Ir para conteúdo

Medida (workaround) contra Mail Forward mesmo com webmail off em domínio específico.

Featured Replies

Postado

Boa tarde a todos. Há tempos vejo que quando uma credencial roubada (outlook/thunderbird e etc) na parte de emails, mesmo com o webmail desativado no cpanel de uma conta específica (via feature manager), um atacante consegue ainda assim acessar a interface de email limitada ao usuário@domínio de email, isso garante que por mais que ele acesse o domínio/webmail e caia na porta 2095/2096, ainda assim (mesmo sem interface do roundcube) ele ainda consegue o acesso de email e senha e vê itens de setup da conta como por exemplo mail forward.

Existem várias formas de rodar o que vou sugerir, até porque é uma linguagem de programação que a cpanel usa onde vou recomendar (template toolkit language). Lembrando que isso serve apenas para impedir que o usuário mal intencionado não tenha acesso à interface de setup dda mail account (sim, mesmo com webmail off no feature ele ainda consegue acessar via ipserver OU domínio.TLD:2095 com as credenciais roubadas), sendo assim use com moderação:
(COMO ROOT)

 

vim /usr/local/cpanel/base/webmail/jupiter/index.tt

No topo do script, acima de qualquer código coloque:

 

[%-
   # Existing code ...

   # Get the domain from the request
   SET domain = execute('Domain', 'get_current_domain').data;

   # Check if the domain contains the term "termoParteDoDomínio"
   IF domain =~ /termoParteDoDomínio/;
       # Terminate the script or redirect
       SET terminate_script = 1;
   ELSE;
       SET terminate_script = 0;
   END;

   # Check if we need to terminate the script
   IF terminate_script;
       # You can use an appropriate method to stop execution or redirect
       # This is a placeholder. Adjust according to your needs.
       SET mail_client_url = "";
   END;

   # Continue with existing logic...
   # Existing code ...
-%]

veja a linha    IF domain =~ /termoParteDoDomínio/;
Isso significa que o termo que você está usando, caso o atacante acesse pelo domínio ele será banido!
Após, salve e saia.
Lembre-se que isso é bem genérico e só serve para URL contendo termoParteDoDomínio que é parte do seu domínio utilizado para acesso ao webmail. Existem outras formas, mas deixei deste jeito para que possam programar do jeito que imaginarem.
Salvando o arquivo, caso queiram que o cpanel Não mude o conteúdo dele (use com moderação):
chattr +ai /usr/local/cpanel/base/webmail/jupiter/index.tt
E caso Não queiram mais o bloqueio do arquivo:

chattr -ai /usr/local/cpanel/base/webmail/jupiter/index.tt

Abraços e bom feriado.



Postado
  • Autor
Em 06/09/2024 em 21:35, NullRoute disse:

Quem é vivo sempre aparece! 
Forte abraço @little_oak

<3, valeu, xxxx, dei uma aparecida porque vi isso rolando na tr e decidi ajudar. Hoje tem outro post de popup, porque não tá current não e tá tendo muita doidera kkkkkk.


Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

Quem Está Navegando 0

  • Nenhum usuário registrado visualizando esta página.

Informação Importante

Concorda com os nossos termos?