Jump to content

Medida (workaround) contra Mail Forward mesmo com webmail off em domínio específico.


Recommended Posts

Boa tarde a todos. Há tempos vejo que quando uma credencial roubada (outlook/thunderbird e etc) na parte de emails, mesmo com o webmail desativado no cpanel de uma conta específica (via feature manager), um atacante consegue ainda assim acessar a interface de email limitada ao usuário@domínio de email, isso garante que por mais que ele acesse o domínio/webmail e caia na porta 2095/2096, ainda assim (mesmo sem interface do roundcube) ele ainda consegue o acesso de email e senha e vê itens de setup da conta como por exemplo mail forward.

Existem várias formas de rodar o que vou sugerir, até porque é uma linguagem de programação que a cpanel usa onde vou recomendar (template toolkit language). Lembrando que isso serve apenas para impedir que o usuário mal intencionado não tenha acesso à interface de setup dda mail account (sim, mesmo com webmail off no feature ele ainda consegue acessar via ipserver OU domínio.TLD:2095 com as credenciais roubadas), sendo assim use com moderação:
(COMO ROOT)

 

vim /usr/local/cpanel/base/webmail/jupiter/index.tt

No topo do script, acima de qualquer código coloque:

 

[%-
   # Existing code ...

   # Get the domain from the request
   SET domain = execute('Domain', 'get_current_domain').data;

   # Check if the domain contains the term "termoParteDoDomínio"
   IF domain =~ /termoParteDoDomínio/;
       # Terminate the script or redirect
       SET terminate_script = 1;
   ELSE;
       SET terminate_script = 0;
   END;

   # Check if we need to terminate the script
   IF terminate_script;
       # You can use an appropriate method to stop execution or redirect
       # This is a placeholder. Adjust according to your needs.
       SET mail_client_url = "";
   END;

   # Continue with existing logic...
   # Existing code ...
-%]

veja a linha    IF domain =~ /termoParteDoDomínio/;
Isso significa que o termo que você está usando, caso o atacante acesse pelo domínio ele será banido!
Após, salve e saia.
Lembre-se que isso é bem genérico e só serve para URL contendo termoParteDoDomínio que é parte do seu domínio utilizado para acesso ao webmail. Existem outras formas, mas deixei deste jeito para que possam programar do jeito que imaginarem.
Salvando o arquivo, caso queiram que o cpanel Não mude o conteúdo dele (use com moderação):
chattr +ai /usr/local/cpanel/base/webmail/jupiter/index.tt
E caso Não queiram mais o bloqueio do arquivo:

chattr -ai /usr/local/cpanel/base/webmail/jupiter/index.tt

Abraços e bom feriado.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?