WHMCS

Santo

Para os mais distraidos ou os que não receberam este e-mail, aqui fica uma noticia importante:

Citar

Dear WHMCS User,

It has been brought to our attention that at some time during the days following the recent release of WHMCS V3.5.1, an unauthorised user managed to gain access to our server through an Apache exploit and was able to add a number of files into the WHMCS V3.5.1 Full Version download available from our client area. The files added were shell scripts which could potentially be used to exploit the server should the functions used not be blocked.

There is a chance that you may have downloaded V3.5.1 at the time when the files were present and so may have inadvertently uploaded them to your server. As a precaution we are asking all customers to check for, and remove, the following files if they are found to be present in your WHMCS folders:

(lista de files cortada)

NOTE: If you used our professional upgrade or installation services to have WHMCS installed or upgraded by us then you will NOT have been affected.

We have taken action to ensure a breach like this does not occur again and apologize for any inconvenience caused. We would also like to point out that this was not a security problem with WHMCS. I would ask that if you have any concerns or questions, please email support@whmcs.com

Regards,

Matt
Founder / Developer
WHMCS Ltd
www.whmcs.com

Saudações

Santo

Comentario: Preocupante a situação, ainda mais quando o Apache até nem tem exploits conhecidas de momento que permitam fazer o que está reportado... Aqui à gato na história!

Só espero que mais nada tenha sido comprometido...

Saudações

asturmas

Estranho não recebi nada..
Vou la ver quais os files.

Abraços

rtbfreitas

Viva

Eu recebi o mail, fui ver se la tinha os files e nada, e tu Santo detectas te algo?

Atentamente

Santo

Nope.. nada pois fiquei-me pela 3.4.. Ainda não mudamos para a 3.5 devido a uns bugs e a estarmos a re-desenhar o sistema de encomendas e Apoio a Clientes... Por isso a próxima versão a instalar será mesmo a 3.5.2 ou 3.6 que não deve tardar.

Saudações

asturmas

Também não detectei nada.

PS. O meu mail chegou atrasado (deve ser do transito)

Netpita

Nós recebemos o e-mail no dia 8 mas, de qualquer forma, ainda não tínhamos feito o upgrade.

Santo

Bem, para juntar mais umas achas na fogueira e sem querer lançar o panico, todos os sistemas WHMCS são bastante vulneraveis e várias exploits estão já neste momento a ser usadas. O código foi descompilado lá por volta do natal e pelos vistos é uma bela porcaria, levando a crer que a encriptação servia maioritáriamente para esconder o mau código do autor.

Segundo alguns experts, as chaves de desencriptação de todas as passwords no sistema (incluindo de administração) são fácilmente extraiveis pois a chave vem junto com o código e não aplica qualquer elemento aleatório como por exemplo uma chave adicional fornecida pelo utilizador o que faria com que cada cliente estivesse mais seguro mesmo que a chave principal fosse descoberta.

Segundo os entendidos na matéria, a forma de escrever código do autor do WHMCS é uma m**** e contém muitos erros de principiante. O sistema contém também inumeras formas de ser usado para SQL Injection sendo que quase todos os ficheiros contém vulnerabilidades.

Com estas belas noticias vos deixo a pensar....

Comments?

Saudações

Santo

Prevenção:

Aqui ficam alguns conselhos de como se prevenir:

1 - Proteger o directório de admin com password

2 - Usar o mod_security e o suhosin no php para filtrar SQL injections e uso de variaveis nos URLs

3 - Rezar para que o Matt limpe o código rápidamente de modo a evitar males maiores...

Saudações

anjo2

Cheguei a pensar em comprar o whmcs, principalmente por ter a API da Resellerclub, mas depois de ter ficando tanto tempo à espera que respondessem no fórum desisti...

Limpar o código nesta altura irá dar imenso trabalho, provavelmente só vão tentar corrigir as falhas continuando com mau código. Não conheço o código mas pelo que reportaste e pelo que percebi, utilizam má programação.

rtbfreitas

Boas

Bem isto é uma notícia um bocado preocupante não há dúvidas, já andava a pensar em desenvolver um script de raiz para area clientes, e com esta situação devo mesmo avançar com esta opção, Santo recomendas algum? Sei que tambem usas WHMCS mas com isto...

Cumprimentos

asturmas

Não vejo la muita opção só se pagarem os lindos preços do Kayako..

Santo

Andei a ver o AWBS e pareceu-me muito interessante. Vou instalar uma versão que me ofereceram. Tem conversor para migrar do WHMCS para o AWBS. Os preços são idênticos.

O nosso problema acrescido é o de fazermos revenda de licenças..

O WHMCS não está morto ainda. Agora depende da velocidade de reação do Matt e de contratar um bom auditor para o código de forma a no mais curto espaço de tempo lançar pelo menos algo que tape buracos.

Enfim, esperar mais 1 ou 2 semanas não doi, e entretanto vou avaliar o AWBS...

Saudações

Santo

Bem, aqui vai mais uma mensagem interessante.. desta vez mais positiva!

Citar

As you know, I have always prided myself on responding to issues in a positive and timely manner and it is my intention to do the same with this. I am however now making a post to address the concerns raised and it will be my one and only post to this thread. I would ask again as in the original email that any concerns are addressed to me personally.

Tuesday's email was sent as a precautionary measure to alert our customers of a potential breach of security on our server resulting in the latest WHMCS zip file download containing rogue files for a short period of time. It was not the result of a security weakness in the WHMCS software itself - the issue was only the zip file on our server having several files added (and none modified). We are confident that all steps that could be taken have now been taken to prevent this from happening again. I appreciate that some customers may be concerned by the events but can only reiterate that WHMCS the software was not involved. I took the decision to notify all customers of the potential files which could be in their install while only a small number of customers will be and were actually affected because security is and continues to be of the utmost priority.

On a completely separate note, due to the ioncube encryption being reversed last month, numerous issues have come to light about possible SQL injection vulnerabilities in the WHMCS system. These are being addressed as a matter of urgency and this thread has only served to highlight those issues. It would be appreciated if discussions pertaining to the exact vulnerabilities are kept to a minimum to help prevent widespread knowledge of what can be used. A new update addressing these issues will be available as soon as possible. I can only apologize for the concern that may have been caused to you through the prioritizing of new features and rapid development over quality of code, and I understand this is unnacceptable but this is something that will be learnt from and I will continue to provide the great service you've come to know and love.

Despite the difficulties currently being experienced, I am confident that WHMCS can continue to meet the needs of its clients and will become an even better product in the coming weeks and months. I would like to take this opportunity to thank the many loyal customers who have helped to make it successful and can assure you of my total commitment to resolving any problems and continuing to offer the very best service I can.

Regards,

Matt

Vamos ver o que ai vem...

Saudações

asturmas

Tive a ver o AWBS e não gostei
Adoro o WHMCS mas pessoalmente não vele o preço..

Acredito que o matt va resolver isto tudo pois não ha encriptações infalíveis..

WHMCS - Erro/Problema de Segurança

Santo
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)

08/Jan/2008 21:54

Santo
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)

08/Jan/2008 22:01

asturmas
Administrador
Mensagens 19734 Gostos 50
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)

08/Jan/2008 22:16

rtbfreitas
Equipa
Mensagens 1497 Gostos 9
Feedback +24

Troféus totais: 30
Trófeus: (Ver todos)

09/Jan/2008 02:14

Santo
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)

09/Jan/2008 09:24

asturmas
Administrador
Mensagens 19734 Gostos 50
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)

09/Jan/2008 15:20

Netpita
Membro
Mensagens 23 Gostos 0
Troféus totais: 25
Trófeus: (Ver todos)

10/Jan/2008 11:24

Santo
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)

10/Jan/2008 18:09

Santo
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)

10/Jan/2008 18:12

anjo2
Membro
Mensagens 3020 Gostos 0
Troféus totais: 31
Trófeus: (Ver todos)

10/Jan/2008 18:17

rtbfreitas
Equipa
Mensagens 1497 Gostos 9
Feedback +24

Troféus totais: 30
Trófeus: (Ver todos)

10/Jan/2008 20:05

asturmas
Administrador
Mensagens 19734 Gostos 50
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)

10/Jan/2008 20:27

Santo
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)

10/Jan/2008 21:27

Santo
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)

10/Jan/2008 21:46

asturmas
Administrador
Mensagens 19734 Gostos 50
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)

10/Jan/2008 21:53

Posts relacionados

WHMCS v3.4.1 já disponivel

Magento v1.8.1.0 - Erro ao aplicar Patches PHP 5.4 e Segurança

whmcs lifetime

WHMCS - Erro/Problema de Segurança

Santo Membro Mensagens 1657 Gostos 4Troféus totais: 31Trófeus: (Ver todos) 08/Jan/2008 21:54

Santo Membro Mensagens 1657 Gostos 4Troféus totais: 31Trófeus: (Ver todos) 08/Jan/2008 22:01

asturmas Administrador Mensagens 19734 Gostos 50Feedback +2Troféus totais: 39Trófeus: (Ver todos) 08/Jan/2008 22:16

rtbfreitas Equipa Mensagens 1497 Gostos 9Feedback +24Troféus totais: 30Trófeus: (Ver todos) 09/Jan/2008 02:14

Santo Membro Mensagens 1657 Gostos 4Troféus totais: 31Trófeus: (Ver todos) 09/Jan/2008 09:24

asturmas Administrador Mensagens 19734 Gostos 50Feedback +2Troféus totais: 39Trófeus: (Ver todos) 09/Jan/2008 15:20

Netpita Membro Mensagens 23 Gostos 0Troféus totais: 25Trófeus: (Ver todos) 10/Jan/2008 11:24

Santo Membro Mensagens 1657 Gostos 4Troféus totais: 31Trófeus: (Ver todos) 10/Jan/2008 18:09

Santo Membro Mensagens 1657 Gostos 4Troféus totais: 31Trófeus: (Ver todos) 10/Jan/2008 18:12

anjo2 Membro Mensagens 3020 Gostos 0Troféus totais: 31Trófeus: (Ver todos) 10/Jan/2008 18:17

rtbfreitas Equipa Mensagens 1497 Gostos 9Feedback +24Troféus totais: 30Trófeus: (Ver todos) 10/Jan/2008 20:05

asturmas Administrador Mensagens 19734 Gostos 50Feedback +2Troféus totais: 39Trófeus: (Ver todos) 10/Jan/2008 20:27

Santo Membro Mensagens 1657 Gostos 4Troféus totais: 31Trófeus: (Ver todos) 10/Jan/2008 21:27

Santo Membro Mensagens 1657 Gostos 4Troféus totais: 31Trófeus: (Ver todos) 10/Jan/2008 21:46

asturmas Administrador Mensagens 19734 Gostos 50Feedback +2Troféus totais: 39Trófeus: (Ver todos) 10/Jan/2008 21:53