Andre Juliano Postado Outubro 1, 2018 Compartilhar Postado Outubro 1, 2018 (editado) Boa tarde A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo: http://www.amazon.es.sitedocliente.com/ Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda. Alguem já passou por isso? OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa. Editado Outubro 1, 2018 por Andre Juliano 0 Citar WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais (OpenVZ / KVM). Link para o comentário Compartilhar em outros sites More sharing options...
Administração NullRoute Postado Outubro 1, 2018 Administração Compartilhar Postado Outubro 1, 2018 Se você teve o servidor invadido uma vez então o melhor é migrar seus clientes e passar a régua no servidor qye com certeza já está comprometido. Em paralelo a isso a partir da versão 11.72 do WHM o cPHULK vem com uma função muito interessante e útil (ao meu ver) que é uma Country Blacklist que nos meus clientes fez com que invasões a contas de cPanel (por bruteforce/senhas vazada, etc..) caisse para praticamente 0. SE eu bloqueio a China, o cara pode ter senha de tudo que não vai conseguir logar no servidor (serviços cPanel/WHM/Email/FTP/etc..) Obs: só não testei ainda acesso via SSH pois minha vpn está bugada. Então o que recomendo fazer após a formatação do servidor é bloqueia a p**ra toda e libera apenas para BR e US e seja "feliz". SE não puder fazer isso, corra atrás dos logs, veja onde estão as brechas, etc...E se é apenas 1 cliente a causar tudo isso melhor dizer adeus a 1 do que de repente perder todos. 1 Citar Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um". Link para o comentário Compartilhar em outros sites More sharing options...
pluginscpanelwhm Postado Outubro 1, 2018 Compartilhar Postado Outubro 1, 2018 2 horas atrás, Andre Juliano disse: Boa tarde A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo: http://www.amazon.es.sitedocliente.com/ Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda. Alguem já passou por isso? OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa. Olá, mas se é somente 1 ip por que já não bloqueou o ip dele? o que são mais vulneraveis no cpanel são as portas só existe um meio de deixar seguro é bloqueando as portas e liberando o acesso somente para determinados países. 14 minutos atrás, owsbr disse: Se você teve o servidor invadido uma vez então o melhor é migrar seus clientes e passar a régua no servidor qye com certeza já está comprometido. Em paralelo a isso a partir da versão 11.72 do WHM o cPHULK vem com uma função muito interessante e útil (ao meu ver) que é uma Country Blacklist que nos meus clientes fez com que invasões a contas de cPanel (por bruteforce/senhas vazada, etc..) caisse para praticamente 0. SE eu bloqueio a China, o cara pode ter senha de tudo que não vai conseguir logar no servidor (serviços cPanel/WHM/Email/FTP/etc..) Obs: só não testei ainda acesso via SSH pois minha vpn está bugada. Então o que recomendo fazer após a formatação do servidor é bloqueia a p**ra toda e libera apenas para BR e US e seja "feliz". SE não puder fazer isso, corra atrás dos logs, veja onde estão as brechas, etc...E se é apenas 1 cliente a causar tudo isso melhor dizer adeus a 1 do que de repente perder todos. essa função "Country Blacklist " já existia no CSF que inclusive só assim que se resolve os problemas de invasão em cpanel. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
PedroHenrique Postado Outubro 1, 2018 Compartilhar Postado Outubro 1, 2018 A uns dias li sobre uma vulnerabilidade no cpanel. Quando a bloquear por paises faz pelo csf. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Andre Juliano Postado Outubro 1, 2018 Autor Compartilhar Postado Outubro 1, 2018 50 minutos atrás, pluginscpanelwhm disse: Olá, mas se é somente 1 ip por que já não bloqueou o ip dele? o que são mais vulneraveis no cpanel são as portas só existe um meio de deixar seguro é bloqueando as portas e liberando o acesso somente para determinados países. Obrigado pelo retorno, mas não é um unico ip. Sera que não estao acessando essas contas cpanel pelo acesso do revendedor? 0 Citar WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais (OpenVZ / KVM). Link para o comentário Compartilhar em outros sites More sharing options...
Administração NullRoute Postado Outubro 1, 2018 Administração Compartilhar Postado Outubro 1, 2018 3 minutos atrás, Andre Juliano disse: Obrigado pelo retorno, mas não é um unico ip. Sera que não estao acessando essas contas cpanel pelo acesso do revendedor? Tudo é possível por isso tranca a conta do cara e analisa todos os logs do servidor. É uma das melhores maneiras de se conseguir alguma informação útil para barrar esse f** que está invadindo. 0 Citar Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um". Link para o comentário Compartilhar em outros sites More sharing options...
Andre Juliano Postado Outubro 1, 2018 Autor Compartilhar Postado Outubro 1, 2018 Muito estranho isso, esse cliente ja esta comigo a anos, e so agora a uns dias começou isso. 0 Citar WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais (OpenVZ / KVM). Link para o comentário Compartilhar em outros sites More sharing options...
DELTA SERVERS Postado Outubro 1, 2018 Compartilhar Postado Outubro 1, 2018 3 horas atrás, Andre Juliano disse: Boa tarde A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo: http://www.amazon.es.sitedocliente.com/ Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda. Alguem já passou por isso? OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa. Boa tarde! 95% das causas é o cliente, o desktop dele pode está com vírus, ou ele está enviando arquivos com brechas, tenho um cliente que foi feito de tudo e sempre o servidor dele erá invadido e enviava spam, analisei e a solução foi aplicar o, https://applications.cpanel.net/listings/view/Admin-Ahead-Realtime-File-Upload-Scanner e o senhor, Pyxsoft Anti Malware & Security, além de que apliquei uma tolerância menor ao ips no Proteção de força bruta do cPHulk. Desde então nunca mais. 0 Citar DELTA SERVERS SOLUÇÕES CORPORATIVAS! Link para o comentário Compartilhar em outros sites More sharing options...
Andre Juliano Postado Outubro 1, 2018 Autor Compartilhar Postado Outubro 1, 2018 @DELTA SERVERS hoje tambem uso dessa forma, apos a instalação do Pyxsoft a 1 ano, nunca mais tive esse tipo de problema. Por isso vim pedir ajuda. O engraçado (que não é) somente as contas de uma revenda de um cliente são invadidas, e mesmo as contas que so possuem e-mail tambem são invadidas. 0 Citar WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais (OpenVZ / KVM). Link para o comentário Compartilhar em outros sites More sharing options...
DELTA SERVERS Postado Outubro 1, 2018 Compartilhar Postado Outubro 1, 2018 4 minutos atrás, Andre Juliano disse: @DELTA SERVERS hoje tambem uso dessa forma, apos a instalação do Pyxsoft a 1 ano, nunca mais tive esse tipo de problema. Por isso vim pedir ajuda. O engraçado (que não é) somente as contas de uma revenda de um cliente são invadidas, e mesmo as contas que so possuem e-mail tambem são invadidas. Já pensou em trabalhar com o OWASP ModSecurity Core Rule Set V3.0 do cPanel? 0 Citar DELTA SERVERS SOLUÇÕES CORPORATIVAS! Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.