Medida (workaround) contra Mail Forward mesmo com webmail off em domínio específico.

[little_oak]

Boa tarde a todos. Há tempos vejo que quando uma credencial roubada (outlook/thunderbird e etc) na parte de emails, mesmo com o webmail desativado no cpanel de uma conta específica (via feature manager), um atacante consegue ainda assim acessar a interface de email limitada ao usuário@domínio de email, isso garante que por mais que ele acesse o domínio/webmail e caia na porta 2095/2096, ainda assim (mesmo sem interface do roundcube) ele ainda consegue o acesso de email e senha e vê itens de setup da conta como por exemplo mail forward.

Existem várias formas de rodar o que vou sugerir, até porque é uma linguagem de programação que a cpanel usa onde vou recomendar (template toolkit language). Lembrando que isso serve apenas para impedir que o usuário mal intencionado não tenha acesso à interface de setup dda mail account (sim, mesmo com webmail off no feature ele ainda consegue acessar via ipserver OU domínio.TLD:2095 com as credenciais roubadas), sendo assim use com moderação:
(COMO ROOT)

 

vim /usr/local/cpanel/base/webmail/jupiter/index.tt

No topo do script, acima de qualquer código coloque:

 

[%-
   # Existing code ...

   # Get the domain from the request
   SET domain = execute('Domain', 'get_current_domain').data;

   # Check if the domain contains the term "termoParteDoDomínio"
   IF domain =~ /termoParteDoDomínio/;
       # Terminate the script or redirect
       SET terminate_script = 1;
   ELSE;
       SET terminate_script = 0;
   END;

   # Check if we need to terminate the script
   IF terminate_script;
       # You can use an appropriate method to stop execution or redirect
       # This is a placeholder. Adjust according to your needs.
       SET mail_client_url = "";
   END;

   # Continue with existing logic...
   # Existing code ...
-%]

veja a linha    IF domain =~ /termoParteDoDomínio/;
Isso significa que o termo que você está usando, caso o atacante acesse pelo domínio ele será banido!
Após, salve e saia.
Lembre-se que isso é bem genérico e só serve para URL contendo termoParteDoDomínio que é parte do seu domínio utilizado para acesso ao webmail. Existem outras formas, mas deixei deste jeito para que possam programar do jeito que imaginarem.
Salvando o arquivo, caso queiram que o cpanel Não mude o conteúdo dele (use com moderação):
chattr +ai /usr/local/cpanel/base/webmail/jupiter/index.tt
E caso Não queiram mais o bloqueio do arquivo:
chattr -ai /usr/local/cpanel/base/webmail/jupiter/index.tt

Abraços e bom feriado.

[NullRoute]

Quem é vivo sempre aparece! 
Forte abraço @little_oak

[little_oak]

Em 06/09/2024 em 21:35, NullRoute disse:

Quem é vivo sempre aparece! 
Forte abraço @little_oak

<3, valeu, xxxx, dei uma aparecida porque vi isso rolando na tr e decidi ajudar. Hoje tem outro post de popup, porque não tá current não e tá tendo muita doidera kkkkkk.