رفع باگ های whmcs/نتیجه گیری کلی

[dr.saeed]

سلام
با توجه به اینکه تایپیک های زیادی برای باگ های WHMCS تو چند روز گذشته زده شده راه حل های رفع این باگ ها رو در یک پست جمع بندی کردم که براتون قرار می دهم

کاری که من کردم به نظر خودم یه راه حل بچه گانه هست
خوب من لایسنس دارم و همه ی فایل ها کد شده هست پس من نمیتونشتم خود باگ رو فیکس کنم
پس اومدم توی فایل configuration.php که توی همه ی صفحات انکلود میشه همه ی $_REQUEST ها رو چک کردم
اگه توی هر کدومشون عبارت {php} وجود داشت جلوی ادامه برنامه رو گرفتم و عبارت Hacking Attempt ! رو چاپ کردم

به درخواست دوستان کد رو میذارم
اما به نظر خودم این راه حل درست نیست و موقت هست ! پس از ارائه پچ حتما پاکش کنید
کد زیر رو توی فایل configuration.php اضافه کنید

کد PHP:

foreach ($_REQUEST as $value)
{
    if(strpos(strtolower($value), "{php}") !== false)
        die("Hacking Attempt !");
} 


به پست دوم این تاپیک مراجعه کنید

بهترین راه اینه که اولا پرمیشن فایل configuration.php رو 444 بزارید.
دوما کد های زیر رو در فایل configuration.php بزارید:

کد PHP:

$templates_compiledir = "/home/username/templates_c/";
$attachments_dir = "/home/username/attachments/";
$downloads_dir = "/home/username/downloads/"; 


به جای username، نام کاربری هاستتونو بزارید. و همچنین این سه تا فولدر رو از هاست خارج کنید و به مسیری که در بالا گفته شده منتقل کنید. کاهش دادن پرمیشن این سه تا فولدر راهگشا نیست و بعدا مشکلاتی رو ایجاد میکنه.

رفع باگ> Security Patch - WHMCS Forums
فایل رو دانلود و در پوشه ی includes اکسترکت کنید

سلام
من از این دیسیبل فانکشن در PHP استفاده میکنند شاید به درد دوستان هم بخوره
disable_functions

کد:

apache_get_modules,apache_get_version,apache_reset_timeout,apache_getenv,apache_note,apache_setenv,gzinflate,chmod,symlink,./,fpassthru,crack_check,crack_closedict,crack_getlastmessage,crack_opendict,php_ini_scanned_files,shell-exec,dl,ctrl_dir,phpini,tmp,safe_mode,php_uname,systemroot,server_software,get_current_user,HTTP_HOST,ini_restore,popen,pclose,exec,shell_exec,suExec,passthru,proc_open,proc_nice,proc_terminate,proc_get_status,proc_close,leak,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,escapeshellcmd,escapeshellarg,posix_ctermid,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_setegid,posix_seteuid,posix_setgid,posix_times,posix_ttyname,posix_uname,posix_access,posix_get_last_error,posix_mknod,posix_strerror,posix_initgroups,posix_setsid,posix_setuid,perl,rsync,wget,python,whoami,cat,perm,find,bind_shell,socket_bind,socet_connect,show_source,phpinfo,allow_url_fopen

و فایل ROOT-patch20110613 در پوشه ی ادمین
و فایل ADMIN-patch20111015 در پوشه روت
آپلود کنید/اشتباه اسم فایل ها رو گذاشتم

http://forum.whmcs.com/showthread.php?t=39139
http://forum.whmcs.com/showthread.php?t=42121

تشکر نشانه رضایت است :D
ADMIN-patch20111015.zip