Novo Tipo de Ataque

[Leo Amarante]

E o cara não desiste...

Nova tentativa, atenção ao IP: 79.106.109.130 País: Albania albania

Código do país: AL (ALB)

Infelizmente ontém houve outro episódio e que vou passar para que os amigos fiquem alerta.

Uma de minhas revendas na Hostgator foi comprometida conforme relato do suporte abaixo:

-----------------------------------------------------------------------------------------------------------------------

Prezado Cliente,

Prezado cliente, verificamos que sua senha de acesso ao WHM foi comprometida, é um usuário injetou códigos maliciosos no template de suspensão de sua revenda. Restauramos o template para o estado padrão, é modificamos a senha de acesso de seu cPanel/WHM.

Recomendamos que as senhas sejam geradas no seguinte endereço:

http://hostgator.com.br/senhas

Relatório:

84.235.73.244 - servidor [12/18/2011:02:59:36 -0000] "POST /scripts6/template_editor_save HTTP/1.1" 200 0 "http://suarevenda:2086/scripts6/template_editor" "Mozilla/5.0 (Windows NT 6.1; rv:8.0.1) Gecko/20100101 Firefox/8.0.1"

Precisamos que o senhor analise esta questão com atenção e nos informe que medidas foram tomadas para evitar que novos ataques como este aconteçam novamente. Aguardamos um retorno, se possível, dentro prazo estipulado abaixo. Infelizmente, isso se faz necessário para evitar que sua conta seja suspensa por se tornar insegura e causar prejuízos a outros clientes e usuários do servidor.

---------------------------------------------------------------------------------------------------------------------

Ficarei agradecido se alguém puder dar algumas dicas para aumentar a segurança;

[Marco Antonio]

Este tipo de ataque nao tem nenhuma relaçao com os ataques a WHMCS.

Me estranha que o suporte da HOSTGATOR, tenha reportado o ataque injects dessa maneira, pois esse tipo de ataque que eu saiba nao compromete senhas somente muda a pagina padrao de suspensao . (trocar as senhas e sempre importantes, ainda mais apos um ataque de injects) . afirmar que o acesso a whm foi comprometido e osso..

[Jefferson]

É só a HostGator bloquear o bloco do ip no firewall...

Isso de um "ataque" trocar os arquivos do template de suspensão não existe... ninguem vai perder tempo invadindo o servidor para apenas trocar um código simples. É apenas um vírus (provavelmente no seu computador) que alterou o template.

Já aconteceu comigo no meu primeiro servidor.

[Leo Amarante]

É muito estranho... Pois o relatório do Hostgator informa o mesmo horário em que houve a tentativa de invasão no WHMCS. O hacker intitulado Cyber-Crystal alterou apenas a página de suspensão de contas com o dizer "Hackead by Cyber-Crystal".

Outro fato que começou ocorrer depois disso tudo é receber de 2 em 2 horas a seguinte mensagem via formulário de contato do meu site:

de: mhzxqowfny@uxqehp.com

assunto: foincti zjfrdcw

Este é um e-mail de pedido de informações de:

dxbyaqydtw <mhzxqowfny@uxqehp.com>

ebcrnmyiptu, mkczrksngs

Alterei o formulário e desativei momentaneamente o envio.

[Marco Antonio]

É só a HostGator bloquear o bloco do ip no firewall...

Isso de um "ataque" trocar os arquivos do template de suspensão não existe... ninguem vai perder tempo invadindo o servidor para apenas trocar um código simples. É apenas um vírus (provavelmente no seu computador) que alterou o template.

Já aconteceu comigo no meu primeiro servidor.

Com todo respeito Jeferson, mais o senhor esta enganado, este tipo de ataque nao tem nenhuma relaçao a virus no pc, ou etc, é exclusivamente um ataque via inject.

[celsoadv]

a hostgator está 100% correta, o problema é referente a senhas fracas.

[hostbr]

A Hostgator não utiliza nenhum firewall? CSF? etc? pois se este ataque tiver sido através de força bruta é fácil impedir com o uso básico de um firewall qualquer.

[Edu]

caros amigos,

ultimamente, a hostgator BR (foi aonde eu utilizei os serviços) está passando por serios problemas.

Um tempo atras abri um chamado por ataque DDOS no meu site, sabe oq eles fizeram? ABSOLUTAMENTE nada, pois disseram que o problema era meu, e que eu teria que bloquear os ip´s atacantes. Passei um dia inteirinho bloqueando ataque via httaccess.

no mesmo mês, recebi outro ataque, e a resposta da hostgatorBR foi suspender minha conta por exceder o limite de trafego (sendo que eu estava com um plano de trafego ilimitado).

NÃO recomendo a HGBR. Pelo que me pareceu, eles não tem firewall nenhum, nem proteção contra DDOS, tirando o suporte que ja caiu MUITO a qualidade e as respostas dos tickets são demorados!

[andrebastos]

Leo,

Acredito que seu serviço com a HostGator é um servidor dedicado. Os dedicados são administrados pelo cliente e gerenciados pela HostGator (Hardware e Falhas).

Eu ponho minha mão no fogo se a HostGator mandou 'você se virar' como você disse.

[EuMarcos]

Eu ponho minha mão no fogo se a HostGator mandou 'você se virar' como você disse.

Você ainda trabalha na HostGator ?

---

NÃO recomendo a HGBR. Pelo que me pareceu, eles não tem firewall nenhum, nem proteção contra DDOS, tirando o suporte que ja caiu MUITO a qualidade e as respostas dos tickets são demorados!

Porquê não contratou na Hostgator.com ?

O suporte oferecido lá é bom.