رفع باگ های whmcs/نتیجه گیری کلی

[dr.saeed]

سلام
با توجه به اینکه تایپیک های زیادی برای باگ های WHMCS تو چند روز گذشته زده شده راه حل های رفع این باگ ها رو در یک پست جمع بندی کردم که براتون قرار می دهم

کاری که من کردم به نظر خودم یه راه حل بچه گانه هست
خوب من لایسنس دارم و همه ی فایل ها کد شده هست پس من نمیتونشتم خود باگ رو فیکس کنم
پس اومدم توی فایل configuration.php که توی همه ی صفحات انکلود میشه همه ی $_REQUEST ها رو چک کردم
اگه توی هر کدومشون عبارت {php} وجود داشت جلوی ادامه برنامه رو گرفتم و عبارت Hacking Attempt ! رو چاپ کردم

به درخواست دوستان کد رو میذارم
اما به نظر خودم این راه حل درست نیست و موقت هست ! پس از ارائه پچ حتما پاکش کنید
کد زیر رو توی فایل configuration.php اضافه کنید

کد PHP:

foreach ($_REQUEST as $value)
{
    if(strpos(strtolower($value), "{php}") !== false)
        die("Hacking Attempt !");
} 


به پست دوم این تاپیک مراجعه کنید

بهترین راه اینه که اولا پرمیشن فایل configuration.php رو 444 بزارید.
دوما کد های زیر رو در فایل configuration.php بزارید:

کد PHP:

$templates_compiledir = "/home/username/templates_c/";
$attachments_dir = "/home/username/attachments/";
$downloads_dir = "/home/username/downloads/"; 


به جای username، نام کاربری هاستتونو بزارید. و همچنین این سه تا فولدر رو از هاست خارج کنید و به مسیری که در بالا گفته شده منتقل کنید. کاهش دادن پرمیشن این سه تا فولدر راهگشا نیست و بعدا مشکلاتی رو ایجاد میکنه.

رفع باگ> Security Patch - WHMCS Forums
فایل رو دانلود و در پوشه ی includes اکسترکت کنید

سلام
من از این دیسیبل فانکشن در PHP استفاده میکنند شاید به درد دوستان هم بخوره
disable_functions

کد:

apache_get_modules,apache_get_version,apache_reset_timeout,apache_getenv,apache_note,apache_setenv,gzinflate,chmod,symlink,./,fpassthru,crack_check,crack_closedict,crack_getlastmessage,crack_opendict,php_ini_scanned_files,shell-exec,dl,ctrl_dir,phpini,tmp,safe_mode,php_uname,systemroot,server_software,get_current_user,HTTP_HOST,ini_restore,popen,pclose,exec,shell_exec,suExec,passthru,proc_open,proc_nice,proc_terminate,proc_get_status,proc_close,leak,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,escapeshellcmd,escapeshellarg,posix_ctermid,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_setegid,posix_seteuid,posix_setgid,posix_times,posix_ttyname,posix_uname,posix_access,posix_get_last_error,posix_mknod,posix_strerror,posix_initgroups,posix_setsid,posix_setuid,perl,rsync,wget,python,whoami,cat,perm,find,bind_shell,socket_bind,socet_connect,show_source,phpinfo,allow_url_fopen

و فایل ROOT-patch20110613 در پوشه ی ادمین
و فایل ADMIN-patch20111015 در پوشه روت
آپلود کنید/اشتباه اسم فایل ها رو گذاشتم

http://forum.whmcs.com/showthread.php?t=39139
http://forum.whmcs.com/showthread.php?t=42121

تشکر نشانه رضایت است :D
ADMIN-patch20111015.zip

[rn4j1m1]

لازم به توضیح هست که راه حل اول که من نوشتمش دیگه نیازی به انجام دادنش نیست
تنها کافیه اون پچ امنیتی رو آپلود کنید
و به همه هم توصیه میکنم ، صفحه زیر رو مطالعه کنن
Further Security Steps - WHMCS Documentation

[hamidjan]

آقای dr.saeed دو تا فایل پچ آخری که دادید خودتون درست کردید یا whmcs ارائه کرده؟

[dr.saeed]

نه خودم درست نکردم
از یکی از دوستان گرفتم
اما یکی دیگه از دوستان لینک این پچ رو گذاشته بود
مشکلی داره؟

[hamidjan]

نمیدونم. من تست نکردم.

آخه برای پچی که خود whmcs داده بود دلیلی داریم که آپلودش کنیم. ولی این پچ ها رو یه دفعه همینجوری ارائه کردید و علت اون رو هم ذکر نکردید که چه باگی رو پچ می کنه. اینه که آدم مردد میشه استفاده بکنه یا نه؟

[dr.saeed]

نمیدونم. من تست نکردم.

آخه برای پچی که خود whmcs داده بود دلیلی داریم که آپلودش کنیم. ولی این پچ ها رو یه دفعه همینجوری ارائه کردید و علت اون رو هم ذکر نکردید که چه باگی رو پچ می کنه. اینه که آدم مردد میشه استفاده بکنه یا نه؟

حرف شما درست هست و بنده پست رو با دلیل ویرایش خواهم کرد
اینم لینک خود whmcs
WHMCS 4.X Security Patch - WHMCS Forums
4.X Security Patch - WHMCS Forums

[hamidjan]

حرف شما درست هست و بنده پست رو با دلیل ویرایش خواهم کرد
اینم لینک خود whmcs
WHMCS 4.X Security Patch - WHMCS Forums
4.X Security Patch - WHMCS Forums

البته این دو تا پچ آخری برای نسخه 4 هستند. احتمال زیاد توی نسخه 5 رفع شده.

[dertgtr]

حرف شما درست هست و بنده پست رو با دلیل ویرایش خواهم کرد
اینم لینک خود whmcs
WHMCS 4.X Security Patch - WHMCS Forums
4.X Security Patch - WHMCS Forums

قبل نصب این دو پچ رو در whmcs جایگزین و بعد نصب کردم ولی بعد نصب به هم میریزه . یعنی cart.php رو که میزنی همون صفحه میمونه و جلو نمیره . قالب رو هم کمی به هم میریزه نسخه من 4.1.2 هست
البته رو 5.03 هم تست کردم همین مشکل وجود داره
البته دیگه رو 5.0.3 پجی جایگزین نکردم کسی می تونه راهنمایی کنه؟

[jamy]

نمیدونم. من تست نکردم.

آخه برای پچی که خود whmcs داده بود دلیلی داریم که آپلودش کنیم. ولی این پچ ها رو یه دفعه همینجوری ارائه کردید و علت اون رو هم ذکر نکردید که چه باگی رو پچ می کنه. اینه که آدم مردد میشه استفاده بکنه یا نه؟

کاربر یه کد را براتون تیکت میکنه بعد یه شل میسازه بخش دانلود و ......

[om!d-D]

ما نفهمیدیم.....
این دو تاپچ رو که گذاشتید کجا باید استفاده بشه؟ یه زحمتی بکش بگو ..
WHMCS 4.X Security Patch - WHMCS Forums
این بالایی رو باید توی ادمین ریخت دیگه؟

و دومی؟
WHMCS 4.X Security Patch - WHMCS Forums