Ir para conteúdo
  • Cadastre-se

Malware enviando email de conexões cPanel


RevendaHost

Posts Recomendados

Como muitos sabem o cpanel possui a opção/função de enviar ao cliente um email quando um login é realizado em sua conta. Pois bem, a um tempo atrás um cliente me relatou o recebimento de spam em um conta no seu servidor, quando fui ver do que se tratava, eram dezenas de emails do cpanel informando ao cliente que um login havia sido realizado em uma de suas contas de email, e verificando o IP de origem, se tratava do proprio cliente (cliente do meu cliente) logando em sua conta. Então por momento eu fui no cpanel e desativei o envio de emails, mas mesmo assim os emails continuaram chegando no servidor.

Então depois de uma análise constatei que esses emails eram se tratam de algum malware que está infectando a rede do cliente, este malware conecta na conta de email do cliente e envia para outro email do mesmo dominio, a mensagem de elerta de login do cpanel, com header, corpo etc.  100% idêntico e por isso o exim e spamassassim aceitam a mensagem normalmente. Estes logins são sempre do mesmo IP fixo do cliente, e aparentemente ele usa o celular para logar.

Como não tenho acesso a rede do cliente do meu cliente, e também não tenho que me preocupar em procurar esse malware, a solução no momento foi alterar a senha da conta de email e filtrar as mensagens para que sejam descartadas. Deu certo, mas nos ultimos dias voltou a acontecer, mas a quantidade de mensagens é bem menor, ou seja, novamente a conta de email do cliente foi comprometida.

Desculpem o tamanho do post, mas acabou sendo preciso para tentar explicar o fato.

Pergunto: alguém conhece este malware, já passou por isso?

1 minuto atrás, RevendaHost disse:

"desativei o envio de emails"

Me refiro aos emails do cpanel de alerta de login

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress e Magento.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link para o comentário
Compartilhar em outros sites

@RevendaHost Peguei um caso parecido porem o cliente só usava desktop.

no caso quando consegui resolver tinha duas alternativas
 

1- criar uma autenticação de 2 passos já que esses malwares normalmente não passam por esta fase para logar no Cpanel.

2- Foi passar um bom antivírus nas maquinas que ele possuía no caos contratamos as licenças do kaspersky e junto com o suporte deles conseguimos eliminar o problema. 

 

Neste caso a segunda opção deu certo

mais sobre a autenticação recomendo que de uma lida neste tópico 

https://documentation.cpanel.net/display/68Docs/Two-Factor+Authentication+for+cPanel

Fox Soluções | (011) 3090 4444 / (011) 96841-9797 |  www.FoxSolucoes.com
 | Streaming Áudio | CentovaCast | Revendas de Streaming | Data Center Brasil  EUA | 
 | Streaming Vídeo | CastControl WOWZA | Revendas de Streaming | Data Center Brasil  EUA | 

Link para o comentário
Compartilhar em outros sites

@Otavio, valeu pelas dicas.

No caso a autenticação de dois fatores eu geralmente não implemento, pois tem cliente que não gostam. Não sei o caso desse, já que se trata do cliente de um cliente. O meu cliente informou que solicitou a alteração da senha do email, vamos ver o que vai dar.

Em relação ao antivirus isso já foi falado na época, mas aí depende da pessoa tomar a iniciativa.

Gerenciamento e otimização de servidores: Centos, Debian, Ubuntu, Cpanel e VestaCP.
Cloud otimizado e otimização para: Wordpress e Magento.
Virtualização: Implementação e gerenciamento Virtualizor, Proxmox, Openstack e VMware.

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?