سلام
همونطور که احتمالا در جریان باشید جدیدا بسیاری از وب سایت هایی که از اسکریپت whmcs استفاده میکنند (بخصوص هاستینگ ها) دچار این حملات بروت فورس میشن

هدف اصلی این حملات بخش کاربری هست که یکی از دوستان کرکر به بنده نشون داد که چطوری در عرض یه روز نزدیک به صد اکانت دو هاستینگ معروف (خیلی معروف) رو که بخش زیادیشون دارای سرویس های فعال بودن رو کرک کرده و براحتی میتونه هر استفاده مخربی داشته باشه...

دلیل اصلی این مورد این هست که Whmcs در صفحه لوگین خود اصلا از کپچا استفاده نمیکنه وگرنه با فعال کردن ریکپچا گوگل بخش عمده این حملات دفع می شدند
و مورد دیگه اینکه whmcs اصلا ایپی کسی که به بخش کاربری بروت فورس کنه حتی اگر ده هزار بار تلاش کنه رو بن نمیکنه ! (فاجعه)
با فعال کردن csrf token هم اصلا مشکل حل نمیشود (تست شده)

وب سایت های خارجی و یکی از همکاران اقدام به انتشار ماژول های امنیتی کردن که خب هزینه لایسنس بالایی داره و شاید هر کسی توانایی پرداختش رو نداشته باشه و علاوه بر هزینه امکانات دیگه ای داخل ماژول قرار دادن که خب شاید همه نیاز به امکانات اضافه دیگه نداشته باشن

به همین دلایل که عرض کردم این تاپیک رو ایجاد کردم که از دوستان برنامه نویس که با برنامه نویسی whmcs اشنایی دارن یک ماژول یا یک پچ منتشر کنند تا همه استفاده کنند و این مشکل امنیتی که بسیار جدی هست حل بشه
پ.ن :تاپیک رو جای اشتباهی زدم مدیران منتقل کنند بخش whmcs

تشکر ویژه از کاربر بخاطر سرعت عمل و لطفی که داشتن و ماژول رو رایگان منتشر کردن

http://www.webhostingtalk.ir/showthread.php?t=183946

سلام
همونطور که احتمالا در جریان باشید جدیدا بسیاری از وب سایت هایی که از اسکریپت whmcs استفاده میکنند (بخصوص هاستینگ ها) دچار این حملات بروت فورس میشن

هدف اصلی این حملات بخش کاربری هست که یکی از دوستان کرکر به بنده نشون داد که چطوری در عرض یه روز نزدیک به صد اکانت دو هاستینگ معروف (خیلی معروف) رو که بخش زیادیشون دارای سرویس های فعال بودن رو کرک کرده و براحتی میتونه هر استفاده مخربی داشته باشه...

دلیل اصلی این مورد این هست که Whmcs در صفحه لوگین خود اصلا از کپچا استفاده نمیکنه وگرنه با فعال کردن ریکپچا گوگل بخش عمده این حملات دفع می شدند (کچا خود whmcs فایده نداره)
و مورد دیگه اینکه whmcs اصلا ایپی کسی که به بخش کاربری بروت فورس کنه حتی اگر ده هزار بار تلاش کنه رو بن نمیکنه ! (فاجعه)
با فعال کردن csrf token هم اصلا مشکل حل نمیشود (تست شده)

وب سایت های خارجی و یکی از همکاران اقدام به انتشار ماژول های امنیتی کردن که خب هزینه لایسنس بالایی داره و شاید هر کسی توانایی پرداختش رو نداشته باشه و علاوه بر هزینه امکانات دیگه ای داخل ماژول قرار دادن که خب شاید همه نیاز به امکانات اضافه دیگه نداشته باشن

به همین دلایل که عرض کردم این تاپیک رو ایجاد کردم که از دوستان برنامه نویس که با برنامه نویسی whmcs اشنایی دارن یک ماژول یا یک پچ منتشر کنند تا همه استفاده کنند و این مشکل امنیتی که بسیار جدی هست حل بشه
پ.ن :تاپیک رو جای اشتباهی زدم مدیران منتقل کنند بخش whmcs


لطفا موضوع رو جدی بگیرید شاید هاستینگ بعدی که میره زیر کرک هاستینگ شما باشه

سلام
ممنون از اطلاع رسانی فقط جسارتاً مگه سیستم دوستتون چقدر قدرتمنده که در یه روز 100 تا یوزر رو با حمله حدس و گمان (BruteForce) تونسته هک کنه؟
چون تا اون جایی که می دونم حمله BruteForce به دلیل تست پسورد لیست یا کاراکتر به کاراکتر علاوه بر قدرت بالای سخت افزاری نیاز به زمان نسبتاً زیادی داره و هک 100 تا حساب از 2 تا هاستینگ معروف اونم فقط در یک روز به نظرم عجیب میاد.
یا یوزر ها انقدر بی فکرن که رمز های 3 - 4 حرفی دارن یا واقعاً باید حفره امنیتی تو whmcs باشه که اون وقت دیگه BruteForce حساب نمیشه و باگ امنیتی حساب میشه.

یک راه حل این هست که در فرم پیشفرض لوگین whmcs به جای ارجاع مستقیم به dologin.php یک صفحه php دیگه ایجاد کنیم و فرم لوگین رو به اون ارجاع بدیم و طبق دلخواه خودمون کپچای مورد نظرمون رو داخلش بزاریم و هربار اعتبار سنجی کنیم

اگر دوستان نظر دیگه ای دارن بگن

- - - Updated - - -


سلام
ممنون از اطلاع رسانی فقط جسارتاً مگه سیستم دوستتون چقدر قدرتمنده که در یه روز 100 تا یوزر رو با حمله حدس و گمان (BruteForce) تونسته هک کنه؟
چون تا اون جایی که می دونم حمله BruteForce به دلیل تست پسورد لیست یا کاراکتر به کاراکتر علاوه بر قدرت بالای سخت افزاری نیاز به زمان نسبتاً زیادی داره و هک 100 تا حساب از 2 تا هاستینگ معروف اونم فقط در یک روز به نظرم عجیب میاد.
یا یوزر ها انقدر بی فکرن که رمز های 3 - 4 حرفی دارن یا واقعاً باید حفره امنیتی تو whmcs باشه که اون وقت دیگه BruteForce حساب نمیشه و باگ امنیتی حساب میشه.

این حملات با سرور مجازی انجام میشه
بله هنوز خیلی از مشتریان از پسورد های ساده استفاده میکنن که البته کرکر ها پسورد های نسبتا سخت هم ممکنه کرک کنن

سلام
همونطور که احتمالا در جریان باشید جدیدا بسیاری از وب سایت هایی که از اسکریپت whmcs استفاده میکنند (بخصوص هاستینگ ها) دچار این حملات بروت فورس میشن

هدف اصلی این حملات بخش کاربری هست که یکی از دوستان کرکر به بنده نشون داد که چطوری در عرض یه روز نزدیک به صد اکانت دو هاستینگ معروف (خیلی معروف) رو که بخش زیادیشون دارای سرویس های فعال بودن رو کرک کرده و براحتی میتونه هر استفاده مخربی داشته باشه...

دلیل اصلی این مورد این هست که Whmcs در صفحه لوگین خود اصلا از کپچا استفاده نمیکنه وگرنه با فعال کردن ریکپچا گوگل بخش عمده این حملات دفع می شدند (کچا خود whmcs فایده نداره)
و مورد دیگه اینکه whmcs اصلا ایپی کسی که به بخش کاربری بروت فورس کنه حتی اگر ده هزار بار تلاش کنه رو بن نمیکنه ! (فاجعه)
با فعال کردن csrf token هم اصلا مشکل حل نمیشود (تست شده)

وب سایت های خارجی و یکی از همکاران اقدام به انتشار ماژول های امنیتی کردن که خب هزینه لایسنس بالایی داره و شاید هر کسی توانایی پرداختش رو نداشته باشه و علاوه بر هزینه امکانات دیگه ای داخل ماژول قرار دادن که خب شاید همه نیاز به امکانات اضافه دیگه نداشته باشن

به همین دلایل که عرض کردم این تاپیک رو ایجاد کردم که از دوستان برنامه نویس که با برنامه نویسی whmcs اشنایی دارن یک ماژول یا یک پچ منتشر کنند تا همه استفاده کنند و این مشکل امنیتی که بسیار جدی هست حل بشه
پ.ن :تاپیک رو جای اشتباهی زدم مدیران منتقل کنند بخش whmcs


لطفا موضوع رو جدی بگیرید شاید هاستینگ بعدی که میره زیر کرک هاستینگ شما باشه

سلام
میتونید ورود دو مرحله ای روی WHMCS فعال کنید.
Two-Factor Authentication

سلام
میتونید ورود دو مرحله ای روی WHMCS فعال کنید.
Two-Factor Authentication


این مورد عملی نیست
خیلی از کاربران تمایلی به فعال کردن این مورد ندارند و بخش عمده ای از کاربران همچنان در خطر می مانند
راه حل دیگه میتونه استفاده از cdn هایی که فایروال دارن باشه که خب گفتم هزینه و دردسر زیادی داره و ما بدنبال روش کم هزینه یا رایگان هستیم

پ.ن : به خود whmcs هم قبلا تیکت زده شده و تنها پاسخی که دادن فعال کردن csrf token بود که فایده چندانی نداشت

whmcs مال خارجی هاست..جهانیه..مختص مال ما نیست که...کلی هم پول لایسنس و.. میگیرند برای سرویسشون..ما چرا باید براش ماژول بنویسیم؟خوب یه تیکت بزنید بهشون اطلاع بدید خودشون پچی ماژولی چیزی مینویسن براش خوب!! دندشون نرم خودشون هزینه کنند ما باید هزینه کنیم؟

اگر موضوع اینقدر جدیه دیدید گوش نمیدند به رفیقتون بگید خود whmcs رو سایتشون رو مورد عنایت قرار بدند حساب کار دستشون بیاد!! :)

وب سایت های خارجی و یکی از همکاران اقدام به انتشار ماژول های امنیتی کردن که خب هزینه لایسنس بالایی داره و شاید هر کسی توانایی پرداختش رو نداشته باشه و علاوه بر هزینه امکانات دیگه ای داخل ماژول قرار دادن که خب شاید همه نیاز به امکانات اضافه دیگه نداشته باشن


سلام
لطفاً لینک این ماژول های امنیتی رو برای بنده ارسال کنید

سلام
لطفاً لینک این ماژول های امنیتی رو برای بنده ارسال کنید
ایرانیش ماژول فراسو (که فعلا خیلی سادست)
خارجیش هم مثل WHMCS Firewall (که امکانات نسبتا زیادی داره)

یه سرچ داخل گوگل انجام بدید میاد

- - - Updated - - -


whmcs مال خارجی هاست..جهانیه..مختص مال ما نیست که...کلی هم پول لایسنس و.. میگیرند برای سرویسشون..ما چرا باید براش ماژول بنویسیم؟خوب یه تیکت بزنید بهشون اطلاع بدید خودشون پچی ماژولی چیزی مینویسن براش خوب!! دندشون نرم خودشون هزینه کنند ما باید هزینه کنیم؟

اگر موضوع اینقدر جدیه دیدید گوش نمیدند به رفیقتون بگید خود whmcs رو سایتشون رو مورد عنایت قرار بدند حساب کار دستشون بیاد!! :)

درسته
اما اینجوری باشه ما نباید هیچکاری کنیم همش منتظر باشیم خودشون ماژول های مورد نیازمون رو بنویسن ! نمیشه که
به خودشونم عرض کردم تیکت دادیم و احتمالا در نسخه های بعد یه کارایی میکنن اما زمان دقیقش اصلا مشخص نیست

برای مورد عنایت قرار دادن خود whmcs هم زیاد برای یه کرکر جذاب نیست چون تنها چیزی که داخلش هست لایسنس هست که اونم ست شده روی دومین خاصی هست

بحث رو منحرف نکنیم بهتره

- - - Updated - - -

الان که چک کردم تک تک هاستینگ ها دارن روی پنل کاربریشون کپچا میزارن !!

دوستان این ادرس کپچا گوگل برای شما باز میشه؟
https://www.google.com/recaptcha/admin

دوستان این ادرس کپچا گوگل برای شما باز میشه؟
https://www.google.com/recaptcha/admin
بله بدون مشکل باز شد

کپچا بذارید به این صورت که کاربر بعد از وارد کردن آدرس ناحیه کاربری،اول کپچا رو وارد کنه،تایید که شد بعد ناحیه کاربری و و فرم لاگین رو ببینه.
عین سایت ترامپ :))
https://www.donaldjtrump.com

بله بدون مشکل باز شد

اره بعد از چند دقیقه باز شد یه خورده پیجش دیر باز شد.
کپچا روی قالب whmcs گذاشتم اما عمل نمیکنه :
http://mizbanservers.com/clients/clientarea.php
بدون اینکه تیک کپچا رو بزنی وارد میشه مشکلش چیه؟

کپچا بذارید به این صورت که کاربر بعد از وارد کردن آدرس ناحیه کاربری،اول کپچا رو وارد کنه،تایید که شد بعد ناحیه کاربری و و فرم لاگین رو ببینه.
عین سایت ترامپ :))
https://www.donaldjtrump.com

این نوع کپچا برای اجتناب از حملات داس قرار داده میشه و احتمال زیاد هم برای کشوری مثل ایران قرار داده شده

- - - Updated - - -

این مشکل چندین ماه پیش (فک میکنم حدود 4 ماه پیش ) بر روی سایت فراسو انجام میشد که بر حسب نیاز این ماژول برای سیستم خودمان راه اندازی شد و با توجه به اینکه حدس زدیم سایر همکاران نیز چنین مشکلی رو داشته باشن (از سوی برخی هم گزارش شد این مشکل) برای فروش قرار دادیم ماژول کاملا دقیق کار میکنه و میتونید با اطمینان کامل از این ماژول استفاده کنید برای رفع این مشکل
در آخر باید بگم بله این حملات حقیقته و وجود داره وداره هر روز روی خیلی سایت ها انجام میشه شایدم رو سایت خود شما شده باشه و متوجه نشده باشید تاحالا

سلام
همونطور که احتمالا در جریان باشید جدیدا بسیاری از وب سایت هایی که از اسکریپت whmcs استفاده میکنند (بخصوص هاستینگ ها) دچار این حملات بروت فورس میشن

هدف اصلی این حملات بخش کاربری هست که یکی از دوستان کرکر به بنده نشون داد که چطوری در عرض یه روز نزدیک به صد اکانت دو هاستینگ معروف (خیلی معروف) رو که بخش زیادیشون دارای سرویس های فعال بودن رو کرک کرده و براحتی میتونه هر استفاده مخربی داشته باشه...

دلیل اصلی این مورد این هست که Whmcs در صفحه لوگین خود اصلا از کپچا استفاده نمیکنه وگرنه با فعال کردن ریکپچا گوگل بخش عمده این حملات دفع می شدند
و مورد دیگه اینکه whmcs اصلا ایپی کسی که به بخش کاربری بروت فورس کنه حتی اگر ده هزار بار تلاش کنه رو بن نمیکنه ! (فاجعه)
با فعال کردن csrf token هم اصلا مشکل حل نمیشود (تست شده)

وب سایت های خارجی و یکی از همکاران اقدام به انتشار ماژول های امنیتی کردن که خب هزینه لایسنس بالایی داره و شاید هر کسی توانایی پرداختش رو نداشته باشه و علاوه بر هزینه امکانات دیگه ای داخل ماژول قرار دادن که خب شاید همه نیاز به امکانات اضافه دیگه نداشته باشن

به همین دلایل که عرض کردم این تاپیک رو ایجاد کردم که از دوستان برنامه نویس که با برنامه نویسی whmcs اشنایی دارن یک ماژول یا یک پچ منتشر کنند تا همه استفاده کنند و این مشکل امنیتی که بسیار جدی هست حل بشه
پ.ن :تاپیک رو جای اشتباهی زدم مدیران منتقل کنند بخش whmcs

تشکر ویژه از کاربر بخاطر سرعت عمل و لطفی که داشتن و ماژول رو رایگان منتشر کردن

http://www.webhostingtalk.ir/showthread.php?t=183946

این رو مطمئن هستید؟ چون من تست کردم قبلا، بن میکرد
میتونید یه لینک رو برام ارسال کنید تست کنم؟

این رو مطمئن هستید؟ چون من تست کردم قبلا، بن میکرد
میتونید یه لینک رو برام ارسال کنید تست کنم؟
بله مطمئن هستم
شما برید سایتای whmcs رو تست کنید همین الان
متوجه میشید