هک شدن از طریق whmcs5

برای دوستان این مراحل امنیتی انجام بدید مهم نیست چه نسخه ای دارید یا پچ ریختین برای اطمینان خاطر انجام بدین:
گسترش دهندگان وب ونون - مرکز آموزش - ارتقا امنیت whmcs و قالب!!!

و نکته ای دیگه حتما سروری که روش whmcs نصب می کنید حداکثر امنیت رعایت کنید، تمام فانکشن های اضافی ببندید و mod_sec کامل کانفیگ کنید حتی اگر شل هم اپلود شد به مشکلی بر نمیخورین.

نقل قول:

---

نوشته اصلی توسط maryam1

مگه این پچو نمیگید؟

اینو تو قسمتی که hmcs نصب بود ریختم و از زیپ خارج کردم

---

اگر دقیقا این کارو کردید خب اشتباه بوده. چون باید توی پوشه includes اکسترکت می کردید. یه فایل دیگه با همین نام در این پوشه قرار داره که باید replace بشه.

نقل قول:

---

نوشته اصلی توسط hamidjan

اگر دقیقا این کارو کردید خب اشتباه بوده. چون باید توی پوشه includes اکسترکت می کردید. یه فایل دیگه با همین نام در این پوشه قرار داره که باید replace بشه.

---

دقیقا همین طور است !

سلام
چند روز پیشم همین عربه به منم تیکت زده بود ولی کاری نتونست بکنه

من از این دیسیبل فانکشن در PHP استفاده میکنند شاید به درد دوستان هم بخوره
disable_functions

کد:

---

apache_get_modules,apache_get_version,apache_reset_timeout,apache_getenv,apache_note,apache_setenv,gzinflate,chmod,symlink,./,fpassthru,crack_check,crack_closedict,crack_getlastmessage,crack_opendict,php_ini_scanned_files,shell-exec,dl,ctrl_dir,phpini,tmp,safe_mode,php_uname,systemroot,server_software,get_current_user,HTTP_HOST,ini_restore,popen,pclose,exec,shell_exec,suExec,passthru,proc_open,proc_nice,proc_terminate,proc_get_status,proc_close,leak,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,escapeshellcmd,escapeshellarg,posix_ctermid,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_setegid,posix_seteuid,posix_setgid,posix_times,posix_ttyname,posix_uname,posix_access,posix_get_last_error,posix_mknod,posix_strerror,posix_initgroups,posix_setsid,posix_setuid,perl,rsync,wget,python,whoami,cat,perm,find,bind_shell,socket_bind,socet_connect,show_source,phpinfo,allow_url_fopen

---

مکان هایی که با این دستور می تونیدمحل آپلودر شل رو پیدا کنید :
downloads/b0x.php
/templates_c/red.php


در کل فعلا 2 تا باگ شناسایی شده اولی :
/cart.php?a=test&templatefile=../../../configuration.php%00

که پچ ارائه شده رفع می شه ولی دومی فعلا اقدامی صورت نگرفته یا صورت نمیگیره اگر کانفیگ سرور و پرمیشن ها به درستی صورت بگیرد مشکلی پیش نمیاد

دومی هم اون بالا اشاره شد

همون پچ امنیتی که هفته پیش توی خبرنامه WHMCS منتشر شد برای این مشکل بوده؛ پاسخ تیکت منو الان داد WHMCS.com

WHMCS

Hi,
Please ensure you have applied the security patch we emailed you about at the start of the month: Security Patch - WHMCS Forums

If we can be of any more assistance, please don't hesitate to get back in contact.

Regards,
John

دوستانی که اینجا هستند توجه کنید که این باگ رو من 2 بار تو wht تاپیک زدم که یکی از مدیرهای این انجمن که اصلا احساس مسئولیت حالیش نست پاک کرده بود و برای بار دوم برای اطلاع رسانی تاپیک رو باز کردم اگه همون پچی که whmcs داده رو بزارید ردیفه.
http://www.webhostingtalk.ir/f176/35...ht=#post329712

دوستان اگر موضع گیری نمیکنیدبنده از مدیران تیم بلک هت هستم با نام 3H34N
باگ اولی

کد:

---

cart.php?a=test&templatefile=../../../configuration.php%00

---

که دوستمون فرمودن باگ LFD هست Local File Disclosure که میشه با تعریف صحیح متغییر اونو رفع کرد.
اما باگ دوم رو ندیدم اما طبق گفته ی دوستان باگ فایل جرا میکنه حالا این کدی که شما اینجا دادین به صورت base64 کد کرده طرف و اونو روی سایت شما اجرا میکنه بعضی ها پیشنهاد دادن که پرمیژن فلان پوشه ها رو ببندیم اما بدونید که این کد رو میشه طوری دیگه هم تعریف کرد که پوشه دیگه رو مورد هدف قرار بده بهترین کار ابتدا پرمیژن بندی پوشه ها و فایل ها در کمترین سطح دسترسی در حد اجرا برای جلوگیری از اپلود هر گونه فایل مخرب و همچنین روشن کردن safe mode سرور برای جلو گیری از اجرای دستورات
و در مرحله بعد غیر فعال کردن فایل تیکت(ضروری نیست اما برای اطمینان چون با مراحل بالا مشکل موقتا رفع میشود) و بررسی اسیپ پذیری ایجاد شده خوشحال میشم جزییات کار و فایل اسیپ پذیر رو در اختیارم بذاریدتا
ضعف بررسی شه
Email:Ehsan.Empire@att.net

سلام دوستان
من هم به همین روش ذکر شده هک شدم ، آی پی هکر 83.244.46.125 بوده ، البته من اصلا این این تیکت رو باز نکردم ،
ولی به هر روشی بوده یک ساعت بعد از ارسال تیکت تونسته رمز plesk رو تغییر بده و وارد کنترل پنل شده و تک تک سایت ها و یوزر ها رو حذف کرده ، ( لاگ plesk نشون میده که حدودا نیم ساعت روی سرور بوده )
دو روز قبلش همچین تیکت ارسال شده بود ولی اتفاقی نیافتاده.
ضمنا من تمام تنظیمات و اختیارات رو در حداقل ممکن برای سایت ها تنظیم کرده بودم. ساعتی هم کار کرده حدوده 2 نیمه شب بوده ، اتفاق دیگه ای هم که رخ داده این هست که با وجود اینکه پلسک گزارش داده به خاطر تکرار ثبت اشتباه رمز اکانت ادمین نیم ساعت بلاک میشه ولی اون تونسته چند ثانیه بعد دوباره چک کنه ( بیشتر از 10 ایمیل اخطار ) در 5 دقیقه ارسال شده بود.

نقل قول:

---

نوشته اصلی توسط ashian

سلام دوستان
من هم به همین روش ذکر شده هک شدم ، آی پی هکر 83.244.46.125 بوده ، البته من اصلا این این تیکت رو باز نکردم ،
ولی به هر روشی بوده یک ساعت بعد از ارسال تیکت تونسته رمز plesk رو تغییر بده و وارد کنترل پنل شده و تک تک سایت ها و یوزر ها رو حذف کرده ، ( لاگ plesk نشون میده که حدودا نیم ساعت روی سرور بوده )
دو روز قبلش همچین تیکت ارسال شده بود ولی اتفاقی نیافتاده.
ضمنا من تمام تنظیمات و اختیارات رو در حداقل ممکن برای سایت ها تنظیم کرده بودم. ساعتی هم کار کرده حدوده 2 نیمه شب بوده ، اتفاق دیگه ای هم که رخ داده این هست که با وجود اینکه پلسک گزارش داده به خاطر تکرار ثبت اشتباه رمز اکانت ادمین نیم ساعت بلاک میشه ولی اون تونسته چند ثانیه بعد دوباره چک کنه ( بیشتر از 10 ایمیل اخطار ) در 5 دقیقه ارسال شده بود.

---

Patch کردی ؟