گرفتن حال اساسی هکر whmcs

دوست عزیز
همون طور که جناب rezash فرمودن
1. اینجاست که بسته بودن برخی توابع کار ساز است
2. بعد از نفوذ هکر اگه کمی وارد باشه بک دور یا همین راه های نفوذ متعدد برای نوبت بعد باز میکنه روی هدف که به احتمال زیاد روی سایت شما این مورد اتفاق افتاده
برای اینکه خیالتون راحت باشه اول کل فایل های داخل پوشه public_html رو با فایلهای اولیه whmcs که نصب میکنید جایگزین کنید (بک اپ از دیتابیس و ... فراموش نشه که ...)
بعد پسورد ها رو عوض بکنید و ببینید یوزر های دیگه ای ایجاد نشده.
سپس مراحل امنیتی لازم برای سیستم رو انجام بدید

امکانش هست دیتا بیس رو هم آلوده کرده باشه؟

نقل قول:

---

نوشته اصلی توسط vps-baran.ir

امکانش هست دیتا بیس رو هم آلوده کرده باشه؟

---

دیتابیس آلوده یعنی این که توی سیستم whmcs یوزر ایجاد کرده باشه یا تنظیمات امنیتی سیستم رو تغییر داده باشه مثلا امکان اپلود فایل با فرمت خاص رو باز کرده باشه و.. (با whmcs کار نکرده ام)

سلام ،

ما هم از دیشب که سرور رو بررسی می کنیم متوجه شدیم هکر موفق شده چند تا فایل روی سرور ما آپلود کنه
دیشب فایل r57shell آپلود شده بود.
پاک کردم و تمام پسورد ها هم تغییر دادم. ویروس اسکن هم کردم خبری نبود.
امروز با آنتی ویروس اسکن انجام شد و متوجه شدم دو تا فایل به اسم های s2.php , sy.php داخل یکی از پوشه هامون آپلود و مخفی شده که آنتی ویروس پیداش کرد و پاکش کردم.

یکی از شل ها جهت ارسال اسپم بود (فکر کنم به تمام ایمیل های سرور)
دومی هم وقتی باز میکردی ، یک صفحه مشکی بود و یوزر و پسورد می خواست!
جالب اینجاست که وقتی که خودم می خواستم فایل ها رو آپلود کنم آنتی ویروس اجازه نداد.
یعنی هکر تونسته فایروال و آنتی ویروس رو دور بزنه.

روی سیستم لایوزیلا هست و whmcs
whmcs نسخه 4.5 همین چند روز پیش از سایت خودش با لایسنس دانلود و نصب کردم (یعنی تمام پچ ها رو داره)
لایوزیلا هم که نسخه 3.2 هست.
خوشبختانه ما فقط دیفیس شدیم و اطلاعات در امان هستند.
اما چطور این مشکل به وجود آمده ؟
لازم به ذکره ما روی این سرور فقط خودمون هستیم و به کس دیگه ای هاست ندادیم!
safe_mode روشن هست.
تا جایی هم که شده توابع رو مسدود کردیم.
مشکل از کجا می تونه باشه ؟

نکته : فایل هایی که هکر اپلود کرده بود خارج از پوشه whmcs بودند.

نکته : قبلاً خودم تست کردم ، با شل r57 تونستم روی سرورم فایل write کنم ، اما بعد از بستن چند تا تابع ، این امکان هم از این شل گرفته شد. الان مشکل کجاست ؟

بالای شل هایی که اپلود شده بود اینا رو نوشته بودن :

کد:

---


<?php # syrian shell is a php evil script , please use it against Israel Only . #  ,--^----------,--------,-----,-------^--, #  | |||||||||  `--------'    |          O    .. SyRiAn Sh3ll V1 ....  sy34[at]msn[dot]com #  `+---------------------------^----------| #    `\_,-------, __EH << SyRiAn | 34G13__| #      / XXXXXX /`|    / #    / XXXXXX /  `\  / #    / XXXXXX /\______( #  / XXXXXX / #  / XXXXXX / # (________( #  `------ # # SyRiAn Sh3ll V1 . # Copyright (C) 2010 - SyRiAn 34G13 # This program is free software; you can redistribute it and/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation; either version 2 of the License, or (at your option) any later version. # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. # I WISH THAT YOU WILL USE IT AGAINST ISRAEL ONLY !!! .  # next version ( upload files , chmod force , read files , no security , bypass , cgi , server shourtcut , eval , forbidden) $uselogin = 1;  // Make It 0 If you Want To Disable Auth $user = 'root';  // Username $pass = 'toor';  // Password #---------------------------------------------------------------# #                                        Powered By SyRiAn Shell                    # #                                          By EH SyRiAn 34G13                        # #                                        wWw.syrian-shell.com                      # #                                              Version 1                            # #                                            Made In SyRiA                          # #                                              20\10\2010                            # #---------------------------------------------------------------#

---

نقل قول:

---

نوشته اصلی توسط Mohammad_reza

whmcs نسخه 4.5 همین چند روز پیش از سایت خودش با لایسنس دانلود و نصب کردم (یعنی تمام پچ ها رو داره)

---

whmcs که آپدیت نکردی
الان نسخه 5.0.3 اومده

خوب فرقی نمی کنه چه 4.5 باشه و چه 5.0.3 :74:

---------- Post added at 04:17 PM ---------- Previous post was at 04:12 PM ----------

نقل قول:

---

نوشته اصلی توسط Mohammad_reza

خوشبختانه ما فقط دیفیس شدیم و اطلاعات در امان هستند.
اما چطور این مشکل به وجود آمده ؟
لازم به ذکره ما روی این سرور فقط خودمون هستیم و به کس دیگه ای هاست ندادیم!
safe_mode روشن هست.

نکته : فایل هایی که هکر اپلود کرده بود خارج از پوشه whmcs بودند.

[/CODE]

---

دقیقا هم همین اتفاق برای من افتاده امکان داره از صفحه ی دیفیس یه اسکرین شات بدی . من تو صفحه اصلی گذاشته بودن

نقل قول:

---

نوشته اصلی توسط majid67

whmcs که آپدیت نکردی
الان نسخه 5.0.3 اومده

---

در سایت whmcs نوشته تمام پچ ها در همه نسخه ها اعمال شد است...
مشکل خاصی شما پیدا کردید ؟

نقل قول:

---

نوشته اصلی توسط vps-baran.ir

خوب فرقی نمی کنه چه 4.5 باشه و چه 5.0.3 :74:

---

نسخه 4.5 تمام پچ ها رو نداره!!
باید پچ رو جدا دانلود و نصب کرد

نقل قول:

---

whmcs نسخه 4.5 همین چند روز پیش از سایت خودش با لایسنس دانلود و نصب کردم (یعنی تمام پچ ها رو داره)

---

---------- Post added at 04:22 PM ---------- Previous post was at 04:20 PM ----------

دانلود و نصب کن (1 دقیقه هم طول نمیکشه)
WHMCS - Security Patch

بنده ادمین black-hg.org هستم میشه بپرسم اقای vps-baran.ir به چه دلیل اسم سایت مارو اینجا مطرح کردی؟!
اولا شما در حدی نیستی که بخواییم هکت کنیم.
دوما تیم ما سایت ایرانی هک نمیکنه.
سوما اون اشخاصی که تو پیج دیفس هستن میشه بپرسم چه ربطی به تیم ما داره؟
این رو بدونید با این کارتون فقط واسه خودتون دشمن درست کردید و منتظر باشد سزای عملتون رو ببینید.

اگر دقت کنید پایین همین ، اینو نوشته :

کد:

---

* All client area downloads have been updated to include this by default

---

من whmcs رو بعد از انتشار این پچ دانلود و نصب کردم ...