CPanel puede ser explotado por alguien que lee su correo electrónico o intercepta un correo electrónico en su teléfono cuando la cuenta está configurada (si no ha cambiado las contraseñas proporcionadas).
Además, si la contraseña es débil y el atacante conoce la convención de nomenclatura para las cuentas de usuario (y posiblemente las contraseñas creadas por el host), es posible que puedan ingresar a su C-Panel.
En este punto, si alguien obtiene las contraseñas de una cuenta de SSH (o si, por algún motivo, su host usa la misma combinación de Nombre de usuario / Contraseña para SSH que para el Cpanel), pueden ingresar al cuadro con una aplicación como MySQL Workbench a través de un túnel SSH. (Es una de las opciones de seguridad en MySQL).
Ejemplo:
- El usuario obtiene el inicio de sesión de su cuenta SSH.
- El usuario
cat
s su config.php
para su sitio web.
- Añaden
username
y password
de ese archivo a su perfil de MySQL Workbench.
- Obtienen acceso
username
tiene derechos para en localhost
.
Si alguien obtiene su contraseña SSH, es probable que su servidor MySQL no sea su próximo vector de ataque, pero es posible.
También es posible que en este momento instalen sus propios scripts que se conectan a un servidor MySQL remoto para aprovecharlos (si el servidor está bloqueando la apertura remota de URL).
Esto sucede, pero es el lugar correcto en el momento oportuno.
Suena difícil, pero un cliente corporativo registró una cuenta de hosting, enviaron los inicios de sesión a su tipo de TI (y un par de gerentes superiores) ya mí mismo a través del correo electrónico una vez que llegaron al servidor de seguridad del servidor, inicialmente desde el host. . Todos los individuos corporativos obtienen copias de sus correos electrónicos en sus teléfonos inteligentes (algunos de ellos usan redes públicas para revisar sus correos electrónicos como cafeterías y aeropuertos). Una de las secuencias de información se vio comprometida y, dentro de una hora (estaba en el almuerzo cuando llegó el correo electrónico), alguien más ya había configurado la caja y la había explotado cuando probé los inicios de sesión. Fue una nueva instalación de VPS, por lo que no tardó mucho en arreglarlo. Cuando el anfitrión envió los nuevos inicios de sesión para otro VPS diferente, solo les pedí que me los enviaran. Cambié los accesos, los cifré, grabé en disco y envié los inicios de sesión a mis homólogos corporativos (para fines de registro) después de que alteré todos los inicios de sesión y credenciales proporcionados por el host (también eliminé el c-panel en la máquina).
Pensamos en intentar rastrear la fuga, pero fue mucho más fácil implementar nuevas políticas corporativas sobre el inicio de sesión en redes extranjeras, la seguridad de las contraseñas y la cadena de custodia para los inicios de sesión. Una lección para todos.