Jump to content

Invasão Cpanel


LucasOliveira

Recommended Posts

Olá Amigos,

Um cliente veio me procurar com um problema um pouco fora do comum o qual realmente não achei respostas por agora.

Ah um individuo que consegue acesso aos arquivos de outas contas.

Vou explicar melhor.

Se a resposta tem 1 conta de host neste servidor, ela consegue acessar os arquivos da contras de outros clientes, e se tiver arquivos com conexão mysql o individuo ainda consegue abrir o arquivo e pegar a senha do mysql que normalmente é a mesma do cPanel eai já vio.

Alguem sabe a causa disso?

Link to comment
Share on other sites

Sim já está ambos

Eu analizei um log agora na conta que o usuario usou para acessar outras

e olha que interessante o log diz.

FTP Quick Brute (called c99shell v. 1.0 pre-release build #17) started at 27.06.2012 03:1$

No success. connections!

------------------------------------------

Done!

Total time (secs.): 21.0114

Total connections: 101

Success.: 0

Unsuccess.:101

Connects per second: 4.81

Esse called c99shell v. 1.0 pre-release build #17 é um script que vi que voce bota e consegue fazer várias coisas, tais como criar diretórios, listar informações do servidor etc.

Segundo o log foi brute-force pelo ftp então.

Link to comment
Share on other sites

Esse script é fogo mesmo. Você pode bloquear o upload e a execuçao deste tipo de script pelo mod_security.

Passe o clamav em todos os sites do seu servidor via ssh, assim o mesmo irá remover todos os scripts maliciosos para você.

 Hospedagem de Sites, Revenda de Hospedagem, Servidores Virtuais, Registro de Domínios
Link to comment
Share on other sites

Segue regra para bloquear o upload e funções de outros scripts parecidos:

# For deny Shells opening

SecRule REQUEST_URI "\;(\s|\t)*perl .*\.pl"

SecRule REQUEST_URI|REQUEST_BODY "perl (xpl\.pl|kut|viewde|httpd\.txt)"

SecRule REQUEST_FILENAME "/(r0nin|TrYaG|TrYg|m0rtix|r57shell|r57|c99|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|\.ru/|brute|c991)\.php"

SecRule REQUEST_FILENAME "\.pl"

SecRule REQUEST_FILENAME "perl .*\.pl(\s|\t)*\;"

SecRule REQUEST_FILENAME "\;(\s|\t)*perl .*\.pl"

SecRule RESPONSE_BODY "TrYaG"

SecRule RESPONSE_BODY "SnIpEr_SA"

SecRule RESPONSE_BODY "Sniper"

SecRule RESPONSE_BODY "shell"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "sql_passwd"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "public_html"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "/etc"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "/root"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "/usr"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "/boot"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "/var"

SecRule REQUEST_LINE|RESPONSE_BODY|REQUEST_BODY|REQUEST_URI "/bin"

SecRule PATH_INFO "^/(bin|etc|sbin|opt|usr)"

 Hospedagem de Sites, Revenda de Hospedagem, Servidores Virtuais, Registro de Domínios
Link to comment
Share on other sites

Mude o php para trabalhar com o suphp e configure o open_basedir

Mesmo usando suPHP ele consegue inserir o script que na verdade se aproveita de uma brecha de segurança de algum script com programação defasada. Falo isso porque dois de meus clientes estavam usando scripts de um portal de noticias e outro de revenda de veiculos comprados no Mercado Livre que o cara invade facim facim e injeta esse troço... Outras vezes ja vi casos com alguns colegas que alguém contrata uma hospedagem e ele mesmo injeta isso apenas para roubar sistemas, sites e lojas dos outros clientes.
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?