PDA

Bekijk Volledige Versie : Ticket via WHMCS php virus ?



Hostingwalk
29/02/12, 12:26
Client: asd asd

{php}eval(base64_decode( enz.

Weet iemand wat dit is en e.v.t oplossingen ?

swedendedicated
29/02/12, 12:33
Als het goed is heb je hierover 2 maanden geleden bericht gehad. Heb je de patch geplaatst en whmcs geupdate? Ik meen dat als je de base64 code kon lezen dat het script niet uitgevoerd is, maar durf het niet met zekerheid te zeggen

http://forum.whmcs.com/showthread.php?t=44066&highlight=hack

beservers
29/02/12, 12:33
Deze code leest uw config file uit voor de mysql gegegevens.
Dit probleem werd opgelost met een security patch in december: http://blog.whmcs.com/?t=43462

Hostingwalk
29/02/12, 13:00
Ja ik was hier deels van op de hoogte maar ik had niet verwacht dat het zoveel impact zou hebben.
Inmiddels heb ik de patch geupdate.

En in de toekomst zal ik zulke patches erg serieus nemen.

tjvb
29/02/12, 13:24
Zeg je nu dat je de patch pas net hebt toegepast? Dus nadat je die mail kreeg?
Want dan moet je de gehele installatie doorlopen op aangepast/nieuwe bestanden en nieuwe admin accounts. (Je kunt o.a. een echo van de base64_decode doen om te zien waar je moet beginnen)
Anders zitten ze al in je systeem en heeft de patch niet zo heel veel nut.

patrickekkel
29/02/12, 13:28
Kijk vooral in de map downloads en template_c en uiteraard in je database.

Een veiligheids patch wordt niet voor niks uitgebracht, leer voor de volgende keer om hem dan gelijk uit te voeren.

Erik H.
29/02/12, 13:58
Resumerend: ga er vanuit dat je klantenbestand op straat ligt. Ik vind het nogal schokkend dat je hier zo laconiek mee om bent gegaan...

dennis0162
29/02/12, 14:09
Ik zou inderdaad even heel goed gaan kijken in je bestanden. Je hebt als het goed is ook een mail gekregen van WHMCS met de update.

ichosting
21/03/12, 22:42
Nog een beetje een late reactie hierop, maar niet onbelangrijk: loop eventueel ook alle servers na die je in de automation had staan. Want daar zijn ze ook op uit om mee te kunnen spammen! Dus als je servers hebt toegevoegd voor de automatisering, dan moet je die ook voorzien van andere wachtwoorden + controleren of er geen user accounts zijn gekaapt.

Arieh
22/03/12, 02:02
Mocht je een admin account van DirectAdmin in whmcs hebben ingesteld, zorg er dan voor dat het een restricted account is dmv http://www.directadmin.com/features.php?id=1171 - zodat bij zon whmcs hack niet ook je hele DA gecompromitteerd is.

tjvb
22/03/12, 11:06
Mocht je een admin account van DirectAdmin in whmcs hebben ingesteld, zorg er dan voor dat het een restricted account is dmv http://www.directadmin.com/features.php?id=1171 - zodat bij zon whmcs hack niet ook je hele DA gecompromitteerd is.

Dat is een handige optie, die kende ik nog niet. Bedankt