). Você não precisa ficar adicionando os IPs manualmente em blacklist, os dois fazem isso automaticamente depois de X erros.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Pedro, obrigado pela resposta...

 

Já está tudo instalado e bem configurado.

Já adicionei o IP nas blacklists, eu já havia bloqueado um IP ontem, e hoje o IP já é diferente.

 

No relatório que é exibido em baixo "Brutes (Excessive Login Failures)" são varios ips diferentes... Saio jogando cada ip que encontrar desse relatorio nas blacklists do CSF e cPHulk?

O CSF faz isso automático se bem configurado. Na verdade ele bloqueia bem mais do que o login como o cPHulk, ele vai "anular" toda a transferência de tráfego entre o IP e o ao servidor (digamos assim). 

 

Você ainda pode verificar a localização (país) dos IPs e bloquear todo o país, caso seja algum país aleatório que não te geraria visita.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.



×
×
  • Criar Novo...