Ir para conteúdo
  • Cadastre-se

Invasão ao Servidor


lordeleo

Posts Recomendados

Bom dia pessoal,

Preciso de uma ajuda de vocês.

Temos revenda de hospedagem com a Hostgator.

Semana passada um cliente nosso entrou em contato informando que o seu site não estava acessível. Quando fomos verificar, abria uma tela toda vermelha informando:

Site enganoso à frente

Os invasores em www.dominiodocliente.com.br podem induzir você a fazer algo perigoso, como instalar um software ou revelar suas informações pessoais (por exemplo, senhas, números de telefone ou cartões de crédito).

Então fomos verificar nos arquivos do site do cliente, e encontramos alguns diretórios com conteúdo de phishing que haviam sido enviados. Imediatamente alterei a senha do cpanel do cliente, apaguei os arquivos, e reportei à hostgator solicitando logs de acesso para saber a origem do invasor e como acessou.

Enquanto o suporte EXTREMAMENTE DEMORADO da hostgator não respondia, decidi averiguar os arquivos de outros clientes. Para minha surpresa, descobri mais 5 clientes pelo menos que tinham sofrido ataques bem similares, só mudavam o nome das pastas e o conteúdo de phishing. Me preocupei na hora.

Na corrida alterei as senhas de Cpanel para TODOS os meus clientes.

Quando FINALMENTE o suporte respondeu (1 dia depois) (inadmissível para um assunto crítico) me passaram um LOG de acesso e só falaram que teria que cuidar as senhas, verificar vírus na maquina, e aquelas coisas que todos sabemos de cor ...

OBS: Uso gerador de senha com senhas impossíveis de se descobrir, o PC que controla a hospedagem é totalmente controlado, sem qualquer chance de virus.

Para minha surpresa ao analisar os logs, no dia seguinte em que eu troquei as senhas de TODOS meus clientes, alguém alterou NOVAMENTE todas elas. Vejam um trecho:

Citar

Sat Nov 21 06:31:24 2015 - 23.91.65.40 - infoby - XML-API: Changed password for proven
Sat Nov 21 06:31:44 2015 - 23.91.65.40 - infoby - XML-API: Changed password for signatur

O grande detalhe deste trecho, é que essas duas contas sequer são meus clientes de hospedagem.

E o acesso para alteraão da senha foi por "XML-API". O que seria isso exatamente? Eu sei que não foi pela interface do Cpanel/WHM, mas como utilizam esse "XML-API"?

Detalhe: aquela "chave de acesso" que se configura no WHM foi alterada recentemente justamente para não correr riscos, e removi ela e todas as senhas dos clientes do WHMCS.

Agora o pessoal da hostgator demora uma infinidade de tempo para me responder, e não sei mais o que fazer. Alguém (que não eu) tem mais controle do servidor que eu.

Não adianta eu alterar tudo denovo, que vão conseguir entrar e mudar. Não sei mais o que fazer.

Estou até desconfiado que possa ser algum funcionário de dentro da Hostgator mesmo, seria a única explicação. Os IPs de acesso são dos EUA e até Macedônia.

Por favor, me deem uma luz. Valeu a força

 

Link para o comentário
Compartilhar em outros sites

Agora, chuvadenovembro disse:

Independente de descobrir o que é xml-api e antes do suporte responder seu ticket, recomendo que faça um backup de todas as contas com prioridade!!!

Olá chuvadenovembro,

Obrigado pela dica. Isso foi a primeira coisa que fiz.

Diretório inicial completo e bancos de dados.

Link para o comentário
Compartilhar em outros sites

3 minutos atrás, Pedro Sodre disse:

Está parecendo falha no WHMCS. Seu software é original e está atualizado? Mude a senha da hospedagem que o WHMCS está e dos admins no WHMCS, além disso altere a senha que conecta o WHMCS no WHM.

Também desconfiei do WHMCS faz algum tempinho já ... Porque seguidamente se cadastravam clientes americanos e tentavam ataques por SQL Inject ... isso aconteceu VARIAS vezes ... MAS...

Aí eu alterei a senha de administrador do WHMCS, alterei a chave de acesso do WHM e removi TODAS as ligações do WHMCS ao Cpanel.

Ou seja, o WHMCS não tem nenhuma senha ou ligação com o Cpanel mais. A pasta de admim é a padrão ainda, mas já vou tentar alterar isso também.

E sim, o WHMCS é original, com licença, e está sempre atualizado.

Será que mesmo com o WHMCS sem qualquer tipo de automação, sem senhas, ele ainda conseguiria prejudicar minha conta principal?

Obrigado pela ajuda

Link para o comentário
Compartilhar em outros sites

30 minutos atrás, lordeleo disse:

Também desconfiei do WHMCS faz algum tempinho já ... Porque seguidamente se cadastravam clientes americanos e tentavam ataques por SQL Inject ... isso aconteceu VARIAS vezes ... MAS...

Aí eu alterei a senha de administrador do WHMCS, alterei a chave de acesso do WHM e removi TODAS as ligações do WHMCS ao Cpanel.

Ou seja, o WHMCS não tem nenhuma senha ou ligação com o Cpanel mais. A pasta de admim é a padrão ainda, mas já vou tentar alterar isso também.

E sim, o WHMCS é original, com licença, e está sempre atualizado.

Será que mesmo com o WHMCS sem qualquer tipo de automação, sem senhas, ele ainda conseguiria prejudicar minha conta principal?

Obrigado pela ajuda

Um outro ponto importante é, sempre mantenha os sites wordpress atualizados e tambem seus plugins.

Sistemas wordpress desatualizados são portas abertas para invasões.

WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais  (OpenVZ / KVM).

Link para o comentário
Compartilhar em outros sites

23 minutos atrás, Andre Juliano disse:

Um outro ponto importante é, sempre mantenha os sites wordpress atualizados e tambem seus plugins.

Sistemas wordpress desatualizados são portas abertas para invasões.

André,

Realmente eu tenho uma instalação do Wordpress que estava tentando fazer a integração com o WHMCS para testes. Ela foi feita pelo QuickInstall e era atualizada por ele. Mas pra tirar a dúvida desinstalei e removi completamente o diretório.

Já fiz todas as configurações adicionais de segurança do WHMCS (mudar os diretórios para o home) e alterei o admin.

Mudei a senha de Administrador do WHMCS, mudei a senha do Cpanel da revenda e de TODOS os clientes novamente.

Não sei mais o que falta fazer ... agora preciso que o pessoal da Hostgator analise os logs para ver se tem algo mais que indica o problema.

Obrigado pelas dicas ..não está facil

Link para o comentário
Compartilhar em outros sites

24 minutos atrás, Andre Juliano disse:

Um outro ponto importante é, sempre mantenha os sites wordpress atualizados e tambem seus plugins.

Sistemas wordpress desatualizados são portas abertas para invasões.

O plugin rvslider desatualizado deve ter feito um bom estrago na internet (Seja desatualizado por descuido, seja por uso de temas nulled)

Se o colega não tiver uma proteção adicional ai no servidor, acho que poderá ter surpresas desagradaveis, pois pode ter contas comprometidas...etc

Sobre o phishing, dependendo da politica da hostgator, ainda existe o risco de você ser expulso do servidor, pois é uma violação grave "para o data center".

AtarWeb.com.br • Hospedagem de Site + SSL Grátis
█ Revenda de Hospedagem DirectAdmin SSD + SSL Grátis
Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?