Administration NullRoute Posted September 27, 2018 Administration Share Posted September 27, 2018 Boa tarde Srs. Após longos dias de ataques de bruteforce sentido por todos e amplamente discutido aqui: Eu recebi o que parece ser um novo tipo de ataque (assim espero) que me chamou muito a atenção: É como se o usuário root estivesse abrindo dezenas de conexões do cPanel, o estranho é que ao pesquisar pelos IP's eu tenho os seguintes logs: 179.209.108.92 - - [09/27/2018:16:32:25 -0000] "-" 503 0 "-" "-" "-" "-" 2082 179.209.108.92 - - [09/27/2018:16:36:35 -0000] "-" 503 0 "-" "-" "-" "-" 2082 179.209.108.92 - - [09/27/2018:16:44:17 -0000] "-" 503 0 "-" "-" "-" "-" 2082 191.193.7.38 - - [09/27/2018:17:23:27 -0000] "-" 503 0 "-" "-" "-" "-" 2082 191.193.7.38 - - [09/27/2018:17:29:36 -0000] "-" 503 0 "-" "-" "-" "-" 2082 191.193.7.38 - - [09/27/2018:17:33:00 -0000] "-" 503 0 "-" "-" "-" "-" 2082 Fiz um teste tentando acessar o cPanel de qualquer conta via user + pass root e não obtive sucesso. Acessei o WHM - cPanel do Usuário e nos processos + logs ele exibe o usuário em questão e não o root. Agora estou em dúvida se meu servidor foi comprometido, se é uma tentativa de ataque e/ou algum tipo de bug da nova versão 11.74. Alguém já passou por isso? 0 Quote Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um". Link to comment Share on other sites More sharing options...
LucianoZ Posted September 27, 2018 Share Posted September 27, 2018 52 minutos atrás, owsbr disse: Boa tarde Srs. Após longos dias de ataques de bruteforce sentido por todos e amplamente discutido aqui: Eu recebi o que parece ser um novo tipo de ataque (assim espero) que me chamou muito a atenção: É como se o usuário root estivesse abrindo dezenas de conexões do cPanel, o estranho é que ao pesquisar pelos IP's eu tenho os seguintes logs: 179.209.108.92 - - [09/27/2018:16:32:25 -0000] "-" 503 0 "-" "-" "-" "-" 2082 179.209.108.92 - - [09/27/2018:16:36:35 -0000] "-" 503 0 "-" "-" "-" "-" 2082 179.209.108.92 - - [09/27/2018:16:44:17 -0000] "-" 503 0 "-" "-" "-" "-" 2082 191.193.7.38 - - [09/27/2018:17:23:27 -0000] "-" 503 0 "-" "-" "-" "-" 2082 191.193.7.38 - - [09/27/2018:17:29:36 -0000] "-" 503 0 "-" "-" "-" "-" 2082 191.193.7.38 - - [09/27/2018:17:33:00 -0000] "-" 503 0 "-" "-" "-" "-" 2082 Fiz um teste tentando acessar o cPanel de qualquer conta via user + pass root e não obtive sucesso. Acessei o WHM - cPanel do Usuário e nos processos + logs ele exibe o usuário em questão e não o root. Agora estou em dúvida se meu servidor foi comprometido, se é uma tentativa de ataque e/ou algum tipo de bug da nova versão 11.74. Alguém já passou por isso? é tentativa de brute force na porta não segura do CPanel, recomedaria bloquear e deixar só as portas com SSL aberta. 1 Quote Chamou? Estamos ai! Link to comment Share on other sites More sharing options...
Administration NullRoute Posted September 27, 2018 Author Administration Share Posted September 27, 2018 1 minuto atrás, LucianoZ disse: é tentativa de brute force na porta não segura do CPanel, recomedaria bloquear e deixar só as portas com SSL aberta. Pois é, imaginei isso MAS o que me chama a atenção é que não há logs de bruteforce nessa porta/serviço. É como se houvesse alguém logado com conta root acessando as contas dos usuários via WHM (sem necessidade da senha do usuário final). Bem estranho isso. 0 Quote Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um". Link to comment Share on other sites More sharing options...
LucianoZ Posted September 27, 2018 Share Posted September 27, 2018 2 minutos atrás, owsbr disse: Pois é, imaginei isso MAS o que me chama a atenção é que não há logs de bruteforce nessa porta/serviço. É como se houvesse alguém logado com conta root acessando as contas dos usuários via WHM (sem necessidade da senha do usuário final). Bem estranho isso. Então no mesmo tempo que você teve, aconteceu em um servidor aqui, unica solução é a porta em down. Sobre acesso, creio que não tenham conseguido, mas tentaram bruteforce isso consequentemente vai subir load. 0 Quote Chamou? Estamos ai! Link to comment Share on other sites More sharing options...
DELTA SERVERS Posted September 27, 2018 Share Posted September 27, 2018 Boa tarde! Desabilite o mod_cpanel em seu apache e verifique se o problema sanou, estava com esses processos, diversos deles criando uma sobre carga nunca vista antes, ao analisar, notei que erá o mod_cpanel, o desabilitei e entrei em contato com a equipe técnica do cPanel para eles verificarem, e sim, descobriram um bug no mod_cpanel. Veja nas imagens abaixo que após o meu relato, outros chegaram ao cPanel, e isso os deu um pouco de trabalho, até entraram em contato conosco para trabalhar em uma correção em cima de nosso servidor. Esperou que seja apenas isso. 1 Quote DELTA SERVERS SOLUÇÕES CORPORATIVAS! Link to comment Share on other sites More sharing options...
MMHospedagem Posted September 27, 2018 Share Posted September 27, 2018 desculpa a pergunta pra que serve o mod_cpanel kkkkk 0 Quote Link to comment Share on other sites More sharing options...
DELTA SERVERS Posted September 27, 2018 Share Posted September 27, 2018 6 minutos atrás, Maik disse: desculpa a pergunta pra que serve o mod_cpanel kkkkk Boa noite, Foi criado para auxiliar o processo de solicitações do Apache. Este módulo armazena em cache solicitações para o htaccess de arquivos que não existem, o que permite que o Apache pule esses arquivos quando processar solicitações posteriores. https://documentation.cpanel.net/display/EA4/Apache+Module%3A+cPanel 0 Quote DELTA SERVERS SOLUÇÕES CORPORATIVAS! Link to comment Share on other sites More sharing options...
Administration NullRoute Posted September 28, 2018 Author Administration Share Posted September 28, 2018 2 horas atrás, DELTA SERVERS disse: Boa tarde! Desabilite o mod_cpanel em seu apache e verifique se o problema sanou, estava com esses processos, diversos deles criando uma sobre carga nunca vista antes, ao analisar, notei que erá o mod_cpanel, o desabilitei e entrei em contato com a equipe técnica do cPanel para eles verificarem, e sim, descobriram um bug no mod_cpanel. Veja nas imagens abaixo que após o meu relato, outros chegaram ao cPanel, e isso os deu um pouco de trabalho, até entraram em contato conosco para trabalhar em uma correção em cima de nosso servidor. Esperou que seja apenas isso. Interessante isso, algo que me chamou a atenção é que não causou nenhuma sobrecarga no servidor...absolutamente nada. Em uma inspeção de rotina eu vi essa quantidade de processos rodando o cPanel e com usuário root....achei extremamente estranho já que com absoluta certeza minha senha não vazou. No seu caso, na época era o mesmo "sintoma"? Inúmeros processos root rodando o cPanel ? 0 Quote Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um". Link to comment Share on other sites More sharing options...
DELTA SERVERS Posted September 28, 2018 Share Posted September 28, 2018 4 minutos atrás, owsbr disse: Interessante isso, algo que me chamou a atenção é que não causou nenhuma sobrecarga no servidor...absolutamente nada. Em uma inspeção de rotina eu vi essa quantidade de processos rodando o cPanel e com usuário root....achei extremamente estranho já que com absoluta certeza minha senha não vazou. No seu caso, na época era o mesmo "sintoma"? Inúmeros processos root rodando o cPanel ? Boa noite! Sim, ocorreu em servidores de clientes e outros cujo gerenciamos, as vezes dava um pico no load e do nada voltava ao normal, só que o CSF informava que o load subiu por X momento. Ao analisar esses avisos, notei o causador do problema, ao desabilitar sanamos esses problemas. 0 Quote DELTA SERVERS SOLUÇÕES CORPORATIVAS! Link to comment Share on other sites More sharing options...
Administration NullRoute Posted September 28, 2018 Author Administration Share Posted September 28, 2018 Agora, DELTA SERVERS disse: Boa noite! Sim, ocorreu em servidores de clientes e outros cujo gerenciamos, as vezes dava um pico no load e do nada voltava ao normal, só que o CSF informava que o load subiu por X momento. Ao analisar esses avisos, notei o causador do problema, ao desabilitar sanamos esses problemas. Entendi, chequei aqui e o servidor do meu cliente ainda está no EA3 SEM mod_cpanel.... Acho que vou acionar a turma do CLoudLinux (que respondem mais rápido que do cPanel) para verificarem. Mas fico mais "calmo" suspeitando que seja apenas um bug. 0 Quote Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um". Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.