Enio F. Postado Dezembro 20, 2011 Compartilhar Postado Dezembro 20, 2011 Concordo contigo Clebson. Pessoal, por que isso esta acontecendo? Simples, os códigos para invasão foram todos divulgados publicamente, aqui no fórum, então o "palhaço" que esta tentando invadir, pegou os códigos aqui no fórum e saiu enviando para todas as empresas. Esses códigos jamais deveriam ser publicados assim. Link para o comentário Compartilhar em outros sites More sharing options...
Cassiano Teixeira Postado Dezembro 20, 2011 Compartilhar Postado Dezembro 20, 2011 De certo modo também eu concordo. Mas pode haver algo mais nisso, acho que a pessoa, não iria perder tempo de sair distribuindo isso assim atoa.. Sera? Link para o comentário Compartilhar em outros sites More sharing options...
Cristian Augusto Postado Dezembro 20, 2011 Compartilhar Postado Dezembro 20, 2011 Assim como o nosso amigo @CassianoTeixeira deixou dito, de certo modo, também concordo. Mas sem os scripts publicados aqui, como saberiamos de que scripts se tratavam? Talvez isso não seja um problema para os mais experientes, mas e os leigos? Link para o comentário Compartilhar em outros sites More sharing options...
leonelborges Postado Dezembro 20, 2011 Compartilhar Postado Dezembro 20, 2011 Estive analisando o Google analytics do meu site e verifiquei os seguintes relatórios da tentativa de invasão ao meu WHMCS! Como me localizou: Fez uma pesquisa no google pelo nome ( inurl:"br/central/submitticket.php") IP proxy: 103.10.64.30 IP Country: Indonesia ( Yogyakarta JW) Visitou o meu site: 1 vez Tentativas de acesso as paginas e pastas, todas renomeadas e redirecionadas pelo configuration.php, mesmo assim ele conseguiu achar o nome da pasta. Vou colocar os nomes originais da pagina para minha própria proteção: attachments, admin, templates_c, index.php e submitticket.php. Tempo no site: 00:01:12 Com estas informações acredito que não seja somente usuários do fórum que estejam tentando invadir WHMCS, porque na minha assinatura do fórum não tem o endereço do meu site e não e a primeira tentativa! Lembrando que bloqueando o acesso ao ticket para usuarios registrados, ele so vai conseguir criar um ticket com minha permissão, ou estou errado! Link para o comentário Compartilhar em outros sites More sharing options...
Jaime Silva Postado Dezembro 20, 2011 Compartilhar Postado Dezembro 20, 2011 Estive analisando o Google analytics do meu site e verifiquei os seguintes relatórios da tentativa de invasão ao meu WHMCS! Como me localizou: Fez uma pesquisa no google pelo nome ( inurl:"br/central/submitticket.php") IP proxy: 103.10.64.30 IP Country: Indonesia ( Yogyakarta JW) Visitou o meu site: 1 vez Tentativas de acesso as paginas e pastas, todas renomeadas e redirecionadas pelo configuration.php, mesmo assim ele conseguiu achar o nome da pasta. Vou colocar os nomes originais da pagina para minha própria proteção: attachments, admin, templates_c, index.php e submitticket.php. Tempo no site: 00:01:12 Com estas informações acredito que não seja somente usuários do fórum que estejam tentando invadir WHMCS, porque na minha assinatura do fórum não tem o endereço do meu site e não e a primeira tentativa! Lembrando que bloqueando o acesso ao ticket para usuarios registrados, ele so vai conseguir criar um ticket com minha permissão, ou estou errado! Ele cria uma conta e abre o ticket. Controle de spam pra bloquear frases pode ajudar, mas só até ele criar outro código. Você pode, em vez disso negar acesso direto ao submitticket.php à partir de um endereço que não seja do seu domínio usando o .htaccess, mas isso também não vai resolver. Não há bem nem mal que dure para sempre. Um dia tudo acaba. Link para o comentário Compartilhar em outros sites More sharing options...
Clebson Postado Dezembro 21, 2011 Compartilhar Postado Dezembro 21, 2011 Assim como o nosso amigo @CassianoTeixeira deixou dito, de certo modo, também concordo. Mas sem os scripts publicados aqui, como saberiamos de que scripts se tratavam? Talvez isso não seja um problema para os mais experientes, mas e os leigos? Ninguém precisa saber os códigos completos, quem precisa saber disso é o próprio desenvolvedor do sistema, no caso a whmcs.com Os leigos? Existe o suporte da whmcs.com para tirar dúvidas, se não sabe do que se trata, basta entrar em contato com o suporte e terá a resposta para a questão. Link para o comentário Compartilhar em outros sites More sharing options...
edvan Postado Dezembro 21, 2011 Compartilhar Postado Dezembro 21, 2011 Ninguém precisa saber os códigos completos, quem precisa saber disso é o próprio desenvolvedor do sistema, no caso a whmcs.com Os leigos? Existe o suporte da whmcs.com para tirar dúvidas, se não sabe do que se trata, basta entrar em contato com o suporte e terá a resposta para a questão. Clebson, A maioria dos ataques são de fora, eu recebi uns 50 e apenas 1 com IP do brasil! Link para o comentário Compartilhar em outros sites More sharing options...
Mr Bomber Postado Dezembro 21, 2011 Compartilhar Postado Dezembro 21, 2011 Resumo do ataque: ele abre um ticket, que com o codigo inserido nos campos do form do ticket, permite criar um arquivo na pasta templates_c, que são arquivos... digamos... temporarios do WHMCS. Primeira falha do WHMCS: Não trata o que é passado por POST. O arquivo que ele quer criar é apenas um form pra fazer o upload de outro arquivo. Ai sim, irá enviar uma shell, que através dela, vc pode, a depender das configs do servidor, ler arquivos (o configuration.php por ex), subir mais arquivos, fazer email bomber a partir do teu servidor, fazer pishing com o teu servidor, deface, etc, etc, etc... Ou seja. Com uma shell, ele pode ownar o teu lance. Opinião minha: Se o WHMCS tratasse o que é recebido pelo POST, já resolveria. As medidas que podem ajudar a dificultar a vida do nosso invasor são as já descritas aqui: - Mod_security com as regras ativadas e rodando junto com CSF. - SuPhp - Bloquear uma mega lista de funções indesejadas no disable_functions do php.ini - Mudar a pasta templates_c de lugar etc e etc. Tem muito site por ai que disponibilizam shells. Quem tiver intimidade com PHP, pode baixar uma ai pra estudo. Se o antivirus refugar a danada, pode baixar sem problema, pq é so um arquivo .php e a probabilidade dele fazer algum mal é se rodar no apache. Lembrando: Arrume um treim desses apenas para ESTUDO e rode apenas local. Use o appserv, easyphp, qq troço desses ae. E cuidado: Antes de rodar, abra ele no DW ou até mesmo no bloco de notas, pra ver se nao tem nda malicioso nele ;) Link para o comentário Compartilhar em outros sites More sharing options...
zanin Postado Dezembro 21, 2011 Compartilhar Postado Dezembro 21, 2011 Clebson, A maioria dos ataques são de fora, eu recebi uns 50 e apenas 1 com IP do brasil! Eu recebi alguns também, e dois deles com IP do Brasil, sendo os dois vindos do PDH Link para o comentário Compartilhar em outros sites More sharing options...
Clebson Postado Dezembro 21, 2011 Compartilhar Postado Dezembro 21, 2011 Clebson, A maioria dos ataques são de fora, eu recebi uns 50 e apenas 1 com IP do brasil! Eu acredito que todos os IPs são de proxy, quem iria querer invadir uma empresa do brasil, sendo de outro país? kkk Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados