Yeni WHMCS Açığı - Hack Girişimleri

Yeni WHMCS'nin 2-way authentication sistemi süper.
admin klasörünü httpd ile şifrelemek de güzel çözüm, toplam 3 ayrı şifre(biri tek kullanımlık) oluyor panel girişinde. Hele hele VPN kullanıp admin panel girişini ip'ye göre kısıtlamak daha da güzel.

hep en kötüsünü düşünelim , şifremiz ya da şifrelerimiz ellerinde olsun buna istianden çizeceğimiz rotada saldırgan hiçbirşey yapamasın anlatmak istediğim husus bu.

ilgili login alanları şifre + cep tel onay yapılabilir >
site dosyaları farklı sql dosyaları ayrı sunucularda barındırabilinir >
mod security ile queryler filtrelendirilebilinir çünkü ilgili açık(lar)ın hepsi public değil , ne kadar da updatelerinizi yapsanız fayda etmeyebilir...
Sunucunuza atılan bir listpatch ya da sizin tarafınızdan bilginiz dahilinde olmadan çalıştırılan bir sayfa ile kötü sonuçlar ortaya çıkabilir.
en kötüsünü düşünün...

mod_security çözüm olmuyor malesef, bypass etmek çok kolay. 2 way authentication zaten tek kullanımlık şifre girişi sağlamakta, en güvenli şifre girişidir.

Biz whmcs kullandığımız sistemde ftp-cpanel vb.. dahil bütün girişleri tamamen kapattık, root şifresi bile öğrenseler bir bağlantı kuramazlar sunucuya. Bütün IP erişimlerini sadece kullandığımız vpn ile sınırladık. Yani guzel.net.tr sunucusunun root şifresini buraya yazsam şuan kimse bağlantı yapıp zarar veremez(tabi test etmeye niyetim yok).

Yazılım tarafında ise, bizlik çok birşey yok malesef. Yani whmcs kullanıyorsak kodlar da şifreli olduğundan testler yapıp açık bulsak bile bildirip güncelleme beklemekten başka çare yok. Bu yüzden malesef mahkumuz whmcs ekibinin güncelleme yapmasını beklemeye. @Elazığlı168 'in de dediği gibi whmcs de bu konuda malesef gereken özeni göstermiyor. Yani bugün ben şirket içi kullanım için kodlayıp halka açık ortamda kullanılmayacak, sadece çalışanlarımız tarafından kullanılacak bir yazılım bile kodladığımda sql injection olayını tamamen ortadan kaldırmış oluyorsam, whmcs gibi bir yazılımın sql injection olayı ilk kodlandığında hallolmuş olmalıydı. Yani üye bilgileri girişi yaparken sql kod çalıştırılıyor, bundan öte acemilik yok bir yazılımcı için. ticketlarda yazılan php kodlar çalışıyordu bir ara, az whmcs bu yolla hacklenmedi. WHMCS'nin yazılımcılarının işvereni ben olsam çoktan bütün ekibi dağıtmıştım. WHMCS'nin bu saçma sapan güvenlik açıkları yüzünden bir gün çöp olacağını ve nasıl whmcs awbs'yi öldürdüyse, adam gibi güvenlik ve whmcs'den verileri import edebilen bir yazılım yapıp whmcs'nin fonksiyonlarını sunan bir yazılım çıktığı anda whmcs'yi öldürür kısa vadede.

Whmcs mi tercih edersiniz yoksa awbs mi whmcs nin bu sıkıntıları hep var.

whmcs kullanıyorum fakat awbs ile değiştirmeyi düşünüyorum. sizce hangisi daha güvenli? bu konu ile alakası yok fakat yardımlarınızı bekliyorum.