Jump to content
Sign in to follow this  
RevendaHost

Malware enviando email de conexões cPanel

Recommended Posts

Como muitos sabem o cpanel possui a opção/função de enviar ao cliente um email quando um login é realizado em sua conta. Pois bem, a um tempo atrás um cliente me relatou o recebimento de spam em um conta no seu servidor, quando fui ver do que se tratava, eram dezenas de emails do cpanel informando ao cliente que um login havia sido realizado em uma de suas contas de email, e verificando o IP de origem, se tratava do proprio cliente (cliente do meu cliente) logando em sua conta. Então por momento eu fui no cpanel e desativei o envio de emails, mas mesmo assim os emails continuaram chegando no servidor.

Então depois de uma análise constatei que esses emails eram se tratam de algum malware que está infectando a rede do cliente, este malware conecta na conta de email do cliente e envia para outro email do mesmo dominio, a mensagem de elerta de login do cpanel, com header, corpo etc.  100% idêntico e por isso o exim e spamassassim aceitam a mensagem normalmente. Estes logins são sempre do mesmo IP fixo do cliente, e aparentemente ele usa o celular para logar.

Como não tenho acesso a rede do cliente do meu cliente, e também não tenho que me preocupar em procurar esse malware, a solução no momento foi alterar a senha da conta de email e filtrar as mensagens para que sejam descartadas. Deu certo, mas nos ultimos dias voltou a acontecer, mas a quantidade de mensagens é bem menor, ou seja, novamente a conta de email do cliente foi comprometida.

Desculpem o tamanho do post, mas acabou sendo preciso para tentar explicar o fato.

Pergunto: alguém conhece este malware, já passou por isso?

1 minuto atrás, RevendaHost disse:

"desativei o envio de emails"

Me refiro aos emails do cpanel de alerta de login


Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress e Magento.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Share this post


Link to post
Share on other sites

@RevendaHost Peguei um caso parecido porem o cliente só usava desktop.

no caso quando consegui resolver tinha duas alternativas
 

1- criar uma autenticação de 2 passos já que esses malwares normalmente não passam por esta fase para logar no Cpanel.

2- Foi passar um bom antivírus nas maquinas que ele possuía no caos contratamos as licenças do kaspersky e junto com o suporte deles conseguimos eliminar o problema. 

 

Neste caso a segunda opção deu certo

mais sobre a autenticação recomendo que de uma lida neste tópico 

https://documentation.cpanel.net/display/68Docs/Two-Factor+Authentication+for+cPanel


Fox Soluções | (011) 3090 4444 / (011) 96841-9797 |  www.FoxSolucoes.com
 | Streaming Áudio | CentovaCast | Revendas de Streaming | Data Center Brasil  EUA | 
 | Streaming Vídeo | CastControl WOWZA | Revendas de Streaming | Data Center Brasil  EUA | 

Share this post


Link to post
Share on other sites

@Otavio, valeu pelas dicas.

No caso a autenticação de dois fatores eu geralmente não implemento, pois tem cliente que não gostam. Não sei o caso desse, já que se trata do cliente de um cliente. O meu cliente informou que solicitou a alteração da senha do email, vamos ver o que vai dar.

Em relação ao antivirus isso já foi falado na época, mas aí depende da pessoa tomar a iniciativa.


Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress e Magento.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.




×
×
  • Create New...