Contas Cpanel Invadida

[Andre Juliano]

Boa tarde

A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo:

http://www.amazon.es.sitedocliente.com/

Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda.

Alguem já passou por isso?

OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa.

Editado Outubro 1, 2018 por Andre Juliano

[NullRoute]

Se você teve o servidor invadido uma vez então o melhor é migrar seus clientes e passar a régua no servidor qye com certeza já está comprometido.

Em paralelo a isso a partir da versão 11.72 do WHM o cPHULK vem com uma função muito interessante e útil (ao meu ver) que é uma Country Blacklist que nos meus clientes fez com que invasões a contas de cPanel (por bruteforce/senhas vazada, etc..) caisse para praticamente 0.

SE eu bloqueio a China, o cara pode ter senha de tudo que não vai conseguir logar no servidor (serviços cPanel/WHM/Email/FTP/etc..) Obs: só não testei ainda acesso via SSH pois minha vpn está bugada.

Então o que recomendo fazer após a formatação do servidor é bloqueia a p**ra toda e libera apenas para BR e US e seja "feliz".

SE não puder fazer isso, corra atrás dos logs, veja onde estão as brechas, etc...E se é apenas 1 cliente a causar tudo isso melhor dizer adeus a 1 do que de repente perder todos.

 

 

[pluginscpanelwhm]

2 horas atrás, Andre Juliano disse:

Boa tarde

A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo:

http://www.amazon.es.sitedocliente.com/

Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda.

Alguem já passou por isso?

OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa.

Olá,
mas se é somente 1 ip por que já não bloqueou o ip dele?
o que são mais vulneraveis no cpanel são as portas só existe um meio de  deixar seguro é bloqueando as portas e liberando o acesso somente para determinados países.
 

 

14 minutos atrás, owsbr disse:

Se você teve o servidor invadido uma vez então o melhor é migrar seus clientes e passar a régua no servidor qye com certeza já está comprometido.

Em paralelo a isso a partir da versão 11.72 do WHM o cPHULK vem com uma função muito interessante e útil (ao meu ver) que é uma Country Blacklist que nos meus clientes fez com que invasões a contas de cPanel (por bruteforce/senhas vazada, etc..) caisse para praticamente 0.

SE eu bloqueio a China, o cara pode ter senha de tudo que não vai conseguir logar no servidor (serviços cPanel/WHM/Email/FTP/etc..) Obs: só não testei ainda acesso via SSH pois minha vpn está bugada.

Então o que recomendo fazer após a formatação do servidor é bloqueia a p**ra toda e libera apenas para BR e US e seja "feliz".

SE não puder fazer isso, corra atrás dos logs, veja onde estão as brechas, etc...E se é apenas 1 cliente a causar tudo isso melhor dizer adeus a 1 do que de repente perder todos.

essa função "Country Blacklist " já existia no CSF que inclusive só assim que se resolve os problemas de invasão em cpanel.
 

 

 

[PedroHenrique]

A uns dias li sobre uma vulnerabilidade no cpanel.

Quando a bloquear por paises faz pelo csf.

[Andre Juliano]

50 minutos atrás, pluginscpanelwhm disse:

Olá,
mas se é somente 1 ip por que já não bloqueou o ip dele?
o que são mais vulneraveis no cpanel são as portas só existe um meio de  deixar seguro é bloqueando as portas e liberando o acesso somente para determinados países.
 

 

 

Obrigado pelo retorno, mas não é um unico ip.

Sera que não estao acessando essas contas cpanel pelo acesso do revendedor?

[NullRoute]

3 minutos atrás, Andre Juliano disse:

Obrigado pelo retorno, mas não é um unico ip.

Sera que não estao acessando essas contas cpanel pelo acesso do revendedor?

Tudo é possível por isso tranca a conta do cara e analisa todos os logs do servidor.
É uma das melhores maneiras de se conseguir alguma informação útil para barrar esse f** que está invadindo.

[Andre Juliano]

Muito estranho isso, esse cliente ja esta comigo a anos, e so agora  a uns dias começou isso.

[DELTA SERVERS]

3 horas atrás, Andre Juliano disse:

Boa tarde

A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo:

http://www.amazon.es.sitedocliente.com/

Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda.

Alguem já passou por isso?

OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa.

Boa tarde!
95% das causas é o cliente, o desktop dele pode está com vírus, ou ele está enviando arquivos com brechas, tenho um cliente que foi feito de tudo e sempre o servidor dele erá invadido e enviava spam, analisei e a solução foi aplicar o, https://applications.cpanel.net/listings/view/Admin-Ahead-Realtime-File-Upload-Scanner e o senhor, Pyxsoft Anti Malware & Security, além de que apliquei uma tolerância menor ao ips no Proteção de força bruta do cPHulk.

Desde então nunca mais.

 

 

[Andre Juliano]

@DELTA SERVERS hoje tambem uso dessa forma, apos a instalação do Pyxsoft a 1 ano, nunca mais tive esse tipo de problema. Por isso vim pedir ajuda. O engraçado (que não é) somente as contas de uma revenda de um cliente são invadidas, e mesmo as contas que so possuem e-mail tambem são invadidas.

[DELTA SERVERS]

4 minutos atrás, Andre Juliano disse:

@DELTA SERVERS hoje tambem uso dessa forma, apos a instalação do Pyxsoft a 1 ano, nunca mais tive esse tipo de problema. Por isso vim pedir ajuda. O engraçado (que não é) somente as contas de uma revenda de um cliente são invadidas, e mesmo as contas que so possuem e-mail tambem são invadidas.

Já pensou em trabalhar com o OWASP ModSecurity Core Rule Set V3.0 do cPanel?