[ Ataque ] Migrando de um Smart Layer na iWeb para um dedicado na OVH

[EvertonMorais]

Pessoal,

Estou migrando para um dedicado na OVH, depois de ter transferido todas as contas, aconteceu alguns problemas.

 

O WHM não ficava logado nem 5 minutos e logo depois eu era deslogado e não conseguia logar novamente, pesquisei, pesquisei e pesquisei, mais não encontrei nada que ajuda-se.

 

Eu só conseguia logar depois de reiniciar o servidor, e novamente só tinha cerca de 5 minutos para ficar logado no WHM.

 

Foi então que decidi abrir um chamado junto ao cPanel, eles constataram que eu estava sofrendo um ataque, um IP estava tentando logar no WHM 10 vezes a cada 25 segundos em meu usuário root, e segundo o atendente do cPanel quando um usuário sofre diversos erros de senha, ele desconecta qualquer um que esteja logado e bloqueia qualquer ip que não esteja na whitelist do cPHulk.

 

 

# grep -c 222.186.34.246 /usr/local/cpanel/logs/cphulkd.log

5561

 

http://awesomescreenshot.com/0e13tgk6a8

 

Adicionei meu IP na whitelist e tudo está normal agora.

Mais estou na dúvida... Preciso me preocupar com isso?

 

Esse ataque ocorre só no novo servidor para qual eu estava migrando as contas.

[Pedro Sodre]

Bom, vamos lá:

 

Sobre o ataque, o cPHulk deve dar conta, porém, você deve se preocupar sim e fazer uma boa configuração. Lembre-se ainda que, caso seu IP (da sua casa ou escritório) não seja fixo, terá que ficar adicionando e removendo IPs da Whitelist. Recomendo que instale o CSF e já coloque esse IP na blacklist do cPHulk e do CSF.

 

Sobre remover todas as contas: WHM >> Multi-funções da conta >> Terminar várias contas

[EvertonMorais]

Pedro, obrigado pela resposta...

 

Já está tudo instalado e bem configurado.

Já adicionei o IP nas blacklists, eu já havia bloqueado um IP ontem, e hoje o IP já é diferente.

 

No relatório que é exibido em baixo "Brutes (Excessive Login Failures)" são varios ips diferentes... Saio jogando cada ip que encontrar desse relatorio nas blacklists do CSF e cPHulk?

[tvoltolini]

Quem está te bloqueando é o cphulk, se você ainda está sendo bloqueado, desliga o cphulk quando conseguir acessar o servidor novamente e instala o CSF como o Pedro sugeriu, ou configura ele pra não bloquear o login do usuário, só bloquear os IPs de quem estiver fazendo o ataque.

O CSF vai bloquear os IPs dos ataques, mas não vai bloquear o login do root completamente (como o cphulk faz na conf padrão). Você não precisa ficar adicionando os IPs manualmente em blacklist, os dois fazem isso automaticamente depois de X erros.

[Pedro Sodre]

Pedro, obrigado pela resposta...

 

Já está tudo instalado e bem configurado.

Já adicionei o IP nas blacklists, eu já havia bloqueado um IP ontem, e hoje o IP já é diferente.

 

No relatório que é exibido em baixo "Brutes (Excessive Login Failures)" são varios ips diferentes... Saio jogando cada ip que encontrar desse relatorio nas blacklists do CSF e cPHulk?

O CSF faz isso automático se bem configurado. Na verdade ele bloqueia bem mais do que o login como o cPHulk, ele vai "anular" toda a transferência de tráfego entre o IP e o ao servidor (digamos assim). 

 

Você ainda pode verificar a localização (país) dos IPs e bloquear todo o país, caso seja algum país aleatório que não te geraria visita.

[EvertonMorais]

Então blz... Valeu :D