Ir para conteúdo
  • Cadastre-se

Arquivos Injetados depois da Invasão no WHMCS!


Posts Recomendados

Editado>

Olha ai a palhaçada rolando no youtube, o cara ta "ensinando" como fazer o esquema: com o WHMCS Pentester: http://www.youtube.com/watch?v=NZ0kncM5b34

Será que ninguem da WHMCS viu isso ainda? Vamos ficar olhando os caras invadirem o nosso sistema?

Galera,

Fui invadido tambem,

Dentro do diretório do meu WHMCS, encontrei varios arquivos suspeitos, e com a data de modificação justamente do dia em que não consegui mais entrar em meu admin.

Dentro da pasta Admin:

Arquivo whmcs_killer com o seguinte código:

<?

/*

__ ___ _ __ __ _____ _____ _ ___ _ _

\ \ / / | | | \/ |/ ____|/ ____| | |/ (_) | |

\ \ /\ / /| |__| | \ / | | | (___ | ' / _| | | ___ _ __

\ \/ \/ / | __ | |\/| | | \___ \ | < | | | |/ _ \ '__|

\ /\ / | | | | | | | |____ ____) | | . \| | | | __/ |

\/ \/ |_| |_|_| |_|\_____|_____/ |_|\_\_|_|_|\___|_|

888 888 888

888 888 888

888 888 888

.d8888b .d88b. .d88888 .d88b. .d88888 88888b. 888 888

d88P" d88""88b d88" 888 d8P Y8b d88" 888 888 "88b 888 888

888 888 888 888 888 88888888 888 888 888 888 888 888

Y88b. Y88..88P Y88b 888 Y8b. Y88b 888 888 d88P Y88b 888

"Y8888P "Y88P" "Y88888 "Y8888 "Y88888 88888P" "Y88888

888

Y8b d88P

"Y88P"

.______ ___ .______ ____ ______ __ __ .__ __.

| _ \ / \ | _ \ |___ \ / __ \ | | | | | \ | |

| |_) | / ^ \ | |_) | __) | | | | | | | | | | \| |

| / / /_\ \ | _ < |__ < | | | | | | | | | . ` |

| |\ \----./ _____ \ | |_) | ___) | | `--' | | `--' | | |\ |

| _| `._____/__/ \__\ |______/ |____/ \______/ \______/ |__| \__|

mail : [email protected]

Greets:

RENO ; az7rb ; ENG SILENT NIGHT And All P0c TEAM

The Injector ; Sec4ever ; Lagripe-Dz ; ApOcalYpse ; RaYm0n ; And All Sec4ever TEAM

*/

ob_start();

$auth =1;

+ um monte de código criptografado.

Deleitei todos os arquivos suspeitos, mudei senhas etc... Por mais que conseguiram fazer o upload destes arquivos, aparentemente eu não tive nenhum problema.

Mesmo com o WHMCS atualizado com a ultima versão de segurança, o que pode ser? PQ sera que estão fazendo isso? O que o cara ganha?! E agora galera?

Editado por Wilson
Link para o comentário
Compartilhar em outros sites

Editado>

Olha ai a palhaçada rolando no youtube, o cara ta "ensinando" como fazer o esquema: com o WHMCS Pentester: http://www.youtube.com/watch?v=NZ0kncM5b34

Será que ninguem da WHMCS viu isso ainda? Vamos ficar olhando os caras invadirem o nosso sistema?

Galera,

Fui invadido tambem,

Dentro do diretório do meu WHMCS, encontrei varios arquivos suspeitos, e com a data de modificação justamente do dia em que não consegui mais entrar em meu admin.

Dentro da pasta Admin:

Arquivo whmcs_killer com o seguinte código:

<?

/*

__ ___ _ __ __ _____ _____ _ ___ _ _

\ \ / / | | | \/ |/ ____|/ ____| | |/ (_) | |

\ \ /\ / /| |__| | \ / | | | (___ | ' / _| | | ___ _ __

\ \/ \/ / | __ | |\/| | | \___ \ | < | | | |/ _ \ '__|

\ /\ / | | | | | | | |____ ____) | | . \| | | | __/ |

\/ \/ |_| |_|_| |_|\_____|_____/ |_|\_\_|_|_|\___|_|

888 888 888

888 888 888

888 888 888

.d8888b .d88b. .d88888 .d88b. .d88888 88888b. 888 888

d88P" d88""88b d88" 888 d8P Y8b d88" 888 888 "88b 888 888

888 888 888 888 888 88888888 888 888 888 888 888 888

Y88b. Y88..88P Y88b 888 Y8b. Y88b 888 888 d88P Y88b 888

"Y8888P "Y88P" "Y88888 "Y8888 "Y88888 88888P" "Y88888

888

Y8b d88P

"Y88P"

.______ ___ .______ ____ ______ __ __ .__ __.

| _ \ / \ | _ \ |___ \ / __ \ | | | | | \ | |

| |_) | / ^ \ | |_) | __) | | | | | | | | | | \| |

| / / /_\ \ | _ < |__ < | | | | | | | | | . ` |

| |\ \----./ _____ \ | |_) | ___) | | `--' | | `--' | | |\ |

| _| `._____/__/ \__\ |______/ |____/ \______/ \______/ |__| \__|

mail : [email protected]

Greets:

RENO ; az7rb ; ENG SILENT NIGHT And All P0c TEAM

The Injector ; Sec4ever ; Lagripe-Dz ; ApOcalYpse ; RaYm0n ; And All Sec4ever TEAM

*/

ob_start();

$auth =1;

+ um monte de código criptografado.

Deleitei todos os arquivos suspeitos, mudei senhas etc... Por mais que conseguiram fazer o upload destes arquivos, aparentemente eu não tive nenhum problema.

Mesmo com o WHMCS atualizado com a ultima versão de segurança, o que pode ser? PQ sera que estão fazendo isso? O que o cara ganha?! E agora galera?

Você não acompanhou o outro topico ensinando a se proteger disso?

Link para o comentário
Compartilhar em outros sites

A cada dia acho que o WHMCS tá mais furado que uma peneira..

Uuauahau, talvéz até o soft4you teve menos pessoas hackeadas/menos vulnerabilidades.

Acho que nessa ultima versão foi tão falada, esperada e fizeram tanto mistério encima dela que parece que estão fazendo isso pra mostrar que é um sistema ainda muito frágil e que precisa de muita coisa pra se tornar mais ideal pra qualquer empresa.

Fizeram muitos inimigos..

Link para o comentário
Compartilhar em outros sites

Olha, posso estar enganado, mas me corrijam se isso não for verdade. Com as dicas informadas no blog e a atualização do WHMCS para a versão 5.0.3 não há mais a possibilidade de esses caras invadirem por esse meio. Eu ainda recebo os tickets, mas excluo-os e não há nenhum problema ocorrendo.

Para mim estão fazendo tempestade em um copo de água. Quem mantem seu sistema atalizado, e seguro não tem o que temer. Agora se não tomar as devidas precauções de segurança, aí meus amigos, até essas máquinass que vocês usam no dia-a-dia estão sujeitas à serem atacadas (principalmente se forem Windows).

Ou seja, parem de dar pilha à esses caras que nem hacker são. São lammers e daqueles bem fraquinhos que só sabem pegar "receitinhas prontas" na Internet. ;-)

Link para o comentário
Compartilhar em outros sites

Olha, posso estar enganado, mas me corrijam se isso não for verdade. Com as dicas informadas no blog e a atualização do WHMCS para a versão 5.0.3 não há mais a possibilidade de esses caras invadirem por esse meio. Eu ainda recebo os tickets, mas excluo-os e não há nenhum problema ocorrendo.

Para mim estão fazendo tempestade em um copo de água. Quem mantem seu sistema atalizado, e seguro não tem o que temer. Agora se não tomar as devidas precauções de segurança, aí meus amigos, até essas máquinass que vocês usam no dia-a-dia estão sujeitas à serem atacadas (principalmente se forem Windows).

Ou seja, parem de dar pilha à esses caras que nem hacker são. São lammers e daqueles bem fraquinhos que só sabem pegar "receitinhas prontas" na Internet. ;-)

Concordo com o amigo.

Tambem recebo todo dia um ticket desses, desde 6 dias atrás e não tenho nada alterado no meu sistema.

Tá tudo atualizado, pastas fora do public_html, pasta admin com outro nome, certificado SSL, CSF bem configurado e outras configs no servidor.

Então nem esquento tambem.

E outra:

WHMCS está para Hackers assim como Windows está para Vírus.

Ele não ruim, pelo contrário, é o mais usado, por isso, mais visado.

Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novos posts.
  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?