Ir para conteúdo
  • Cadastre-se

Ataques ou tentativas de acesso


RevendaHost

Posts Recomendados

Semanalmente uma certa pessoa ou script tenta acessar meus servidores via FTP, SMTP ou cPanel, usando outros servidores ou proxys de outros países ou do CloudUOL.

Vejam exemplos:

[2016-05-22 18:17:23 -0300] info [cpsrvd] 87.117.219.25 - chinatra "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN cpaneld: invalid cpanel user chinatra (loadcpdata failed)
2016-05-22 13:37:23 dovecot_login authenticator failed for 200-98-130-3.clouduol.com.br (ylmf-pc) [200.98.130.3]:64122: 535 Incorrect authentication data (set_id=carla)
2016-05-22 23:57:30 dovecot_login authenticator failed for (BSN-MAIL) [27.50.18.77]:41768: 535 Incorrect authentication data (set_id=account)

Esses são só alguns exemplos, porém a grande maioria das tentativas vêm deste host/PC ylmf-pc, conforme observado na 2ª linha. Alguns clientes meus, que tem servidores em outros datacenters também sobrem com tentativas de acesso vindas deste mesmo PC.

Alguém aqui tem passado por isso ou tem alguma pista sobre esse host?

 

 

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, AlmaLinux, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link para o comentário
Compartilhar em outros sites

Computadores e servidor invadidos rodando bootnet. YLMF-PC é um clássico.

É normal e não significa vulnerabilidade no teu servidor, um fail2ban e CSF resolve isto efetuando os bloqueios dos IPs.

Link para o comentário
Compartilhar em outros sites

 Hospedagem de Sites, Revenda de Hospedagem, Servidores Virtuais, Registro de Domínios
Link para o comentário
Compartilhar em outros sites

27 minutos atrás, Rodrigo Baldasso disse:

Computadores e servidor invadidos rodando bootnet. YLMF-PC é um clássico.

É normal e não significa vulnerabilidade no teu servidor, um fail2ban e CSF resolve isto efetuando os bloqueios dos IPs.

De vez em quando o CSF me envia essa notificações e é esse tal de ylmf-pc  hehehehe

Sempre bloqueia o IP depois de x tentativas. Agora eu sempre fiquei curioso pois na maioria das vezes ele usa nomes de usuário que existem em alguma conta no servidor, e sem falar que pode ser que uma hora acabe acertando algum login e consiga acessar.

Link para o comentário
Compartilhar em outros sites

1 hora atrás, PedroHenrique disse:

De vez em quando o CSF me envia essa notificações e é esse tal de ylmf-pc  hehehehe

Sempre bloqueia o IP depois de x tentativas. Agora eu sempre fiquei curioso pois na maioria das vezes ele usa nomes de usuário que existem em alguma conta no servidor, e sem falar que pode ser que uma hora acabe acertando algum login e consiga acessar.

Simples: ele pega os domínios dos clientes, faz um split e remove o .com.br, .com, www., etc. Pode olhar que muitas vezes ele pega exatamente o nome do domínio, e não o usuário exato.

Exemplo: www.madeirastatus.com.br

Tentativa de login com usuário: madeirastatus ao invés de madeiras (que é o usuário certo).

Dificilmente o bot vai conseguir acertar uma senha dificil em apenas 5 tentativas por vez em cada bot. Se a sua configuração de segurança de senha do cPanel estiver num nível bom, as chances são ínfimas..

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?