-
March 29th, 2017, 15:49
#1
عضو دائم
WHMCS Brute Force [Protection]
باسلام، باتوجه به کمبود و ضعف های امنیتی که در بخش ورود کاربری سیستم اتوماسیون whmcs مشاهده شده است، طی زمان سعی میکنم این تاپیک را کامل کرده و ماژول هایی که مینویسم را به صورت رایگان در اختیار دوستان بگذارم.
# بلاک آیپی در صورت ناموفق بودن ورود کاربر + reCaptcha گوگل (بخش کاربری)
در صورتی که کاربر بیش از 3 بار (قابل ویرایش) ورود ناموفق داشته باشد آیپی او در بن لیست whmcs ثبت خواهد شد و در بخش آیپی های مسدود شده، قابل مدیریت خواهد بود. همچنین به فرم ورود reCaptcha گوگل اضافه خواهد شد.
1 - ابتدا sql زیر را در دیتابیس خود اجرا کنید :
کد:
https://codepaste.net/x9zfui
2 - فایل پیوست شده (faildlogin.php) را دانلود کنید سپس به مسیر public_html/includes/hooks آپلود کنید.
در لاین 74 فایل (faildlogin.php) میتوانید مدت زمان مسدود بودن آیپی، تعداد دفعالت خطا و پیام مسدود سازی را را تغییر دهید. اگر whmcs شما داخل فولدر نصب شده است در لاین 50 نام فولدر همراه با اسلش ابتدایی وارد کنید :
کد:
$whmcsFolder = null; //ex(with slash): /my
کد:
/*********************************************
YOU CAN EDIT
T.TOOSI
*********************************************/
$configureFaild['adminUsername2'] = 'admin';
$configureFaild['banExTime'] = '+2 hours';
$configureFaild['googleSecret'] = '6LcV1hoUAAAAAL04oGte0kbnHXLKazJR8U1N5SK7';
$configureFaild['faildTimes'] = 3;
$configureFaild['faildMsg'] = 'Faild Login!';
$configureFaild['whmcsFolder'] = $whmcsFolder;
$configureFaild['ip'] = $ip;
/**********************************************/
سپس برای نمایش reCaptcha فایل login.tpl قالب خود را باز کرده، ابتدا خط اضافه کنید :
کد HTML:
<script src='https://www.google.com/recaptcha/api.js?hl=fa'></script>
قبل بسته شده form اضافه کنید :
کد HTML:
<div class="form-group">
<div class="g-recaptcha" data-sitekey="6LcV1hoUAAAAADmGH99-kkipQ27GJZ9eN3xTkxBa"></div>
</div>
مقدار data-sitekey و secret (درفایل faildlogin.php) از آدرس زیر بگیرید :
کد:
https://www.google.com/recaptcha/admin
ویرایش توسط T.Toosi : March 29th, 2017 در ساعت 21:52
-
تعداد تشکر ها ازT.Toosi به دلیل پست مفید
AtrafNet, blueserver, Cyrus.The.Great, dizaji_saeed, gharibion, hassanfe, hoster, jamal, joomla2, k-h, k-pax, kool, M.Abooali, m2020k2012, maxmizban_com, mizban97, mobin96, nima17701, offgij, omid1991, OmidX, Oscar, renjo, Reza G, Sajad, sshiran, TARIMEHR, tebyanhosting, tikweb.ir, wapmaster, سیدرضا بازیار
-
March 29th, 2017 15:49
# ADS
-
March 29th, 2017, 15:53
#2
عضو انجمن
پاسخ : WHMCS Brute Force [Protection]
جناب طوسی واقعا جای تشکر داره کارتون
اگر یه لینک donate بزارید حتما بنده و عزیزان دیگه شما رو حمایت خواهیم کرد
ماژول رو تست میکنم نتیجه رو قرار میدم
- - - Updated - - -
این دقیقا چی هست با چه چیزی باید جایگزین بشه؟
یوزر ادمین؟
:: گروه فناوری اطلاعات
تیک وب | ارائه انواع خدمات وب هاستینگ و کانفیگ سرور و cms | طراحی انواع وب سایت
::
دارنده نماد اعتماد دائم از وزارت صنعت ، معدن و تجارت
-
تعداد تشکر ها ازtikweb.ir به دلیل پست مفید
-
March 29th, 2017, 16:11
#3
عضو دائم
پاسخ : WHMCS Brute Force [Protection]
نوشته اصلی توسط
tikweb.ir
جناب طوسی واقعا جای تشکر داره کارتون
اگر یه لینک donate بزارید حتما بنده و عزیزان دیگه شما رو حمایت خواهیم کرد
ماژول رو تست میکنم نتیجه رو قرار میدم
- - - Updated - - -
این دقیقا چی هست با چه چیزی باید جایگزین بشه؟
یوزر ادمین؟
یوزرنیم ادمین whmcs جایگزین کنید.
-
تعداد تشکر ها ازT.Toosi به دلیل پست مفید
-
March 29th, 2017, 16:14
#4
عضو انجمن
پاسخ : WHMCS Brute Force [Protection]
قبل از این تاپیک قصد داشتم ماژول فراسو رو خریداری کنم که به عنوان یک ماژول واقعا هزینه بالایی داره
بسیار عالی این کار شما قابل ستایشه و بنده هم حاضرم ازین کار شما حمایت مالی کنم
-
تعداد تشکر ها از Oscar به دلیل پست مفید
-
March 29th, 2017, 16:23
#5
-
تعداد تشکر ها ازamin karimi به دلیل پست مفید
-
March 29th, 2017, 16:26
#6
عضو انجمن
پاسخ : WHMCS Brute Force [Protection]
نوشته اصلی توسط
T.Toosi
یوزرنیم ادمین whmcs جایگزین کنید.
بنده جایگزین کردم اما ده بار هم که یوزر پسورد اشتباه میزنم ایپی رو بلاک نمیکنه
مشکل کجاست؟
تیبل هم ساخته شده فایل هوک هم آپلود شده
ما https استفاده میکنیم ارتباطی داره؟
ویرایش توسط tikweb.ir : March 29th, 2017 در ساعت 16:28
:: گروه فناوری اطلاعات
تیک وب | ارائه انواع خدمات وب هاستینگ و کانفیگ سرور و cms | طراحی انواع وب سایت
::
دارنده نماد اعتماد دائم از وزارت صنعت ، معدن و تجارت
-
-
March 29th, 2017, 16:28
#7
عضو دائم
پاسخ : WHMCS Brute Force [Protection]
نوشته اصلی توسط
tikweb.ir
بنده جایگزین کردم اما ده بار هم که یوزر پسورد اشتباه میزنم ایپی رو بلاک نمیکنه
مشکل کجاست؟
تیبل هم ساخته شده فایل هوک هم آپلود شده
سلام، اگر امکانش هست از پ خ teamviewer بفرستید نگاه کنم.
-
تعداد تشکر ها از T.Toosi به دلیل پست مفید
-
March 29th, 2017, 16:30
#8
عضو انجمن
پاسخ : WHMCS Brute Force [Protection]
نوشته اصلی توسط
T.Toosi
سلام، اگر امکانش هست از پ خ teamviewer بفرستید نگاه کنم.
ما https استفاده میکنیم ارتباطی داره؟
:: گروه فناوری اطلاعات
تیک وب | ارائه انواع خدمات وب هاستینگ و کانفیگ سرور و cms | طراحی انواع وب سایت
::
دارنده نماد اعتماد دائم از وزارت صنعت ، معدن و تجارت
-
-
March 29th, 2017, 16:32
#9
عضو دائم
پاسخ : WHMCS Brute Force [Protection]
نوشته اصلی توسط
tikweb.ir
ما https استفاده میکنیم ارتباطی داره؟
به دلیل اینکه whmcs داخل فولدر هست، لاین 3 :
$_SERVER['REQUEST_URI'] === "/dologin.php"
جایگزین کنید :
$_SERVER['REQUEST_URI'] === "/cp/dologin.php"
ویرایش توسط T.Toosi : March 29th, 2017 در ساعت 16:40
-
تعداد تشکر ها ازT.Toosi به دلیل پست مفید
-
March 29th, 2017, 16:41
#10
عضو انجمن
پاسخ : WHMCS Brute Force [Protection]
نوشته اصلی توسط
T.Toosi
به دلیل اینکه whmcs داخل فولدر هست، لاین 3 :
$_SERVER['REQUEST_URI'] === "/dologin.php"
جایگزین کنید :
$_SERVER['REQUEST_URI'] === "/cp/dologin.php"
خیلی ممنون از ماژول جسارتاً این بررسی REQUEST_URI وقتی متد POST و وجود دو مقدار username و password رو چک میکنید اضافی نیست؟
حتی اگه جای دیگه از سایت ماژول فعال بشه و در داخل متد POST این دو مقدار باشه بازم که خوبه اگه قصد BruteForce داشتن بلاک بشن نه؟
-
تعداد تشکر ها از AtrafNet به دلیل پست مفید
پاسخ با نقل قول
