Jump to content

Contas Cpanel Invadida


Andre Juliano

Recommended Posts

Boa tarde

A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo:

http://www.amazon.es.sitedocliente.com/

Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda.

Alguem já passou por isso?

OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa.

Edited by Andre Juliano

WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais  (OpenVZ / KVM).

Link to comment
Share on other sites

  • Administration

Se você teve o servidor invadido uma vez então o melhor é migrar seus clientes e passar a régua no servidor qye com certeza já está comprometido.

Em paralelo a isso a partir da versão 11.72 do WHM o cPHULK vem com uma função muito interessante e útil (ao meu ver) que é uma Country Blacklist que nos meus clientes fez com que invasões a contas de cPanel (por bruteforce/senhas vazada, etc..) caisse para praticamente 0.

SE eu bloqueio a China, o cara pode ter senha de tudo que não vai conseguir logar no servidor (serviços cPanel/WHM/Email/FTP/etc..) Obs: só não testei ainda acesso via SSH pois minha vpn está bugada.

Então o que recomendo fazer após a formatação do servidor é bloqueia a p**ra toda e libera apenas para BR e US e seja "feliz".

SE não puder fazer isso, corra atrás dos logs, veja onde estão as brechas, etc...E se é apenas 1 cliente a causar tudo isso melhor dizer adeus a 1 do que de repente perder todos.


 

 

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link to comment
Share on other sites

2 horas atrás, Andre Juliano disse:

Boa tarde

A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo:

http://www.amazon.es.sitedocliente.com/

Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda.

Alguem já passou por isso?

OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa.

Olá,
mas se é somente 1 ip por que já não bloqueou o ip dele?
o que são mais vulneraveis no cpanel são as portas só existe um meio de  deixar seguro é bloqueando as portas e liberando o acesso somente para determinados países.
 

 

14 minutos atrás, owsbr disse:

Se você teve o servidor invadido uma vez então o melhor é migrar seus clientes e passar a régua no servidor qye com certeza já está comprometido.

Em paralelo a isso a partir da versão 11.72 do WHM o cPHULK vem com uma função muito interessante e útil (ao meu ver) que é uma Country Blacklist que nos meus clientes fez com que invasões a contas de cPanel (por bruteforce/senhas vazada, etc..) caisse para praticamente 0.

SE eu bloqueio a China, o cara pode ter senha de tudo que não vai conseguir logar no servidor (serviços cPanel/WHM/Email/FTP/etc..) Obs: só não testei ainda acesso via SSH pois minha vpn está bugada.

Então o que recomendo fazer após a formatação do servidor é bloqueia a p**ra toda e libera apenas para BR e US e seja "feliz".

SE não puder fazer isso, corra atrás dos logs, veja onde estão as brechas, etc...E se é apenas 1 cliente a causar tudo isso melhor dizer adeus a 1 do que de repente perder todos.


essa função "Country Blacklist " já existia no CSF que inclusive só assim que se resolve os problemas de invasão em cpanel.
 

 

 

Link to comment
Share on other sites

50 minutos atrás, pluginscpanelwhm disse:

Olá,
mas se é somente 1 ip por que já não bloqueou o ip dele?
o que são mais vulneraveis no cpanel são as portas só existe um meio de  deixar seguro é bloqueando as portas e liberando o acesso somente para determinados países.
 

 

 

Obrigado pelo retorno, mas não é um unico ip.

Sera que não estao acessando essas contas cpanel pelo acesso do revendedor?

WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais  (OpenVZ / KVM).

Link to comment
Share on other sites

  • Administration
3 minutos atrás, Andre Juliano disse:

Obrigado pelo retorno, mas não é um unico ip.

Sera que não estao acessando essas contas cpanel pelo acesso do revendedor?

Tudo é possível por isso tranca a conta do cara e analisa todos os logs do servidor.
É uma das melhores maneiras de se conseguir alguma informação útil para barrar esse f** que está invadindo.

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link to comment
Share on other sites

3 horas atrás, Andre Juliano disse:

Boa tarde

A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo:

http://www.amazon.es.sitedocliente.com/

Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda.

Alguem já passou por isso?

OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa.

Boa tarde!
95% das causas é o cliente, o desktop dele pode está com vírus, ou ele está enviando arquivos com brechas, tenho um cliente que foi feito de tudo e sempre o servidor dele erá invadido e enviava spam, analisei e a solução foi aplicar o, https://applications.cpanel.net/listings/view/Admin-Ahead-Realtime-File-Upload-Scanner e o senhor, Pyxsoft Anti Malware & Security, além de que apliquei uma tolerância menor ao ips no Proteção de força bruta do cPHulk.

Desde então nunca mais.

 

 

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Link to comment
Share on other sites

@DELTA SERVERS hoje tambem uso dessa forma, apos a instalação do Pyxsoft a 1 ano, nunca mais tive esse tipo de problema. Por isso vim pedir ajuda. O engraçado (que não é) somente as contas de uma revenda de um cliente são invadidas, e mesmo as contas que so possuem e-mail tambem são invadidas.

WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais  (OpenVZ / KVM).

Link to comment
Share on other sites

4 minutos atrás, Andre Juliano disse:

@DELTA SERVERS hoje tambem uso dessa forma, apos a instalação do Pyxsoft a 1 ano, nunca mais tive esse tipo de problema. Por isso vim pedir ajuda. O engraçado (que não é) somente as contas de uma revenda de um cliente são invadidas, e mesmo as contas que so possuem e-mail tambem são invadidas.

Já pensou em trabalhar com o OWASP ModSecurity Core Rule Set V3.0 do cPanel?

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?