Yeni WHMCS Açığı - Hack Girişimleri

Merhabalar,

Son birkaç gündür yeni bir whmcs açığı sağda solda duyulmaya başlanmış olacak ki, saçma sapan hack girişimleri yapılıyor.

Müşteri panelindeki ad-soyad-adres vb.. bilgilere sql kodları yazarak injection yapmaya çalışıyorlar, admin bilgilerini değiştirmeye yarayan kodlar çalıştırmaya çalışıyorlar.

Bundan tahminen 1 hafta kadar önce whmcs yeni güvenlik açığı bulduğunu ve kapatacak yama yayınladığını söyledi, 5.2.8 sürümünü çıkardı. Belki aynı gün güncellediğimizden bizim herhangi bir şekilde başımız yanmasa da(hatta girişimi yapan herkesin bilgileri kabak gibi ortada, bunları ne yapacağımızı düşünüyoruz) bu durum çok kişinin başını yakacaktır.

Güncel sürüm kullanmayanlar acilen güncellemeli..

Saygılarımla

bilgilendirme için teşekkürler, güncel sürüm kullanmayan kalmamıştır heralde

Bizi yakaladılar ama iyi ki devirden sonra yakaladılar

Her gün 2 tane bu tür girişim gelmezse meraklanıyorum acaba başlarına birşey mi geldi diye.

Bu iyiydi işte

anlamadım konu su anda sisteme her gün yurd dışından apple veya microsoft gibi firma isimlerini kullanarak üye oluyorlar
İş ilginç bir hal almaya başladı

Saldırgan AES_encrypt tokeni kullanarak post payload oluşturuyor ve SQL injection yöntemiyle zarar vermeye çalışıyor.

Bu tür SQL injection yöntemleri için standart bazı mod_Security kuralları var, bu kuralları kullananların loglarına takılmıştır zaten. 0-day yöntemler için bu tür kuralları kullanmak faydalı olacaktır her zaman.

her zaman 1 adım önde olmak için
admin passwordunuz onların elinde olsa ve o şekilde nasıl işlem yapamazlar seçeneği için geliştirmeniz gerekir sunucunuzu.

Yeni WHMCS'nin 2-way authentication sistemi süper.
admin klasörünü httpd ile şifrelemek de güzel çözüm, toplam 3 ayrı şifre(biri tek kullanımlık) oluyor panel girişinde. Hele hele VPN kullanıp admin panel girişini ip'ye göre kısıtlamak daha da güzel.