Servidor VPS bloqueado para locaweb

estudioz · Setembro 29, 2020, 12:11pm

Olá Gabriel, a locaweb bloqueou o vps alegando o seguinte:

Recebemos denúncia de Brute force partindo de seu servidor vps22442, devido a este fato foi necessário desativá-lo temporariamente até que tome as ações necessárias para solucionar este incidente.

Evidência:

191.252.109.60 - - [28/Sep/2020:13:03:18 +0200] “GET /wp-login.php HTTP/1.0” 200 1268 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0”
191.252.109.60 - - [28/Sep/2020:13:03:20 +0200] “POST /wp-login.php HTTP/1.0” 200 1593 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0”
191.252.109.60 - - [28/Sep/2020:13:03:22 +0200] “POST /xmlrpc.php HTTP/1.0” 403 212 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0”
191.252.109.60 - - [28/Sep/2020:13:03:35 +0200] “GET /wp-login.php HTTP/1.0” 200 1406 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0”
191.252.109.60 - - [28/Sep/2020:13:03:37 +0200] “POST /wp-login.php HTTP/1.0” 200 1788 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0”
191.252.109.60 - - [28/Sep/2020:13:03:38 +0200] “POST /xmlrpc.php HTTP/1.0” 403 212 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0”
191.252.109.60 - - [28/Sep/2020:13:04:40 +0200] “GET /wp-login.php HTTP/1.0” 200 4432 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0”
191.252.109.60 - - [28/Sep/2020:13:04:41 +0200] “POST /wp-login.php HTTP/1.0” 200 4432 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0”
191.252.109.60 - - [28/Sep/2020:13:04:42 +0200] “POST /xmlrpc.php HTTP/1.0” 403 1021 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0”
191.252.109.60 - - [28/Sep/2020:13:50:02 +0200] “GET /wp-login.php HTTP/1.0” 200 1094 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0”
191.252.109.60 - - [28/Sep/2020:13:50:03 +0200] “POST /wp-login.php HTTP/1.0” 200 1478 “-” “Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0”

Cabe ao desenvolvedor de seu site estar atento às possíveis brechas de segurança existentes na aplicação utilizada.

É sugerido que siga as ações abaixo:

Rode um antivírus em seu servidor
Verifique os processos deste servidor a fim de detectar algum processo malicioso/suspeito;
Deixe somente as portas que utiliza habilitadas;
Restringir o acesso via FTP para um IP em específico ou um range de IPs;
Restringir o acesso via SSH para um IP em específico ou um range de IPs;
Vasculhar a aplicação como um todo de forma a verificar possíveis brechas de segurança.

-> Como acessar seu servidor via CONSOLE
[http://ajuda.locaweb.com.br/pt-br/CONSOLE_-O_que%C3%A9_e_como_acessar]

-> Como utilizar o Firewall
[https://ajuda.locaweb.com.br/wiki/como-configurar-o-firewall-cloud-server-pro/]

Existem ferramentas como o 6scan e Sucuri que ajudam a proteger, detectar e corrigir vulnerabilidades em seu site:

[http://6scan.com]
[http://sitecheck.sucuri.net]

A verificação da possibilidade de reativação ocorrerá somente após uma interação neste chamado do responsável informando quais ações foram seguidas.

Qual foi a fonte da questão?
Quais etapas você tomou para resolver esse problema?
Que medidas você tomou para evitar que isso ocorra novamente?

Atenciosamente,

Gabriel · Setembro 29, 2020, 12:44pm

Provavelmente você tem algum plugin com brechas de segurança ou mesmo muitas atualizações pendentes que permitiram a infeção por algum script que está executando esse brute force.
Pelo registro de log que compartilhou esse brute forte está justamente atacando o xmlrpc.php e também o wo-login.php

Minha recomendação inicial seria ver essa aula
É a forma mais segura de limpar sites infectados.

estudioz · Setembro 29, 2020, 1:52pm

Esta aula tem no superservidor? nao deixa entrar aqui

Gabriel · Setembro 29, 2020, 1:57pm

Tem na assinatura.
De toda forma, veja o Módulo 7 e Módulo 13 do Super Servidor.
O ideal seria migrar esse site de maneira limpa para outra VPS.
Dependendo do ataque vai ser muito complexo limpar o servidor.

estudioz · Setembro 29, 2020, 7:27pm

Oi amigo, eu consegui fazer voltar o site, mas ao adicionar o --ngxblocker da este erro:

root@server:~# wo site update meusite.com.br --ngxblocker
Testing Nginx configuration [OK]
Reloading Nginx [OK]
Testing Nginx configuration [OK]
Reloading Nginx [OK]
Traceback (most recent call last):
File “/usr/local/bin/wo”, line 8, in
sys.exit(main())
File “/usr/local/lib/python3.5/dist-packages/wo/cli/main.py”, line 102, in main
app.run()
File “/usr/local/lib/python3.5/dist-packages/cement/core/foundation.py”, line 882, in run
return_val = self.controller._dispatch()
File “/usr/local/lib/python3.5/dist-packages/cement/core/controller.py”, line 471, in _dispatch
return func()
File “/usr/local/lib/python3.5/dist-packages/cement/core/controller.py”, line 471, in _dispatch
return func()
File “/usr/local/lib/python3.5/dist-packages/cement/core/controller.py”, line 477, in _dispatch
return func()
File “/usr/local/lib/python3.5/dist-packages/wo/cli/plugins/site_update.py”, line 138, in default
self.doupdatesite(pargs)
File “/usr/local/lib/python3.5/dist-packages/wo/cli/plugins/site_update.py”, line 802, in doupdatesite
if ‘wo_db_name’ in data.keys() and not data[‘wp’]:
KeyError: ‘wp’

Gabriel · Setembro 29, 2020, 7:30pm

Esse retorno realmente está acontecendo.
Mas não é um erro. O script deve estar ativo e funcionando mesmo tendo gerado este retorno.

estudioz · Setembro 29, 2020, 7:55pm

valeu amigo! vamos ver se resolver, instalei o cerber, parece que esta tudo ok, só que o dns não esta no cloudflare ainda, vou ter se convenço o Ti a migrar

Gabriel · Setembro 29, 2020, 8:09pm

Migra sim.
Vai ajudar muito.