Jump to content

Vulnerabilidade cPanel


Vittor

Recommended Posts

Pessoal, o cPanel aparentemente tem uma falha grave em relação a segurança.

Exite um site (grupo de 10 mil usuários) chamado Anonymous Fox cujo o site é httpx://anonymousfox.info

Eles são "especializados" em invadir servidores cPanel, por meios de instalações WordPress, Joomla, OpenCart e etc..

O que é curioso, é que eles invadem somente servidores cPanel, estranho não é?

Você pode pensar, há mais invadem poucas contas não representam grandes riscos.

Pois bem, quase todas as contas de um de nossos servidores cPanel foram invadidas por esse grupo Anonymous Fox, tornando todos inoperantes. (Sorte que fazemos backups quase que todos os dias)

Eles injetam páginas PHP no WordPress (exemplo do WordPress) e essas páginas ao serem acessadas através de qualquer navegador, dá acesso a tudo na conta do usuário! Eu sei disso pois detectei tais páginas e ao acessar carregava um painel com todas as funções do cPanel!

 

Aí eu fico pensando, o cPanel com todos os aumentos e updates que vemos atualmente, não corrigem tal vulnerabilidade.

 

Posso estar enganado (que seja uma vulnerabilidade do cPanel) mas é estranho que isso ocorra apenas em ambientes com o cPanel instalado.

 

 

Edited by Vittor
Correções
Link to comment
Share on other sites

Eu conheço uma falha cPanel que dar acesso total aos arquivos do servidor, mas para isso preciso executar um script PHP dentro do servidor, então no caso acredito eu (não estou dizendo com certeza) eles aproveitam alguma vulnerabilidade do WordPress ou Joomla, ou qualquer CMS para executar um script parecido, o CloudLinux não isola 100% os usuários, para isolar 100% os usuários ele teria que transformar contas "containers" desacopladas do sistema de arquivos do servidor principal, creio eu que estão demorando para incrementar isso.

Link to comment
Share on other sites

Infelizmente nem todos atualizam seus WordPress, esse é o fato. Já vi caso do cPGuard informar que tem WordPress na versão 3 ainda. Hoje ouve um caso com o Elementor, o mais atualizado. Uma carga anormal, ao analisar, foi identificado tentativas de ataques com destino o Elementor.

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Link to comment
Share on other sites

Cpanel tá uma peneira, tenho domínio que não tem nada de informações, o  cliente criou o domínio apenas para outras questões e redirecionamento, essa semana injetaram vários arquivos HTML para pishing.

O que fiz para mitigar foi comprar o Imunify e rodar scans diarios, alem de usar o Wordpress tollkit para atualizar plugins e patches de segurança nas instalações dos clientes, isso ajudou a reduzir, mas  sempre tem sites infectados

Suporte TI & Service Provider - Visite nosso novo site

Link to comment
Share on other sites

Isso já aconteceu conosco há muito tempo atrás, antes de usar CloudLinux + cPGuard. Você utiliza qual proteção no servidor que ocorreu isso? Utiliza cloudlinux tbm?

Pergunto isso pq o CloudLinux gera um nível maior de proteção e deixa invisível uma conta da outra usando o CageFS.

Link to comment
Share on other sites

11 horas atrás, Vittor disse:

Pessoal, o cPanel aparentemente tem uma falha grave em relação a segurança.

Exite um site (grupo de 10 mil usuários) chamado Anonymous Fox cujo o site é httpx://anonymousfox.info

Eles são "especializados" em invadir servidores cPanel, por meios de instalações WordPress, Joomla, OpenCart e etc..

O que é curioso, é que eles invadem somente servidores cPanel, estranho não é?

Você pode pensar, há mais invadem poucas contas não representam grandes riscos.

Pois bem, quase todas as contas de um de nossos servidores cPanel foram invadidas por esse grupo Anonymous Fox, tornando todos inoperantes. (Sorte que fazemos backups quase que todos os dias)

Eles injetam páginas PHP no WordPress (exemplo do WordPress) e essas páginas ao serem acessadas através de qualquer navegador, dá acesso a tudo na conta do usuário! Eu sei disso pois detectei tais páginas e ao acessar carregava um painel com todas as funções do cPanel!

 

Aí eu fico pensando, o cPanel com todos os aumentos e updates que vemos atualmente, não corrigem tal vulnerabilidade.

 

Posso estar enganado (que seja uma vulnerabilidade do cPanel) mas é estranho que isso ocorra apenas em ambientes com o cPanel instalado.

 

 

Uma pergunta, você utilizava alguma WAF e scanner em tempo real de vírus?

Hospedagem, Revendas, Servidores VPS - [Adven Host]

Link to comment
Share on other sites

Anonymous Fox tem usa um esquema "simples" pra invadir contas Cpanel SE você tiver o reset de senha habilitado no servidor.

O Cpanel guarda o email de contato da conta dentro do ambiente do usuário, num arquivo de texto. Eles encontram alguma vulnerabilidade no site que dá acesso aos arquivos upando um shell qualquer no wordpress ou mesmo roubando a senha de admin do wordpress e upando o arquivo pra dentro.

Feito isso eles alteram o email de contato da conta e pedem o reset de senha nesse email. A partir daí eles tem acesso ao cpanel da conta. E não é apenas invasão de site que eles fazem, é bem comum encontrar contas de email com o termo "fox" no nome nessas contas comprometidas.

Ao menos era assim que eles faziam há um tempo atrás, se isso está mais elaborado hoje, não sei dizer.

Edited by tvoltolini
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?