Como um phisher foi enviado para o meu servidor?

3

Meu webhost me notificou de que recebeu uma reclamação do Bank of America que uma de minhas contas sob minha conta de revendedor (WHM) foi comprometida por um phisher. Depois que o host suspendeu minha conta, tentei descobrir como a conta foi comprometida, mas não consigo descobrir.

  • Minha conta não tinha nenhum script em execução, apenas arquivos .html estáticos.
  • Todas as senhas são bem strongs - 8 caracteres são gerados automaticamente com letras minúsculas, maiúsculas, números e caracteres especiais misturados.
  • O computador cliente está conectado ao roteador e tem antivírus, anti-spyware e firewall atualizados e nunca foi infectado.
  • O SFTP não é suportado pelo webhost com certificado SSL compartilhado, portanto, os uploads são feitos com o filezilla como normal

Estou assumindo que, se o phisher de alguma forma capturou senhas, teria feito mais dano, então minha linha de pensamento atual é algum tipo de vulnerabilidade no cpanel / .htaccess etc?

O phisher fez um subdomínio e uma pasta com um site falso que capturou detalhes bancários e enviou por e-mail para eles mesmos.

Minha pergunta é: como o phisher comprometeu a conta para enviar seus arquivos? (ou que possíveis fraquezas ele poderia explorar)

    
por Ritchie 04.07.2011 / 19:09

1 resposta

2

Se você estiver em um sistema de cpanel de ações, há três ou quatro vetores possíveis que eu verificaria e tentaria excluir:

1) O hacker tem sua senha de ftp e usou isso para carregar os arquivos modificados. Se isso acontecesse, seu host deveria ter logs para mostrar isso e o endereço IP remoto usado para fazer isso. Se o seu host não puder mostrar isso, eu encontraria um novo host.

2) Eles modificaram seu site por meio de uma interface diferente (SCP, WebDAV)? Novamente, seu host deve poder mostrar alguns logs.

3) Existem scripts que permitiram o acesso a arquivos? Seu host deve ser capaz de apontar para logs mostrando isso.

4) Há alguns escalonamentos de privilégios ou ataques de conta de revendedor no cPanel. Os links simbólicos podem ser seguidos, os bugs do WebDAV e outros ataques podem ter permitido que o hacker explore outra conta e, em seguida, carregue conteúdo para o seu site.

Em todos esses casos, seu host deve orientá-lo sobre isso.

    
por 05.07.2011 / 09:33