گرفتن حال اساسی هکر whmcs

[plastic]

دوست عزیز
همون طور که جناب rezash فرمودن
1. اینجاست که بسته بودن برخی توابع کار ساز است
2. بعد از نفوذ هکر اگه کمی وارد باشه بک دور یا همین راه های نفوذ متعدد برای نوبت بعد باز میکنه روی هدف که به احتمال زیاد روی سایت شما این مورد اتفاق افتاده
برای اینکه خیالتون راحت باشه اول کل فایل های داخل پوشه public_html رو با فایلهای اولیه whmcs که نصب میکنید جایگزین کنید (بک اپ از دیتابیس و ... فراموش نشه که ...)
بعد پسورد ها رو عوض بکنید و ببینید یوزر های دیگه ای ایجاد نشده.
سپس مراحل امنیتی لازم برای سیستم رو انجام بدید

[vps-baran.ir]

امکانش هست دیتا بیس رو هم آلوده کرده باشه؟

[plastic]

امکانش هست دیتا بیس رو هم آلوده کرده باشه؟

دیتابیس آلوده یعنی این که توی سیستم whmcs یوزر ایجاد کرده باشه یا تنظیمات امنیتی سیستم رو تغییر داده باشه مثلا امکان اپلود فایل با فرمت خاص رو باز کرده باشه و.. (با whmcs کار نکرده ام)

[Mohammad_reza]

سلام ،

ما هم از دیشب که سرور رو بررسی می کنیم متوجه شدیم هکر موفق شده چند تا فایل روی سرور ما آپلود کنه
دیشب فایل r57shell آپلود شده بود.
پاک کردم و تمام پسورد ها هم تغییر دادم. ویروس اسکن هم کردم خبری نبود.
امروز با آنتی ویروس اسکن انجام شد و متوجه شدم دو تا فایل به اسم های s2.php , sy.php داخل یکی از پوشه هامون آپلود و مخفی شده که آنتی ویروس پیداش کرد و پاکش کردم.

یکی از شل ها جهت ارسال اسپم بود (فکر کنم به تمام ایمیل های سرور)
دومی هم وقتی باز میکردی ، یک صفحه مشکی بود و یوزر و پسورد می خواست!
جالب اینجاست که وقتی که خودم می خواستم فایل ها رو آپلود کنم آنتی ویروس اجازه نداد.
یعنی هکر تونسته فایروال و آنتی ویروس رو دور بزنه.

روی سیستم لایوزیلا هست و whmcs
whmcs نسخه 4.5 همین چند روز پیش از سایت خودش با لایسنس دانلود و نصب کردم (یعنی تمام پچ ها رو داره)
لایوزیلا هم که نسخه 3.2 هست.
خوشبختانه ما فقط دیفیس شدیم و اطلاعات در امان هستند.
اما چطور این مشکل به وجود آمده ؟
لازم به ذکره ما روی این سرور فقط خودمون هستیم و به کس دیگه ای هاست ندادیم!
safe_mode روشن هست.
تا جایی هم که شده توابع رو مسدود کردیم.
مشکل از کجا می تونه باشه ؟

نکته : فایل هایی که هکر اپلود کرده بود خارج از پوشه whmcs بودند.

نکته : قبلاً خودم تست کردم ، با شل r57 تونستم روی سرورم فایل write کنم ، اما بعد از بستن چند تا تابع ، این امکان هم از این شل گرفته شد. الان مشکل کجاست ؟

بالای شل هایی که اپلود شده بود اینا رو نوشته بودن :

کد:

<?php # syrian shell is a php evil script , please use it against Israel Only . #  ,--^----------,--------,-----,-------^--, #  | |||||||||   `--------'     |          O    .. SyRiAn Sh3ll V1 ....  sy34[at]msn[dot]com #  `+---------------------------^----------| #    `\_,-------, __EH << SyRiAn | 34G13__| #      / XXXXXX /`|     / #     / XXXXXX /  `\   / #    / XXXXXX /\______( #   / XXXXXX / #  / XXXXXX / # (________( #  `------ # # SyRiAn Sh3ll V1 . # Copyright (C) 2010 - SyRiAn 34G13 # This program is free software; you can redistribute it and/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation; either version 2 of the License, or (at your option) any later version. # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. # I WISH THAT YOU WILL USE IT AGAINST ISRAEL ONLY !!! .  # next version ( upload files , chmod force , read files , no security , bypass , cgi , server shourtcut , eval , forbidden) $uselogin = 1;   // Make It 0 If you Want To Disable Auth $user = 'root';  // Username $pass = 'toor';  // Password #---------------------------------------------------------------# #					Powered By SyRiAn Shell                     # #					  By EH SyRiAn 34G13                        # #					 wWw.syrian-shell.com                       # #					      Version 1                             # #					    Made In SyRiA                           # #					      20\10\2010                            # #---------------------------------------------------------------#

[majid67]

whmcs نسخه 4.5 همین چند روز پیش از سایت خودش با لایسنس دانلود و نصب کردم (یعنی تمام پچ ها رو داره)

whmcs که آپدیت نکردی
الان نسخه 5.0.3 اومده

[vps-baran.ir]

خوب فرقی نمی کنه چه 4.5 باشه و چه 5.0.3

---------- Post added at 04:17 PM ---------- Previous post was at 04:12 PM ----------

خوشبختانه ما فقط دیفیس شدیم و اطلاعات در امان هستند.
اما چطور این مشکل به وجود آمده ؟
لازم به ذکره ما روی این سرور فقط خودمون هستیم و به کس دیگه ای هاست ندادیم!
safe_mode روشن هست.

نکته : فایل هایی که هکر اپلود کرده بود خارج از پوشه whmcs بودند.

[/CODE]

دقیقا هم همین اتفاق برای من افتاده امکان داره از صفحه ی دیفیس یه اسکرین شات بدی . من تو صفحه اصلی گذاشته بودن

[Mohammad_reza]

whmcs که آپدیت نکردی
الان نسخه 5.0.3 اومده

در سایت whmcs نوشته تمام پچ ها در همه نسخه ها اعمال شد است...
مشکل خاصی شما پیدا کردید ؟

[majid67]

خوب فرقی نمی کنه چه 4.5 باشه و چه 5.0.3

نسخه 4.5 تمام پچ ها رو نداره!!
باید پچ رو جدا دانلود و نصب کرد

whmcs نسخه 4.5 همین چند روز پیش از سایت خودش با لایسنس دانلود و نصب کردم (یعنی تمام پچ ها رو داره)

---------- Post added at 04:22 PM ---------- Previous post was at 04:20 PM ----------

دانلود و نصب کن (1 دقیقه هم طول نمیکشه)
WHMCS - Security Patch

[badnam_051]

بنده ادمین black-hg.org هستم میشه بپرسم اقای vps-baran.ir به چه دلیل اسم سایت مارو اینجا مطرح کردی؟!
اولا شما در حدی نیستی که بخواییم هکت کنیم.
دوما تیم ما سایت ایرانی هک نمیکنه.
سوما اون اشخاصی که تو پیج دیفس هستن میشه بپرسم چه ربطی به تیم ما داره؟
این رو بدونید با این کارتون فقط واسه خودتون دشمن درست کردید و منتظر باشد سزای عملتون رو ببینید.

[Mohammad_reza]

اگر دقت کنید پایین همین ، اینو نوشته :

کد:

* All client area downloads have been updated to include this by default

من whmcs رو بعد از انتشار این پچ دانلود و نصب کردم ...