هک جدید whmcs با دسترسی کامل به پنل ادمین بسیار خطرناک

[dm800pvr]

امروز 2 تا پچ برای 5.2.12 اومده و همینطور 13!!!

Release Date	Version	Type	Title	Size
25th Oct 2013	5.1.13	SECURITY	Incremental Patch Update	392 kB
25th Oct 2013	5.2.12	SECURITY	Incremental Patch Update	437 kB

[mhiizadi]

بله همین طوره...
هیچ گاه این باگ ها پایانی نخواهند داشت........

[MagicVps.Com]

بله تمامی ندارن و هیچ وقتهم تمام شدنی نیست
ولی چیزی که هست توی 10 روز اخیر حساب کنید حدود 6 تا نسخه جدیدی شرکت بیرون داده و خیلی این وضعیت دیگه ناجور هستش

[dm800pvr]

بله تمامی ندارن و هیچ وقتهم تمام شدنی نیست
ولی چیزی که هست توی 10 روز اخیر حساب کنید حدود 6 تا نسخه جدیدی شرکت بیرون داده و خیلی این وضعیت دیگه ناجور هستش

شما فکر کردین برای چی مدام INJECT میاد هر روز؟ کار خود شرکته میخواد هر کس سراغ نال رفته سریع اشتراک بخره
از جمله خود من برای بار N ام امروز توی فولدر downloads دیدم یه whmcs killer اسکریپت هک لعنتی 20 روز پیش!!!!!!! آپلود شده
رفتم زدم به سیم آخر خریدم یهو سالانشو 1 میلیون پیاده شدم گفتم باز اینطوری خیالم راحت تره بگذریم بیچاره شدم تا قالب جدید رو بهش شناسوندم... از سال بعدم 50 دلار میدم برای ساپورتشون و آپدیتاشون
منتظر 20 باگ جدید هفته بعدی باشید..

[mparsa]

چطوری پوشه ادمین رو تغییر نام بدیم ؟
از کد استفاده کردم ولی با خطای دوستان مواجه شدم پوشه زبان یافت نشد؟؟!!
چطوری برطرف کنم این مشکل رو؟

[Ashkankamangar.ir]

باگ همیشه هست
بهتره نام پوشه ی ادمین رو تغییر بدید و یه پوشه با نام قبلی ادمین بذارید باشه تا طرف بره سرکار و یه صفحه فیک براش بسازید
روی پوشه ی جدید ادمین و قبلی رمز بذارید
رمز و پسورد خیلی قوی
دسترسی فایل کانفیگ روی 400
داخل

nano /etc/httpd/conf/httpd.conf

این موارد رو جایگزین کنید

<Directory "/">
Options -ExecCGI -FollowSymLinks -Includes +IncludesNOEXEC -Indexes -MultiViews +SymLinksIfOwnerMatch
AllowOverride All
</Directory>

<Directory "/usr/local/apache/htdocs">
Options -ExecCGI -FollowSymLinks -Includes +IncludesNOEXEC -Indexes -MultiViews +SymLinksIfOwnerMatch
AllowOverride None
Order allow,deny
Allow from all

</Directory>

<Directory "/home">
Options All -ExecCGI -Indexes -FollowSymLinks -Includes +IncludesNOEXEC -MultiViews +SymLinksIfOwnerMatch
AllowOverride AuthConfig Indexes Limit Fileinfo options=Indexes,MultiViews

</Directory>

این سه پوشه هم ببرید پشت روتو این کدرا داخل کانفیگ بذارید

$templates_compiledir = '/home/userhost/templates_c/';
$attachments_dir = '/home/userhost/attachments/';
$downloads_dir = '/home/userhost/downloads/';

برای تغییر پوشه ی ادمین هم نام این پوشه رو ابتدا تغییر بدید
بعد دسترسی فایل configuration.php را به 644 برگردونید و این کد رو بذارید داخل

$customadminpath = 'namejadid';

کد حتما قبل از ?> پایانی باید قرار بگیرد
رمز رو پوشه ی جدید فراموش نشه
دسترسی کانفیگ را دوباره 400 کنید

[mparsa]

از دوست عزیزمون بسیار ممنونم برای آموزش های فوق.
متوجه این قسمت از آموزش نشدم .
میشه دقیق توضیح بدید؟

" این سه پوشه هم ببرید پشت روتو این کدرا داخل کانفیگ بذارید "

[kamran_b]

ممون عالب یود
برای دایرکت ادمین چگونه هست

[tizparvaz]

سلام
پیشنهاد میکنم برای شرکتتون آی پی استاتیک تهیه کنید و فولدر ادمین رو بر روی آی پی خودتون محدود کنید تا حتی اگر پسورد دست هکر افتاد نتونه به ادمین شما لاگین بکنه اینکاریه که ما بعد از مشاهده چند باگ اخیر انجام دادیم و تمام پنلهای لاگین مستر رو از جمله وردپرس و whmcs سایت رو به آی پی استاتی محدود کردیم

[kamran_b]

[QUOTE=Ashkankamangar.ir;904144]باگ همیشه هست
بهتره نام پوشه ی ادمین رو تغییر بدید و یه پوشه با نام قبلی ادمین بذارید باشه تا طرف بره سرکار و یه صفحه فیک براش بسازید
روی پوشه ی جدید ادمین و قبلی رمز بذارید
رمز و پسورد خیلی قوی
دسترسی فایل کانفیگ روی 400
داخل

این موارد رو جایگزین کنید

ممنون عالب یود
برای دایرکت ادمین چگونه هست ؟