← Hosting

WHMCS - Erro/Problema de Segurança

Lida 4066 vezes

Offline

Santo 
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2

Para os mais distraidos ou os que não receberam este e-mail, aqui fica uma noticia importante:

Citar
Dear WHMCS User,

It has been brought to our attention that at some time during the days following the recent release of WHMCS V3.5.1, an unauthorised user managed to gain access to our server through an Apache exploit and was able to add a number of files into the WHMCS V3.5.1 Full Version download available from our client area.  The files added were shell scripts which could potentially be used to exploit the server should the functions used not be blocked.

There is a chance that you may have downloaded V3.5.1 at the time when the files were present and so may have inadvertently uploaded them to your server.  As a precaution we are asking all customers to check for, and remove, the following files if they are found to be present in your WHMCS folders:

(lista de files cortada)

NOTE: If you used our professional upgrade or installation services to have WHMCS installed or upgraded by us then you will NOT have been affected.

We have taken action to ensure a breach like this does not occur again and apologize for any inconvenience caused.  We would also like to point out that this was not a security problem with WHMCS.  I would ask that if you have any concerns or questions, please email support@whmcs.com

Regards,

Matt
Founder / Developer
WHMCS Ltd
www.whmcs.com

Saudações
Offline

Santo 
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2

Comentario: Preocupante a situação, ainda mais quando o Apache até nem tem exploits conhecidas de momento que permitam fazer o que está reportado... Aqui à gato na história!

Só espero que mais nada tenha sido comprometido...

Saudações
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 49
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Estranho não recebi nada..
Vou la ver quais os files.

Abraços
Offline

rtbfreitas 
Equipa
Mensagens 1497 Gostos 9
Feedback +24

Troféus totais: 30
Trófeus: (Ver todos)
Windows User Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4

Viva

Eu recebi o mail, fui ver se la tinha os files e nada, e tu Santo detectas te algo?

Atentamente
Offline

Santo 
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2

Nope.. nada pois fiquei-me pela 3.4.. Ainda não mudamos para a 3.5 devido a uns bugs e a estarmos a re-desenhar o sistema de encomendas e Apoio a Clientes... Por isso a próxima versão a instalar será mesmo a 3.5.2 ou 3.6 que não deve tardar.

Saudações
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 49
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Também não detectei nada.

PS. O meu mail chegou atrasado (deve ser do transito)
Offline

Netpita 
Membro
Mensagens 23 Gostos 0
Troféus totais: 25
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 10 Posts

Nós recebemos o e-mail no dia 8 mas, de qualquer forma, ainda não tínhamos feito o upgrade.
Offline

Santo 
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2

Bem, para juntar mais umas achas na fogueira e sem querer lançar o panico, todos os sistemas WHMCS são bastante vulneraveis e várias exploits estão já neste momento a ser usadas. O código foi descompilado lá por volta do natal e pelos vistos é uma bela porcaria, levando a crer que a encriptação servia maioritáriamente para esconder o mau código do autor.

Segundo alguns experts, as chaves de desencriptação de todas as passwords no sistema (incluindo de administração) são fácilmente extraiveis pois a chave vem junto com o código e não aplica qualquer elemento aleatório como por exemplo uma chave adicional fornecida pelo utilizador o que faria com que cada cliente estivesse mais seguro mesmo que a chave principal fosse descoberta.

Segundo os entendidos na matéria, a forma de escrever código do autor do WHMCS é uma m**** e contém muitos erros de principiante. O sistema contém também inumeras formas de ser usado para SQL Injection sendo que quase todos os ficheiros contém vulnerabilidades.

Com estas belas noticias vos deixo a pensar....

Comments?

Saudações
Offline

Santo 
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2

Prevenção:

Aqui ficam alguns conselhos de como se prevenir:

1 - Proteger o directório de admin com password

2 - Usar o mod_security e o suhosin no php para filtrar SQL injections e uso de variaveis nos URLs

3 - Rezar para que o Matt limpe o código rápidamente de modo a evitar males maiores...

Saudações
Offline

anjo2 
Membro
Mensagens 3020 Gostos 0
Troféus totais: 31
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3 Level 2

Cheguei a pensar em comprar o whmcs, principalmente por ter a API da Resellerclub, mas depois de ter ficando tanto tempo à espera que respondessem no fórum desisti...

Limpar o código nesta altura irá dar imenso trabalho, provavelmente só vão tentar corrigir as falhas continuando com mau código. Não conheço o código mas pelo que reportaste e pelo que percebi, utilizam má programação.
Offline

rtbfreitas 
Equipa
Mensagens 1497 Gostos 9
Feedback +24

Troféus totais: 30
Trófeus: (Ver todos)
Windows User Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4

Boas

Bem isto é uma notícia um bocado preocupante não há dúvidas, já andava a pensar em desenvolver um script de raiz para area clientes, e com esta situação devo mesmo avançar com esta opção, Santo recomendas algum? Sei que tambem usas WHMCS mas com isto...

Cumprimentos
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 49
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Não vejo la muita opção só se pagarem os lindos preços do Kayako..
Offline

Santo 
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2

Andei a ver o AWBS e pareceu-me muito interessante. Vou instalar uma versão que me ofereceram. Tem conversor para migrar do WHMCS para o AWBS. Os preços são idênticos.

O nosso problema acrescido é o de fazermos revenda de licenças..

O WHMCS não está morto ainda. Agora depende da velocidade de reação do Matt e de contratar um bom auditor para o código de forma a no mais curto espaço de tempo lançar pelo menos algo que tape buracos.

Enfim, esperar mais 1 ou 2 semanas não doi, e entretanto vou avaliar o AWBS...

Saudações
Offline

Santo 
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2

Bem, aqui vai mais uma mensagem interessante.. desta vez mais positiva!

Citar
As you know, I have always prided myself on responding to issues in a positive and timely manner and it is my intention to do the same with this. I am however now making a post to address the concerns raised and it will be my one and only post to this thread. I would ask again as in the original email that any concerns are addressed to me personally.

Tuesday's email was sent as a precautionary measure to alert our customers of a potential breach of security on our server resulting in the latest WHMCS zip file download containing rogue files for a short period of time. It was not the result of a security weakness in the WHMCS software itself - the issue was only the zip file on our server having several files added (and none modified). We are confident that all steps that could be taken have now been taken to prevent this from happening again. I appreciate that some customers may be concerned by the events but can only reiterate that WHMCS the software was not involved. I took the decision to notify all customers of the potential files which could be in their install while only a small number of customers will be and were actually affected because security is and continues to be of the utmost priority.

On a completely separate note, due to the ioncube encryption being reversed last month, numerous issues have come to light about possible SQL injection vulnerabilities in the WHMCS system. These are being addressed as a matter of urgency and this thread has only served to highlight those issues. It would be appreciated if discussions pertaining to the exact vulnerabilities are kept to a minimum to help prevent widespread knowledge of what can be used. A new update addressing these issues will be available as soon as possible. I can only apologize for the concern that may have been caused to you through the prioritizing of new features and rapid development over quality of code, and I understand this is unnacceptable but this is something that will be learnt from and I will continue to provide the great service you've come to know and love.

Despite the difficulties currently being experienced, I am confident that WHMCS can continue to meet the needs of its clients and will become an even better product in the coming weeks and months. I would like to take this opportunity to thank the many loyal customers who have helped to make it successful and can assure you of my total commitment to resolving any problems and continuing to offer the very best service I can.

Regards,

Matt

Vamos ver o que ai vem...

Saudações
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 49
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Tive a ver o AWBS e não gostei
Adoro o WHMCS mas pessoalmente não vele o preço..

Acredito que o matt va resolver isto tudo pois não ha encriptações infalíveis..