سلام

گرچه یک ایمیل انتقادی خیلی تند برای whmcs ارسال کردم اما واقعاً نمیتونم جلوی عصبانیتم رو بگیرم و اینجا هم ننویسم.

از سال 1384 تاکنون در زمینه طراحی وب فعالیت جدی داریم. بالغ بر 400 نمونه کار انجام شده و 140 نمونه کار فعال (آپ) داریم. اما طی این 6 سال هیچگاه با مشکل امنیتی روبرو نشده بودیم.
7 ماه پیش بود که برای سیستم فروش هاستینگ با whmcs آشنا شدم و از آنجاییکه 90% از همکاران نیز از این نرم افزار استفاده میکردند من نیز علاقه مند شدم. که ای کاش هزار سال دیگر بر روی همان نرم افزار ساده ی سیکما می ماندم و اینکار را نمیکردم.

طی این 7 ماه با وجود رعایت تمامی مسایل امنیتی که خود سایت رسمی این نرم افزار ارایه کرده و همچنین دارا بودن سرور به فایروال نرم افزاری و سخت افزاری قوی ، 2 بار تمامی سایتها هک شدند.

ممکن است بسیاری از دوستان صاحبنظر و خوب من ، الان بعد از این پستهایی برای رد نظر بنده بدهند و بگویند: ایراد از خودتان بوده است! اما اینکه یک هکر بتواند به این راحتی نفوذ کند و پسورد روت را از روی دیتابیس این نرم افزار برداشته و تمامی سایتها را حذف نماید ، اصلا قابل توجیه نیست.

سال 84 با مدرن بیل کار میکردم با اینکه انگلیسی بود و کمی مشکل بود اما لااقل چنین مشکلاتی نداشتم. از 85 تا 89 هم با سیکما که نوشته ی رضا نجفی است کار میکردم هیچگاه چنین مشکلی نداشتم.

واقعاً باعث تاسف است که چنین نرم افزاری تا این حد بر روی حساس ترین قسمت خود (یعنی تنظیم سرور) اینقدر ضعیف باشد.

در ظاهر همه چیز خوب است و خیلی کارها را ویزارد و آسان انجام داده می شود ، اما در باطن جز دردسر و ترس و دلهره هیچ چیز دیگری این whmcs نداشته و ندارد.

ارادتمند دوستان
نیما احدی

آره یکی از دوستان بنده که هکر بود می گفت نصف هاستینگ های ایران بخاطر whmcs به راحتی ضربه می خورند.
البته خودش کانفیگ مجدد می کرد می گفت باگاشو که هنوز تا ورژن بعدی نیومده پیدا می کنه و فیکس می کنه!
و من بهش آدرس می دادم دقیقا فایل کانفیگ whmcs رو کپی می کرد بهم می داد

جدا مسخره هست که داخل whmcs می شه به راحتی لاگین به سرور کرد
اطلاعات بدون کد شدن ذخیره بشه

سلام.
در این که داخل این سیستم پر از باگ است شکی نیست
اما پیشنهاد میکنم که سرور مربوط به این سیستم مدیریت محتوا رو از سرور سایر کاربران جدا نگه داری کنی تا هم بتونید محدودیت های بیشتری روی سرور اعمال کنی تا از امنیت بهتری برخوردار شی و همین طور زمانی که آی پی کاربری روی سایت خودش بلوک شده بتونه تو سایت شما تیکت بزنه برای پشتیبانی و همین طور برای امنیت بیشتر می تونی قسمت ساخت اکانت به صورت خودکار رو غیرفعال کنی.

باسلام
البته این یک مشکل میباشد برای whmcs اما دقت داشته باشید که اگر دوستان یکم بیشتر دقت کنند از این قبیل اتفاقات پیش نمی آید. چند نمونه نام میبرم...
گذاشتن سوال امنیتی هنگام لاگین شدن به روت سرور
روت سرور فقط برای آی پی هایی که بهشون میدید باز باشه
و ....
با یکم دقت بیشتر میتونید از به وجود آمدن این مشکلات جدی، جلوگیری کنید
موفق باشید

اسکریپتی که نیاز داشته باشه اینهمه مراقبت ویژه ازش بکنی در حقیقت یک آشغال بیش نیست!

نرم افزار تجاری که هنوز پسوردها رو بر اساس md5 در دیتابیس ذخیره نمیکنه یعنی بریزش دور...

اسکریپتی که نیاز داشته باشه اینهمه مراقبت ویژه ازش بکنی در حقیقت یک آشغال بیش نیست!

نرم افزار تجاری که هنوز پسوردها رو بر اساس md5 در دیتابیس ذخیره نمیکنه یعنی بریزش دور...

پَس شما ویندوز دسکتاپتون هم بریزید دوور!!! با این استدلال!!!
چون اگه فایروال + آنتی ویروس رو سیستمون نداشته باشید و به اینترنت متصل باشید حتما دچار مشکل میشید!!
دوست عزیز ماهم نگفتیم خیر مشکل نداره همه نرم افزارها + اسکرپیتها مشکل دارند منُتها استفاده کننده باید باهوش باشه با چند کار ساده بر روی سرور یا نصب یک آنتی ویروس + فایروال رو کامپیتور شخصیش از به وجود آمدن این مشکلها جلوگیری کنه...

موفق باشید

پَس شما ویندوز دسکتاپتون هم بریزید دوور!!! با این استدلال!!!
چون اگه فایروال + آنتی ویروس رو سیستمون نداشته باشید و به اینترنت متصل باشید حتما دچار مشکل میشید!!
دوست عزیز ماهم نگفتیم خیر مشکل نداره همه نرم افزارها + اسکرپیتها مشکل دارند منُتها استفاده کننده باید باهوش باشه با چند کار ساده بر روی سرور یا نصب یک آنتی ویروس + فایروال رو کامپیتور شخصیش از به وجود آمدن این مشکلها جلوگیری کنه...

موفق باشید
اینجا بحث سیستم عامل نیست!
بحث سیستمی است که خودش را به عنوان مدیریت کننده سیستم عامل ، اتوماسیون پشتیبانی ، مالی و فنی معرفی نموده است.
پس این کارهای ساده مانند کدگذاری رمزهای عبور مانند متد md5 رو باید انجام بده نه اینکه تاپیک آموزشی بزنه که بیائین اینکار رو بکنید!

اسکریپتی که نیاز داشته باشه اینهمه مراقبت ویژه ازش بکنی در حقیقت یک آشغال بیش نیست!

نرم افزار تجاری که هنوز پسوردها رو بر اساس md5 در دیتابیس ذخیره نمیکنه یعنی بریزش دور...
در مورد md5 ! وقتی whmcs پسوورد روت سرور رو ذخیره میکنه . این مقدار باید قابل بازیابی باشه و بعدا در تراکنش ها این مقدار سلکت میشه و از طریق cPanel API کارها انجام میشه . اگر مقادیر رو بیان MD5 بکنند دیگه نمیتونن مقدار رو برگردونن . چون تابع MD5 قابل بازیابی نیست و تمامی سایت هایی که نوشتن دیکود MD5 فقط یه دیتابیس از کد های نمونه با MD5 هستند!
بنابراین در اینجور مواقع استفاده از توابعی که دیکود نمیشن امکان پذیر نیست . موفق باشید !

در مورد md5 ! وقتی whmcs پسوورد روت سرور رو ذخیره میکنه . این مقدار باید قابل بازیابی باشه و بعدا در تراکنش ها این مقدار سلکت میشه و از طریق cPanel API کارها انجام میشه . اگر مقادیر رو بیان MD5 بکنند دیگه نمیتونن مقدار رو برگردونن . چون تابع MD5 قابل بازیابی نیست و تمامی سایت هایی که نوشتن دیکود MD5 فقط یه دیتابیس از کد های نمونه با MD5 هستند!
بنابراین در اینجور مواقع استفاده از توابعی که دیکود نمیشن امکان پذیر نیست . موفق باشید !

پس اگر توجیه شما درست باشه ، الگورتیم whmcs از پایه مشکل داره و زیر سوال میبره این نرم افزار رو !
حساس ترین قسمت در whmcs همین موضوع هست که اینقدر ساده گرفته شده و فقط با چند دستور امنیتی و تاپیک آموزشی سعی بر حل کردنه و سرپوش گذاشتنه مشکل بزرگش داره.
در صورتیکه تا به امروز بسیاری از شرکتها متضرر شده اند و کسی هم پاسخگو نبوده. و فقط کسانی که مثل ما سرور جداگانه برای بک آپ داشته اند توانسته اند یه طوری جمع و جورش کنند.

اینجا بحث سیستم عامل نیست!
بحث سیستمی است که خودش را به عنوان مدیریت کننده سیستم عامل ، اتوماسیون پشتیبانی ، مالی و فنی معرفی نموده است.
پس این کارهای ساده مانند کدگذاری رمزهای عبور مانند متد md5 رو باید انجام بده نه اینکه تاپیک آموزشی بزنه که بیائین اینکار رو بکنید!

پس استدلال شما هم مربوط به این بحث نمیشه!
جایی ندیدیم که whmcs بیاد و اعلام کنه من مدیریت کننده سیستم عامل هستم!!

موفق باشید

---------- Post added at 03:58 PM ---------- Previous post was at 03:54 PM ----------


در صورتیکه تا به امروز بسیاری از شرکتها متضرر شده اند و کسی هم پاسخگو نبوده.

در مورد پاسخگو بودن شما نمیتونید اظهار نظر کنید! چون یکی از همین شرکتهای بزرگ AltusHost که از همین طریق چند وقت پیش مورد حمله قرار گرفته بود بعد از بازیابی اطلاعات دوباره از سیستم WHMCS استفاده میکنه...
موفق باشید

پس استدلال شما هم مربوط به این بحث نمیشه!
جایی ندیدیم که whmcs بیاد و اعلام کنه من مدیریت کننده سیستم عامل هستم!!

وقتی شاخص ترین مولفه اش همین مورد اتوماتیک بودنه اکانتینگ هست یعنی در واقع داره یک سرور رو با کنترل پنلی که ارتباط مستقیم با سیستم عامل، پسورد روت، ssh و سایر مسایل داره ، را مدیریت میکنه!


در مورد پاسخگو بودن شما نمیتونید اظهار نظر کنید! چون یکی از همین شرکتهای بزرگ AltusHost که از همین طریق چند وقت پیش مورد حمله قرار گرفته بود بعد از بازیابی اطلاعات دوباره از سیستم WHMCS استفاده میکنه...
اینکه دوباره داره از همین سیستم استفاده میکنه که دلیل پاسخگو بودنه whmcs نیست

پس اگر توجیه شما درست باشه ، الگورتیم whmcs از پایه مشکل داره و زیر سوال میبره این نرم افزار رو !
حساس ترین قسمت در whmcs همین موضوع هست که اینقدر ساده گرفته شده و فقط با چند دستور امنیتی و تاپیک آموزشی سعی بر حل کردنه و سرپوش گذاشتنه مشکل بزرگش داره.
در صورتیکه تا به امروز بسیاری از شرکتها متضرر شده اند و کسی هم پاسخگو نبوده. و فقط کسانی که مثل ما سرور جداگانه برای بک آپ داشته اند توانسته اند یه طوری جمع و جورش کنند.

با توجه به سخنان شما مبنی بر طراحی 400 وب سایت این حرف دور از انتظاره
یک مدیر خوب هیچ وقت پسورد روت سرور رو در اختیار هیچ بشر/سیستمی نخواهد گذاشت
whmcs باید بتونه پسورد شما رو در سرور بزنه و براتون آنی اکانت بسازه
الگوریتم خاص رو شما باید پیاده کنید ، همون طور که دوستمون هم اشاره کردند در رابطه با md5
md5 یک الگوریتمی هست که فقط برای چک کردن می تونید ازش استفاده کنید چون پسورد رو به شما بر نمی گردونه
هر سیستمی که باشه برای این کار لازم داره پسورد روت شما رو دریافت کنه (نه به صورت کد شده) فرضا شما هم کد شده بدید اون کامپایلر باید دیکد کنه و بعد لاگین (بعد از دیکد هکر می تونه پسورد رو بگیره!!)
با کمی مطالعه در رابطه با انواع کدینگ/پروگرامینگ میتونید به جواب های ذهنتون برسید و لازم به چنین تاپیک هایی نیست همچنین قیاس این سیستم با سیستمی به نام ...

موفق و پیروز باشید

با توجه به سخنان شما مبنی بر طراحی 400 وب سایت این حرف دور از انتظاره
یک مدیر خوب هیچ وقت پسورد روت سرور رو در اختیار هیچ بشر/سیستمی نخواهد گذاشت
whmcs باید بتونه پسورد شما رو در سرور بزنه و براتون آنی اکانت بسازه
الگوریتم خاص رو شما باید پیاده کنید ، همون طور که دوستمون هم اشاره کردند در رابطه با md5
md5 یک الگوریتمی هست که فقط برای چک کردن می تونید ازش استفاده کنید چون پسورد رو به شما بر نمی گردونه
هر سیستمی که باشه برای این کار لازم داره پسورد روت شما رو دریافت کنه (نه به صورت کد شده) فرضا شما هم کد شده بدید اون کامپایلر باید دیکد کنه و بعد لاگین (بعد از دیکد هکر می تونه پسورد رو بگیره!!)
با کمی مطالعه در رابطه با انواع کدینگ/پروگرامینگ میتونید به جواب های ذهنتون برسید و لازم به چنین تاپیک هایی نیست همچنین قیاس این سیستم با سیستمی به نام ...

موفق و پیروز باشید

راجع به md5 حرف شما دو دوست گرامی قبول !
اما راجع به اینکه چرا پسورد روت رو در اختیار سیستم قرار دادم بخاطر نظرات همون 90% بود که الانم اومدن دارن به شدت از این سیستم دفاع میکنند و حرفشون امروز با نکته که شما نباید پسورد به سیستم میدادید آغاز میکنند!

وقتی شاخص ترین مولفه اش همین مورد اتوماتیک بودنه اکانتینگ هست یعنی در واقع داره یک سرور رو با کنترل پنلی که ارتباط مستقیم با سیستم عامل، پسورد روت، ssh و سایر مسایل داره ، را مدیریت میکنه!

شاخصترین حرف ویندوز امنیت و راحتی کاربرانش هست ... ولی هر روز یک باگ تو خود ویندوز یا نرم افزارهای دیگر مایکروسافت پیدا میکنند :)


اینکه دوباره داره از همین سیستم استفاده میکنه که دلیل پاسخگو بودنه whmcs نیست
قطعا ضرری که به این شرکت رسیده از ضرر شما بیشتر بوده... .
خودشون اعلام کرده بودند که از سیستم دیگری استفاده میکنند ولی بازهم برگشتند به این سیستم :)
در پُست اول هم گفتم این سیستم مشکل داشت/داره حرفی نیست ولی شما میتونستید با انجام چند کار هم پسورد رو بدید به سیستم هم مشکلی براتون پیش نیاد... .
پس کَم کاری خودتون رو هم گردن دیگران نندازید... .(البته الان میایید میگید که آره این سیستم گفته فلان گفته بسار) که باید خدمتون عرض کنم خودتون میگید سیستم و این سیستم هم توسط انسان نوشته شده و قطعا مشکلاتی داره ... . پس شما که از سال 84 در این صنعت هستید هیچ وقت نباید 100درصد به هیچ سیستمی اعتماد کنید ... و همیشه جای 1 درصد خطا رو بدید و برای جلوگیری از این 1 درصد خطا شما پیشگیری های لازم رو انجام بدید ... همیشه میگن پیشگیری بهتر از درمان است ... ;)

موفق باشید

باسلام
البته این یک مشکل میباشد برای whmcs اما دقت داشته باشید که اگر دوستان یکم بیشتر دقت کنند از این قبیل اتفاقات پیش نمی آید. چند نمونه نام میبرم...
گذاشتن سوال امنیتی هنگام لاگین شدن به روت سرور
روت سرور فقط برای آی پی هایی که بهشون میدید باز باشه
و ....
با یکم دقت بیشتر میتونید از به وجود آمدن این مشکلات جدی، جلوگیری کنید
موفق باشید
خب نگاه کنید کافیه یه ادمین بسازه توی whmcs بعد لاگین که کنه توی سرور راحت می تونه لاگین کنه بخصوص در Directadmin

---------- Post added at 06:41 PM ---------- Previous post was at 06:39 PM ----------


راجع به md5 حرف شما دو دوست گرامی قبول !
اما راجع به اینکه چرا پسورد روت رو در اختیار سیستم قرار دادم بخاطر نظرات همون 90% بود که الانم اومدن دارن به شدت از این سیستم دفاع میکنند و حرفشون امروز با نکته که شما نباید پسورد به سیستم میدادید آغاز میکنند!
درسته . اگر ساخت اتوماتیک نباشه whmcs به چه درد می خوره!

100% مطمننم شما که نصب کردین به هیچ عنوان وقت نزاشتین داکیومنت ها رو در whmcs مطالعه کنید درسته؟
خیلی از وب هاستینگها از این سیستم استفاده میکنند و مشکلی نداشتن
اگر توابع امنیتی رو وقت بزارید ست کنید مشکلی نخواهید داشت

خب نگاه کنید کافیه یه ادمین بسازه توی whmcs بعد لاگین که کنه توی سرور راحت می تونه لاگین کنه بخصوص در Directadmin

شما ظاهرا دوست دارید به 100 پست برسید... . دقت کنید چه چیزی نوشته شده نظریه پردازی کنید ... :)

شاخصترین حرف ویندوز امنیت و راحتی کاربرانش هست ... ولی هر روز یک باگ تو خود ویندوز یا نرم افزارهای دیگر مایکروسافت پیدا میکنند :)


قطعا ضرری که به این شرکت رسیده از ضرر شما بیشتر بوده... .
خودشون اعلام کرده بودند که از سیستم دیگری استفاده میکنند ولی بازهم برگشتند به این سیستم :)
در پُست اول هم گفتم این سیستم مشکل داشت/داره حرفی نیست ولی شما میتونستید با انجام چند کار هم پسورد رو بدید به سیستم هم مشکلی براتون پیش نیاد... .
پس کَم کاری خودتون رو هم گردن دیگران نندازید... .(البته الان میایید میگید که آره این سیستم گفته فلان گفته بسار) که باید خدمتون عرض کنم خودتون میگید سیستم و این سیستم هم توسط انسان نوشته شده و قطعا مشکلاتی داره ... . پس شما که از سال 84 در این صنعت هستید هیچ وقت نباید 100درصد به هیچ سیستمی اعتماد کنید ... و همیشه جای 1 درصد خطا رو بدید و برای جلوگیری از این 1 درصد خطا شما پیشگیری های لازم رو انجام بدید ... همیشه میگن پیشگیری بهتر از درمان است ... ;)

موفق باشید

بله همیشه باید 1 درصد خطا رو احتمال داد . ما هم دادیم . اما نمیدونستیم که خطای این سیستم بیش از این حرفهاست و هنوز هم هستند گروه هایی که قدرتمندتر از برنامه نویسان این سیستم فعالیت دارند. گروهی هم که به ما حمله کردن گروه گمنامی نبودند و قریب به 2 ماه فعالیت داشتند. (گروه hp)
جناب آرایش عزیز که خیلی هم دوستت دارم، قطعاً باید خودم رو بیش از این آپ تو دیت کنم. زیرا که این روزها وقت گذاشتن برای این موارد و اینگونه دغدغه ها مهمتر از مسایل دیگر است!
مرسی که اینهمه با حوصله و لطف پاسخ دادید و در این تاپیک شرکت کردید.


100% مطمننم شما که نصب کردین به هیچ عنوان وقت نزاشتین داکیومنت ها رو در whmcs مطالعه کنید درسته؟
خیلی از وب هاستینگها از این سیستم استفاده میکنند و مشکلی نداشتن
اگر توابع امنیتی رو وقت بزارید ست کنید مشکلی نخواهید داشت
چرا تمام اون داکیومنت های عجیب و غریب این سیستم رو خواندم و مطالعه کردم و عمل کردم!

خب همیشه یک چیز نمیتونه مطلغا خوب باشه !!! همیشه نکات منفی هست اما whmcs بد نیست و خیلی ها ازش استفاده میکنند

[QUOTE=nimo0ol;397242
چرا تمام اون داکیومنت های عجیب و غریب این سیستم رو خواندم و مطالعه کردم و عمل کردم![/QUOTE]

آخرین آپدیت ها رو هم از whmcs گرفتین؟
بهتر هست whmcs رو در هاستی جدا از سرور اصلی نصب کنید
حواستون به یوزرهای مشکوک باشه به تراکنش های مالی آنلاین و آفلاین
به اکانتها ایجاد شده اتوماتیک و ...

به نام خدا

سلام دوست عزیز در مورد whmcs باید بگم که این سیستم در حال حاضر جلوتر از رقباش هستش سیستم خوبیه

درمورد امنیت ببیند شما هم مسئولیت هایی دارید

اگر خیلی حساس هستید امکان اتصال نرم افزار به سرور را قطع کنید

همچنین درمورد سیستم هاستینگ یه فکر هایی داشتم اما فعلا بدلیل دانش کم دست نگه داشتم(درحال آموزش هستم)

این بگم هر سیستم ای ضعفی داره و باید پذیرفت اگر شما راه حلی برای رفع مشکل دارید ارائه بدید

درپناه حق

خدانگهدار

دوست عزیز
الان بیشتر اسکریپت های پرداخت آنلاین و ... دارای انواع مشکل هستن و خیلی راحت واسه یک هکر (که دیدم چه جوری راحت هک کرد) قابل هک کردنه و به راحتی میتونست یک روزه بشینه میلیارد پول اینور اونور کنه.
امان نکته ای که جالبه دفاع پر هیجان بعضی ها از این اسکریپته.

شما ظاهرا دوست دارید به 100 پست برسید... . دقت کنید چه چیزی نوشته شده نظریه پردازی کنید ... :)

آخه این چه حرفی هست شما میزنی دوست عزیز :| مگه عقده یا چیزی واسه فروش دارم که بخوام به 100 برسم!
بعدم من فقط برای یاد گیری اومدم تو این تالار!
کاری که هکره کرد رو دارم میگم!
اومد یه مدیر ادد کرد تو whmcs بعد از طریق پنل whmcs توی whm سی پنل لوگین کرد!
حتما نیازی نیست بری تو تیبل های whmcs .
بعدم من نمیگم توی کار سرور چیزی بلدم اما سال هاست با php و هکر های سرو کله زدم!

ممنون از همه دوستانی که در این تاپیک شرکت کردند.

مدیر محترم میتونه این تاپیک رو قفل کنه و این پست آخر من هم که اسپم هست حذف کنه.