Ir para conteúdo
  • Cadastre-se

Tentativas de invasão em meu WHMCS

McGuyver

Por McGuyver
em Gerenciadores de hospedagem

 Compartilhar

Posts Recomendados

Enio F.

Enio F.

Postado
Postado

Concordo contigo Clebson.

Pessoal, por que isso esta acontecendo? Simples, os códigos para invasão foram todos divulgados publicamente, aqui no fórum, então o "palhaço" que esta tentando invadir, pegou os códigos aqui no fórum e saiu enviando para todas as empresas. Esses códigos jamais deveriam ser publicados assim.
Link para o comentário
Compartilhar em outros sites
leonelborges

leonelborges

Postado
Postado

Estive analisando o Google analytics do meu site e verifiquei os seguintes relatórios da tentativa de invasão ao meu WHMCS!

Como me localizou: Fez uma pesquisa no google pelo nome (

inurl:"br/central/submitticket.php")

IP proxy: 103.10.64.30

IP Country: id.png Indonesia (

Yogyakarta JW)

Visitou o meu site: 1 vez

Tentativas de acesso as paginas e pastas, todas renomeadas e redirecionadas pelo configuration.php, mesmo assim ele conseguiu achar o nome da pasta. Vou colocar os nomes originais da pagina para minha própria proteção: attachments, admin, templates_c, index.php e submitticket.php.

Tempo no site: 00:01:12

Com estas informações acredito que não seja somente usuários do fórum que estejam tentando invadir WHMCS, porque na minha assinatura do fórum não tem o endereço do meu site e não e a primeira tentativa!

Lembrando que bloqueando o acesso ao ticket para usuarios registrados, ele so vai conseguir criar um ticket com minha permissão, ou estou errado!

Link para o comentário
Compartilhar em outros sites
Jaime Silva

Jaime Silva

Postado
Postado
Estive analisando o Google analytics do meu site e verifiquei os seguintes relatórios da tentativa de invasão ao meu WHMCS!

Como me localizou: Fez uma pesquisa no google pelo nome (

inurl:"br/central/submitticket.php")

IP proxy: 103.10.64.30

IP Country: id.png Indonesia (

Yogyakarta JW)

Visitou o meu site: 1 vez

Tentativas de acesso as paginas e pastas, todas renomeadas e redirecionadas pelo configuration.php, mesmo assim ele conseguiu achar o nome da pasta. Vou colocar os nomes originais da pagina para minha própria proteção: attachments, admin, templates_c, index.php e submitticket.php.

Tempo no site: 00:01:12

Com estas informações acredito que não seja somente usuários do fórum que estejam tentando invadir WHMCS, porque na minha assinatura do fórum não tem o endereço do meu site e não e a primeira tentativa!

Lembrando que bloqueando o acesso ao ticket para usuarios registrados, ele so vai conseguir criar um ticket com minha permissão, ou estou errado!

Ele cria uma conta e abre o ticket. Controle de spam pra bloquear frases pode ajudar, mas só até ele criar outro código. Você pode, em vez disso negar acesso direto ao submitticket.php à partir de um endereço que não seja do seu domínio usando o .htaccess, mas isso também não vai resolver.

Não há bem nem mal que dure para sempre. Um dia tudo acaba.

Link para o comentário
Compartilhar em outros sites
Clebson

Clebson

Postado
Postado
Assim como o nosso amigo @CassianoTeixeira deixou dito, de certo modo, também concordo. Mas sem os scripts publicados aqui, como saberiamos de que scripts se tratavam? Talvez isso não seja um problema para os mais experientes, mas e os leigos?

Ninguém precisa saber os códigos completos, quem precisa saber disso é o próprio desenvolvedor do sistema, no caso a whmcs.com

Os leigos? Existe o suporte da whmcs.com para tirar dúvidas, se não sabe do que se trata, basta entrar em contato com o suporte e terá a resposta para a questão.

Link para o comentário
Compartilhar em outros sites
edvan

edvan

Postado
Postado
Ninguém precisa saber os códigos completos, quem precisa saber disso é o próprio desenvolvedor do sistema, no caso a whmcs.com

Os leigos? Existe o suporte da whmcs.com para tirar dúvidas, se não sabe do que se trata, basta entrar em contato com o suporte e terá a resposta para a questão.

Clebson,

A maioria dos ataques são de fora, eu recebi uns 50 e apenas 1 com IP do brasil!

Link para o comentário
Compartilhar em outros sites
Mr Bomber

Mr Bomber

Postado
Postado

Resumo do ataque:

ele abre um ticket, que com o codigo inserido nos campos do form do ticket, permite criar um arquivo na pasta templates_c, que são arquivos... digamos... temporarios do WHMCS.

Primeira falha do WHMCS: Não trata o que é passado por POST.

O arquivo que ele quer criar é apenas um form pra fazer o upload de outro arquivo.

Ai sim, irá enviar uma shell, que através dela, vc pode, a depender das configs do servidor, ler arquivos (o configuration.php por ex), subir mais arquivos, fazer email bomber a partir do teu servidor, fazer pishing com o teu servidor, deface, etc, etc, etc...

Ou seja. Com uma shell, ele pode ownar o teu lance.

Opinião minha: Se o WHMCS tratasse o que é recebido pelo POST, já resolveria.

As medidas que podem ajudar a dificultar a vida do nosso invasor são as já descritas aqui:

- Mod_security com as regras ativadas e rodando junto com CSF.

- SuPhp

- Bloquear uma mega lista de funções indesejadas no disable_functions do php.ini

- Mudar a pasta templates_c de lugar

etc e etc.

Tem muito site por ai que disponibilizam shells.

Quem tiver intimidade com PHP, pode baixar uma ai pra estudo.

Se o antivirus refugar a danada, pode baixar sem problema, pq é so um arquivo .php e a probabilidade dele fazer algum mal é se rodar no apache.

Lembrando: Arrume um treim desses apenas para ESTUDO e rode apenas local. Use o appserv, easyphp, qq troço desses ae.

E cuidado: Antes de rodar, abra ele no DW ou até mesmo no bloco de notas, pra ver se nao tem nda malicioso nele ;)

Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept