WHMCS Brute Force [Protection]

[Sajad]

آپلود کردم صفحه dologin خطای ۵۰۰ داد

[tikweb.ir]

به دلیل اینکه whmcs داخل فولدر هست، لاین 3 :

$_SERVER['REQUEST_URI'] === "/dologin.php"

جایگزین کنید :

$_SERVER['REQUEST_URI'] === "/cp/dologin.php"

وقتی اینو میزارم (با همون مقداری که اسلش هم گذاشتید) کاربر که میخواد لوگین کنه میره به صفحه 404 !
دلیلش چیه
حتی اگر پسورد درست باشه

[T.Toosi]

خیلی ممنون از ماژول جسارتاً این بررسی REQUEST_URI وقتی متد POST و وجود دو مقدار username و password رو چک میکنید اضافی نیست؟
حتی اگه جای دیگه از سایت ماژول فعال بشه و در داخل متد POST این دو مقدار باشه بازم که خوبه اگه قصد BruteForce داشتن بلاک بشن نه؟

سلام، خواهش میکنم، به دلیل اینکه قسمت ورود ادمین خودش سیستم مسدود سازی آیپی دارد و whmcs هم هوکی برای بررسی وضعیت لاگین ندارد برای همین مجبوریم request uri چک کنیم فقط برای صفحه ورود کاربر فعال باشد والی با قسمت ورود ادمین به مشکل میخورد.

- - - Updated - - -

وقتی اینو میزارم (با همون مقداری که اسلش هم گذاشتید) کاربر که میخواد لوگین کنه میره به صفحه 404 !
دلیلش چیه
حتی اگر پسورد درست باشه

سرچ کنید :

Location: /clientarea.php?incorrect=true

جایگزین کنید :

Location: /cp/clientarea.php?incorrect=true


سرچ کنید :

Location: /clientarea.php

جایگزین کنید :

Location: /cp/clientarea.php

[tikweb.ir]

سلام، خواهش میکنم، به دلیل اینکه قسمت ورود ادمین خودش سیستم مسدود سازی آیپی دارد و whmcs هم هوکی برای بررسی وضعیت لاگین ندارد برای همین مجبوریم request uri چک کنیم فقط برای صفحه ورود کاربر فعال باشد والی با قسمت ورود ادمین به مشکل میخورد.

- - - Updated - - -



سرچ کنید :

Location: /clientarea.php?incorrect=true

جایگزین کنید :

Location: /cp/clientarea.php?incorrect=true


سرچ کنید :

Location: /clientarea.php

جایگزین کنید :

Location: /cp/clientarea.php

تشکر فرااوان از شما
حل شد و بخوبی کار کرد

[tikweb.ir]

جناب طوسی الان نصف قضیه بروت فورس حل شد
اما نصف دیگست هنوز حل نشده
چون همونطور که میدونید داخل برنامه های کرکر با پ روکسی لیست میشه محدودیت ایپی رو دور زد

راه حلی برای کپچا نیست؟
بنده قبلا یه بار ریکپچای گوگل رو داخل فرم لوگین قرار دادم و بخوبی نمایش هم داد اما تاثیری در روند لوگین نداشت، یعنی چه کاربر وریفای ریکپچا میزد چه نمیزد لوگین میشد

راه حلی برای این مورد نیست؟
اگر این موردم انجام بشه دیگه میشه یه ماژول کامل

فکر کنم باید فایل dologin.php رو دیکد کنیم تا بتونیم درسته؟

[T.Toosi]

جناب طوسی الان نصف قضیه بروت فورس حل شد
اما نصف دیگست هنوز حل نشده
چون همونطور که میدونید داخل برنامه های کرکر با پ روکسی لیست میشه محدودیت ایپی رو دور زد

راه حلی برای کپچا نیست؟
بنده قبلا یه بار ریکپچای گوگل رو داخل فرم لوگین قرار دادم و بخوبی نمایش هم داد اما تاثیری در روند لوگین نداشت، یعنی چه کاربر وریفای ریکپچا میزد چه نمیزد لوگین میشد

راه حلی برای این مورد نیست؟
اگر این موردم انجام بشه دیگه میشه یه ماژول کامل

فکر کنم باید فایل dologin.php رو دیکد کنیم تا بتونیم درسته؟

راه حل ریکپچای گوگل هم سعی میکنم تا فردا داخل همین تاپیک قرار بدم.

[T.Toosi]

reCaptcha گوگل + آموزش به پست اول اضافه شد.

[tikweb.ir]

اقا تشکر دیگه باید یه لینک donate بزارید حتما...

فقط دوتا نکته اضافه کنید
یکی این که باید داخل login.tpl خط زیر هم اضافه بشه

کد PHP:

<script src='https://www.google.com/recaptcha/api.js?hl=fa'></script> 


لاین 50 هم باید سینتکسش اضافه بشه

کد PHP:

$whmcsFolder = null; //ex(with slash): "/my" 


- - - Updated - - -

فقط نمیدونم چرا الان دیگه ایپی رو بلاک نمیکنه !

- - - Updated - - -

یه مورد دیگه هم که هست اینه که وقتی کاربر کپچا رو تیک نمیزنه به جای اینکه بگه مثلا "روی من روبات نیستم کلیک کنید" مینویسه "رمز اشتباه است" که شاید کاربر رو دچار سردرگمی کنه
برای این راه حلی هست؟

[T.Toosi]

فقط نمیدونم چرا الان دیگه ایپی رو بلاک نمیکنه !

$whmcsFolder = null; //ex(with slash): /my

خط بالا را جایگزین کنید :

$whmcsFolder = '/cp';

باید نام فولدر به همراه اسلش در ابتدا باشه.

[Comrade]

درود
به جای اینکه رو whmcs کار کنید یه سیستم اختصاصی بدید بنویسن براتون بهتره
هم از امنیتش مطمئن میشید و هم شب راحت میخوابید