cPanel Invadido/hackeado

[Rhuan]

Precisa ver se o seu servidor está com o open_basedir habilitado.

Se não estiver, quando o cliente tem sua conta invadida, basta o marginal upar um script em php p/ ftp da conta deste cliente que pode ter acesso a pasta "Fpasswd" do seu servidor.

Além disso, só enviando este arquivo, já é possível ver todas as contas do servidor.

Isso ai chuva, são arquivinhos conhecidos como Shell, muitos aqui com certeza tem um no servidor e não sabem...

[Visitante]

Precisa ver se o seu servidor está com o open_basedir habilitado.

Se não estiver, quando o cliente tem sua conta invadida, basta o marginal upar um script em php p/ ftp da conta deste cliente que pode ter acesso a pasta "Fpasswd" do seu servidor.

Além disso, só enviando este arquivo, já é possível ver todas as contas do servidor.

Se não estiver, ele pode também visualizar a /etc/passwd também? Se der um cat?

[Jaime Silva]

Pegar vírus em site pornô (apenas)?! Ainda existe essa crença?

Garanto que nesse caso, se foi mesmo o computador infectado, que foi o download de um arquivo anexo no email pensando que era alguma imagem ou vídeo.

Ainda existem IDIOTAS que caem nisso.

[Visitante]

Pegar vírus em site pornô (apenas)?! Ainda existe essa crença?

Garanto que nesse caso, se foi mesmo o computador infectado, que foi o download de um arquivo anexo no email pensando que era alguma imagem ou vídeo.

Ainda existem IDIOTAS que caem nisso.

IUEHAIUHIAUHAUIAHAU, sério, pra mim chega TODO dia uma mensagem no meu hotmail, de amigos com PC infectado, com o título:

hahha, eu ví!

Aí no conteúdo tem um link, que está escrito normalmente endereçando para um "fotooo.jpg.exe", UHAUH, pqp.

[Jordan Miguel]

Bom dia,

Pode afetar sim ao seu servidor.

Essa situação pode ocorrer e normal, mas na maioria das vezes quando isso ocorre, automaticamente e incluido um brutal force para tentar acessar as contas do servidor, e pode tentar rodar algo na pasta /tmp do servidor.

Lhe recomendo:

* Rode o ClamAV em todo o servidor;

* Se tiver instalado rode o CXS (ConfigServer eXploit Scanner )

* Verifique os logs(Logs de acesso, de sistema,etc...) do seu servidor;

* Atualize o seu cPanel e os plugins;

* Verifique os emails de monitoramento;

* Analise todas as contas que apresentaram problemas;

Uma outra dica é montar a /tmp separadamente com as opções de nosuid,noexec,nodev.

[RNXTI]

RnxHost,

Tive um problema do mesmo tipo, e não afetou o meu servidor, pode ser casos diferente, mas problemas assim não seriam avisados ou automaticamente bloqueados pelo cPanel?

Boa Tarde,

Claro pode ser casos sim diferente, mas na maioria das vezes quando ocorre ele pode atinge sim o servidor.

O cPanel ele não envia nenhum comunicado desse tipo, ele registra em seus logs tudo que acontece.

Para monitoramento via email eu recomendo o ConfigServer eXploit Scanner + CSF.

Também recomendo que seja configurado o ModSecuryt.

Obs: Lembrando que muitos que possuem Dedicado/VPS configura de maneira incorreta o Firewall.

Quando for utilizar um servidor em produção configure corretamente o Firewall + Modsecuryt caso não saiba como fazer contrate uma empresa para realizar essa configuração, as vezes o barato acaba saindo caro.