RNXTI Posted February 15, 2011 Share Posted February 15, 2011 Boa NOite, Pessoal, Eu tive o seguinte problema de ontem para hoje em meu servidor. Ontem por volta das 19horas da noite eu tive um cadastro usou um cupom antigo e a conta foi liberada eu suspeito logo bloquiei, ate ai ok, hoje um parceiro meu entrou em contato dizendo que o seu arquivo wp-config estava com varios links direcionando para outros sites, o engraçado que e so o wp-config, verifiquei outros sistemas o joomla e nada ocorreu e tb so foram em alguns wordpress, acredito que esse scadastro suspeito enviou algum arquivo estilo exploit que apenas foi nos wp-config e foram apenas uns 7 de todos os 12 que possuo no server. E o estranho e que o server em momento algum apresentou lentidão. Utilizo os seguintes Plugins em meu server: * Easy WHM Backup * Addon Script Manager * Clean Backups * ConfigServer Mail Manage * ConfigServer Mail Queues * ConfigServer ModSec Control * ConfigServer eXploit Scanner * ConfigServer Security&Firewall * Configure ClamAV Scanner * Configure cPanel Cron Times * Fantastico De Luxe WHM Admin * Mod Security * Munin Service Monitor * RVSiteBuilder Manager * RVSkin Manager * Setup Spamd Startup Configuration * Softaculous - Instant Installs * System Log Viewer - LogView * Xtra Ultimate Medidas que tomei: O whmcs precisa de alguns regras do Mod Securyt, usnaod o progrma # ConfigServer * ModSec Control bloqueie todas as regras, so liberando elas no site que necessecito, como acredito que foi um mini exploit. * Estou passando o # ConfigServer eXploit Scanner nesse momento no servidor e ate agora nada foi encontrado, ainda falta 40 contas. * Estarei apos isso testando todas as contas e verificando arquivos. * Estarei verificando logs de ontem e hoje. * Estarei entrando em contato com a softlayer para eles me ajudarem a rasterar para ver da onde veio. Gostaria da opniao de vocÇes o que acham que foi ? AS medidas que tomei foram adequadas ? Como posso melhorar essa parte de segurança. Desde ja agradeço a todos. Link to comment Share on other sites More sharing options...
RNXTI Posted February 15, 2011 Author Share Posted February 15, 2011 Estou achando que pode ter sido uma contaninação do muni segue logs que recebi a respeito do muni: Time: Tue Feb 15 16:01:16 2011 -0200 PID: 7458 Account: munin Uptime: 74 seconds Executable: /usr/bin/perl Command Line (often faked in exploits): /usr/share/munin/munin-update [linux.hpserver01.com] Network connections by the process (if any): tcp: 127.0.0.1:37991 -> 127.0.0.1:4949 Ja desistalei o munim do server. Link to comment Share on other sites More sharing options...
tekobr Posted February 15, 2011 Share Posted February 15, 2011 Conseguiu resolver com a desinstalação do munin? Link to comment Share on other sites More sharing options...
RNXTI Posted February 16, 2011 Author Share Posted February 16, 2011 Conseguiu resolver com a desinstalação do munin? Os envios de email com atividades suspeitas do munin pararam, no server ja rodei antivirus, cxs e nada encontrado, eu acho que foi realmente essa conta, que tentou rodar algum sistema que inclui links no WP-Config.php do Wordpress, pois so apenas 7 wordpress tiveram problemas, Graças a Deus um de um cliente e os outros era meu então cliente nenhum foi afetado ate pq o server em momento nenhum apresentou lentidão ou processamentos em excesso. Link to comment Share on other sites More sharing options...
RNXTI Posted February 16, 2011 Author Share Posted February 16, 2011 Resolvido, Apos junto com a cpanel avaliarmos e o problema aconteceu por ftp, as contas que tiveram problemas foram todas onde um mesmo programador(Meu de confiança) tinha acesso, a maquina dele estava contaminada, então por isso so aconteceu nos sites onde ele utiliza. O Cpanel passou o pente fino no server e esta tudo 100%. Gostaria de alerta-los sobre os seguintes ips: 91.65.1.93 188.195.161.134 187.112.226.79 81.110.231.37 Esse ip 91.65.1.93 pertece uma empresa DE: person: Fred Mattig address: Kabel Deutschland Breitband Services GmbH address: Germaniastr. 17 address: 12099 Berlin address: DE phone: +49 30 4193 3200 fax-no: +49 (0) 30 4193 3119 abuse-mailbox: [email protected] nic-hdl: FM464-RIPE mnt-by: MNT-KABELDEUTSCHLAND source: RIPE # Filtered Esse 188.195.161.134 fica na DE. person: Marcus Masche address: Kabel Deutschland Breitband Services GmbH Germaniastr 14-17 12099 Berlin fax-no: +49 89 96010 195 phone: +49 30 4193 3816 nic-hdl: MM12216-RIPE mnt-by: MNT-KABELDEUTSCHLAND source: RIPE # Filtered Fiquem alertas pois a cpanel que DE estão dando muito esses problemas. A cpanel recomendou utilizar o maximo o FTP, eles disseram que criaram o gerenciador online para que não se utiliza-se ftp. Pois o Gerenciador online e mais seguro que o FTP. Mas uma vezes gostaria de agradecer a todos do Portal do Host. Esta tudo certo foi apenas um susto e o server esta ok. Link to comment Share on other sites More sharing options...
RNXTI Posted February 16, 2011 Author Share Posted February 16, 2011 Ja ia me esquecendo, Podem Trancar o Topico. Considero como Problema resolvido. Link to comment Share on other sites More sharing options...
Marco Antonio Posted February 16, 2011 Share Posted February 16, 2011 A pedido do usuario, topico trancado! Link to comment Share on other sites More sharing options...
Recommended Posts