dr.saeed
December 8th, 2011, 16:45
سلام
با توجه به اینکه تایپیک های زیادی برای باگ های WHMCS تو چند روز گذشته زده شده راه حل های رفع این باگ ها رو در یک پست جمع بندی کردم که براتون قرار می دهم
کاری که من کردم به نظر خودم یه راه حل بچه گانه هست
خوب من لایسنس دارم و همه ی فایل ها کد شده هست پس من نمیتونشتم خود باگ رو فیکس کنم
پس اومدم توی فایل configuration.php که توی همه ی صفحات انکلود میشه همه ی $_REQUEST ها رو چک کردم
اگه توی هر کدومشون عبارت {php} وجود داشت جلوی ادامه برنامه رو گرفتم و عبارت Hacking Attempt ! رو چاپ کردم
به درخواست دوستان کد رو میذارم
اما به نظر خودم این راه حل درست نیست و موقت هست ! پس از ارائه پچ حتما پاکش کنید
کد زیر رو توی فایل configuration.php اضافه کنید
foreach ($_REQUEST as $value)
{
if(strpos(strtolower($value), "{php}") !== false)
die("Hacking Attempt !");
}
به پست دوم این تاپیک مراجعه کنید
بهترین راه اینه که اولا پرمیشن فایل configuration.php رو 444 بزارید.
دوما کد های زیر رو در فایل configuration.php بزارید:
$templates_compiledir = "/home/username/templates_c/";
$attachments_dir = "/home/username/attachments/";
$downloads_dir = "/home/username/downloads/";
به جای username، نام کاربری هاستتونو بزارید. و همچنین این سه تا فولدر رو از هاست خارج کنید و به مسیری که در بالا گفته شده منتقل کنید. کاهش دادن پرمیشن این سه تا فولدر راهگشا نیست و بعدا مشکلاتی رو ایجاد میکنه.
رفع باگ> Security Patch - WHMCS Forums (http://forum.whmcs.com/showthread.php?t=43462)
فایل رو دانلود و در پوشه ی includes اکسترکت کنید
سلام
من از این دیسیبل فانکشن در PHP استفاده میکنند شاید به درد دوستان هم بخوره
disable_functions
apache_get_modules,apache_get_version,apache_reset _timeout,apache_getenv,apache_note,apache_setenv,g zinflate,chmod,symlink,./,fpassthru,crack_check,crack_closedict,crack_getla stmessage,crack_opendict,php_ini_scanned_files,she ll-exec,dl,ctrl_dir,phpini,tmp,safe_mode,php_uname,sy stemroot,server_software,get_current_user,HTTP_HOS T,ini_restore,popen,pclose,exec,shell_exec,suExec, passthru,proc_open,proc_nice,proc_terminate,proc_g et_status,proc_close,leak,apache_child_terminate,p osix_kill,posix_mkfifo,posix_setpgid,posix_setsid, posix_setuid,escapeshellcmd,escapeshellarg,posix_c termid,posix_getcwd,posix_getegid,posix_geteuid,po six_getgid,posix_getgrgid,posix_getgrnam,posix_get groups,posix_getlogin,posix_getpgid,posix_getpgrp, posix_getpid,posix_getppid,posix_getpwnam,posix_ge tpwuid,posix_getrlimit,posix_getsid,posix_getuid,p osix_isatty,posix_setegid,posix_seteuid,posix_setg id,posix_times,posix_ttyname,posix_uname,posix_acc ess,posix_get_last_error,posix_mknod,posix_strerro r,posix_initgroups,posix_setsid,posix_setuid,perl, rsync,wget,python,whoami,cat,perm,find,bind_shell, socket_bind,socet_connect,show_source,phpinfo,allo w_url_fopen
و فایل ROOT-patch20110613 در پوشه ی ادمین
و فایل ADMIN-patch20111015 در پوشه روت
آپلود کنید/اشتباه اسم فایل ها رو گذاشتم
http://forum.whmcs.com/showthread.php?t=39139
http://forum.whmcs.com/showthread.php?t=42121
تشکر نشانه رضایت است :D
3883
با توجه به اینکه تایپیک های زیادی برای باگ های WHMCS تو چند روز گذشته زده شده راه حل های رفع این باگ ها رو در یک پست جمع بندی کردم که براتون قرار می دهم
کاری که من کردم به نظر خودم یه راه حل بچه گانه هست
خوب من لایسنس دارم و همه ی فایل ها کد شده هست پس من نمیتونشتم خود باگ رو فیکس کنم
پس اومدم توی فایل configuration.php که توی همه ی صفحات انکلود میشه همه ی $_REQUEST ها رو چک کردم
اگه توی هر کدومشون عبارت {php} وجود داشت جلوی ادامه برنامه رو گرفتم و عبارت Hacking Attempt ! رو چاپ کردم
به درخواست دوستان کد رو میذارم
اما به نظر خودم این راه حل درست نیست و موقت هست ! پس از ارائه پچ حتما پاکش کنید
کد زیر رو توی فایل configuration.php اضافه کنید
foreach ($_REQUEST as $value)
{
if(strpos(strtolower($value), "{php}") !== false)
die("Hacking Attempt !");
}
به پست دوم این تاپیک مراجعه کنید
بهترین راه اینه که اولا پرمیشن فایل configuration.php رو 444 بزارید.
دوما کد های زیر رو در فایل configuration.php بزارید:
$templates_compiledir = "/home/username/templates_c/";
$attachments_dir = "/home/username/attachments/";
$downloads_dir = "/home/username/downloads/";
به جای username، نام کاربری هاستتونو بزارید. و همچنین این سه تا فولدر رو از هاست خارج کنید و به مسیری که در بالا گفته شده منتقل کنید. کاهش دادن پرمیشن این سه تا فولدر راهگشا نیست و بعدا مشکلاتی رو ایجاد میکنه.
رفع باگ> Security Patch - WHMCS Forums (http://forum.whmcs.com/showthread.php?t=43462)
فایل رو دانلود و در پوشه ی includes اکسترکت کنید
سلام
من از این دیسیبل فانکشن در PHP استفاده میکنند شاید به درد دوستان هم بخوره
disable_functions
apache_get_modules,apache_get_version,apache_reset _timeout,apache_getenv,apache_note,apache_setenv,g zinflate,chmod,symlink,./,fpassthru,crack_check,crack_closedict,crack_getla stmessage,crack_opendict,php_ini_scanned_files,she ll-exec,dl,ctrl_dir,phpini,tmp,safe_mode,php_uname,sy stemroot,server_software,get_current_user,HTTP_HOS T,ini_restore,popen,pclose,exec,shell_exec,suExec, passthru,proc_open,proc_nice,proc_terminate,proc_g et_status,proc_close,leak,apache_child_terminate,p osix_kill,posix_mkfifo,posix_setpgid,posix_setsid, posix_setuid,escapeshellcmd,escapeshellarg,posix_c termid,posix_getcwd,posix_getegid,posix_geteuid,po six_getgid,posix_getgrgid,posix_getgrnam,posix_get groups,posix_getlogin,posix_getpgid,posix_getpgrp, posix_getpid,posix_getppid,posix_getpwnam,posix_ge tpwuid,posix_getrlimit,posix_getsid,posix_getuid,p osix_isatty,posix_setegid,posix_seteuid,posix_setg id,posix_times,posix_ttyname,posix_uname,posix_acc ess,posix_get_last_error,posix_mknod,posix_strerro r,posix_initgroups,posix_setsid,posix_setuid,perl, rsync,wget,python,whoami,cat,perm,find,bind_shell, socket_bind,socet_connect,show_source,phpinfo,allo w_url_fopen
و فایل ROOT-patch20110613 در پوشه ی ادمین
و فایل ADMIN-patch20111015 در پوشه روت
آپلود کنید/اشتباه اسم فایل ها رو گذاشتم
http://forum.whmcs.com/showthread.php?t=39139
http://forum.whmcs.com/showthread.php?t=42121
تشکر نشانه رضایت است :D
3883