Мой веб-хостинг уведомил меня, что они получили жалобу из банка Америки о том, что одна из моих учетных записей в моем торговом посреднике (WHM) была взломана фишером. Как только хост отменил приостановку моей учетной записи, я попытался выяснить, как эта учетная запись была взломана, но не могу этого понять.
Я предполагаю, что если бы фишер каким-то образом перехватил пароли, они бы нанесли больший ущерб, поэтому мое текущее мышление - это своего рода уязвимость в cpanel / .htaccess и т. Д.?
Фишер создал поддомен и папку с поддельным сайтом, который собирал банковские реквизиты и отправлял их себе по электронной почте.
Мой вопрос в том, как фишер взломал учетную запись, чтобы загрузить свои файлы? (или какие возможные слабые места он мог бы использовать)
Если вы используете стандартную систему cpanel, я бы проверил три или четыре возможных вектора и постарался бы их исключить:
1) Хакер знает ваш пароль ftp и использовал его для загрузки измененных файлов. Если это произошло, ваш хост должен иметь журналы, чтобы показать это, а также удаленный IP-адрес, используемый для этого. Если ваш хозяин не может вам этого показать, я найду нового хозяина.
2) Изменяли ли они ваш сайт через другой интерфейс (SCP, WebDAV)? Опять же ваш хост должен иметь возможность показать вам журналы.
3) Есть ли скрипты, разрешающие доступ к файлам? Ваш хост должен иметь возможность указывать на журналы, показывающие это.
4) В cPanel есть несколько атак на повышение привилегий или перекрестные атаки на учетные записи реселлеров. Можно отслеживать символические ссылки, ошибки WebDAV и другие атаки, возможно, позволили хакеру использовать другую учетную запись, а затем загрузить контент на ваш сайт.
Во всех этих случаях ваш хозяин должен проводить вас через это.