Suposto Exploit

[RNXTI]

Boa NOite,

Pessoal,

Eu tive o seguinte problema de ontem para hoje em meu servidor. Ontem por volta das 19horas da noite eu tive um cadastro usou um cupom antigo e a conta foi liberada eu suspeito logo bloquiei, ate ai ok, hoje um parceiro meu entrou em contato dizendo que o seu arquivo wp-config estava com varios links direcionando para outros sites, o engraçado que e so o wp-config, verifiquei outros sistemas o joomla e nada ocorreu e tb so foram em alguns wordpress, acredito que esse scadastro suspeito enviou algum arquivo estilo exploit que apenas foi nos wp-config e foram apenas uns 7 de todos os 12 que possuo no server. E o estranho e que o server em momento algum apresentou lentidão. Utilizo os seguintes Plugins em meu server:

* Easy WHM Backup

* Addon Script Manager

* Clean Backups

* ConfigServer Mail Manage

* ConfigServer Mail Queues

* ConfigServer ModSec Control

* ConfigServer eXploit Scanner

* ConfigServer Security&Firewall

* Configure ClamAV Scanner

* Configure cPanel Cron Times

* Fantastico De Luxe WHM Admin

* Mod Security

* Munin Service Monitor

* RVSiteBuilder Manager

* RVSkin Manager

* Setup Spamd Startup Configuration

* Softaculous - Instant Installs

* System Log Viewer - LogView

* Xtra Ultimate

Medidas que tomei:

O whmcs precisa de alguns regras do Mod Securyt, usnaod o progrma # ConfigServer * ModSec Control bloqueie todas as regras, so liberando elas no site que necessecito, como acredito que foi um mini exploit.

* Estou passando o # ConfigServer eXploit Scanner nesse momento no servidor e ate agora nada foi encontrado, ainda falta 40 contas.

* Estarei apos isso testando todas as contas e verificando arquivos.

* Estarei verificando logs de ontem e hoje.

* Estarei entrando em contato com a softlayer para eles me ajudarem a rasterar para ver da onde veio.

Gostaria da opniao de vocÇes o que acham que foi ? AS medidas que tomei foram adequadas ? Como posso melhorar essa parte de segurança.

Desde ja agradeço a todos.

[RNXTI]

Estou achando que pode ter sido uma contaninação do muni segue logs que recebi a respeito do muni:

Time: Tue Feb 15 16:01:16 2011 -0200

PID: 7458

Account: munin

Uptime: 74 seconds

Executable:

/usr/bin/perl

Command Line (often faked in exploits):

/usr/share/munin/munin-update [linux.hpserver01.com]

Network connections by the process (if any):

tcp: 127.0.0.1:37991 -> 127.0.0.1:4949

Ja desistalei o munim do server.

[tekobr]

Conseguiu resolver com a desinstalação do munin?

[RNXTI]

Conseguiu resolver com a desinstalação do munin?

Os envios de email com atividades suspeitas do munin pararam, no server ja rodei antivirus, cxs e nada encontrado, eu acho que foi realmente essa conta, que tentou rodar algum sistema que inclui links no WP-Config.php do Wordpress, pois so apenas 7 wordpress tiveram problemas, Graças a Deus um de um cliente e os outros era meu então cliente nenhum foi afetado ate pq o server em momento nenhum apresentou lentidão ou processamentos em excesso.

[RNXTI]

Resolvido,

Apos junto com a cpanel avaliarmos e o problema aconteceu por ftp, as contas que tiveram problemas foram todas onde um mesmo programador(Meu de confiança) tinha acesso, a maquina dele estava contaminada, então por isso so aconteceu nos sites onde ele utiliza.

O Cpanel passou o pente fino no server e esta tudo 100%. Gostaria de alerta-los sobre os seguintes ips:

91.65.1.93

188.195.161.134

187.112.226.79

81.110.231.37

Esse ip 91.65.1.93 pertece uma empresa DE:

person: Fred Mattig

address: Kabel Deutschland Breitband Services GmbH

address: Germaniastr. 17

address: 12099 Berlin

address: DE

phone: +49 30 4193 3200

fax-no: +49 (0) 30 4193 3119

abuse-mailbox: abuse@kabel-bb.de

nic-hdl: FM464-RIPE

mnt-by: MNT-KABELDEUTSCHLAND

source: RIPE # Filtered

Esse 188.195.161.134 fica na DE.

person: Marcus Masche

address: Kabel Deutschland Breitband Services GmbH

Germaniastr 14-17

12099 Berlin

fax-no: +49 89 96010 195

phone: +49 30 4193 3816

nic-hdl: MM12216-RIPE

mnt-by: MNT-KABELDEUTSCHLAND

source: RIPE # Filtered

Fiquem alertas pois a cpanel que DE estão dando muito esses problemas.

A cpanel recomendou utilizar o maximo o FTP, eles disseram que criaram o gerenciador online para que não se utiliza-se ftp. Pois o Gerenciador online e mais seguro que o FTP.

Mas uma vezes gostaria de agradecer a todos do Portal do Host. Esta tudo certo foi apenas um susto e o server esta ok.

[RNXTI]

Ja ia me esquecendo, Podem Trancar o Topico. Considero como Problema resolvido.

[Marco Antonio]

A pedido do usuario, topico trancado!