Senha do webmail parou de funcionar

[apogeu]

Bom dia Pessoal.

Hoje um cliente me reportou que as senhas de todos os usuários que acessam o webmail pararam de funcionar. 
Achei estranho pois o problema não foi somente em 1 domínio, algumas contas de e-mail de outros domínios neste mesmo servidor que roda WHM também deram problema com senha tendo que ser redefinida para voltar a funcionar . 

Alguém sabe o motivo, ou já teve problema similar?

[Fabio S Araujo]

6 horas atrás, apogeu disse:

Bom dia Pessoal.

Hoje um cliente me reportou que as senhas de todos os usuários que acessam o webmail pararam de funcionar. 
Achei estranho pois o problema não foi somente em 1 domínio, algumas contas de e-mail de outros domínios neste mesmo servidor que roda WHM também deram problema com senha tendo que ser redefinida para voltar a funcionar . 

Alguém sabe o motivo, ou já teve problema similar?

Hoje tive um problema similar, mas é só na rede do cliente, na minha maquina consigo acessar o webmail dele, adicionei o Ip dele na white list do cpanel, reiniciei modem e nada, pelo Outlook funciona tudo.

Qual a operadora de internet desse seu cliente?

[apogeu]

Este problema de rede também já aconteceu comigo, e quando colocava o ip no white list voltava a funcionar... 

Mas o problema de hoje não resolveu com a inclusão do ip na WL, e creio que não seja o provedor nem rede, pois mais clientes reportaram o problema, Rio Grande do Sul (1 cliente), Minas Gerais (4, em cidades diferentes, com provedores diferentes). 
O problema ocorre não só no webmail, o outlook também não autentica. Só volta a funcionar com a alteração da senha do email no cPanel. 

[RevendaHost]

Isso é algo que vai acontecer de acordo com a configuração do nível de segurança da senha. Se tiver alterado recentemente, depois de um tempo todos os logins vão falhar (voltar para a tela de login). Basta altera as senhas com mais complexidade.

[apogeu]

O pessoal da HG identificou o problema. 

verificação em seu servidor e encontrei vários arquivos maliciosos em sua conta:
Dentre estes o arquivo 10.php tem uma função que altera todas as senhas de seus emails através do arquivo shadow de sua conta, realiznado uma investigação da invasão vimos que a mesma ocorreu através de ma vulnerabilidade no plugin com_foxcontact do joomla, que permitiu o upload de um arquivo malicioso:

Segue a referência para a invasão: https://cxsecurity.com/issue/WLB-2016050072

Removemos os arquivos desta conta e pedimos que verifique se nenhuma função do site foi afetada, pois então podemos remover dos demais sites.