Jump to content
Sign in to follow this  
owsbr

Novo ataque na praça?

Recommended Posts

Boa tarde Srs.

Após longos dias de ataques de bruteforce sentido por todos e amplamente discutido aqui:

Eu recebi o que parece ser um novo tipo de ataque (assim espero) que me chamou muito a atenção:

scn_27092018_01490.thumb.png.5d3bab5a76ec076112b99cfadf486df0.png

É como se o usuário root estivesse abrindo dezenas de conexões do cPanel, o estranho é que ao pesquisar pelos IP's eu tenho os seguintes logs:
 

179.209.108.92 - - [09/27/2018:16:32:25 -0000] "-" 503 0 "-" "-" "-" "-" 2082
179.209.108.92 - - [09/27/2018:16:36:35 -0000] "-" 503 0 "-" "-" "-" "-" 2082
179.209.108.92 - - [09/27/2018:16:44:17 -0000] "-" 503 0 "-" "-" "-" "-" 2082

191.193.7.38 - - [09/27/2018:17:23:27 -0000] "-" 503 0 "-" "-" "-" "-" 2082
191.193.7.38 - - [09/27/2018:17:29:36 -0000] "-" 503 0 "-" "-" "-" "-" 2082
191.193.7.38 - - [09/27/2018:17:33:00 -0000] "-" 503 0 "-" "-" "-" "-" 2082

Fiz um teste tentando acessar o cPanel de qualquer conta via user + pass root e não obtive sucesso.
Acessei o WHM - cPanel do Usuário e nos processos + logs ele exibe o usuário em questão e não o root.

Agora estou em dúvida se meu servidor foi comprometido, se é uma tentativa de ataque e/ou algum tipo de bug da nova versão 11.74.

 

Alguém já passou por isso?

 

 


OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

Share this post


Link to post
Share on other sites
52 minutos atrás, owsbr disse:

Boa tarde Srs.

Após longos dias de ataques de bruteforce sentido por todos e amplamente discutido aqui:

Eu recebi o que parece ser um novo tipo de ataque (assim espero) que me chamou muito a atenção:

scn_27092018_01490.thumb.png.5d3bab5a76ec076112b99cfadf486df0.png

É como se o usuário root estivesse abrindo dezenas de conexões do cPanel, o estranho é que ao pesquisar pelos IP's eu tenho os seguintes logs:
 


179.209.108.92 - - [09/27/2018:16:32:25 -0000] "-" 503 0 "-" "-" "-" "-" 2082
179.209.108.92 - - [09/27/2018:16:36:35 -0000] "-" 503 0 "-" "-" "-" "-" 2082
179.209.108.92 - - [09/27/2018:16:44:17 -0000] "-" 503 0 "-" "-" "-" "-" 2082

191.193.7.38 - - [09/27/2018:17:23:27 -0000] "-" 503 0 "-" "-" "-" "-" 2082
191.193.7.38 - - [09/27/2018:17:29:36 -0000] "-" 503 0 "-" "-" "-" "-" 2082
191.193.7.38 - - [09/27/2018:17:33:00 -0000] "-" 503 0 "-" "-" "-" "-" 2082

Fiz um teste tentando acessar o cPanel de qualquer conta via user + pass root e não obtive sucesso.
Acessei o WHM - cPanel do Usuário e nos processos + logs ele exibe o usuário em questão e não o root.

Agora estou em dúvida se meu servidor foi comprometido, se é uma tentativa de ataque e/ou algum tipo de bug da nova versão 11.74.

 

Alguém já passou por isso?

 

 

é tentativa de brute force na porta não segura do CPanel, recomedaria bloquear e deixar só as portas com SSL aberta.

  • Like 1

Hospedagem, Revendas, Servidores VPS - [Adven Host]

Share this post


Link to post
Share on other sites
1 minuto atrás, LucianoZ disse:

é tentativa de brute force na porta não segura do CPanel, recomedaria bloquear e deixar só as portas com SSL aberta.

Pois é, imaginei isso MAS o que me chama a atenção é que não há logs de bruteforce nessa porta/serviço.

É como se houvesse alguém logado com conta root acessando as contas dos usuários via WHM (sem necessidade da senha do usuário final).

Bem estranho isso.


OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

Share this post


Link to post
Share on other sites
2 minutos atrás, owsbr disse:

Pois é, imaginei isso MAS o que me chama a atenção é que não há logs de bruteforce nessa porta/serviço.

É como se houvesse alguém logado com conta root acessando as contas dos usuários via WHM (sem necessidade da senha do usuário final).

Bem estranho isso.

Então no mesmo tempo que você teve, aconteceu em um servidor aqui, unica solução é a porta em down.

Sobre acesso, creio que não tenham conseguido, mas tentaram bruteforce isso consequentemente vai subir load.


Hospedagem, Revendas, Servidores VPS - [Adven Host]

Share this post


Link to post
Share on other sites

Boa tarde!
Desabilite o mod_cpanel em seu apache e verifique se o problema sanou, estava com esses processos, diversos deles criando uma sobre carga nunca vista antes, ao analisar, notei que erá o mod_cpanel, o desabilitei e entrei em contato com a equipe técnica do cPanel para eles verificarem, e sim, descobriram um bug no mod_cpanel.

Veja nas imagens abaixo que após o meu relato, outros chegaram ao cPanel, e isso os deu um pouco de trabalho, até entraram em contato conosco para trabalhar em uma correção em cima de nosso servidor.

 

Screenshot_1.png

 

 

Screenshot_2.png

 

 

Screenshot_3.png

 

 

Screenshot_4.png

 

 

Screenshot_5.png

 

 

Screenshot_6.png

 

Esperou que seja apenas isso.

  • Like 1

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Share this post


Link to post
Share on other sites
6 minutos atrás, Maik disse:

desculpa a pergunta pra que serve o mod_cpanel kkkkk

Boa noite,

Foi criado para auxiliar o  processo de  solicitações do Apache. Este módulo armazena em cache solicitações para o htaccess de arquivos que não existem, o que permite que o Apache pule esses arquivos quando processar solicitações posteriores. 

https://documentation.cpanel.net/display/EA4/Apache+Module%3A+cPanel


DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Share this post


Link to post
Share on other sites
2 horas atrás, DELTA SERVERS disse:

Boa tarde!
Desabilite o mod_cpanel em seu apache e verifique se o problema sanou, estava com esses processos, diversos deles criando uma sobre carga nunca vista antes, ao analisar, notei que erá o mod_cpanel, o desabilitei e entrei em contato com a equipe técnica do cPanel para eles verificarem, e sim, descobriram um bug no mod_cpanel.

Veja nas imagens abaixo que após o meu relato, outros chegaram ao cPanel, e isso os deu um pouco de trabalho, até entraram em contato conosco para trabalhar em uma correção em cima de nosso servidor. 

 

Screenshot_1.png

 

 

Screenshot_2.png

 

 

Screenshot_3.png

 

 

Screenshot_4.png

 

 

Screenshot_5.png

 

 

Screenshot_6.png

 

Esperou que seja apenas isso.

Interessante isso, algo que me chamou a atenção é que não causou nenhuma sobrecarga no servidor...absolutamente nada.

Em uma inspeção de rotina eu vi essa quantidade de processos rodando o cPanel e com usuário root....achei extremamente estranho já que com absoluta certeza minha senha não vazou.

No seu caso, na época era o mesmo "sintoma"? Inúmeros processos root rodando o cPanel ?


OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

Share this post


Link to post
Share on other sites
4 minutos atrás, owsbr disse:

Interessante isso, algo que me chamou a atenção é que não causou nenhuma sobrecarga no servidor...absolutamente nada.

Em uma inspeção de rotina eu vi essa quantidade de processos rodando o cPanel e com usuário root....achei extremamente estranho já que com absoluta certeza minha senha não vazou.

No seu caso, na época era o mesmo "sintoma"? Inúmeros processos root rodando o cPanel ?

Boa noite!

Sim, ocorreu em servidores de clientes e outros cujo gerenciamos, as vezes dava um pico no load e do nada voltava ao normal, só que o CSF informava que o load subiu por X momento. Ao analisar esses avisos, notei o causador do problema, ao desabilitar sanamos esses problemas.


DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Share this post


Link to post
Share on other sites
Agora, DELTA SERVERS disse:

Boa noite!

Sim, ocorreu em servidores de clientes e outros cujo gerenciamos, as vezes dava um pico no load e do nada voltava ao normal, só que o CSF informava que o load subiu por X momento. Ao analisar esses avisos, notei o causador do problema, ao desabilitar sanamos esses problemas.

Entendi, chequei aqui e o servidor do meu cliente ainda está no EA3 SEM mod_cpanel....
Acho que vou acionar a turma do CLoudLinux (que respondem mais rápido que do cPanel) para verificarem.

Mas fico mais "calmo" suspeitando que seja apenas um bug.


OwnServer | Soluções Corporativas & Gerenciamento de Servidores | www.ownserver.com.br

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.




×
×
  • Create New...