cPanel Invadido/hackeado

[Cleiton Garcia]

Olá,

Ontém um cliente abriu um ticket na central informando que o cPanel dele havia sido hackeado, em seguida ele me informou o IP que havia entrado/invadido, logo já fiz o bloqueio do mesmo no firewall,

Segue as informações passadas:

[TABLE=width: 100%, align: center]

[TR]

[TD=bgcolor: #F4F4F4]46.99.251.97 IP address location & more:

IP address [?]: 46.99.251.97 [Whois] [Reverse IP]

IP country code: AL

IP address country: Albania

IP address state: n/a

IP address city: n/a

IP address latitude: 41.0000

IP address longitude: 20.0000

ISP of this IP [?]: IPKO Telecommunications LLC

Organization: IPKO Telecommunications LLC[/TD]

[/TR]

[TR]

[/TR]

[/TABLE]

Fui entrar dentro do painel do meu cliente, e fiquei assustado, muito e surpreendido também. Havia uma imagem vermelha com algumas siglas, as fontes do cPanel era diferente e o tamanho da mesma também e havia uma mensagem que havia sido hackeado por fulano de tal..

Eu pensei e entrei no menu 'Modify cPanel & WHM News', fui ver estava lá o código que modificava a página do usuário!

Por este motivo na conta dele havia as modificações 'hackerianas' e nas minhas não...

Entrei em contato com meu amigo Jefferson que me disse já ter ocorrido o mesmo com ele e me disse que é um vírus no computador do cliente, no qual é obtido através de sites eróticos!

Ele me orientou a excluir a conta do usuário e criar novamente pois foi a solução que ele conseguiu ter êxito.

Agora quero a opinião de vocês e a resolução do mesmo,

[Angel Junior]

Coisa mais normal da internet, o cliente possui uma senha fraca, ou tem o seu lado invadido e então conseguem acesso a seus serviços, já vi muito cliente chingando quando o seu vps é invadido, achando que é culpa do node, mais usa senha 123.

[Cleiton Garcia]

o cliente possui uma senha fraca, ou tem o seu lado invadido e então conseguem acesso a seus serviços

Tudo bem, suponhamos que a senha dele seja fraca, mas eu não compreendi a parte "então conseguem acesso a seus serviços", seria da própria revenda dele ou conseguiriam acesso ao servidor completo?

Tenso aqui :s

[Angel Junior]

Serviços dele.

[Cleiton Garcia]

Isso pode afetar o servidor/meus serviços & sites?

[Jean Santos]

Não, como o cPanel faz um trabalho de limitar certos acessos, não o que se preocupar com os demais serviços e/ou servidor de hospedagem.

[RNXTI]

Bom dia,

Pode afetar sim ao seu servidor.

Essa situação pode ocorrer e normal, mas na maioria das vezes quando isso ocorre, automaticamente e incluido um brutal force para tentar acessar as contas do servidor, e pode tentar rodar algo na pasta /tmp do servidor.

Lhe recomendo:

* Rode o ClamAV em todo o servidor;

* Se tiver instalado rode o CXS (ConfigServer eXploit Scanner )

* Verifique os logs(Logs de acesso, de sistema,etc...) do seu servidor;

* Atualize o seu cPanel e os plugins;

* Verifique os emails de monitoramento;

* Analise todas as contas que apresentaram problemas;

[Visitante]

uahauahuaha, que situação, explicar para o cara que pegou entrando no redtube, auhauhauah.

Mas creio que pode afetar o servidor sim, não só o usuário.

[Jean Santos]

RnxHost,

Tive um problema do mesmo tipo, e não afetou o meu servidor, pode ser casos diferente, mas problemas assim não seriam avisados ou automaticamente bloqueados pelo cPanel?

[chuvadenovembro]

Precisa ver se o seu servidor está com o open_basedir habilitado.

Se não estiver, quando o cliente tem sua conta invadida, basta o marginal upar um script em php p/ ftp da conta deste cliente que pode ter acesso a pasta "Fpasswd" do seu servidor.

Além disso, só enviando este arquivo, já é possível ver todas as contas do servidor.