دوستان متاسفانه سایتم مجدد هک شده ولی سریعآً دسترسی رو بستم تا حدودی هم آی پی رو دسترشیسو بستم هم باید قسمت setup/general settings/other/ تیک Allow Client Registration رو بردارید وگرنه با یک sql injection به تمام ورژن های قبل از 5.2 و خود 5.2 دسترسی ادمین میده(از کوکی) و با این اکسپلویت به پنل شما دسرسی پیدا میکنه هکر و همچنین هش ادمین رو برمیداره!
همچنین پوشه ادمین رو منتقل کنید و درون configuration.php خط زیر رو اضافه کنید و براش پسورد ست کنید.
$customadminpath = "newadminfoldername";
داستان اینجاست که به زودی شخصی اطلاعات کاربریش رو بدین ترتیب عوض میکنه و یه ایمیل براتون میاد
Client ID: 6131 - reza rostami has requested to change his/her details as indicated below:
First Name: 'reza' to 'AES_ENCRYPT(1,1), firstname= (SELECT GROUP_CONCAT(id,0x3a,username,0x3a,email,0x3a,pass word SEPARATOR 0x2c20) FROM tbladmins)'
اگر توی پنل ادمین آی پی غیر آی پی خودتونو دیدین حتماً اول پسوردتونو عوض کنید دیر یا زود decrypt میشه دوماً موارد بالارو لحاظ کنید و سپس آپدیت و در آخر همکاراتونو مطلع کنید.
همچنین از ادمین محترم درخواست میکنم فقط یک تاپیک ایجاد کنه در این بخش وبمسترها subscribe by mail شن و اینگونه موارد از طریق اطلاع رسانی به وسیله ایمیل اونارو با خبر کنه نه اینکه هر بار یه پچ میاد یه تاپیک جدا بزنید و هر بار هر کس هک میشه بیاد ببینه حالا که کار از کار گذشت باید چیکار کرد!!!
vpsgroups
October 7th, 2013, 23:35
بسیار مهم بود جدی بگیرید .
xmasoud
October 8th, 2013, 02:41
با سلام
این مورد چندین وقت پیش دیده شده بود و حتی باگ های دیگری هم دیده شده برای اطمینان بیشتر از طریق خوده سیپنل برای پوشه ادمین پسورد بزارید بهتر هست بنظره بنده البته...
novinvps.com
October 8th, 2013, 03:55
اینو هم بهتون بگم 3 روز پیش پابلیک شد باگش و سریعا پچشو از whmcs
دریافت کنید تستی که من کردم راحت... متاسفانه هک میشدن
majidisaloo1
October 8th, 2013, 04:11
بله پج آمده است
موردی که هست وقتی توی فایل کانفیگ اضافه میشه این ارورر را میدهد:
Language Folder Not Found
dm800pvr
October 8th, 2013, 09:39
برای ورژن های پایین تر چطوری باید پچ کرد؟ 4.4.3؟
Mihan-Server
October 8th, 2013, 09:48
بله استفاده از ورژن ارجینال این مزایا رو هم به همراه داره
باگ خطر ناکی هست ، باید از پچ مربوطه استفاده شود که whmcs چند روز پیش منتشر کرد .
این ارورر :
Language Folder Not Found
این مشکل را ما هم داشتیم ، اینکه چطور حل شد درست یادم نیست .
dm800pvr
October 25th, 2013, 17:16
خوب به سلامی هک 5.2.8 هم اومد و این داستان همچنان ادامه دارد(با توجه به بی اعتنایی به پست اول و هوچنین نظر خواهی!)
1337day Inj3ct0r Exploit Database : vulnerability : 0day : shellcode by Inj3ct0r Team (http://1337day.com/exploits/21398)
البته 5.2.10 هم اومده ولی هنوز پابلیک نشده
paradiseserver
October 25th, 2013, 17:21
خوب به سلامی هک 5.2.8 هم اومد و این داستان همچنان ادامه دارد(با توجه به بی اعتنایی به پست اول و هوچنین نظر خواهی!)
1337day inj3ct0r exploit database : Vulnerability : 0day : Shellcode by inj3ct0r team (http://1337day.com/exploits/21398)
البته 5.2.10 هم اومده ولی هنوز پابلیک نشده
فکر کنم 5.2.13 هم آمد :d
nginxweb
October 25th, 2013, 17:22
ورزن 5.2.12 منتشر شده است دیروز و ایم مشکل patch شده است
dm800pvr
October 25th, 2013, 17:38
امروز 2 تا پچ برای 5.2.12 اومده و همینطور 13!!!
Release Date
Version
Type
Title
Size
25th Oct 2013
5.1.13
SECURITY
Incremental Patch Update
392 kB
25th Oct 2013
5.2.12
SECURITY
Incremental Patch Update
437 kB
mhiizadi
October 25th, 2013, 18:49
بله همین طوره...
هیچ گاه این باگ ها پایانی نخواهند داشت........
MagicVps.Com
October 25th, 2013, 18:56
بله تمامی ندارن و هیچ وقتهم تمام شدنی نیست
ولی چیزی که هست توی 10 روز اخیر حساب کنید حدود 6 تا نسخه جدیدی شرکت بیرون داده و خیلی این وضعیت دیگه ناجور هستش
dm800pvr
October 25th, 2013, 20:59
بله تمامی ندارن و هیچ وقتهم تمام شدنی نیست
ولی چیزی که هست توی 10 روز اخیر حساب کنید حدود 6 تا نسخه جدیدی شرکت بیرون داده و خیلی این وضعیت دیگه ناجور هستش
شما فکر کردین برای چی مدام INJECT میاد هر روز؟ کار خود شرکته میخواد هر کس سراغ نال رفته سریع اشتراک بخره
از جمله خود من برای بار N ام امروز توی فولدر downloads دیدم یه whmcs killer اسکریپت هک لعنتی 20 روز پیش!!!!!!! آپلود شده
رفتم زدم به سیم آخر خریدم یهو سالانشو 1 میلیون پیاده شدم گفتم باز اینطوری خیالم راحت تره بگذریم بیچاره شدم تا قالب جدید رو بهش شناسوندم... از سال بعدم 50 دلار میدم برای ساپورتشون و آپدیتاشون
منتظر 20 باگ جدید هفته بعدی باشید..
mparsa
October 26th, 2013, 17:40
چطوری پوشه ادمین رو تغییر نام بدیم ؟
از کد استفاده کردم ولی با خطای دوستان مواجه شدم پوشه زبان یافت نشد؟؟!!
چطوری برطرف کنم این مشکل رو؟
Ashkankamangar.ir
October 26th, 2013, 20:24
باگ همیشه هست
بهتره نام پوشه ی ادمین رو تغییر بدید و یه پوشه با نام قبلی ادمین بذارید باشه تا طرف بره سرکار و یه صفحه فیک براش بسازید
روی پوشه ی جدید ادمین و قبلی رمز بذارید
رمز و پسورد خیلی قوی
دسترسی فایل کانفیگ روی 400
داخل
nano /etc/httpd/conf/httpd.conf
این موارد رو جایگزین کنید
برای تغییر پوشه ی ادمین هم نام این پوشه رو ابتدا تغییر بدید
بعد دسترسی فایل configuration.php را به 644 برگردونید و این کد رو بذارید داخل
$customadminpath = 'namejadid';
کد حتما قبل از ?> پایانی باید قرار بگیرد
رمز رو پوشه ی جدید فراموش نشه
دسترسی کانفیگ را دوباره 400 کنید
mparsa
October 27th, 2013, 10:59
از دوست عزیزمون بسیار ممنونم برای آموزش های فوق.
متوجه این قسمت از آموزش نشدم .
میشه دقیق توضیح بدید؟
" این سه پوشه هم ببرید پشت روتو این کدرا داخل کانفیگ بذارید "
kamran_b
October 27th, 2013, 11:15
ممون عالب یود
برای دایرکت ادمین چگونه هست
tizparvaz
October 27th, 2013, 11:36
سلام
پیشنهاد میکنم برای شرکتتون آی پی استاتیک تهیه کنید و فولدر ادمین رو بر روی آی پی خودتون محدود کنید تا حتی اگر پسورد دست هکر افتاد نتونه به ادمین شما لاگین بکنه اینکاریه که ما بعد از مشاهده چند باگ اخیر انجام دادیم و تمام پنلهای لاگین مستر رو از جمله وردپرس و whmcs سایت رو به آی پی استاتی محدود کردیم
kamran_b
October 27th, 2013, 11:43
[QUOTE=Ashkankamangar.ir;904144]باگ همیشه هست
بهتره نام پوشه ی ادمین رو تغییر بدید و یه پوشه با نام قبلی ادمین بذارید باشه تا طرف بره سرکار و یه صفحه فیک براش بسازید
روی پوشه ی جدید ادمین و قبلی رمز بذارید
رمز و پسورد خیلی قوی
دسترسی فایل کانفیگ روی 400
داخل
این موارد رو جایگزین کنید
ممنون عالب یود
برای دایرکت ادمین چگونه هست ؟
Ashkankamangar.ir
October 27th, 2013, 11:56
سلام
پیشنهاد میکنم برای شرکتتون آی پی استاتیک تهیه کنید و فولدر ادمین رو بر روی آی پی خودتون محدود کنید تا حتی اگر پسورد دست هکر افتاد نتونه به ادمین شما لاگین بکنه اینکاریه که ما بعد از مشاهده چند باگ اخیر انجام دادیم و تمام پنلهای لاگین مستر رو از جمله وردپرس و whmcs سایت رو به آی پی استاتی محدود کردیم
برای این منظور باید در فایل
htaccess
این کد رو بذارید
order deny,allow
allow from IP
deny from all
cd /usr/local/directadmin/custombuild
./build update
./build set harden-symlinks-patch yes
./build set secure_htaccess no
./build apache
./build rewrite_confs
loyalti
October 27th, 2013, 14:53
شما فکر کردین برای چی مدام INJECT میاد هر روز؟ کار خود شرکته میخواد هر کس سراغ نال رفته سریع اشتراک بخره
از جمله خود من برای بار N ام امروز توی فولدر downloads دیدم یه whmcs killer اسکریپت هک لعنتی 20 روز پیش!!!!!!! آپلود شده
رفتم زدم به سیم آخر خریدم یهو سالانشو 1 میلیون پیاده شدم گفتم باز اینطوری خیالم راحت تره بگذریم بیچاره شدم تا قالب جدید رو بهش شناسوندم... از سال بعدم 50 دلار میدم برای ساپورتشون و آپدیتاشون
منتظر 20 باگ جدید هفته بعدی باشید..
اگر مشکل شما فقط پوشه دانلود بوده تغییر نام این پوشه و انتقال آن به قسمت home هاست از اقدامات اولیه امنیت این اسکریپت هست و پولتون ُ دور ریختید که صرف خرید این اسکریپت ناکارامد کردید.
Further Security Steps - WHMCS Documentation (http://docs.whmcs.com/Further_Security_Steps)
تمام پچ های امنیتی که خود WHMCS برای دانلود میذاره رو میتونید روی نسخه نال شده بریزید چون هیچ کال بکی نداره.
ضمنا هیچ شرکت نرم افزاری اعتبار خودش را با گذاشتن باگ در نرم افزار خودش پایین نمیاره.
باید به فکر مهاجرت به یک اسکریپت امن تر مثل hostbill بود.
tizparvaz
October 27th, 2013, 16:37
برای این منظور باید در فایل
htaccess
این کد رو بذارید
order deny,allow
allow from IP
deny from all
بله درسته انجام دادیم اینکار رو پیشنهاد دادم تا دسوتان دیگه هم انجام بدن