Hacked Whmcs - Cuidado Com Os Servidores E Outras Coisas...

[schpitz]

Within the past few hours, an ethical programmer disclosed to us details of an SQL Injection Vulnerability present in current WHMCS releases.

The potential of this is lessened if you have followed the further security steps, but not entirely avoided.

And so we are releasing an immediate patch before the details become widely known.

Installing the patch is simply a case of uploading a single file to your root WHMCS directory. This one file works for all WHMCS versions V4.0 or Later.

http://go.whmcs.com/26/secpatch

The events of last week have obviously put a lot of focus on WHMCS in recent days from undesirable people. But please rest assured that we take security very seriously in the software we produce, and will never knowingly leave our users at risk. And on that note if any further issues come to light, we will not hesitate to release patches for them - as we hope our past history demonstrates.

We thank you for choosing WHMCS.

[This is being mailed out to all users. All downloads available through our client area have been updated.]

http://blog.whmcs.com/?t=47828

Recebi também por e-mail.

É desses e-mails que o pessoal tem que se preocupar em verificar a idoneidade.

Checar a fonte é o mínimo.

[Cristian Augusto]

http://blog.whmcs.com/?t=47828

Recebi também por e-mail.

É desses e-mails que o pessoal tem que se preocupar em verificar a idoneidade.

Checar a fonte é o mínimo.

Esse e-mail é real, http://forum.portaldohost.com.br/topic/8670-patch-de-seguranca-no-whmcs/

[JMonteiro]

Cara, pense bem, até o ssl da whmcs estava no arquivo disponibilizado, então a única coisa que me dava garantia de que estava acessando o site correto já se foi.

Claro que eles devem ter pedido o revocamento daquele certificado, mas eles não falaram nada, então pra mim isso ainda não foi feito.

Não confio mais, já queria mudar antes do ocorrido e agora foi a hora.

Pra quem usa, boa sorte.

[Patty]

Pessoal, acho o seguinte: independente de quem foi a culpa do acontecido, podia ter acontecido com qq um. Até a Microsoft já teve os tão secretos-e-guardados-a-7-chaves códigos-fonte do Windows espalhados pela internet inteira pra quem quisesse pegar. Trocentas empresas já tiveram servidores invadidos e cartões de créditos e senhas divulgados na internet. Não faz muito tempo, se me lembro bem, fizeram isso com o Hotmail. Não interessa o motivo do pretenso "hacker" (que não hackeou coisa nenhuma, só enganou um trouxa pra conseguir os dados de acesso ao cpanel do cara), se é motivo nobre ou fútil, não interessa se vai perder cliente ou se não vai. A vida continua, entra um programa, sai outro, entra outro ainda, e todo mundo segue em frente. O WHMCS não vai quebrar por causa disso, acho até que deve ficar melhor, pois acho que vão focar muito mais na segurança.

O Matt/WHMCS é só a bola da vez, pq o cara é bom no que faz, pq o programa dele é bom pra caramba, melhor do que a maioria disponível por aí, pq ele pisou no pé de alguém e o cara não gostou, pode ser por n motivos. Mas daqui a pouco a crise passa, vão esquecer dele e vão pegar outro pra Cristo. Qq programador e seu programa estão sujeitos a isso, não importa com quantas chaves tranquem as portas, sempre vai ter aqueles que vão conseguir abri-la ou pular a janela, isso é fato. Então isso que aconteceu não torna o WHMCS mais vulnerável ou menos confiável do que qq outro programa. Mais visado, talvez, por enquanto, pq está todo mundo na febre. Mas os arquivos do WHMCS já estavam disponíveis pra download na net há muito tempo. Não passa muitos dias de uma nova versão pra alguém espalhar a versão nulled e até descriptografada. Isso até eu tenho há tempos! Então não é por isso que acabou a segurança do programa.

Na verdade, acho que ficou foi uma bela lição pra todos em termos de segurança, pq o que aconteceu com o Matt pode acontecer com qq um de nós que use qq programa de gerenciamento de clientes que armazene senhas ou cartões em bancos de dados em servidores na net. O que fazer então??? Não cometer os mesmos erros e vacilos que ele cometeu. Levar segurança a sério em todas as instâncias, até no seu computador em casa que vc acessa seu site toda hora. Proteger seus acessos com senhas fortes e trocá-las constantemente, especialmente o acesso ao servidor, de preferência usar chave para acessar o servidor e não senha. Pois se acessar o servidor, adeus!! Já era todo o resto! Não deixar dados de cartão de crédito armazenados em servidor nenhum (eu sempre deleto meus dados depois de fazer uma compra em algum site). Não usar as mesmas senhas em todo lugar. E por aí vai. Dicas de segurança não faltam. Mas elas devem ser aplicadas!

Então acho que não precisa de paranóia com o WHMCS, a paranóia deve ser COM TODO E QUALQUER programa de gerenciamento que se for usar. WHMCS, ModernBill, ClientExec, etc, etc, etc, qq um está sujeito a falhas, vulnerabilidades e ataques, e no final das contas é tudo uma questão de preferência pessoal. Eu só não acho justo crucificarem o cara pq ele deu o azar de terem mirado nele e acertado. O Matt é um cara que dá um duro danado, que começou do zero, que sempre deu atenção e assistência pra todo mundo até hoje, mesmo depois do programa dele estar tão popular que já tem mais de 500 mil usuários registrados (sem contar os piratas). Então acho que ele merece um pouco de consideração pelo esforço dele em querer ter O MELHOR programa do gênero e por isso ter sido visado. Inveja é uma m...... e geralmente é a justificativa oculta pra coisas desse tipo.

[schpitz]

é.

mas que deveria ter sido avisado imediatamente todos q tinham CC lá, ao meu ver, deveria.

ao menos não deixar esse aviso ser encaminhado com delay de qze dois dias, pelo motivo que for.

[Cristian Augusto]

é.

mas que deveria ter sido avisado imediatamente todos q tinham CC lá, ao meu ver, deveria.

ao menos não deixar esse aviso ser encaminhado com delay de qze dois dias, pelo motivo que for.

É a primeira vez que ocorre algo desse porte com o WHMCS, vai ver o cara não tava preparado e não sabia por onde começar para contornar..

[Patty]

Outros talvez demorassem mais ou nem mesmo avisassem...... ;)

[Patty]

Com certeza ele devia estar desesperado! Tapar o buraco primeiro ou avisar todo mundo que o buraco tava aberto??? Acho que ele se preocupou primeiro em tapar o buraco.

[Cristian Augusto]

Lembrando que ele nem tinha como avisar os clientes via e-mail até que a hostgator devolvesse o servidor a ele

[Visitante]

Lembrando que ele nem tinha como avisar os clientes via e-mail até que a hostgator devolvesse o servidor a ele

Na verdade, após o 'ocorrido', o site foi para a Softlayer imediatamente, e todas as postagens e emails foram enviados por ele, somente as pastas com os arquivos do hacker foram removidas do servidor da HG. A página de 'under maintenance' foi posta na HG, e quando o site voltou ao ar já estava no novo server (após a propagação).