Arquivos Injetados depois da Invasão no WHMCS!

Wilson · Janeiro 5, 2012

Editado>

Olha ai a palhaçada rolando no youtube, o cara ta "ensinando" como fazer o esquema: com o WHMCS Pentester: http://www.youtube.com/watch?v=NZ0kncM5b34

Será que ninguem da WHMCS viu isso ainda? Vamos ficar olhando os caras invadirem o nosso sistema?

Galera,

Fui invadido tambem,

Dentro do diretório do meu WHMCS, encontrei varios arquivos suspeitos, e com a data de modificação justamente do dia em que não consegui mais entrar em meu admin.

Dentro da pasta Admin:

Arquivo whmcs_killer com o seguinte código:

<?

/*

__ ___ _ __ __ _____ _____ _ ___ _ _

\ \ / / | | | \/ |/ ____|/ ____| | |/ (_) | |

\ \ /\ / /| |__| | \ / | | | (___ | ' / _| | | ___ _ __

\ \/ \/ / | __ | |\/| | | \___ \ | < | | | |/ _ \ '__|

\ /\ / | | | | | | | |____ ____) | | . \| | | | __/ |

\/ \/ |_| |_|_| |_|\_____|_____/ |_|\_\_|_|_|\___|_|

888 888 888

.d8888b .d88b. .d88888 .d88b. .d88888 88888b. 888 888

d88P" d88""88b d88" 888 d8P Y8b d88" 888 888 "88b 888 888

888 888 888 888 888 88888888 888 888 888 888 888 888

Y88b. Y88..88P Y88b 888 Y8b. Y88b 888 888 d88P Y88b 888

"Y8888P "Y88P" "Y88888 "Y8888 "Y88888 88888P" "Y88888

888

Y8b d88P

"Y88P"

.______ ___ .______ ____ ______ __ __ .__ __.

| _ \ / \ | _ \ |___ \ / __ \ | | | | | \ | |

| |_) | / ^ \ | |_) | __) | | | | | | | | | | \| |

| / / /_\ \ | _ < |__ < | | | | | | | | | . ` |

| |\ \----./ _____ \ | |_) | ___) | | `--' | | `--' | | |\ |

| _| `._____/__/ \__\ |______/ |____/ \______/ \______/ |__| \__|

mail : v.b-4@hotmail.com

Greets:

RENO ; az7rb ; ENG SILENT NIGHT And All P0c TEAM

The Injector ; Sec4ever ; Lagripe-Dz ; ApOcalYpse ; RaYm0n ; And All Sec4ever TEAM

*/

ob_start();

$auth =1;

+ um monte de código criptografado.

Deleitei todos os arquivos suspeitos, mudei senhas etc... Por mais que conseguiram fazer o upload destes arquivos, aparentemente eu não tive nenhum problema.

Mesmo com o WHMCS atualizado com a ultima versão de segurança, o que pode ser? PQ sera que estão fazendo isso? O que o cara ganha?! E agora galera?

Editado Janeiro 5, 2012 por Wilson

Dexter · Janeiro 5, 2012

Que lindo!

lucasippon · Janeiro 5, 2012

Editado>

Olha ai a palhaçada rolando no youtube, o cara ta "ensinando" como fazer o esquema: com o WHMCS Pentester: http://www.youtube.com/watch?v=NZ0kncM5b34

Será que ninguem da WHMCS viu isso ainda? Vamos ficar olhando os caras invadirem o nosso sistema?

Galera,

Fui invadido tambem,

Dentro do diretório do meu WHMCS, encontrei varios arquivos suspeitos, e com a data de modificação justamente do dia em que não consegui mais entrar em meu admin.

Dentro da pasta Admin:

Arquivo whmcs_killer com o seguinte código:

<?

/*

__ ___ _ __ __ _____ _____ _ ___ _ _

\ \ / / | | | \/ |/ ____|/ ____| | |/ (_) | |

\ \ /\ / /| |__| | \ / | | | (___ | ' / _| | | ___ _ __

\ \/ \/ / | __ | |\/| | | \___ \ | < | | | |/ _ \ '__|

\ /\ / | | | | | | | |____ ____) | | . \| | | | __/ |

\/ \/ |_| |_|_| |_|\_____|_____/ |_|\_\_|_|_|\___|_|

888 888 888

888 888 888

888 888 888

.d8888b .d88b. .d88888 .d88b. .d88888 88888b. 888 888

d88P" d88""88b d88" 888 d8P Y8b d88" 888 888 "88b 888 888

888 888 888 888 888 88888888 888 888 888 888 888 888

Y88b. Y88..88P Y88b 888 Y8b. Y88b 888 888 d88P Y88b 888

"Y8888P "Y88P" "Y88888 "Y8888 "Y88888 88888P" "Y88888

888

Y8b d88P

"Y88P"

.______ ___ .______ ____ ______ __ __ .__ __.

| _ \ / \ | _ \ |___ \ / __ \ | | | | | \ | |

| |_) | / ^ \ | |_) | __) | | | | | | | | | | \| |

| / / /_\ \ | _ < |__ < | | | | | | | | | . ` |

| |\ \----./ _____ \ | |_) | ___) | | `--' | | `--' | | |\ |

| _| `._____/__/ \__\ |______/ |____/ \______/ \______/ |__| \__|

mail : v.b-4@hotmail.com

Greets:

RENO ; az7rb ; ENG SILENT NIGHT And All P0c TEAM

The Injector ; Sec4ever ; Lagripe-Dz ; ApOcalYpse ; RaYm0n ; And All Sec4ever TEAM

*/

ob_start();

$auth =1;

+ um monte de código criptografado.

Deleitei todos os arquivos suspeitos, mudei senhas etc... Por mais que conseguiram fazer o upload destes arquivos, aparentemente eu não tive nenhum problema.

Mesmo com o WHMCS atualizado com a ultima versão de segurança, o que pode ser? PQ sera que estão fazendo isso? O que o cara ganha?! E agora galera?

Você não acompanhou o outro topico ensinando a se proteger disso?

Janeiro 5, 2012

A cada dia acho que o WHMCS tá mais furado que uma peneira..

Uuauahau, talvéz até o soft4you teve menos pessoas hackeadas/menos vulnerabilidades.

Kelvin Matheus · Janeiro 5, 2012

Ta complicado,

Acho que vou voltar para o velho excell.

Cassiano Teixeira · Janeiro 5, 2012

A cada dia acho que o WHMCS tá mais furado que uma peneira..
Uuauahau, talvéz até o soft4you teve menos pessoas hackeadas/menos vulnerabilidades.

Acho que nessa ultima versão foi tão falada, esperada e fizeram tanto mistério encima dela que parece que estão fazendo isso pra mostrar que é um sistema ainda muito frágil e que precisa de muita coisa pra se tornar mais ideal pra qualquer empresa.

Fizeram muitos inimigos..

McGuyver · Janeiro 6, 2012

Olha, posso estar enganado, mas me corrijam se isso não for verdade. Com as dicas informadas no blog e a atualização do WHMCS para a versão 5.0.3 não há mais a possibilidade de esses caras invadirem por esse meio. Eu ainda recebo os tickets, mas excluo-os e não há nenhum problema ocorrendo.

Para mim estão fazendo tempestade em um copo de água. Quem mantem seu sistema atalizado, e seguro não tem o que temer. Agora se não tomar as devidas precauções de segurança, aí meus amigos, até essas máquinass que vocês usam no dia-a-dia estão sujeitas à serem atacadas (principalmente se forem Windows).

Ou seja, parem de dar pilha à esses caras que nem hacker são. São lammers e daqueles bem fraquinhos que só sabem pegar "receitinhas prontas" na Internet. ;-)

redirect · Janeiro 6, 2012

quem mandou eles copiarem a concorrencia? kkkkkkkkkk

zanin · Janeiro 6, 2012

Essa falha é corrigida com esse patch:

http://www.whmcs.blog.br/principal/correcao-de-seguranca/

Link oficial:

http://www.whmcs.com/go/21/

Helcio · Janeiro 20, 2012

Olha, posso estar enganado, mas me corrijam se isso não for verdade. Com as dicas informadas no blog e a atualização do WHMCS para a versão 5.0.3 não há mais a possibilidade de esses caras invadirem por esse meio. Eu ainda recebo os tickets, mas excluo-os e não há nenhum problema ocorrendo.

Para mim estão fazendo tempestade em um copo de água. Quem mantem seu sistema atalizado, e seguro não tem o que temer. Agora se não tomar as devidas precauções de segurança, aí meus amigos, até essas máquinass que vocês usam no dia-a-dia estão sujeitas à serem atacadas (principalmente se forem Windows).

Ou seja, parem de dar pilha à esses caras que nem hacker são. São lammers e daqueles bem fraquinhos que só sabem pegar "receitinhas prontas" na Internet. ;-)

Concordo com o amigo.

Tambem recebo todo dia um ticket desses, desde 6 dias atrás e não tenho nada alterado no meu sistema.

Tá tudo atualizado, pastas fora do public_html, pasta admin com outro nome, certificado SSL, CSF bem configurado e outras configs no servidor.

Então nem esquento tambem.

E outra:

WHMCS está para Hackers assim como Windows está para Vírus.

Ele não ruim, pelo contrário, é o mais usado, por isso, mais visado.

Entrar

Arquivos Injetados depois da Invasão no WHMCS!

Posts Recomendados

Wilson

Link para o comentário

Compartilhar em outros sites

Dexter

Link para o comentário

Compartilhar em outros sites

lucasippon

Link para o comentário

Compartilhar em outros sites

Visitante

Link para o comentário

Compartilhar em outros sites

Kelvin Matheus

Link para o comentário

Compartilhar em outros sites

Cassiano Teixeira

Link para o comentário

Compartilhar em outros sites

McGuyver

Link para o comentário

Compartilhar em outros sites

redirect

Link para o comentário

Compartilhar em outros sites

zanin

Link para o comentário

Compartilhar em outros sites

Helcio

Link para o comentário

Compartilhar em outros sites

Quem Está Navegando 0 membros estão online

Tópicos recentes

Browse

Informação Importante