Hacked Whmcs - Cuidado Com Os Servidores E Outras Coisas...

[appds]

Olá!

Como todos, tenho acompanhado a situação do comprometimento do WHMCS e notei que ainda não foi feito nenhum alerta para a situação que, a meu ver, além do risco de roubo de cartões (da base de clientes) e outros dados sensíveis, é ainda mais sério: a exposição dos servidores cadastrados no WHMCS.

Lembrando que, o WHMCS se comunica - a principio - com TODOS os servidores que a empresa de hosting possui.

Assim, qualquer invasor no WHMCS é, por tabela, um potencial invasor de qualquer servidor cadastrado. Podendo causar danos diretamente à partir do próprio WHMCS (deletando contas, etc) ou externamente, usando as "Access Hash" dos servidores cadastrados.

Uma vez dentro do WHMCS, hipotéticamente, um invasor poderá também (além de deletar contas) enviar falsos emails em massa para a base de clientes com informações de cunho desastroso para dizer o minimo, como por exemplo, uma mensagem do tipo "prezado cliente, comunicamos que estamos encerrando nossas atividades (...)" e isso, somado a exclusão em massa de contas, coloca em segundos, uma empresa fora do mercado, afinal, até esclarecer os fatos, muitos clientes já se assustaram e tomaram outro rumo...

Enfim, acontecimentos desse tipo servem para nos lembrar de como um negócio virtual é frágil, e precisa de muita atenção e planos de contingência para várias situações, especialmente aquelas que comprometem áreas nevrálgicas do negócio, que na minha opinião são: o sistema de controle financeiro, o sistema de atendimento e o sistema de backups.

Assim, gostaria de lembrar a todos que ainda não se deram conta desse "detalhe" dos servidores que não alterem APENAS as senhas dos administradores do WHMCS, mas também as senhas de root dos servidores e as "Remote Access Key", para garantir maior segurança.

É bom também ficar atento se o seu WHMCS possui algum tipo de "integração" com outro sistema (por exemplo, com o Kayako/Fusion).

E por que também o seguro morreu de velho, não seria ruim gerar um backup completo do seu WHMCS e guardar off-line.

Para que pensa em atualizar ou instalar, eu sugiro esperar, afinal, não se sabe se os arquivos para download não foram comprometidos. Melhor aguardar essa tempestade passar e a WHMCS se manifestar a respeito, garantindo que todos os pacotes estão seguros.

Outra dica (válida para qualquer fornecedor) é: crie sempre um usuário específico para fornecer ao suporte de terceiros, assim, acabou o atendimento, esse usuário pode ter a senha trocada e/ou o seu acesso desativado até o próximo "uso" - é mais prático porque "isola" este usuário "temporário" de outros usuários de uso cotidiano.

Bem, espero ter contribuido de alguma forma.

PS: sou "sobrevivente" da tragédia do Modernbill (quando apostaram tudo na versão 5 que foi um fracasso retumbante) que, por sinal, foi a responsável por alavancar o WHMCS na época, e talvez por isso, parece inevitável não sentir uma certa incômoda sensação de "deja-vu"... que claro, espero ser apenas paranóia. Portanto, boa sorte a todos nós, usuários do WHMCS. :unsure:

Cordialmente,

Ana Paula Prado

[edvan]

Olá!

Como todos, tenho acompanhado a situação do comprometimento do WHMCS e notei que ainda não foi feito nenhum alerta para a situação que, a meu ver, além do risco de roubo de cartões (da base de clientes) e outros dados sensíveis, é ainda mais sério: a exposição dos servidores cadastrados no WHMCS.

Lembrando que, o WHMCS se comunica - a principio - com TODOS os servidores que a empresa de hosting possui.

Assim, qualquer invasor no WHMCS é, por tabela, um potencial invasor de qualquer servidor cadastrado. Podendo causar danos diretamente à partir do próprio WHMCS (deletando contas, etc) ou externamente, usando as "Access Hash" dos servidores cadastrados.....

Ana Paula Prado

Ana Paula,

Deixa eu fazer uma correção...

A cada 7 dias ocorre uma validação da licença ( nosso WHMCS se comunica com a WHMCS.com ) e caso o servidor deles esteja fora do ar podemos utilizar o WHMCS por até 3 dias via chave local.

Fonte: http://docs.whmcs.com/Licensing#Is_licensing_dependant_on_whmcs.com_being_online.3F

Isso que você informou além de não ter sentido seria impossível o invasor controlar/apagar contas de e-mails ou ter acesso ao nosso servidor apartir da licença cadastrada na WHMCS.com

O invasor só poderia ter acesso caso conseguisse invadir NOSSO whmcs e o mesmo fosse integrado ao cPanel/WHM.

[joaopaulo]

O invasor só poderia ter acesso caso conseguisse invadir NOSSO whmcs e o mesmo fosse integrado ao cPanel/WHM.

Aí que está... todas as contas cPanel / SolusVM não são integradas via Remote Key ao WHMCS? Se eu conseguir pegar todas remotes Keys do WHMCS (já sabendo quem usa), basta criar uma conta qualquer nova e começar meus ataques por ela.

Acho que a Ana Paula tem razão nesse quesito.

[chuvadenovembro]

Vamos falar sério sobre este assunto, existem muitas especulações a respeito, teoria da conspiração, relatos sobre brecha sem solução no whmcs...etc

As vezes, chego a pensar que algum concorrente está promovendo e/ou influenciando/envenenando usuários causando histeria coletiva.

Tenho que concordar que o bd contendo endereço + email + pasta de instalação do whmcs nos causa um certo desconforto. Mas a pasta do admin não foi exposta. Devemos lembrar que aquele problema de invasão em massa que tivemos no final do ano, não precisou de nenhum BD exposto...

Vejo a situação por um outro angulo, acredito que podemos ter transtornos com emails falsos do whmcs.

E quem tinha o cartão de credito e supondo que seja possível descobrir os números do cartão + código de segurança, ai sim acredito que poderá ter problemas com compras online...etc

Acredito que a licença também ficou exposta, mas se acontecer alguma coisa é só deixar de pagar e comprar uma outra.

Quanto a pasta de instalação do whmcs, não diz qual é o domínio, se mudar o ip utilizando o próximo do range, acho que já dificulta bastante também.

No mais, é acompanhar as noticias, se alguma coisa bombástica acontecer, rapidinho ficaremos sabendo (Sem depender do email oficial do whmcs).

:)

[edvan]

Aí que está... todas as contas cPanel / SolusVM não são integradas via Remote Key ao WHMCS? Se eu conseguir pegar todas remotes Keys do WHMCS (já sabendo quem usa), basta criar uma conta qualquer nova e começar meus ataques por ela.

Acho que a Ana Paula tem razão nesse quesito.

João,

Apenas cPanel/WHM possuem ( Access Hash ) os demais são via ip/usuário/senha...

Para obter essas chaves o atacante teria que invadir o servidor (cpanel/WHM) para obter... Ou o sistema WHMCS!

A WHMCS.com armazena "apenas" o número da licença, ip, diretório e url... fora os dados pessoais. Mas não tem relação com dados contidos em cada whmcs... nem a localização da pasta /admin/ a WHMCS.com sabe.

Vamos falar sério sobre este assunto, existem muitas especulações a respeito, teoria da conspiração, relatos sobre brecha sem solução no whmcs...etc

Muita gente tá colocando lenha na fogueira, isso é natural.

[tudoilimitado]

Justo agora que estou começando com revenda de hospedagem e iria usar o WHMCS licensiado para tais finalidades ! Tenso em.

[rgazetta]

Gente, é como o Edvan informou!

1 - Os dados obtidos no ataque são nomes, endereços, telefones, emails e cartões de créditos para quem pagava com esta modalidade, quam usa paypal não teve seus dados financeiros roubados.

2 - Nossa comunicação junto a WHMCS é apenas para validade a licença, a WHMCS não tem nenhum dado de seu servidor, os dados são apenas ip e domínio, mais nada, então ninguém tera acesso ao seu servidor pra nada, ninguém tera acesso ao seu WHMCS também, salvo os casos de pessoas que abriram chamados para resolver algo e informou os dados de login, ftp, ou acesso ao sistema, mas quer resolver isso? Mude as senhas, troque a senha do ftp onde esta instalado o sistema, troque as senhas de acesso aos sistemas se possível até o nome de usuário e troque a senha do servidor pronto, ninguém terá acesso a nada seu ok.

Sabemos que houve a falha, mas a segurança do seu servidor e sistema depende só de você ok!

Abraços a todos.

[appds]

Ana Paula,

Deixa eu fazer uma correção...

A cada 7 dias ocorre uma validação da licença ( nosso WHMCS se comunica com a WHMCS.com ) e caso o servidor deles esteja fora do ar podemos utilizar o WHMCS por até 3 dias via chave local.

Fonte: http://docs.whmcs.co...being_online.3F

Isso que você informou além de não ter sentido seria impossível o invasor controlar/apagar contas de e-mails ou ter acesso ao nosso servidor apartir da licença cadastrada na WHMCS.com

O invasor só poderia ter acesso caso conseguisse invadir NOSSO whmcs e o mesmo fosse integrado ao cPanel/WHM.

Boa tarde Edvan,

Desculpe, creio que não fui clara em minha mensagem, mas vou tentar esclarecer agora...

Eu não me referi (de fato, em momento algum) a "licença cadastrada na WHMCS.com".

Eu me referi a um possível acesso aos nossos WMCS pela "porta da frente" mesmo, ou seja, com login e senha válidos.

Não podemos esquecer que um dos pontos que o Matt colocou foi o comprometimento dos tickets de suporte deles.

E sabemos que, ao acionar o suporte deles, normalmente fornecemos nossos dados de acesso aos nossos WHMC's.

E sabemos que muitas pessoas são relapsas com a segurança de dados de acesso e, ou nunca trocam as senhas, ou o fazem a cada 10 anos.

Ou seja, são dados que agora estão em mãos de desconhecidos, e com certeza, haverá todo tipo possível de exploração destes dados.

E como "servidores" são matéria-prima para hackers (e para nós, empresas de hosting), eles certamente não irão desprezar isso.

Ou seja, quem já forneceu dados de acesso (de seu WHMCS) ao suporte da WHMCS.com e não alterou a senha depois disso, está SIM, vulnerável a ter o seu WHMCS "visitado" e seus servidores expostos.

É por isso que eu disse que não basta trocar as senhas dos seus administradores do WHMCS, mas também os dados de acesso dos servidores cadastrados nele.

NOTA: me refiro a servidores CPANEL cadastrados no WHMCS (que são os que uso e conheço - portanto, não posso falar sobre outros), com autenticação tanto via senha ou "Access Hash".

E sobre a "Access Hash" vale falar um pouco mais....

Imagine que alguém entrou no seu WHMCS (com login e senha obtidos em algum ticket de suporte roubado da WHMCS.com), foi até a página dos servidores e copiou os dados de todos eles (especialmente as "Access Hash").

Você, sem ter conhecimento desta "visita", trocou todas as senhas de acesso ao WHMCS - coincidentemente - somente depois desta visita, mas não fez nada em relação aos servidores que tem cadastrados nele.

Como a "visita" esteve em seu WHMCS antes de você trocar as senhas e já pegou os dados dos seus servidores, ele pode acessar estes servidores tranquilamente usando as "Access Hash" de cada um deles. Ou seja, ele NÃO precisa do seu WHMCS para acessar os seus servidores, basta ter as "Access Hash".

Por isso que eu acho altamente recomendado, após trocar as senhas de acesso do WHMCS, complementar o processo com a troca das "Access Hash" de cada servidor seu.

Para fazer isso, basta acessar o WHM e ir em "Main >> Cluster/Remote Access >> Setup Remote Access Key" (clicar no botão "Generate new key")

Eu como sou uma pessoa muito precavida, não gosto de dar chance ao azar e prefiro ter trabalho agora (ainda que pareça ser desnecessário) do que lágrimas depois.

Essa situação que apontei não é, nem de longe, "exagerada". É uma situação muitíssimo plausível, basta ver que a quebra de segurança ocorreu no dia 21/05 e somente ontem que eu (como muitos de vocês) recebi o email oficial da WHMCS.com.

Por sorte, eu soube um pouco antes do email (mas não tão antes quanto deveria) mas muitos usuários do WHMCS.com talvez nem estejam sabendo ainda... afinal, nem todo mundo é assíduo frequentador de Twitter, Facebook, Fóruns, etc... uns tantos mal tem tempo de ler email... Então, insisto: MUITOS usuários do WHMCS (que se encaixem no "perfil" que eu abordei), estão com seus servidores vulneráveis.

[appds]

Desculpe, post duplicado.... como não tem como apagar, estou editando...

[edvan]

Desculpe, post duplicado.... como não tem como apagar, estou editando...

A WHMCS.com resolveu resetar todas as senhas... assim não conseguirão acesso.

Veja http://blog.whmcs.com/?t=47723