Ir para conteúdo
  • Cadastre-se

Contas Cpanel Invadida

Andre Juliano

Por Andre Juliano
em Segurança

 Compartilhar

Posts Recomendados

Andre Juliano

Andre Juliano

Postado
Postado (editado)

Boa tarde

A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo:

http://www.amazon.es.sitedocliente.com/

Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda.

Alguem já passou por isso?

OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa.

Editado por Andre Juliano
0

WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais  (OpenVZ / KVM).


  • Administração
NullRoute

NullRoute

Postado
  • Administração
Postado

Se você teve o servidor invadido uma vez então o melhor é migrar seus clientes e passar a régua no servidor qye com certeza já está comprometido.

Em paralelo a isso a partir da versão 11.72 do WHM o cPHULK vem com uma função muito interessante e útil (ao meu ver) que é uma Country Blacklist que nos meus clientes fez com que invasões a contas de cPanel (por bruteforce/senhas vazada, etc..) caisse para praticamente 0.

SE eu bloqueio a China, o cara pode ter senha de tudo que não vai conseguir logar no servidor (serviços cPanel/WHM/Email/FTP/etc..) Obs: só não testei ainda acesso via SSH pois minha vpn está bugada.

Então o que recomendo fazer após a formatação do servidor é bloqueia a p**ra toda e libera apenas para BR e US e seja "feliz".

SE não puder fazer isso, corra atrás dos logs, veja onde estão as brechas, etc...E se é apenas 1 cliente a causar tudo isso melhor dizer adeus a 1 do que de repente perder todos.


 

 

1

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

pluginscpanelwhm

pluginscpanelwhm

Postado
Postado
2 horas atrás, Andre Juliano disse:

Boa tarde

A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo:

http://www.amazon.es.sitedocliente.com/

Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda.

Alguem já passou por isso?

OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa.

Olá,
mas se é somente 1 ip por que já não bloqueou o ip dele?
o que são mais vulneraveis no cpanel são as portas só existe um meio de  deixar seguro é bloqueando as portas e liberando o acesso somente para determinados países.
 

 

14 minutos atrás, owsbr disse:

Se você teve o servidor invadido uma vez então o melhor é migrar seus clientes e passar a régua no servidor qye com certeza já está comprometido.

Em paralelo a isso a partir da versão 11.72 do WHM o cPHULK vem com uma função muito interessante e útil (ao meu ver) que é uma Country Blacklist que nos meus clientes fez com que invasões a contas de cPanel (por bruteforce/senhas vazada, etc..) caisse para praticamente 0.

SE eu bloqueio a China, o cara pode ter senha de tudo que não vai conseguir logar no servidor (serviços cPanel/WHM/Email/FTP/etc..) Obs: só não testei ainda acesso via SSH pois minha vpn está bugada.

Então o que recomendo fazer após a formatação do servidor é bloqueia a p**ra toda e libera apenas para BR e US e seja "feliz".

SE não puder fazer isso, corra atrás dos logs, veja onde estão as brechas, etc...E se é apenas 1 cliente a causar tudo isso melhor dizer adeus a 1 do que de repente perder todos.


essa função "Country Blacklist " já existia no CSF que inclusive só assim que se resolve os problemas de invasão em cpanel.
 

 

 

0
Andre Juliano

Andre Juliano

Postado
  • Autor
Postado
50 minutos atrás, pluginscpanelwhm disse:

Olá,
mas se é somente 1 ip por que já não bloqueou o ip dele?
o que são mais vulneraveis no cpanel são as portas só existe um meio de  deixar seguro é bloqueando as portas e liberando o acesso somente para determinados países.
 

 

 

Obrigado pelo retorno, mas não é um unico ip.

Sera que não estao acessando essas contas cpanel pelo acesso do revendedor?

0

WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais  (OpenVZ / KVM).

  • Administração
NullRoute

NullRoute

Postado
  • Administração
Postado
3 minutos atrás, Andre Juliano disse:

Obrigado pelo retorno, mas não é um unico ip.

Sera que não estao acessando essas contas cpanel pelo acesso do revendedor?

Tudo é possível por isso tranca a conta do cara e analisa todos os logs do servidor.
É uma das melhores maneiras de se conseguir alguma informação útil para barrar esse f** que está invadindo.

0

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

DELTA SERVERS

DELTA SERVERS

Postado
Postado
3 horas atrás, Andre Juliano disse:

Boa tarde

A alguns dias estou tento problemas a invasão de contas cpanel, um ip do exterior acessa a conta e envia uns arquivos e até cria um subdominio. Veja um exemplo:

http://www.amazon.es.sitedocliente.com/

Noitei tambem que toda conta invadida, possue a pasta site_publisher na raiz da conta e as contas invadidas são apenas de uma revenda.

Alguem já passou por isso?

OBS: Utilizo o Pyxsoft nesse servidor. E o cliente está utilizando uma senha complexa.

Boa tarde!
95% das causas é o cliente, o desktop dele pode está com vírus, ou ele está enviando arquivos com brechas, tenho um cliente que foi feito de tudo e sempre o servidor dele erá invadido e enviava spam, analisei e a solução foi aplicar o, https://applications.cpanel.net/listings/view/Admin-Ahead-Realtime-File-Upload-Scanner e o senhor, Pyxsoft Anti Malware & Security, além de que apliquei uma tolerância menor ao ips no Proteção de força bruta do cPHulk.

Desde então nunca mais.

 

 

0

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Andre Juliano

Andre Juliano

Postado
  • Autor
Postado

@DELTA SERVERS hoje tambem uso dessa forma, apos a instalação do Pyxsoft a 1 ano, nunca mais tive esse tipo de problema. Por isso vim pedir ajuda. O engraçado (que não é) somente as contas de uma revenda de um cliente são invadidas, e mesmo as contas que so possuem e-mail tambem são invadidas.

0

WebChamp - Hospedagem de Sites, Revenda de Hospedagem, Revenda de VPS, Servidores Virtuais  (OpenVZ / KVM).

DELTA SERVERS

DELTA SERVERS

Postado
Postado
4 minutos atrás, Andre Juliano disse:

@DELTA SERVERS hoje tambem uso dessa forma, apos a instalação do Pyxsoft a 1 ano, nunca mais tive esse tipo de problema. Por isso vim pedir ajuda. O engraçado (que não é) somente as contas de uma revenda de um cliente são invadidas, e mesmo as contas que so possuem e-mail tambem são invadidas.

Já pensou em trabalhar com o OWASP ModSecurity Core Rule Set V3.0 do cPanel?

0

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.

×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept
-