Clicky

Ir para conteúdo

lordeleo

Invasão ao Servidor

Posts Recomendados

Bom dia pessoal,

Preciso de uma ajuda de vocês.

Temos revenda de hospedagem com a Hostgator.

Semana passada um cliente nosso entrou em contato informando que o seu site não estava acessível. Quando fomos verificar, abria uma tela toda vermelha informando:

Site enganoso à frente

Os invasores em www.dominiodocliente.com.br podem induzir você a fazer algo perigoso, como instalar um software ou revelar suas informações pessoais (por exemplo, senhas, números de telefone ou cartões de crédito).

Então fomos verificar nos arquivos do site do cliente, e encontramos alguns diretórios com conteúdo de phishing que haviam sido enviados. Imediatamente alterei a senha do cpanel do cliente, apaguei os arquivos, e reportei à hostgator solicitando logs de acesso para saber a origem do invasor e como acessou.

Enquanto o suporte EXTREMAMENTE DEMORADO da hostgator não respondia, decidi averiguar os arquivos de outros clientes. Para minha surpresa, descobri mais 5 clientes pelo menos que tinham sofrido ataques bem similares, só mudavam o nome das pastas e o conteúdo de phishing. Me preocupei na hora.

Na corrida alterei as senhas de Cpanel para TODOS os meus clientes.

Quando FINALMENTE o suporte respondeu (1 dia depois) (inadmissível para um assunto crítico) me passaram um LOG de acesso e só falaram que teria que cuidar as senhas, verificar vírus na maquina, e aquelas coisas que todos sabemos de cor ...

OBS: Uso gerador de senha com senhas impossíveis de se descobrir, o PC que controla a hospedagem é totalmente controlado, sem qualquer chance de virus.

Para minha surpresa ao analisar os logs, no dia seguinte em que eu troquei as senhas de TODOS meus clientes, alguém alterou NOVAMENTE todas elas. Vejam um trecho:

Citar

Sat Nov 21 06:31:24 2015 - 23.91.65.40 - infoby - XML-API: Changed password for proven
Sat Nov 21 06:31:44 2015 - 23.91.65.40 - infoby - XML-API: Changed password for signatur

O grande detalhe deste trecho, é que essas duas contas sequer são meus clientes de hospedagem.

E o acesso para alteraão da senha foi por "XML-API". O que seria isso exatamente? Eu sei que não foi pela interface do Cpanel/WHM, mas como utilizam esse "XML-API"?

Detalhe: aquela "chave de acesso" que se configura no WHM foi alterada recentemente justamente para não correr riscos, e removi ela e todas as senhas dos clientes do WHMCS.

Agora o pessoal da hostgator demora uma infinidade de tempo para me responder, e não sei mais o que fazer. Alguém (que não eu) tem mais controle do servidor que eu.

Não adianta eu alterar tudo denovo, que vão conseguir entrar e mudar. Não sei mais o que fazer.

Estou até desconfiado que possa ser algum funcionário de dentro da Hostgator mesmo, seria a única explicação. Os IPs de acesso são dos EUA e até Macedônia.

Por favor, me deem uma luz. Valeu a força

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Independente de descobrir o que é xml-api e antes do suporte responder seu ticket, recomendo que faça um backup de todas as contas com prioridade!!!


oGigante.com • Revenda de Hospedagem + Construtor de Site
█ CloudLinux • DNS Próprio • Softaculous PREMIUM • PHP 5.2 ao 5.7 • Proteção Adicional e +

Compartilhar este post


Link para o post
Compartilhar em outros sites
Agora, chuvadenovembro disse:

Independente de descobrir o que é xml-api e antes do suporte responder seu ticket, recomendo que faça um backup de todas as contas com prioridade!!!

Olá chuvadenovembro,

Obrigado pela dica. Isso foi a primeira coisa que fiz.

Diretório inicial completo e bancos de dados.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá, bom dia!

Note que você deve junto verificar o admin do seu WHMCS, ouvir casos de invasores acessar o admin do WHMCS e toma para sim acessos a contas de hospedagem, mude o diretório ou apliquei senha sobre a pasta.

Compartilhar este post


Link para o post
Compartilhar em outros sites
3 minutos atrás, Pedro Sodre disse:

Está parecendo falha no WHMCS. Seu software é original e está atualizado? Mude a senha da hospedagem que o WHMCS está e dos admins no WHMCS, além disso altere a senha que conecta o WHMCS no WHM.

Também desconfiei do WHMCS faz algum tempinho já ... Porque seguidamente se cadastravam clientes americanos e tentavam ataques por SQL Inject ... isso aconteceu VARIAS vezes ... MAS...

Aí eu alterei a senha de administrador do WHMCS, alterei a chave de acesso do WHM e removi TODAS as ligações do WHMCS ao Cpanel.

Ou seja, o WHMCS não tem nenhuma senha ou ligação com o Cpanel mais. A pasta de admim é a padrão ainda, mas já vou tentar alterar isso também.

E sim, o WHMCS é original, com licença, e está sempre atualizado.

Será que mesmo com o WHMCS sem qualquer tipo de automação, sem senhas, ele ainda conseguiria prejudicar minha conta principal?

Obrigado pela ajuda

Compartilhar este post


Link para o post
Compartilhar em outros sites

Se seu sistema libera automaticamente as contas de hospedagem, pode mudar a senha pelo WHMCS. Tem que verificar se seus clientes não foram afetados, vai que esse invaso esteja conectando a área do cliente.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.



×
×
  • Criar Novo...