Andre Juliano Posted October 1, 2018 Share Posted October 1, 2018 (edited) Boa tarde A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo: http://www.amazon.es.sitedocliente.com/ Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda. Alguem já passou por isso? OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa. Edited October 1, 2018 by Andre Juliano 0 Quote WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais (OpenVZ / KVM). Link to comment Share on other sites More sharing options...
Administration NullRoute Posted October 1, 2018 Administration Share Posted October 1, 2018 Se você teve o servidor invadido uma vez então o melhor é migrar seus clientes e passar a régua no servidor qye com certeza já está comprometido. Em paralelo a isso a partir da versão 11.72 do WHM o cPHULK vem com uma função muito interessante e útil (ao meu ver) que é uma Country Blacklist que nos meus clientes fez com que invasões a contas de cPanel (por bruteforce/senhas vazada, etc..) caisse para praticamente 0. SE eu bloqueio a China, o cara pode ter senha de tudo que não vai conseguir logar no servidor (serviços cPanel/WHM/Email/FTP/etc..) Obs: só não testei ainda acesso via SSH pois minha vpn está bugada. Então o que recomendo fazer após a formatação do servidor é bloqueia a p**ra toda e libera apenas para BR e US e seja "feliz". SE não puder fazer isso, corra atrás dos logs, veja onde estão as brechas, etc...E se é apenas 1 cliente a causar tudo isso melhor dizer adeus a 1 do que de repente perder todos. 1 Quote Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um". Link to comment Share on other sites More sharing options...
pluginscpanelwhm Posted October 1, 2018 Share Posted October 1, 2018 2 horas atrás, Andre Juliano disse: Boa tarde A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo: http://www.amazon.es.sitedocliente.com/ Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda. Alguem já passou por isso? OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa. Olá, mas se é somente 1 ip por que já não bloqueou o ip dele? o que são mais vulneraveis no cpanel são as portas só existe um meio de deixar seguro é bloqueando as portas e liberando o acesso somente para determinados países. 14 minutos atrás, owsbr disse: Se você teve o servidor invadido uma vez então o melhor é migrar seus clientes e passar a régua no servidor qye com certeza já está comprometido. Em paralelo a isso a partir da versão 11.72 do WHM o cPHULK vem com uma função muito interessante e útil (ao meu ver) que é uma Country Blacklist que nos meus clientes fez com que invasões a contas de cPanel (por bruteforce/senhas vazada, etc..) caisse para praticamente 0. SE eu bloqueio a China, o cara pode ter senha de tudo que não vai conseguir logar no servidor (serviços cPanel/WHM/Email/FTP/etc..) Obs: só não testei ainda acesso via SSH pois minha vpn está bugada. Então o que recomendo fazer após a formatação do servidor é bloqueia a p**ra toda e libera apenas para BR e US e seja "feliz". SE não puder fazer isso, corra atrás dos logs, veja onde estão as brechas, etc...E se é apenas 1 cliente a causar tudo isso melhor dizer adeus a 1 do que de repente perder todos. essa função "Country Blacklist " já existia no CSF que inclusive só assim que se resolve os problemas de invasão em cpanel. 0 Quote Link to comment Share on other sites More sharing options...
PedroHenrique Posted October 1, 2018 Share Posted October 1, 2018 A uns dias li sobre uma vulnerabilidade no cpanel. Quando a bloquear por paises faz pelo csf. 0 Quote Link to comment Share on other sites More sharing options...
Andre Juliano Posted October 1, 2018 Author Share Posted October 1, 2018 50 minutos atrás, pluginscpanelwhm disse: Olá, mas se é somente 1 ip por que já não bloqueou o ip dele? o que são mais vulneraveis no cpanel são as portas só existe um meio de deixar seguro é bloqueando as portas e liberando o acesso somente para determinados países. Obrigado pelo retorno, mas não é um unico ip. Sera que não estao acessando essas contas cpanel pelo acesso do revendedor? 0 Quote WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais (OpenVZ / KVM). Link to comment Share on other sites More sharing options...
Administration NullRoute Posted October 1, 2018 Administration Share Posted October 1, 2018 3 minutos atrás, Andre Juliano disse: Obrigado pelo retorno, mas não é um unico ip. Sera que não estao acessando essas contas cpanel pelo acesso do revendedor? Tudo é possível por isso tranca a conta do cara e analisa todos os logs do servidor. É uma das melhores maneiras de se conseguir alguma informação útil para barrar esse f** que está invadindo. 0 Quote Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um". Link to comment Share on other sites More sharing options...
Andre Juliano Posted October 1, 2018 Author Share Posted October 1, 2018 Muito estranho isso, esse cliente ja esta comigo a anos, e so agora a uns dias começou isso. 0 Quote WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais (OpenVZ / KVM). Link to comment Share on other sites More sharing options...
DELTA SERVERS Posted October 1, 2018 Share Posted October 1, 2018 3 horas atrás, Andre Juliano disse: Boa tarde A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo: http://www.amazon.es.sitedocliente.com/ Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda. Alguem já passou por isso? OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa. Boa tarde! 95% das causas é o cliente, o desktop dele pode está com vírus, ou ele está enviando arquivos com brechas, tenho um cliente que foi feito de tudo e sempre o servidor dele erá invadido e enviava spam, analisei e a solução foi aplicar o, https://applications.cpanel.net/listings/view/Admin-Ahead-Realtime-File-Upload-Scanner e o senhor, Pyxsoft Anti Malware & Security, além de que apliquei uma tolerância menor ao ips no Proteção de força bruta do cPHulk. Desde então nunca mais. 0 Quote DELTA SERVERS SOLUÇÕES CORPORATIVAS! Link to comment Share on other sites More sharing options...
Andre Juliano Posted October 1, 2018 Author Share Posted October 1, 2018 @DELTA SERVERS hoje tambem uso dessa forma, apos a instalação do Pyxsoft a 1 ano, nunca mais tive esse tipo de problema. Por isso vim pedir ajuda. O engraçado (que não é) somente as contas de uma revenda de um cliente são invadidas, e mesmo as contas que so possuem e-mail tambem são invadidas. 0 Quote WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais (OpenVZ / KVM). Link to comment Share on other sites More sharing options...
DELTA SERVERS Posted October 1, 2018 Share Posted October 1, 2018 4 minutos atrás, Andre Juliano disse: @DELTA SERVERS hoje tambem uso dessa forma, apos a instalação do Pyxsoft a 1 ano, nunca mais tive esse tipo de problema. Por isso vim pedir ajuda. O engraçado (que não é) somente as contas de uma revenda de um cliente são invadidas, e mesmo as contas que so possuem e-mail tambem são invadidas. Já pensou em trabalhar com o OWASP ModSecurity Core Rule Set V3.0 do cPanel? 0 Quote DELTA SERVERS SOLUÇÕES CORPORATIVAS! Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.