Invasão Cpanel

[LucasOliveira]

Olá Amigos,

Um cliente veio me procurar com um problema um pouco fora do comum o qual realmente não achei respostas por agora.

Ah um individuo que consegue acesso aos arquivos de outas contas.

Vou explicar melhor.

Se a resposta tem 1 conta de host neste servidor, ela consegue acessar os arquivos da contras de outros clientes, e se tiver arquivos com conexão mysql o individuo ainda consegue abrir o arquivo e pegar a senha do mysql que normalmente é a mesma do cPanel eai já vio.

Alguem sabe a causa disso?

[Willian Kevenis]

Em Security Center > PHP open_basedir Tweak ative esta opção.

Abraços.

Sugiro que instale o mod_security.

Boa noite.

[LucasOliveira]

Sim já está ambos

Eu analizei um log agora na conta que o usuario usou para acessar outras

e olha que interessante o log diz.

FTP Quick Brute (called c99shell v. 1.0 pre-release build #17) started at 27.06.2012 03:1$

No success. connections!

------------------------------------------

Done!

Total time (secs.): 21.0114

Total connections: 101

Success.: 0

Unsuccess.:101

Connects per second: 4.81

Esse called c99shell v. 1.0 pre-release build #17 é um script que vi que voce bota e consegue fazer várias coisas, tais como criar diretórios, listar informações do servidor etc.

Segundo o log foi brute-force pelo ftp então.

[Jefferson]

Esse script é fogo mesmo. Você pode bloquear o upload e a execuçao deste tipo de script pelo mod_security.

Passe o clamav em todos os sites do seu servidor via ssh, assim o mesmo irá remover todos os scripts maliciosos para você.

[Jesmarcelo]

Mude o php para trabalhar com o suphp e configure o open_basedir

[LucasOliveira]

ola jefferson,

Sim, mas não resolve.

OnzeHost já está.

Eu achei o script na internet. realmente da para acessar oque quizer no servidor.

[Jefferson]

Segue regra para bloquear o upload e funções de outros scripts parecidos:

# For deny Shells opening

SecRule REQUEST_URI "\;(\s|\t)*perl .*\.pl"

SecRule REQUEST_URI|REQUEST_BODY "perl (xpl\.pl|kut|viewde|httpd\.txt)"

SecRule REQUEST_FILENAME "/(r0nin|TrYaG|TrYg|m0rtix|r57shell|r57|c99|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|\.ru/|brute|c991)\.php"

SecRule REQUEST_FILENAME "\.pl"

SecRule REQUEST_FILENAME "perl .*\.pl(\s|\t)*\;"

SecRule REQUEST_FILENAME "\;(\s|\t)*perl .*\.pl"

SecRule RESPONSE_BODY "TrYaG"

SecRule RESPONSE_BODY "SnIpEr_SA"

SecRule RESPONSE_BODY "Sniper"

SecRule RESPONSE_BODY "shell"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "sql_passwd"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "public_html"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "/etc"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "/root"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "/usr"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "/boot"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "/var"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "/bin"

SecRule PATH_INFO "^/(bin|etc|sbin|opt|usr)"

[Jesmarcelo]

Ja esta com o suphp ou o open_basedir configurado?

[Leo Amarante]

Mude o php para trabalhar com o suphp e configure o open_basedir

Mesmo usando suPHP ele consegue inserir o script que na verdade se aproveita de uma brecha de segurança de algum script com programação defasada. Falo isso porque dois de meus clientes estavam usando scripts de um portal de noticias e outro de revenda de veiculos comprados no Mercado Livre que o cara invade facim facim e injeta esse troço... Outras vezes ja vi casos com alguns colegas que alguém contrata uma hospedagem e ele mesmo injeta isso apenas para roubar sistemas, sites e lojas dos outros clientes.

[Jesmarcelo]

Ele só consegue acessar as outras contas se o open_basedir não estiver configurado, se estiver configurado corretamente ele não conseguirá.