1 hora atrás, tvoltolini disse:

Anonymous Fox tem usa um esquema "simples" pra invadir contas Cpanel SE você tiver o reset de senha habilitado no servidor.

O Cpanel guarda o email de contato da conta dentro do ambiente do usuário, num arquivo de texto. Eles encontram alguma vulnerabilidade no site que dá acesso aos arquivos upando um shell qualquer no wordpress ou mesmo roubando a senha de admin do wordpress e upando o arquivo pra dentro.

Feito isso eles alteram o email de contato da conta e pedem o reset de senha nesse email. A partir daí eles tem acesso ao cpanel da conta. E não é apenas invasão de site que eles fazem, é bem comum encontrar contas de email com o termo "fox" no nome nessas contas comprometidas.

Ao menos era assim que eles faziam há um tempo atrás, se isso está mais elaborado hoje, não sei dizer.

Aconteceu comigo uma vez, no e-mail da conta tinha: email@gmail.com, hacker@domain.com

Só que com e-mails do usuário e do hacker em questão, separado por vírgula.

Depois disso conferi todos os e-mails e desativei o reset de senha do cpanel.

cPanel e vulnerabilidades nem são mais novidades. Se bobear, deve ter uns 10 anos que os módulos "core" do cPanel não são revisados/reescritos. Por aqui só usamos o Cockpit Project e scripts CGI em Perl.

Fala pessoal, alguem tem uma solução definitiva pra esse problema?

Em 11/02/2022 em 19:04, Marks disse:

Aconteceu comigo uma vez, no e-mail da conta tinha: email@gmail.com, hacker@domain.com

Só que com e-mails do usuário e do hacker em questão, separado por vírgula.

Depois disso conferi todos os e-mails e desativei o reset de senha do cpanel.

Hoje aconteceu com um cliente meu. Onde consigo desativar o reset de senha do cpanel? Não consigo localizar.

Olá,

Dentro do WHM -> Tweak Settings -> System -> Reset Password*

Abraço, Bruno.