Tentativas de invasão em meu WHMCS

[avonni]

Estava pensando aqui...

E se for executado um script para alterar, ou subscrever algum arquivo permitido?

Se você só permitir o acesso aos arquivos que já estão em seu WHMCS, o atacante pode até conseguir upar (através de uma falha como esta que o WHMCS apresentou) mas não vai conseguir acessar/executar o script.

Agora, se o atacante conseguir através de uma falha no WHMCS modificar os arquivos já existentes, daí é outra história.

Mas daí já seria falha totalmente do sistema do WHMCS, e também não dá pra fazer milagre. hehe :o

Editado Dezembro 8, 2011 por Ysaac

[jorgefilho]

olá pessoal acabaram de tentar invandir o meu, estava com meu email aberto e vi a solicitação do ticket, quando verifiquei era o com código malicioso. Meu whmcs não estava atualizado com o patch, porém assim que percebi atualizei, entrei nas pastas templates_c e lang verifiquei se tinha alguma arquivo estranho, não tinha, mudei a pasta padrão do admin e mudei as senhas. depois limpei o cache da pasta templates_c. Estou monitorando aqui por ftp se o cracker inseriu algum arquivo, porém até o momento não.

depois de efetuar esses procedimentos ainda corro algum risco, visto que não foi inserido o arquivo em nenhuma das pastas? obs: já enviei o patch de segurança.

obrigado pela ajuda!

[Visitante]

olá pessoal acabaram de tentar invandir o meu, estava com meu email aberto e vi a solicitação do ticket, quando verifiquei era o com código malicioso. Meu whmcs não estava atualizado com o patch, porém assim que percebi atualizei, entrei nas pastas templates_c e lang verifiquei se tinha alguma arquivo estranho, não tinha, mudei a pasta padrão do admin e mudei as senhas. depois limpei o cache da pasta templates_c. Estou monitorando aqui por ftp se o cracker inseriu algum arquivo, porém até o momento não.

depois de efetuar esses procedimentos ainda corro algum risco, visto que não foi inserido o arquivo em nenhuma das pastas? obs: já enviei o patch de segurança.

obrigado pela ajuda!

Compare o tamanho dos arquivos do WHMCS ou ainda reenvie eles.. se o cara enviou um novo arquivo ele pode ter o crack..

[jorgefilho]

Compare o tamanho dos arquivos do WHMCS ou ainda reenvie eles.. se o cara enviou um novo arquivo ele pode ter o crack..

por enquanto não recebi novamente o ticket c/ o código malicioso, e nem foi incluido o arquivo b0x.php nas minhas pastas templates_c, lang, ou attachments.

se ele tentar novamente vou deletar do servidor e já instalar a versão 5

[chuvadenovembro]

Este ticket só está sendo aberto p/ usuários do forum? hauauhauahahuuauahau

Daqui a pouco vai sair um patch especial whmcs-fix-pdh

:)

[EuMarcos]

Este ticket só está sendo aberto p/ usuários do forum? hauauhauahahuuauahau

é alguem do forum, recebi também a tentativa de invasão.

O IP era da GVT.

E outro ip de vps's da Burst.net.

[Cristian Augusto]

é alguem do forum, recebi também a tentativa de invasão.

O IP era da GVT.

E outro ip de vps's da Burst.net.

Quem tentou invadir meu WHMCS provavelmente usou proxy...

[jorgefilho]

Quem tentou invadir meu WHMCS provavelmente usou proxy...

quem tentou invadir o meu estava usando proxy, pois no momento eu estava com o livezilla aberto, e verifiquei que o mesmo estava online e justamente abrindo um ticket. por isso que graças a Deus peguei no momento exato. e já apaguei tudo e fiz as devidas mudanças e correções.

[jorgefilho]

Este ticket só está sendo aberto p/ usuários do forum? hauauhauahahuuauahau

Daqui a pouco vai sair um patch especial whmcs-fix-pdh

:)

se é exclusividade de usuários do fórum não sei, mas comigo e com alguns outros aconteceu :cool:

segue print do email que recebi informando do ticket: http://www.vwhost.com.br/tentativa_invasao_whmcs.jpg

[jorgefilho]

66.232.107.140 is from United States(US) in region North America

TraceRoute to 66.232.107.140

Hop (ms) (ms) (ms) IP Address Host name

1 0 0 0 206.123.64.46 -

2 0 0 0 8.9.232.73 xe-5-3-0.edge3.dallas1.level3.net

3 0 0 0 4.69.145.62 vlan60.csw1.dallas1.level3.net

4 0 0 0 4.69.151.126 ae-61-61.ebr1.dallas1.level3.net

5 24 24 24 4.69.137.117 ae-1-12.bar2.tampa1.level3.net

6 24 24 24 4.69.137.109 ae-0-11.bar1.tampa1.level3.net

7 24 24 24 4.53.172.2 hivelocity.bar1.tampa1.level3.net

8 24 24 24 69.46.31.110 tpa.core.hivelocity.net

9 24 24 24 66.232.107.140 -

Trace complete

seria da hivelocyt.net esse ip do que tentou invadir o meu?