Malware enviando email de conexões cPanel

[RevendaHost]

Como muitos sabem o cpanel possui a opção/função de enviar ao cliente um email quando um login é realizado em sua conta. Pois bem, a um tempo atrás um cliente me relatou o recebimento de spam em um conta no seu servidor, quando fui ver do que se tratava, eram dezenas de emails do cpanel informando ao cliente que um login havia sido realizado em uma de suas contas de email, e verificando o IP de origem, se tratava do proprio cliente (cliente do meu cliente) logando em sua conta. Então por momento eu fui no cpanel e desativei o envio de emails, mas mesmo assim os emails continuaram chegando no servidor.

Então depois de uma análise constatei que esses emails eram se tratam de algum malware que está infectando a rede do cliente, este malware conecta na conta de email do cliente e envia para outro email do mesmo dominio, a mensagem de elerta de login do cpanel, com header, corpo etc.  100% idêntico e por isso o exim e spamassassim aceitam a mensagem normalmente. Estes logins são sempre do mesmo IP fixo do cliente, e aparentemente ele usa o celular para logar.

Como não tenho acesso a rede do cliente do meu cliente, e também não tenho que me preocupar em procurar esse malware, a solução no momento foi alterar a senha da conta de email e filtrar as mensagens para que sejam descartadas. Deu certo, mas nos ultimos dias voltou a acontecer, mas a quantidade de mensagens é bem menor, ou seja, novamente a conta de email do cliente foi comprometida.

Desculpem o tamanho do post, mas acabou sendo preciso para tentar explicar o fato.

Pergunto: alguém conhece este malware, já passou por isso?

1 minuto atrás, RevendaHost disse:

"desativei o envio de emails"

Me refiro aos emails do cpanel de alerta de login

[Otavio]

@RevendaHost Peguei um caso parecido porem o cliente só usava desktop.

no caso quando consegui resolver tinha duas alternativas
 

1- criar uma autenticação de 2 passos já que esses malwares normalmente não passam por esta fase para logar no Cpanel.

2- Foi passar um bom antivírus nas maquinas que ele possuía no caos contratamos as licenças do kaspersky e junto com o suporte deles conseguimos eliminar o problema. 

 

Neste caso a segunda opção deu certo

mais sobre a autenticação recomendo que de uma lida neste tópico 

https://documentation.cpanel.net/display/68Docs/Two-Factor+Authentication+for+cPanel

[RevendaHost]

@Otavio, valeu pelas dicas.

No caso a autenticação de dois fatores eu geralmente não implemento, pois tem cliente que não gostam. Não sei o caso desse, já que se trata do cliente de um cliente. O meu cliente informou que solicitou a alteração da senha do email, vamos ver o que vai dar.

Em relação ao antivirus isso já foi falado na época, mas aí depende da pessoa tomar a iniciativa.