WHMCS Brute Force [Protection]

باسلام، باتوجه به کمبود و ضعف های امنیتی که در بخش ورود کاربری سیستم اتوماسیون whmcs مشاهده شده است، طی زمان سعی میکنم این تاپیک را کامل کرده و ماژول هایی که مینویسم را به صورت رایگان در اختیار دوستان بگذارم.

# بلاک آیپی در صورت ناموفق بودن ورود کاربر + reCaptcha گوگل (بخش کاربری)

در صورتی که کاربر بیش از 3 بار (قابل ویرایش) ورود ناموفق داشته باشد آیپی او در بن لیست whmcs ثبت خواهد شد و در بخش آیپی های مسدود شده، قابل مدیریت خواهد بود. همچنین به فرم ورود reCaptcha گوگل اضافه خواهد شد.

1 - ابتدا sql زیر را در دیتابیس خود اجرا کنید :

کد:

---

https://codepaste.net/x9zfui

---

2 - فایل پیوست شده (faildlogin.php) را دانلود کنید سپس به مسیر public_html/includes/hooks آپلود کنید.

در لاین 74 فایل (faildlogin.php) میتوانید مدت زمان مسدود بودن آیپی، تعداد دفعالت خطا و پیام مسدود سازی را را تغییر دهید. اگر whmcs شما داخل فولدر نصب شده است در لاین 50 نام فولدر همراه با اسلش ابتدایی وارد کنید :

کد:

---

$whmcsFolder = null; //ex(with slash): /my

---

کد:

---

    /*********************************************
   
                  YOU CAN EDIT
                    T.TOOSI
   
    *********************************************/
       
            $configureFaild['adminUsername2']    = 'admin';
            $configureFaild['banExTime']        = '+2 hours';
            $configureFaild['googleSecret']        = '6LcV1hoUAAAAAL04oGte0kbnHXLKazJR8U1N5SK7';           
            $configureFaild['faildTimes']        = 3;
            $configureFaild['faildMsg']            = 'Faild Login!';
            $configureFaild['whmcsFolder']        = $whmcsFolder;
            $configureFaild['ip']                = $ip;
       
    /**********************************************/

---

سپس برای نمایش reCaptcha فایل login.tpl قالب خود را باز کرده، ابتدا خط اضافه کنید :

کد HTML:

---

<script src='https://www.google.com/recaptcha/api.js?hl=fa'></script>

---

قبل بسته شده form اضافه کنید :

کد HTML:

---

        <div class="form-group">
            <div class="g-recaptcha" data-sitekey="6LcV1hoUAAAAADmGH99-kkipQ27GJZ9eN3xTkxBa"></div>
        </div>   

---

مقدار data-sitekey و secret (درفایل faildlogin.php) از آدرس زیر بگیرید :

کد:

---

https://www.google.com/recaptcha/admin

---

جناب طوسی واقعا جای تشکر داره کارتون
اگر یه لینک donate بزارید حتما بنده و عزیزان دیگه شما رو حمایت خواهیم کرد
ماژول رو تست میکنم نتیجه رو قرار میدم

- - - Updated - - -

کد PHP:

---

$adminUsername2 


---

این دقیقا چی هست با چه چیزی باید جایگزین بشه؟
یوزر ادمین؟

نقل قول:

---

نوشته اصلی توسط tikweb.ir

جناب طوسی واقعا جای تشکر داره کارتون
اگر یه لینک donate بزارید حتما بنده و عزیزان دیگه شما رو حمایت خواهیم کرد
ماژول رو تست میکنم نتیجه رو قرار میدم

- - - Updated - - -

کد PHP:

---

$adminUsername2 


---

این دقیقا چی هست با چه چیزی باید جایگزین بشه؟
یوزر ادمین؟

---

یوزرنیم ادمین whmcs جایگزین کنید.

قبل از این تاپیک قصد داشتم ماژول فراسو رو خریداری کنم که به عنوان یک ماژول واقعا هزینه بالایی داره
بسیار عالی این کار شما قابل ستایشه و بنده هم حاضرم ازین کار شما حمایت مالی کنم

باتشکر فراوان از شما

بابت کدنویس های خوبتون و مهم تر رعایت حال همکاران انتشار رایگان آن :53:

نقل قول:

---

نوشته اصلی توسط T.Toosi

یوزرنیم ادمین whmcs جایگزین کنید.

---

بنده جایگزین کردم اما ده بار هم که یوزر پسورد اشتباه میزنم ایپی رو بلاک نمیکنه
مشکل کجاست؟
تیبل هم ساخته شده فایل هوک هم آپلود شده

ما https استفاده میکنیم ارتباطی داره؟

نقل قول:

---

نوشته اصلی توسط tikweb.ir

بنده جایگزین کردم اما ده بار هم که یوزر پسورد اشتباه میزنم ایپی رو بلاک نمیکنه
مشکل کجاست؟
تیبل هم ساخته شده فایل هوک هم آپلود شده

---

سلام، اگر امکانش هست از پ خ teamviewer بفرستید نگاه کنم.

نقل قول:

---

نوشته اصلی توسط T.Toosi

سلام، اگر امکانش هست از پ خ teamviewer بفرستید نگاه کنم.

---

ما https استفاده میکنیم ارتباطی داره؟

نقل قول:

---

نوشته اصلی توسط tikweb.ir

ما https استفاده میکنیم ارتباطی داره؟

---

به دلیل اینکه whmcs داخل فولدر هست، لاین 3 :

$_SERVER['REQUEST_URI'] === "/dologin.php"

جایگزین کنید :

$_SERVER['REQUEST_URI'] === "/cp/dologin.php"

نقل قول:

---

نوشته اصلی توسط T.Toosi

به دلیل اینکه whmcs داخل فولدر هست، لاین 3 :

$_SERVER['REQUEST_URI'] === "/dologin.php"

جایگزین کنید :

$_SERVER['REQUEST_URI'] === "/cp/dologin.php"

---

خیلی ممنون از ماژول جسارتاً این بررسی REQUEST_URI وقتی متد POST و وجود دو مقدار username و password رو چک میکنید اضافی نیست؟
حتی اگه جای دیگه از سایت ماژول فعال بشه و در داخل متد POST این دو مقدار باشه بازم که خوبه اگه قصد BruteForce داشتن بلاک بشن نه؟

آپلود کردم صفحه dologin خطای ۵۰۰ داد

نقل قول:

---

نوشته اصلی توسط T.Toosi

به دلیل اینکه whmcs داخل فولدر هست، لاین 3 :

$_SERVER['REQUEST_URI'] === "/dologin.php"

جایگزین کنید :

$_SERVER['REQUEST_URI'] === "/cp/dologin.php"

---

وقتی اینو میزارم (با همون مقداری که اسلش هم گذاشتید) کاربر که میخواد لوگین کنه میره به صفحه 404 !
دلیلش چیه
حتی اگر پسورد درست باشه

نقل قول:

---

نوشته اصلی توسط AtrafNet

خیلی ممنون از ماژول جسارتاً این بررسی REQUEST_URI وقتی متد POST و وجود دو مقدار username و password رو چک میکنید اضافی نیست؟
حتی اگه جای دیگه از سایت ماژول فعال بشه و در داخل متد POST این دو مقدار باشه بازم که خوبه اگه قصد BruteForce داشتن بلاک بشن نه؟

---

سلام، خواهش میکنم، به دلیل اینکه قسمت ورود ادمین خودش سیستم مسدود سازی آیپی دارد و whmcs هم هوکی برای بررسی وضعیت لاگین ندارد برای همین مجبوریم request uri چک کنیم فقط برای صفحه ورود کاربر فعال باشد والی با قسمت ورود ادمین به مشکل میخورد.

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط tikweb.ir

وقتی اینو میزارم (با همون مقداری که اسلش هم گذاشتید) کاربر که میخواد لوگین کنه میره به صفحه 404 !
دلیلش چیه
حتی اگر پسورد درست باشه

---

سرچ کنید :

Location: /clientarea.php?incorrect=true

جایگزین کنید :

Location: /cp/clientarea.php?incorrect=true


سرچ کنید :

Location: /clientarea.php

جایگزین کنید :

Location: /cp/clientarea.php

نقل قول:

---

نوشته اصلی توسط T.Toosi

سلام، خواهش میکنم، به دلیل اینکه قسمت ورود ادمین خودش سیستم مسدود سازی آیپی دارد و whmcs هم هوکی برای بررسی وضعیت لاگین ندارد برای همین مجبوریم request uri چک کنیم فقط برای صفحه ورود کاربر فعال باشد والی با قسمت ورود ادمین به مشکل میخورد.

- - - Updated - - -



سرچ کنید :

Location: /clientarea.php?incorrect=true

جایگزین کنید :

Location: /cp/clientarea.php?incorrect=true


سرچ کنید :

Location: /clientarea.php

جایگزین کنید :

Location: /cp/clientarea.php

---

تشکر فرااوان از شما
حل شد و بخوبی کار کرد

جناب طوسی الان نصف قضیه بروت فورس حل شد
اما نصف دیگست هنوز حل نشده
چون همونطور که میدونید داخل برنامه های کرکر با پ روکسی لیست میشه محدودیت ایپی رو دور زد

راه حلی برای کپچا نیست؟
بنده قبلا یه بار ریکپچای گوگل رو داخل فرم لوگین قرار دادم و بخوبی نمایش هم داد اما تاثیری در روند لوگین نداشت، یعنی چه کاربر وریفای ریکپچا میزد چه نمیزد لوگین میشد

راه حلی برای این مورد نیست؟
اگر این موردم انجام بشه دیگه میشه یه ماژول کامل

فکر کنم باید فایل dologin.php رو دیکد کنیم تا بتونیم درسته؟

نقل قول:

---

نوشته اصلی توسط tikweb.ir

جناب طوسی الان نصف قضیه بروت فورس حل شد
اما نصف دیگست هنوز حل نشده
چون همونطور که میدونید داخل برنامه های کرکر با پ روکسی لیست میشه محدودیت ایپی رو دور زد

راه حلی برای کپچا نیست؟
بنده قبلا یه بار ریکپچای گوگل رو داخل فرم لوگین قرار دادم و بخوبی نمایش هم داد اما تاثیری در روند لوگین نداشت، یعنی چه کاربر وریفای ریکپچا میزد چه نمیزد لوگین میشد

راه حلی برای این مورد نیست؟
اگر این موردم انجام بشه دیگه میشه یه ماژول کامل

فکر کنم باید فایل dologin.php رو دیکد کنیم تا بتونیم درسته؟

---

راه حل ریکپچای گوگل هم سعی میکنم تا فردا داخل همین تاپیک قرار بدم.

reCaptcha گوگل + آموزش به پست اول اضافه شد.

اقا تشکر دیگه باید یه لینک donate بزارید حتما...

فقط دوتا نکته اضافه کنید
یکی این که باید داخل login.tpl خط زیر هم اضافه بشه

کد PHP:

---

<script src='https://www.google.com/recaptcha/api.js?hl=fa'></script> 


---

لاین 50 هم باید سینتکسش اضافه بشه

کد PHP:

---

$whmcsFolder = null; //ex(with slash): "/my" 


---

- - - Updated - - -

فقط نمیدونم چرا الان دیگه ایپی رو بلاک نمیکنه !

- - - Updated - - -

یه مورد دیگه هم که هست اینه که وقتی کاربر کپچا رو تیک نمیزنه به جای اینکه بگه مثلا "روی من روبات نیستم کلیک کنید" مینویسه "رمز اشتباه است" که شاید کاربر رو دچار سردرگمی کنه
برای این راه حلی هست؟

نقل قول:

---

فقط نمیدونم چرا الان دیگه ایپی رو بلاک نمیکنه !

---

$whmcsFolder = null; //ex(with slash): /my

خط بالا را جایگزین کنید :

$whmcsFolder = '/cp';

باید نام فولدر به همراه اسلش در ابتدا باشه.

درود
به جای اینکه رو whmcs کار کنید یه سیستم اختصاصی بدید بنویسن براتون بهتره
هم از امنیتش مطمئن میشید و هم شب راحت میخوابید;)

سلام
مرسی از آموزش و راهکارتون
فقط گفتین فایل پیوست faildlogin.php رو دانلود کنید
همچین فایلی برای دانلود نذاشتین

مرسی

پست اول نمیدونم چرا ادیت نمیشه برای همین دوباره اینجا پیوست کردن فایل رو.

نقل قول:

---

نوشته اصلی توسط T.Toosi

پست اول نمیدونم چرا ادیت نمیشه برای همین دوباره اینجا پیوست کردن فایل رو.

---

بخاطر کلود فلیر هست چون کد های کپچا و این چیزا داخل پست هست نمیزاره ادیت کنید

در ضمن این ماژولتون اگر وقت کردید یه پنل هم براش بنویسید که داخل ادمین whmcs بشه مقادیری که دستی وارد میکنیم رو ادیت کرد و خودکار کد های لازم رو به فایل لوگین هم اضافه کنه و بعد از تکمیلش با قیمتی که مد نظرتونه برای فروش بزارید ، باتوجه به اینکه شما در امر توسعه فعال هستید پیشنهاد میکنم بصورت لایسنس سیستم رو بفروشید تا در اینده امکانات امنیتی دیگه ای هم به ماژول اضافه کنید

سلام مجدد
من تمام مراحل رو رفتم. اسم پوشه نصبه whmcs رو هم اضافه کردم به دستور ها ولی بعد از 3 بار اشتباه ای پی بلاک نمیکنه و تیکه من ربات نیستم هم که نمیزنم باز وارد پنل میشه
مشکل از کجاست؟

با سلام
جناب طوسی آپدیت ماژول هتزنر هنوز آماده نشد؟
گفته بودید اخر اسفند اماده میشه.
با تشکر

نقل قول:

---

نوشته اصلی توسط hassanfe

سلام مجدد
من تمام مراحل رو رفتم. اسم پوشه نصبه whmcs رو هم اضافه کردم به دستور ها ولی بعد از 3 بار اشتباه ای پی بلاک نمیکنه و تیکه من ربات نیستم هم که نمیزنم باز وارد پنل میشه
مشکل از کجاست؟

---

اسم پوشه را باید به صورت زیر بزارید (برای شما) :

کد:

---

$whmcsFolder = '/Clinet';

---

کد html recaptcha هم بعد از بسته شدن form گذاشتید باید قبل </form> قرار بدید.

نقل قول:

---

نوشته اصلی توسط hassanfe

سلام مجدد
من تمام مراحل رو رفتم. اسم پوشه نصبه whmcs رو هم اضافه کردم به دستور ها ولی بعد از 3 بار اشتباه ای پی بلاک نمیکنه و تیکه من ربات نیستم هم که نمیزنم باز وارد پنل میشه
مشکل از کجاست؟

---

منم همین مشکل رو با ریکپچا گوگل دارم نمیدونم مشکل کجاست:79:

نقل قول:

---

نوشته اصلی توسط mizban97

با سلام
جناب طوسی آپدیت ماژول هتزنر هنوز آماده نشد؟
گفته بودید اخر اسفند اماده میشه.
با تشکر

---

سلام، درگیر مسافرت و تعطیلات بودم تا چند روز آینده داخل تاپیک ـش اطلاع رسانی میکنم برای آپدیت جدید.

http://www.webhostingtalk.ir/showthread.php?t=182119

نقل قول:

---

نوشته اصلی توسط T.Toosi

سلام، درگیر مسافرت و تعطیلات بودم تا چند روز آینده داخل تاپیک ـش اطلاع رسانی میکنم برای آپدیت جدید.

http://www.webhostingtalk.ir/showthread.php?t=182119

---

ممنونم
ببخشید جناب طوسی
اینجا گفتید :
1 - ابتدا sql زیر را در دیتابیس خود اجرا کنید :

کد:
https://codepaste.net/x9zfui

چطوری باید این کد ها رو که تو لینک بالا هست در دیتابیس اجرا کنیم؟
میشه بیشتر توضیح بدید.

نقل قول:

---

نوشته اصلی توسط T.Toosi

اسم پوشه را باید به صورت زیر بزارید (برای شما) :

کد:

---

$whmcsFolder = '/Clinet';

---

کد html recaptcha هم بعد از بسته شدن form گذاشتید باید قبل </form> قرار بدید.

---

مرسی از راهنمایتون ولی همون مشکل با پرجاست

بنده هیچ فایل sql نمیبینم.

نقل قول:

---

نوشته اصلی توسط mizban97

ممنونم
ببخشید جناب طوسی
اینجا گفتید :
1 - ابتدا sql زیر را در دیتابیس خود اجرا کنید :

کد:
https://codepaste.net/x9zfui

چطوری باید این کد ها رو که تو لینک بالا هست در دیتابیس اجرا کنیم؟
میشه بیشتر توضیح بدید.

---

خواهش میکنم.

وارد phpMyAdmin بشید. از سمت چپ دیتابیستون رو انتخاب کنید سپس در صفحه باز شده از منو بالا sql را انتخاب کرده و کد ها را paste کنید سپس بروی go کلیک کنید.

http://s6.uplod.ir/i/00873/5oiof4ws641w.png

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط mizban97

بنده هیچ فایل sql نمیبینم.

---

فایل لازم نیست. کد های https://codepaste.net/x9zfui فقط باید اجرا کنید. در پست بالا راهنمایی کردم.

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط hassanfe

مرسی از راهنمایتون ولی همون مشکل با پرجاست

---

teamviewer بفرستید براتون چک کنم.

آقای طوسی زحمت کشیدند اومدن کامل انجام دادن دستشون درد نکنه واقعا کارشون حرف نداره.:53:
فقط یک سوال چرا وقتی با آیپی سرور آلمان هتزنر وارد سایت میشم ریکپچا گوگل غیب میشه؟
کلا نشون نمیده برای تمام سایت ها اینطوریه یعنی گوگل آلمان رو بلاک کرده؟:39:

نقل قول:

---

نوشته اصلی توسط mizban97

آقای طوسی زحمت کشیدند اومدن کامل انجام دادن دستشون درد نکنه واقعا کارشون حرف نداره.:53:
فقط یک سوال چرا وقتی با آیپی سرور آلمان هتزنر وارد سایت میشم ریکپچا گوگل غیب میشه؟
کلا نشون نمیده برای تمام سایت ها اینطوریه یعنی گوگل آلمان رو بلاک کرده؟:39:

---

خواهش میکنم، یک رنج آیپی دیگه هتزنر رو میتونید امتحان کنید ؟

نقل قول:

---

نوشته اصلی توسط T.Toosi

خواهش میکنم، یک رنج آیپی دیگه هتزنر رو میتونید امتحان کنید ؟

---

با دو تا ایپی مختلف تست کردم نشد!
اما ایپی سوم درست شد کپچا رو نشون داد.
چرا اون دو تا ایپی نمیشه؟
مشکل از چیه؟

سلام من همه ی کار ها رو کردم ولی ریکپچا مثل اینکه فعال نمیشه اصلا نشون داده نمیشه باید چیکار کنم؟

نقل قول:

---

نوشته اصلی توسط maxmizban_com

سلام من همه ی کار ها رو کردم ولی ریکپچا مثل اینکه فعال نمیشه اصلا نشون داده نمیشه باید چیکار کنم؟

---

فایل js گوگل را در ابتدا فایل login.tpl قرار دادید ؟ دسترسی teamviewer بفرستید چک کنم.

همرو گذاشتم الان هم پشیمون شدم که گذاشتم تا اون رو من گذاشتم و اون کد هارو گذاشتم تو دیتابیس از اون موقع به بعد دیگه وارد whmcs نمیشه باید چیکار کرد؟

نقل قول:

---

نوشته اصلی توسط maxmizban_com

همرو گذاشتم الان هم پشیمون شدم که گذاشتم تا اون رو من گذاشتم و اون کد هارو گذاشتم تو دیتابیس از اون موقع به بعد دیگه وارد whmcs نمیشه باید چیکار کرد؟

---

teamviewer بفرستید چک کنم.

فایل پیوست 35616
سلام
چجوری میتونم recaptcha که در صفحه ثبت نام WHMCS رو به اون یکی مدلش که باید تیک من ربات نیستم رو زد تغییر بدم؟