Ir para conteúdo
  • Cadastre-se

Novo ataque na praça?

NullRoute

Por NullRoute
em Segurança

 Compartilhar

Posts Recomendados

  • Administração
NullRoute

NullRoute

Postado
  • Administração
Postado

Boa tarde Srs.

Após longos dias de ataques de bruteforce sentido por todos e amplamente discutido aqui:

Eu recebi o que parece ser um novo tipo de ataque (assim espero) que me chamou muito a atenção:

scn_27092018_01490.thumb.png.5d3bab5a76ec076112b99cfadf486df0.png

É como se o usuário root estivesse abrindo dezenas de conexões do cPanel, o estranho é que ao pesquisar pelos IP's eu tenho os seguintes logs:
  

179.209.108.92 - - [09/27/2018:16:32:25 -0000] "-" 503 0 "-" "-" "-" "-" 2082
179.209.108.92 - - [09/27/2018:16:36:35 -0000] "-" 503 0 "-" "-" "-" "-" 2082
179.209.108.92 - - [09/27/2018:16:44:17 -0000] "-" 503 0 "-" "-" "-" "-" 2082

191.193.7.38 - - [09/27/2018:17:23:27 -0000] "-" 503 0 "-" "-" "-" "-" 2082
191.193.7.38 - - [09/27/2018:17:29:36 -0000] "-" 503 0 "-" "-" "-" "-" 2082
191.193.7.38 - - [09/27/2018:17:33:00 -0000] "-" 503 0 "-" "-" "-" "-" 2082

Fiz um teste tentando acessar o cPanel de qualquer conta via user + pass root e não obtive sucesso.
Acessei o WHM - cPanel do Usuário e nos processos + logs ele exibe o usuário em questão e não o root.

Agora estou em dúvida se meu servidor foi comprometido, se é uma tentativa de ataque e/ou algum tipo de bug da nova versão 11.74.

 

Alguém já passou por isso?

 

 

0

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link para o comentário
Compartilhar em outros sites
LucianoZ

LucianoZ

Postado
Postado
52 minutos atrás, owsbr disse:

Boa tarde Srs.

Após longos dias de ataques de bruteforce sentido por todos e amplamente discutido aqui:

Eu recebi o que parece ser um novo tipo de ataque (assim espero) que me chamou muito a atenção:

scn_27092018_01490.thumb.png.5d3bab5a76ec076112b99cfadf486df0.png

É como se o usuário root estivesse abrindo dezenas de conexões do cPanel, o estranho é que ao pesquisar pelos IP's eu tenho os seguintes logs:
  


179.209.108.92 - - [09/27/2018:16:32:25 -0000] "-" 503 0 "-" "-" "-" "-" 2082
179.209.108.92 - - [09/27/2018:16:36:35 -0000] "-" 503 0 "-" "-" "-" "-" 2082
179.209.108.92 - - [09/27/2018:16:44:17 -0000] "-" 503 0 "-" "-" "-" "-" 2082

191.193.7.38 - - [09/27/2018:17:23:27 -0000] "-" 503 0 "-" "-" "-" "-" 2082
191.193.7.38 - - [09/27/2018:17:29:36 -0000] "-" 503 0 "-" "-" "-" "-" 2082
191.193.7.38 - - [09/27/2018:17:33:00 -0000] "-" 503 0 "-" "-" "-" "-" 2082

Fiz um teste tentando acessar o cPanel de qualquer conta via user + pass root e não obtive sucesso.
Acessei o WHM - cPanel do Usuário e nos processos + logs ele exibe o usuário em questão e não o root.

Agora estou em dúvida se meu servidor foi comprometido, se é uma tentativa de ataque e/ou algum tipo de bug da nova versão 11.74.

 

Alguém já passou por isso?

 

 

é tentativa de brute force na porta não segura do CPanel, recomedaria bloquear e deixar só as portas com SSL aberta.

1

Chamou? Estamos ai!

Link para o comentário
Compartilhar em outros sites
  • Administração
NullRoute

NullRoute

Postado
  • Autor
  • Administração
Postado
1 minuto atrás, LucianoZ disse:

é tentativa de brute force na porta não segura do CPanel, recomedaria bloquear e deixar só as portas com SSL aberta.

Pois é, imaginei isso MAS o que me chama a atenção é que não há logs de bruteforce nessa porta/serviço.

É como se houvesse alguém logado com conta root acessando as contas dos usuários via WHM (sem necessidade da senha do usuário final).

Bem estranho isso.

0

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link para o comentário
Compartilhar em outros sites
LucianoZ

LucianoZ

Postado
Postado
2 minutos atrás, owsbr disse:

Pois é, imaginei isso MAS o que me chama a atenção é que não há logs de bruteforce nessa porta/serviço.

É como se houvesse alguém logado com conta root acessando as contas dos usuários via WHM (sem necessidade da senha do usuário final).

Bem estranho isso.

Então no mesmo tempo que você teve, aconteceu em um servidor aqui, unica solução é a porta em down.

Sobre acesso, creio que não tenham conseguido, mas tentaram bruteforce isso consequentemente vai subir load.

0

Chamou? Estamos ai!

Link para o comentário
Compartilhar em outros sites
DELTA SERVERS

DELTA SERVERS

Postado
Postado

Boa tarde!
Desabilite o mod_cpanel em seu apache e verifique se o problema sanou, estava com esses processos, diversos deles criando uma sobre carga nunca vista antes, ao analisar, notei que erá o mod_cpanel, o desabilitei e entrei em contato com a equipe técnica do cPanel para eles verificarem, e sim, descobriram um bug no mod_cpanel.

Veja nas imagens abaixo que após o meu relato, outros chegaram ao cPanel, e isso os deu um pouco de trabalho, até entraram em contato conosco para trabalhar em uma correção em cima de nosso servidor.

 

Screenshot_1.png

 

 

Screenshot_2.png

 

 

Screenshot_3.png

 

 

Screenshot_4.png

 

 

Screenshot_5.png

 

 

Screenshot_6.png

 

Esperou que seja apenas isso.

1

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Link para o comentário
Compartilhar em outros sites
DELTA SERVERS

DELTA SERVERS

Postado
Postado
6 minutos atrás, Maik disse:

desculpa a pergunta pra que serve o mod_cpanel kkkkk

Boa noite,

Foi criado para auxiliar o  processo de  solicitações do Apache. Este módulo armazena em cache solicitações para o htaccess de arquivos que não existem, o que permite que o Apache pule esses arquivos quando processar solicitações posteriores. 

https://documentation.cpanel.net/display/EA4/Apache+Module%3A+cPanel

0

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Link para o comentário
Compartilhar em outros sites
  • Administração
NullRoute

NullRoute

Postado
  • Autor
  • Administração
Postado
2 horas atrás, DELTA SERVERS disse:

Boa tarde!
Desabilite o mod_cpanel em seu apache e verifique se o problema sanou, estava com esses processos, diversos deles criando uma sobre carga nunca vista antes, ao analisar, notei que erá o mod_cpanel, o desabilitei e entrei em contato com a equipe técnica do cPanel para eles verificarem, e sim, descobriram um bug no mod_cpanel.

Veja nas imagens abaixo que após o meu relato, outros chegaram ao cPanel, e isso os deu um pouco de trabalho, até entraram em contato conosco para trabalhar em uma correção em cima de nosso servidor. 

 

Screenshot_1.png

 

 

Screenshot_2.png

 

 

Screenshot_3.png

 

 

Screenshot_4.png

 

 

Screenshot_5.png

 

 

Screenshot_6.png

 

Esperou que seja apenas isso.

Interessante isso, algo que me chamou a atenção é que não causou nenhuma sobrecarga no servidor...absolutamente nada.

Em uma inspeção de rotina eu vi essa quantidade de processos rodando o cPanel e com usuário root....achei extremamente estranho já que com absoluta certeza minha senha não vazou.

No seu caso, na época era o mesmo "sintoma"? Inúmeros processos root rodando o cPanel ?

0

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link para o comentário
Compartilhar em outros sites
DELTA SERVERS

DELTA SERVERS

Postado
Postado
4 minutos atrás, owsbr disse:

Interessante isso, algo que me chamou a atenção é que não causou nenhuma sobrecarga no servidor...absolutamente nada.

Em uma inspeção de rotina eu vi essa quantidade de processos rodando o cPanel e com usuário root....achei extremamente estranho já que com absoluta certeza minha senha não vazou.

No seu caso, na época era o mesmo "sintoma"? Inúmeros processos root rodando o cPanel ?

Boa noite!

Sim, ocorreu em servidores de clientes e outros cujo gerenciamos, as vezes dava um pico no load e do nada voltava ao normal, só que o CSF informava que o load subiu por X momento. Ao analisar esses avisos, notei o causador do problema, ao desabilitar sanamos esses problemas.

0

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Link para o comentário
Compartilhar em outros sites
  • Administração
NullRoute

NullRoute

Postado
  • Autor
  • Administração
Postado
Agora, DELTA SERVERS disse:

Boa noite!

Sim, ocorreu em servidores de clientes e outros cujo gerenciamos, as vezes dava um pico no load e do nada voltava ao normal, só que o CSF informava que o load subiu por X momento. Ao analisar esses avisos, notei o causador do problema, ao desabilitar sanamos esses problemas.

Entendi, chequei aqui e o servidor do meu cliente ainda está no EA3 SEM mod_cpanel....
Acho que vou acionar a turma do CLoudLinux (que respondem mais rápido que do cPanel) para verificarem.

Mas fico mais "calmo" suspeitando que seja apenas um bug.

0

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept