Jump to content

Invasão ao Servidor


lordeleo

Recommended Posts

Bom dia pessoal,

Preciso de uma ajuda de vocês.

Temos revenda de hospedagem com a Hostgator.

Semana passada um cliente nosso entrou em contato informando que o seu site não estava acessível. Quando fomos verificar, abria uma tela toda vermelha informando:

Site enganoso à frente

Os invasores em www.dominiodocliente.com.br podem induzir você a fazer algo perigoso, como instalar um software ou revelar suas informações pessoais (por exemplo, senhas, números de telefone ou cartões de crédito).

Então fomos verificar nos arquivos do site do cliente, e encontramos alguns diretórios com conteúdo de phishing que haviam sido enviados. Imediatamente alterei a senha do cpanel do cliente, apaguei os arquivos, e reportei à hostgator solicitando logs de acesso para saber a origem do invasor e como acessou.

Enquanto o suporte EXTREMAMENTE DEMORADO da hostgator não respondia, decidi averiguar os arquivos de outros clientes. Para minha surpresa, descobri mais 5 clientes pelo menos que tinham sofrido ataques bem similares, só mudavam o nome das pastas e o conteúdo de phishing. Me preocupei na hora.

Na corrida alterei as senhas de Cpanel para TODOS os meus clientes.

Quando FINALMENTE o suporte respondeu (1 dia depois) (inadmissível para um assunto crítico) me passaram um LOG de acesso e só falaram que teria que cuidar as senhas, verificar vírus na maquina, e aquelas coisas que todos sabemos de cor ...

OBS: Uso gerador de senha com senhas impossíveis de se descobrir, o PC que controla a hospedagem é totalmente controlado, sem qualquer chance de virus.

Para minha surpresa ao analisar os logs, no dia seguinte em que eu troquei as senhas de TODOS meus clientes, alguém alterou NOVAMENTE todas elas. Vejam um trecho:

Citar

Sat Nov 21 06:31:24 2015 - 23.91.65.40 - infoby - XML-API: Changed password for proven
Sat Nov 21 06:31:44 2015 - 23.91.65.40 - infoby - XML-API: Changed password for signatur

O grande detalhe deste trecho, é que essas duas contas sequer são meus clientes de hospedagem.

E o acesso para alteraão da senha foi por "XML-API". O que seria isso exatamente? Eu sei que não foi pela interface do Cpanel/WHM, mas como utilizam esse "XML-API"?

Detalhe: aquela "chave de acesso" que se configura no WHM foi alterada recentemente justamente para não correr riscos, e removi ela e todas as senhas dos clientes do WHMCS.

Agora o pessoal da hostgator demora uma infinidade de tempo para me responder, e não sei mais o que fazer. Alguém (que não eu) tem mais controle do servidor que eu.

Não adianta eu alterar tudo denovo, que vão conseguir entrar e mudar. Não sei mais o que fazer.

Estou até desconfiado que possa ser algum funcionário de dentro da Hostgator mesmo, seria a única explicação. Os IPs de acesso são dos EUA e até Macedônia.

Por favor, me deem uma luz. Valeu a força

 

Link to comment
Share on other sites

Agora, chuvadenovembro disse:

Independente de descobrir o que é xml-api e antes do suporte responder seu ticket, recomendo que faça um backup de todas as contas com prioridade!!!

Olá chuvadenovembro,

Obrigado pela dica. Isso foi a primeira coisa que fiz.

Diretório inicial completo e bancos de dados.

Link to comment
Share on other sites

3 minutos atrás, Pedro Sodre disse:

Está parecendo falha no WHMCS. Seu software é original e está atualizado? Mude a senha da hospedagem que o WHMCS está e dos admins no WHMCS, além disso altere a senha que conecta o WHMCS no WHM.

Também desconfiei do WHMCS faz algum tempinho já ... Porque seguidamente se cadastravam clientes americanos e tentavam ataques por SQL Inject ... isso aconteceu VARIAS vezes ... MAS...

Aí eu alterei a senha de administrador do WHMCS, alterei a chave de acesso do WHM e removi TODAS as ligações do WHMCS ao Cpanel.

Ou seja, o WHMCS não tem nenhuma senha ou ligação com o Cpanel mais. A pasta de admim é a padrão ainda, mas já vou tentar alterar isso também.

E sim, o WHMCS é original, com licença, e está sempre atualizado.

Será que mesmo com o WHMCS sem qualquer tipo de automação, sem senhas, ele ainda conseguiria prejudicar minha conta principal?

Obrigado pela ajuda

Link to comment
Share on other sites

30 minutos atrás, lordeleo disse:

Também desconfiei do WHMCS faz algum tempinho já ... Porque seguidamente se cadastravam clientes americanos e tentavam ataques por SQL Inject ... isso aconteceu VARIAS vezes ... MAS...

Aí eu alterei a senha de administrador do WHMCS, alterei a chave de acesso do WHM e removi TODAS as ligações do WHMCS ao Cpanel.

Ou seja, o WHMCS não tem nenhuma senha ou ligação com o Cpanel mais. A pasta de admim é a padrão ainda, mas já vou tentar alterar isso também.

E sim, o WHMCS é original, com licença, e está sempre atualizado.

Será que mesmo com o WHMCS sem qualquer tipo de automação, sem senhas, ele ainda conseguiria prejudicar minha conta principal?

Obrigado pela ajuda

Um outro ponto importante é, sempre mantenha os sites wordpress atualizados e tambem seus plugins.

Sistemas wordpress desatualizados são portas abertas para invasões.

WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais  (OpenVZ / KVM).

Link to comment
Share on other sites

23 minutos atrás, Andre Juliano disse:

Um outro ponto importante é, sempre mantenha os sites wordpress atualizados e tambem seus plugins.

Sistemas wordpress desatualizados são portas abertas para invasões.

André,

Realmente eu tenho uma instalação do Wordpress que estava tentando fazer a integração com o WHMCS para testes. Ela foi feita pelo QuickInstall e era atualizada por ele. Mas pra tirar a dúvida desinstalei e removi completamente o diretório.

Já fiz todas as configurações adicionais de segurança do WHMCS (mudar os diretórios para o home) e alterei o admin.

Mudei a senha de Administrador do WHMCS, mudei a senha do Cpanel da revenda e de TODOS os clientes novamente.

Não sei mais o que falta fazer ... agora preciso que o pessoal da Hostgator analise os logs para ver se tem algo mais que indica o problema.

Obrigado pelas dicas ..não está facil

Link to comment
Share on other sites

24 minutos atrás, Andre Juliano disse:

Um outro ponto importante é, sempre mantenha os sites wordpress atualizados e tambem seus plugins.

Sistemas wordpress desatualizados são portas abertas para invasões.

O plugin rvslider desatualizado deve ter feito um bom estrago na internet (Seja desatualizado por descuido, seja por uso de temas nulled)

Se o colega não tiver uma proteção adicional ai no servidor, acho que poderá ter surpresas desagradaveis, pois pode ter contas comprometidas...etc

Sobre o phishing, dependendo da politica da hostgator, ainda existe o risco de você ser expulso do servidor, pois é uma violação grave "para o data center".

AtarWeb.com.br • Hospedagem de Site + SSL Grátis
█ Revenda de Hospedagem DirectAdmin SSD + SSL Grátis
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?