Clicky

Jump to content
Portal do Host
  • Sign Up

Sign in to follow this  
McGuyver

Tentativas de invasão em meu WHMCS

Recommended Posts

Olá galera,

Já é a segunda vez que recebo um ticket de suporte com um assunto como:


{php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRf.....(CONTEÚDO REMOVIDO PROPOSITADAMENTE POR MIM).....Ow=='));{/php}

Utilizando o site base64decode.org resulta em algo como:

$code = base64_decode("PD9waHANCmV.....(CONTEUDO REMOVIDO PROPOSITADAMENTE POR MIM).....Cj8+");

$fo = fopen("templates_c/b0x.php","w");

fwrite($fo,$code);

Que por sua vez resulta em um outro script php. Na primeira vez ele gerou 3 ou 4 arquivos .php em uma pasta templates_c, que entretanto não é a de cache real, pois a minha está em outro local. Para evitar que isso acontecesse novamente (mesmo achando que não causou nenhum dano) protegi a pasta de cache não utilizada e desta vez nem esses arquivos gerou.

As perguntas em questão são:

1) Alguém conhece esse script WHMCS Killer? (achei o nome dentro de um dos arquivos .php que o script gerou da outra vez).

2) Sabem se posso ter tido algum problema com esse ataque?

3) Preciso fazer mais alguma coisa para evitar que esse "moleque" venha à prejudicar minha base de dados ou minha hospedagem (que nem bem iniciou ainda)... ;-)


"- Isto fica feliz em ser útil!" ;)     ->  Ajudei? Dê um "Curtir" aí no post!

Share this post


Link to post
Share on other sites

Na versão 5 do whmcs, teve um patch recentemente justamente p/ segurança, na versão 4.X teve um patch alguns meses atras, tu tem utilizados estes patchs?

E por curiosidade, qual a versão do seu whmcs?


oGigante.com • Revenda de Hospedagem + Construtor de Site
█ CloudLinux • DNS Próprio • Softaculous PREMIUM • PHP 5.2 ao 5.7 • Proteção Adicional e +

Share this post


Link to post
Share on other sites

Oi Chuva, Boa Tarde...

Estou usando o 5.0.2 e instalei o patch há alguns dias (acho que foi na sexta-feira).

O admin do meu WHMCS está utilizando uma pasta renomeada e as pastas template_c, attachments e downloads estão fora do public_html... ;-)


"- Isto fica feliz em ser útil!" ;)     ->  Ajudei? Dê um "Curtir" aí no post!

Share this post


Link to post
Share on other sites

Cê tá sem sorte. PQP, penso que o WHMCS é bastante inseguro. Apenas abrindo ticket o cara injeta código e cria arquivos.

Adicionando: É isso que pode acontecer quando alguém tem acesso ao código fonte. Acho que deveriam proteger o código com Source Guardian, que é bem mais seguro, em vez do Ioncube.

Edited by Jaime Delano

Share this post


Link to post
Share on other sites

Ow loco... WHCMS vulnerável a XSS? Caraca véio!

Isso já aconteceu por aqui e considero uma falha do próprio Smarty, mas é passível de solução, basta usar a função abaixo:



function limpaTagsSmarty($varSuja = null, $limparHTML = false){

        $troca = array(

       '{php}' => ''.

       '{/php}' => '',

       '{' => '',

       '}' => ''

       );


       if($limparHTML){

              $varSuja = strip_tags($varSuja);

       }


       $varPronta = strtr($varSuja, $troca);


       return $varPronta;


       unset($varSuja, $troca, $varPronta, $limparHTML);

}



Não respondo dúvidas em particular, nem via msn, bilhete elegante, PM, foto de mulher bonita no perfil, telegrama, pombo correio, sinal de fumaça, dança da chuva, fogueira, ou qualquer outra forma válida e/ou bizarra. Pergunte no fórum assim todos podem compartilhar a pizza.

Share this post


Link to post
Share on other sites

Esse código é comum na internet, muitos crackers utilizam ele para invadir os sites de ecommerce. Ele executa um código codificado depois ele vai decodificá-lo, e executar o script.

Se não me engano você pode ver o código fonte do script, sem a codificação, alterando o eval para echo.

Verifique a primeira linha dos seus arquivos PHP, e veja se não tem algo de estranho. Recomendo que reenvie todos os arquivos do WHMCS novamente.

Eu sempre baixo toda a minha instalação do WHMCS, e fico comparando todos os arquivos com os arquivos originais. Se eu encontrar algum arquivo diferente, eu excluo na hora.

Recomendo também colocar senha na pasta admin.

Mas.. não demora muito eles já lançam um novo Patch, risos.


Clebson | SH

Share this post


Link to post
Share on other sites

Essas e outras que o WHMCS, para mim hoje é somente para administração de serviços.

Tickets, utilizo um sistema diferente do oferecido. Que é mais seguro.


 

Share this post


Link to post
Share on other sites

Pois é João, o código parece ser executado quando se abre o ticket pois esse código vem no assunto do ticket...

João, onde posso colocar esse código para aumentar a proteção?


"- Isto fica feliz em ser útil!" ;)     ->  Ajudei? Dê um "Curtir" aí no post!

Share this post


Link to post
Share on other sites

Vejam este artigo para maior segurança do WHMCS.

http://docs.whmcs.com/Further_Security_Steps

Segundo a WHMCS esta correção foi feita no patch da semana passada.

Pois é João, o código parece ser executado quando se abre o ticket pois esse código vem no assunto do ticket...

João, onde posso colocar esse código para aumentar a proteção?

Edited by williamkevenis

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.



×
×
  • Create New...