Ir para conteúdo
  • Cadastre-se

Vulnerabilidade cPanel


Posts Recomendados

Pessoal, o cPanel aparentemente tem uma falha grave em relação a segurança.

Exite um site (grupo de 10 mil usuários) chamado Anonymous Fox cujo o site é httpx://anonymousfox.info

Eles são "especializados" em invadir servidores cPanel, por meios de instalações WordPress, Joomla, OpenCart e etc..

O que é curioso, é que eles invadem somente servidores cPanel, estranho não é?

Você pode pensar, há mais invadem poucas contas não representam grandes riscos.

Pois bem, quase todas as contas de um de nossos servidores cPanel foram invadidas por esse grupo Anonymous Fox, tornando todos inoperantes. (Sorte que fazemos backups quase que todos os dias)

Eles injetam páginas PHP no WordPress (exemplo do WordPress) e essas páginas ao serem acessadas através de qualquer navegador, dá acesso a tudo na conta do usuário! Eu sei disso pois detectei tais páginas e ao acessar carregava um painel com todas as funções do cPanel!

 

Aí eu fico pensando, o cPanel com todos os aumentos e updates que vemos atualmente, não corrigem tal vulnerabilidade.

 

Posso estar enganado (que seja uma vulnerabilidade do cPanel) mas é estranho que isso ocorra apenas em ambientes com o cPanel instalado.

 

 

Editado por Vittor
Correções
Link para o comentário
Compartilhar em outros sites

Eu conheço uma falha cPanel que dar acesso total aos arquivos do servidor, mas para isso preciso executar um script PHP dentro do servidor, então no caso acredito eu (não estou dizendo com certeza) eles aproveitam alguma vulnerabilidade do WordPress ou Joomla, ou qualquer CMS para executar um script parecido, o CloudLinux não isola 100% os usuários, para isolar 100% os usuários ele teria que transformar contas "containers" desacopladas do sistema de arquivos do servidor principal, creio eu que estão demorando para incrementar isso.

Link para o comentário
Compartilhar em outros sites

Infelizmente nem todos atualizam seus WordPress, esse é o fato. Já vi caso do cPGuard informar que tem WordPress na versão 3 ainda. Hoje ouve um caso com o Elementor, o mais atualizado. Uma carga anormal, ao analisar, foi identificado tentativas de ataques com destino o Elementor.

DELTA SERVERS
SOLUÇÕES CORPORATIVAS!

Link para o comentário
Compartilhar em outros sites

Cpanel tá uma peneira, tenho domínio que não tem nada de informações, o  cliente criou o domínio apenas para outras questões e redirecionamento, essa semana injetaram vários arquivos HTML para pishing.

O que fiz para mitigar foi comprar o Imunify e rodar scans diarios, alem de usar o Wordpress tollkit para atualizar plugins e patches de segurança nas instalações dos clientes, isso ajudou a reduzir, mas  sempre tem sites infectados

Suporte TI & Service Provider - Visite nosso novo site

Link para o comentário
Compartilhar em outros sites

11 horas atrás, Vittor disse:

Pessoal, o cPanel aparentemente tem uma falha grave em relação a segurança.

Exite um site (grupo de 10 mil usuários) chamado Anonymous Fox cujo o site é httpx://anonymousfox.info

Eles são "especializados" em invadir servidores cPanel, por meios de instalações WordPress, Joomla, OpenCart e etc..

O que é curioso, é que eles invadem somente servidores cPanel, estranho não é?

Você pode pensar, há mais invadem poucas contas não representam grandes riscos.

Pois bem, quase todas as contas de um de nossos servidores cPanel foram invadidas por esse grupo Anonymous Fox, tornando todos inoperantes. (Sorte que fazemos backups quase que todos os dias)

Eles injetam páginas PHP no WordPress (exemplo do WordPress) e essas páginas ao serem acessadas através de qualquer navegador, dá acesso a tudo na conta do usuário! Eu sei disso pois detectei tais páginas e ao acessar carregava um painel com todas as funções do cPanel!

 

Aí eu fico pensando, o cPanel com todos os aumentos e updates que vemos atualmente, não corrigem tal vulnerabilidade.

 

Posso estar enganado (que seja uma vulnerabilidade do cPanel) mas é estranho que isso ocorra apenas em ambientes com o cPanel instalado.

 

 

Uma pergunta, você utilizava alguma WAF e scanner em tempo real de vírus?

Chamou? Estamos ai!

Link para o comentário
Compartilhar em outros sites

Anonymous Fox tem usa um esquema "simples" pra invadir contas Cpanel SE você tiver o reset de senha habilitado no servidor.

O Cpanel guarda o email de contato da conta dentro do ambiente do usuário, num arquivo de texto. Eles encontram alguma vulnerabilidade no site que dá acesso aos arquivos upando um shell qualquer no wordpress ou mesmo roubando a senha de admin do wordpress e upando o arquivo pra dentro.

Feito isso eles alteram o email de contato da conta e pedem o reset de senha nesse email. A partir daí eles tem acesso ao cpanel da conta. E não é apenas invasão de site que eles fazem, é bem comum encontrar contas de email com o termo "fox" no nome nessas contas comprometidas.

Ao menos era assim que eles faziam há um tempo atrás, se isso está mais elaborado hoje, não sei dizer.

Editado por tvoltolini
Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?