Invasão ao Servidor

[lordeleo]

Bom dia pessoal,

Preciso de uma ajuda de vocês.

Temos revenda de hospedagem com a Hostgator.

Semana passada um cliente nosso entrou em contato informando que o seu site não estava acessível. Quando fomos verificar, abria uma tela toda vermelha informando:

Site enganoso à frente

Os invasores em www.dominiodocliente.com.br podem induzir você a fazer algo perigoso, como instalar um software ou revelar suas informações pessoais (por exemplo, senhas, números de telefone ou cartões de crédito).

Então fomos verificar nos arquivos do site do cliente, e encontramos alguns diretórios com conteúdo de phishing que haviam sido enviados. Imediatamente alterei a senha do cpanel do cliente, apaguei os arquivos, e reportei à hostgator solicitando logs de acesso para saber a origem do invasor e como acessou.

Enquanto o suporte EXTREMAMENTE DEMORADO da hostgator não respondia, decidi averiguar os arquivos de outros clientes. Para minha surpresa, descobri mais 5 clientes pelo menos que tinham sofrido ataques bem similares, só mudavam o nome das pastas e o conteúdo de phishing. Me preocupei na hora.

Na corrida alterei as senhas de Cpanel para TODOS os meus clientes.

Quando FINALMENTE o suporte respondeu (1 dia depois) (inadmissível para um assunto crítico) me passaram um LOG de acesso e só falaram que teria que cuidar as senhas, verificar vírus na maquina, e aquelas coisas que todos sabemos de cor ...

OBS: Uso gerador de senha com senhas impossíveis de se descobrir, o PC que controla a hospedagem é totalmente controlado, sem qualquer chance de virus.

Para minha surpresa ao analisar os logs, no dia seguinte em que eu troquei as senhas de TODOS meus clientes, alguém alterou NOVAMENTE todas elas. Vejam um trecho:

Citar

Sat Nov 21 06:31:24 2015 - 23.91.65.40 - infoby - XML-API: Changed password for proven
Sat Nov 21 06:31:44 2015 - 23.91.65.40 - infoby - XML-API: Changed password for signatur

O grande detalhe deste trecho, é que essas duas contas sequer são meus clientes de hospedagem.

E o acesso para alteraão da senha foi por "XML-API". O que seria isso exatamente? Eu sei que não foi pela interface do Cpanel/WHM, mas como utilizam esse "XML-API"?

Detalhe: aquela "chave de acesso" que se configura no WHM foi alterada recentemente justamente para não correr riscos, e removi ela e todas as senhas dos clientes do WHMCS.

Agora o pessoal da hostgator demora uma infinidade de tempo para me responder, e não sei mais o que fazer. Alguém (que não eu) tem mais controle do servidor que eu.

Não adianta eu alterar tudo denovo, que vão conseguir entrar e mudar. Não sei mais o que fazer.

Estou até desconfiado que possa ser algum funcionário de dentro da Hostgator mesmo, seria a única explicação. Os IPs de acesso são dos EUA e até Macedônia.

Por favor, me deem uma luz. Valeu a força

 

[chuvadenovembro]

Independente de descobrir o que é xml-api e antes do suporte responder seu ticket, recomendo que faça um backup de todas as contas com prioridade!!!

[lordeleo]

Agora, chuvadenovembro disse:

Independente de descobrir o que é xml-api e antes do suporte responder seu ticket, recomendo que faça um backup de todas as contas com prioridade!!!

Olá chuvadenovembro,

Obrigado pela dica. Isso foi a primeira coisa que fiz.

Diretório inicial completo e bancos de dados.

[DELTA SERVERS]

Olá, bom dia!

Note que você deve junto verificar o admin do seu WHMCS, ouvir casos de invasores acessar o admin do WHMCS e toma para sim acessos a contas de hospedagem, mude o diretório ou apliquei senha sobre a pasta.

[Pedro Sodre]

Está parecendo falha no WHMCS. Seu software é original e está atualizado? Mude a senha da hospedagem que o WHMCS está e dos admins no WHMCS, além disso altere a senha que conecta o WHMCS no WHM.

[lordeleo]

3 minutos atrás, Pedro Sodre disse:

Está parecendo falha no WHMCS. Seu software é original e está atualizado? Mude a senha da hospedagem que o WHMCS está e dos admins no WHMCS, além disso altere a senha que conecta o WHMCS no WHM.

Também desconfiei do WHMCS faz algum tempinho já ... Porque seguidamente se cadastravam clientes americanos e tentavam ataques por SQL Inject ... isso aconteceu VARIAS vezes ... MAS...

Aí eu alterei a senha de administrador do WHMCS, alterei a chave de acesso do WHM e removi TODAS as ligações do WHMCS ao Cpanel.

Ou seja, o WHMCS não tem nenhuma senha ou ligação com o Cpanel mais. A pasta de admim é a padrão ainda, mas já vou tentar alterar isso também.

E sim, o WHMCS é original, com licença, e está sempre atualizado.

Será que mesmo com o WHMCS sem qualquer tipo de automação, sem senhas, ele ainda conseguiria prejudicar minha conta principal?

Obrigado pela ajuda

[DELTA SERVERS]

Se seu sistema libera automaticamente as contas de hospedagem, pode mudar a senha pelo WHMCS. Tem que verificar se seus clientes não foram afetados, vai que esse invaso esteja conectando a área do cliente.

[Andre Juliano]

30 minutos atrás, lordeleo disse:

Também desconfiei do WHMCS faz algum tempinho já ... Porque seguidamente se cadastravam clientes americanos e tentavam ataques por SQL Inject ... isso aconteceu VARIAS vezes ... MAS...

Aí eu alterei a senha de administrador do WHMCS, alterei a chave de acesso do WHM e removi TODAS as ligações do WHMCS ao Cpanel.

Ou seja, o WHMCS não tem nenhuma senha ou ligação com o Cpanel mais. A pasta de admim é a padrão ainda, mas já vou tentar alterar isso também.

E sim, o WHMCS é original, com licença, e está sempre atualizado.

Será que mesmo com o WHMCS sem qualquer tipo de automação, sem senhas, ele ainda conseguiria prejudicar minha conta principal?

Obrigado pela ajuda

Um outro ponto importante é, sempre mantenha os sites wordpress atualizados e tambem seus plugins.

Sistemas wordpress desatualizados são portas abertas para invasões.

[lordeleo]

23 minutos atrás, Andre Juliano disse:

Um outro ponto importante é, sempre mantenha os sites wordpress atualizados e tambem seus plugins.

Sistemas wordpress desatualizados são portas abertas para invasões.

André,

Realmente eu tenho uma instalação do Wordpress que estava tentando fazer a integração com o WHMCS para testes. Ela foi feita pelo QuickInstall e era atualizada por ele. Mas pra tirar a dúvida desinstalei e removi completamente o diretório.

Já fiz todas as configurações adicionais de segurança do WHMCS (mudar os diretórios para o home) e alterei o admin.

Mudei a senha de Administrador do WHMCS, mudei a senha do Cpanel da revenda e de TODOS os clientes novamente.

Não sei mais o que falta fazer ... agora preciso que o pessoal da Hostgator analise os logs para ver se tem algo mais que indica o problema.

Obrigado pelas dicas ..não está facil

[chuvadenovembro]

24 minutos atrás, Andre Juliano disse:

Um outro ponto importante é, sempre mantenha os sites wordpress atualizados e tambem seus plugins.

Sistemas wordpress desatualizados são portas abertas para invasões.

O plugin rvslider desatualizado deve ter feito um bom estrago na internet (Seja desatualizado por descuido, seja por uso de temas nulled)

Se o colega não tiver uma proteção adicional ai no servidor, acho que poderá ter surpresas desagradaveis, pois pode ter contas comprometidas...etc

Sobre o phishing, dependendo da politica da hostgator, ainda existe o risco de você ser expulso do servidor, pois é uma violação grave "para o data center".