PDA

Bekijk Volledige Versie : Website (en misschien meer) van WHMCS gehacked! [UPDATE!]



Domenico
21/05/12, 18:41
Dit ziet er niet best uit.
http://www.whmcs.com

En op twitter al veel opschepperij en aankondigingen.
https://twitter.com/#!/JoshTheGod (https://twitter.com/#%21/JoshTheGod)

Josh Matthews ‏@JoshTheGod (https://twitter.com/#%21/JoshTheGod) http://Whmcs.com (http://t.co/jDy5PNCK) Defaced by #UGNazi (https://twitter.com/#%21/search/%23UGNazi) @UG (https://twitter.com/#%21/UG) @Thacosmo (https://twitter.com/#%21/Thacosmo) @le4ky (https://twitter.com/#%21/le4ky) Database #leak (https://twitter.com/#%21/search/%23leak) coming soon.



10263

WebMeso
21/05/12, 18:46
Dat is geen goede zaak. Ligt alleen de site van whmcs plat of hebben de gebruikers er op dit moment ook last van?

Yourwebhoster
21/05/12, 18:46
Van wht.com; voor iedereen af te raden:

1) Help > License Information
2) Help > Check for Updates
3) Help > Change License Key


Zie http://www.webhostingtalk.com/showthread.php?t=1156920

Axel Polfliet
21/05/12, 18:47
Op Twitter wordt beweerd dat de database met gebruikersgegevens spoedig zal worden gelekt (http://twitter.com/#!/JoshTheGod). Ben in ieder geval blij dat wij het niet gebruiken. Is overigens wel het risico bij veel gebruikte scripts, hackers zien dat vaker als doelwit waardoor de kans dat ze gekraakt worden groter wordt dan bij een minder populair of eigen ontwikkeld script.

Yourwebhoster
21/05/12, 18:48
Dat is geen goede zaak. Ligt alleen de site van whmcs plat of hebben de gebruikers er op dit moment ook last van?

Als je het bovenstaande doet dan heb je er last van helaas. Hopen dat ze alles snel kunnen restoren. Waar ik vooral naar benieuwd ben is hoe ze toegang hebben kunnen krijgen tot de files.

En vanaf het WHMCS account is getweet vanaf het web, dus geen eigen applicatie.

Domenico
21/05/12, 18:49
Ik zou dit heel serieus nemen. het is namelijk niet zomaar een defacement. Zelfs het twitter account van WHMCS is gehacked.

WHMCS ‏@whmcs
http://www.whmcs.com Hacked by #UGNazi @UG @ThaCosmo @JoshTheGod @Le4ky @OpAntiGov #UGNazi #OpAntiGov

Het kan zijn dat ze slechts een ftp pass hebben die hetzelfde is als twitter account maar toch, zelfs dat is al heel kwalijk.


Edit: Whatever anyone does, do not do any of the following:
1) Help > License Information
2) Help > Check for Updates
3) Help > Change License Key

Any of these will lock you out of your system until WHMCS fixes this mess.

Dat NIET doen dus!

SF-Jeroen
21/05/12, 18:49
Van wht.com maar voor iedereen aan te raden:


Zie http://www.webhostingtalk.com/showthread.php?t=1156920


Er staat juist doe dat NIET.

Yourwebhoster
21/05/12, 18:50
Er staat juist doe dat NIET.
Dat bedoelde ik, excuus:)

Yourwebhoster
21/05/12, 18:51
I'm not going to talk about his security issues in a public forum, but let's say it was a default box with no lock down on security at all...

With storing thousands of business credit cards, he should have known better, it wasn't PCI compliant by any means.

EDIT: This was security issues with his webserver box, not security issues with the WHMCS script itself.
Bron: http://www.webhostingtalk.com/showthread.php?p=8137845#post8137845

Edit: even verder gelezen

You guys are taking this out of context.... however when you run your billing WHMCS on a cPanel server with port 22, 2082 and 2087 open to the public, you are asking to be owned...

It's okay for companies that have 50 clients, but not major software vendors which have thousands of credit cards.

WebMeso
21/05/12, 18:52
Als je het bovenstaande doet dan heb je er last van helaas. Hopen dat ze alles snel kunnen restoren.

Maak geen gebruik van WHMCS. Dus ik maak me geen zorgen. Wel vervelend voor de mensen die er wel gebruik van maken. Veel gebruikte programma's mogen dan wel makkelijk en goedkoop zijn, maar ze worden de laatste tijd vaak gehacked. Als het hackers lukt dan hebben ze meteen een "grote buit" te pakken en daarom zijn deze ook vaker doelwit van dit soort praktijken.

Dreas
21/05/12, 18:54
Ik heb 2 WHMCS installaties die beide niet meer werken (admin area). 1tje daarvan wordt niet publiekelijk gebruikt, dus voor zover ik weet ligt het WHMCS admin gedeelte automatisch plat bij iedereen.

Yourwebhoster
21/05/12, 18:55
En nog een update:

Hi Guys,

As you've seen we have unfortunately become the victim of a hack just a little over an hour ago.

So far early indications are that they were able to compromise my email, and subsequently impersonate myself with HostGator staff. In response to those saying it's an unsecured box, we use a fully managed service from HostGator for our website, in connection with McAfee Secure.

We'll post more updates as soon as we have them.

Matt

Yourwebhoster
21/05/12, 18:58
Ik heb 2 WHMCS installaties die beide niet meer werken (admin area). 1tje daarvan wordt niet publiekelijk gebruikt, dus voor zover ik weet ligt het WHMCS admin gedeelte automatisch plat bij iedereen.

Pas na 7 dagen of als je één van de bovenstaande punten doet. WHMCS haalt elke 7 dagen de licentie op, maar dan moet het wel goed uitkomen.



Maak geen gebruik van WHMCS. Dus ik maak me geen zorgen. Wel vervelend voor de mensen die er wel gebruik van maken. Veel gebruikte programma's mogen dan wel makkelijk en goedkoop zijn, maar ze worden de laatste tijd vaak gehacked. Als het hackers lukt dan hebben ze meteen een "grote buit" te pakken en daarom zijn deze ook vaker doelwit van dit soort praktijken.
Andere partijen zitten in dezelfde prijsklasse. Ik hoop dat ze het snel oplossen en dat dit minimale gevolgen heeft voor het product zelf. Ze hebben verder geen credit card gegevens van ons.

SF-Jeroen
21/05/12, 18:58
Fijn dus weten we zeker dat alles in handen van de hackers ligt, als HostGator het wachtwoord heeft gestuurd. -___-

Domenico
21/05/12, 18:59
En misschien ten overvloede.

By the way, I'd recommend everyone start changing all their server logins, WHMCS admin logins, FTP logins, ANYTHING that might have ever been given to WHMCS in the past.... These people now have it.

Domenico
21/05/12, 19:02
Fijn dus weten we zeker dat alles in handen van de hackers ligt, als HostGator het wachtwoord heeft gestuurd. -___-

Het lijkt dus verdacht veel op een gevalletje social engineering (http://en.wikipedia.org/wiki/Social_engineering_%28security%29). Zo zie je maar weer dat je email adres de sleutel kan zijn tot vele wachtwoorden.
SSH keys FTW!

beenske
21/05/12, 19:09
Damn, we hadden hier net WHMCS gekocht om dit eens te testen, draait nog geen weekje... hopelijk komen mijn creditkaart gegevens niet public...

Huib
21/05/12, 19:11
https://twitter.com/#!/whmcs/statuses/204604273328263169

Ik ben benieuwd :S

Huib
21/05/12, 19:13
Ik heb 2 WHMCS installaties die beide niet meer werken (admin area). 1tje daarvan wordt niet publiekelijk gebruikt, dus voor zover ik weet ligt het WHMCS admin gedeelte automatisch plat bij iedereen.

Wij hebben 10 installaties en alle hebben vandaag gewoon de hele dag gewerkt hoor.

Domenico
21/05/12, 19:14
https://twitter.com/#!/whmcs/statuses/204604273328263169

Ik ben benieuwd :S

Dat doet toch gewoon pijn als je dat ziet van je site/bedrijf. :(

10264

Domenico
21/05/12, 19:15
Wij hebben 10 installaties en alle hebben vandaag gewoon de hele dag gewerkt hoor.

Dat kan ook gewoon maar als de license op dit moment gechecked gaat worden gaat het fout.

Dreas
21/05/12, 19:20
Matt heeft gepost in http://www.webhostingtalk.com/showthread.php?t=1156920
Lijkt erop dat via social engineering zijn mailbox is gehacked. WHMCS zelf lijkt dus niet direct vulnerable (staat ook een link naar een security issue maar volgens andere posts is dat outdated). Ik heb niemand gehad die op 1 van die WHMCS installs de licentie heeft gechecked en hij lag er toch echt uit :)

Huib
21/05/12, 19:27
Matt heeft gepost in http://www.webhostingtalk.com/showthread.php?t=1156920
Lijkt erop dat via social engineering zijn mailbox is gehacked. WHMCS zelf lijkt dus niet direct vulnerable (staat ook een link naar een security issue maar volgens andere posts is dat outdated). Ik heb niemand gehad die op 1 van die WHMCS installs de licentie heeft gechecked en hij lag er toch echt uit :)

Ehm duh... Het is ook niet de bedoeling dat je de licentie gaat laten checken, vooral niks aan je licentie doen :')

SmilieBG
21/05/12, 19:38
Pas na 7 dagen of als je één van de bovenstaande punten doet. WHMCS haalt elke 7 dagen de licentie op, maar dan moet het wel goed uitkomen.

En wat als vandaag je 7-e dag is?! :)

Anyway, geen goede zaak :(

Yourwebhoster
21/05/12, 19:44
En wat als vandaag je 7-e dag is?! :)

Anyway, geen goede zaak :(

Zie http://forum.whmcs.com/showthread.php?t=47644

As many of you will have noticed by now, we have today become the unfortunate victims of a hacking breach through our website.

We are currently working to restore normal operations as quickly as possible and will post updates here as they become available here.

Initial indications are that the database of our ticketing system may have been compromised, and thus we would recommend that if you have recently sent us a ticket containing your WHMCS or FTP login details, and have not yet changed them again following that, that you do so as soon as possible. As soon as we know more about what happened we'll provide updates.

In terms of licensing, providing you have a valid local license key then at this time you should not be experiencing any interuptions in service. If you are doing a new installation or moving your license and thus require a license refresh, these will not be available until the site is back online. Or alternatively if your local key was not valid prior to this downtime, then you may also be experiencing issues validating currently, and once back online do get in touch with us so any local key issues with your installation can be resolved.

Matt
Ofwel afwachten.


Matt heeft gepost in http://www.webhostingtalk.com/showthread.php?t=1156920
Lijkt erop dat via social engineering zijn mailbox is gehacked. WHMCS zelf lijkt dus niet direct vulnerable (staat ook een link naar een security issue maar volgens andere posts is dat outdated). Ik heb niemand gehad die op 1 van die WHMCS installs de licentie heeft gechecked en hij lag er toch echt uit :)
Dan heeft hij te lang geleden de licentie opgehaald. Blijkbaar is het systeem niet zo feilloos, ik zou eigenlijk dan elke 3 dagen ophalen en de licentie 7 dagen laten gelden. Het lijkt mij dat het veel performance nodig heeft.

Piwi-Web
21/05/12, 19:48
Social engineering ftw! Heel veel toko's zijn hier niet tegen gewapend. Kevin Mitnick is wel de bekendste social engineering hacker:

http://www.youtube.com/watch?v=ctEUFYELOL0&feature=bf_next&list=PLD070E2F30A0F0D8C

Dreas
21/05/12, 19:51
Pas na 7 dagen of als je één van de bovenstaande punten doet. WHMCS haalt elke 7 dagen de licentie op, maar dan moet het wel goed uitkomen.


Dat lijkt niet te kloppen, zou wel heel toevallig zijn. Op het forum berichten ook steeds meer mensen dan hun licentie plots ongeldig is.

Yourwebhoster
21/05/12, 19:53
Dat lijkt niet te kloppen, zou wel heel toevallig zijn. Op het forum berichten ook steeds meer mensen dan hun licentie plots ongeldig is.

Als vandaag de 7e dag is of het is langer dan 7 dagen geleden dan klopt dat toch?;)

Huib
21/05/12, 19:59
Dat lijkt niet te kloppen, zou wel heel toevallig zijn. Op het forum berichten ook steeds meer mensen dan hun licentie plots ongeldig is.

Er zijn meer mensen die zeggen geen last ervan te hebben dan wel, dus waarschijnlijk klopt het wel dat de mensen die vandaag een check kregen er dan uitliggen...

NWO
21/05/12, 20:05
Ben benieuwd hoe lang het duurt voordat de website weer up en running is!

Yourwebhoster
21/05/12, 20:17
De licentie server is back.

UPDATE 18:09 The license checking server is now back online. More to follow shortly...

Huib
21/05/12, 20:22
This one? https://www.whmcs.com/members/modules/servers/licensing/ het is ook het enige wat er nu staat op whmcs.com maar een lege index of een error 403 was mischien handig geweest?

Yourwebhoster
21/05/12, 20:28
This one? https://www.whmcs.com/members/modules/servers/licensing/ het is ook het enige wat er nu staat op whmcs.com maar een lege index of een error 403 was mischien handig geweest?

Staat er nu, ik wacht het verder maar af. Ben blij iig dat het licentie systeem werkt en dat hier verder geen risico gelopen wordt om niet te kunnen werken met WHMCS.

Huib
21/05/12, 20:31
Idd, lijkt me zeer lastig als je back-end op slot zit. Hopelijk werkt de rest ook weer zo.

Yourwebhoster
21/05/12, 20:36
Update:

UPDATE 18:09 The license checking server is now back online and providing valid license responses. So if you were experiencing licensing errors before, these should now be resolved. Our website and ticket desk should be back online within the next 30-60 minutes.

Moc
21/05/12, 20:41
Lijkt erop dat ze bezig zijn met de forum css/images weer op orde te krijgen...

Yourwebhoster
21/05/12, 20:42
Lijkt erop dat ze bezig zijn met de forum css/images weer op orde te krijgen...

Dat is de standaard vbulletin layout, hun eigen layout hadden ze op whmcs.com die.... :)

Moc
21/05/12, 20:52
Dat is de standaard vbulletin layout, hun eigen layout hadden ze op whmcs.com die.... :)

Ja dat snap ik, maar zag een verandering, dus denk meld het ff... Krijgen we iig nog iets van updates.
Hoop dat het uiteindelijk meevalt, maar voor nu blijft het afwachten.

WebMeso
21/05/12, 20:54
Ik zie in het topic van WHT.com dat een hoster ook reageerde via twitter met een vraag naar de hackers. Hij werd meteen geddossed. Het is nou niet echt slim om jezelf kwetsbaar op te stellen en in de kijker te spelen tegenover dat soort partijen.

Huib
21/05/12, 20:56
Ze verwachten hun website binnen 30 tot 60 minuten weer online te hebben.

WebMeso
21/05/12, 21:17
Die verwachting wordt waarschijnlijk wel bijgesteld. De license pagina (http://www.whmcs.com/members/modules/servers/licensing/) is op dit moment weer onbereikbaar.

Huib
21/05/12, 21:21
En de site is weer up

WebMeso
21/05/12, 21:25
En de site is weer up

Even voor de duidelijkheid: WHMCS.com werkt weer. De license pagina nog niet.

// EDIT //
Op WHMCS.com zie ik de volgende standaard pagina.


Great Success !
Apache is working on your cPanel® and WHM™ Server

Yourwebhoster
21/05/12, 21:28
Even voor de duidelijkheid: WHMCS.com werkt weer. De license pagina nog niet.

Mogelijk een nieuwe installatie? Kreeg net een default Cpanel melding. Zou dat overigens niet gek vinden en daar zelf ook voor gekozen hebben. Wie weet wat voor troep er allemaal opgezet is.

Moc
21/05/12, 21:29
Lijkt erop dat licensing weer werkt..


UPDATE 19:20 The main site is now being restored. Those with invalid local keys may experience intermittent license validation issues again.

WebMeso
21/05/12, 21:34
Mogelijk een nieuwe installatie? Kreeg net een default Cpanel melding. Zou dat overigens niet gek vinden en daar zelf ook voor gekozen hebben. Wie weet wat voor troep er allemaal opgezet is.

Klopt. Het IP is veranderd van 50.116.115.104 naar 50.97.96.24 oftewel HostGator naar SoftLayer las ik op WHT.com.

Ook staat er dat HostGator gebruik maakt van Softlayer. Dus een overstap hoeft het niet te zijn. Zal later wel duidelijk worden.

WebMeso
21/05/12, 21:39
De license pagina is nu weer up (voorlopig).

// EDIT //
En WHMCS.com ook (alle subpagina's). Al krijg ik alleen bij de homepage nog steeds de standaard cpanel pagina.

Yourwebhoster
21/05/12, 21:48
De license pagina is nu weer up (voorlopig).

// EDIT //
En WHMCS.com ook (alle subpagina's). Al krijg ik alleen bij de homepage nog steeds de standaard cpanel pagina.

CTRL+F5 of SHIFT+F5. SSL lijkt ook niet te werken. Goed in ieder geval dat ze het snel oppakken en ben benieuwd wat het uiteindelijk geweest is. Was op wht.com ook eentje die zich af vroeg waarom (moet er een reden zijn?).

Moc
21/05/12, 21:50
Hi Andrew,

Until we know for sure it would be irresponsible of us to say credit card details are safe. They are encrypted, but encryption is always reversable.

As per our announcement post, it is worth assuming that any details you've submitted to us via tickets are at potential risk, so if you've recently sent us login details for either WHMCS or Hosting/FTP and haven't yet changed them since that time, then it would be advisable to change those.

At this time there is still nothing to suggest that this compromise actually originated through the WHMCS software itself. This was not merely a WHMCS system access, and in our WHMCS, we do not have it connected up to our server.

Matt

Update van Matt, al is dit min of meer iets wat we al wisten :)

WebMeso
21/05/12, 21:52
CTRL+F5 of SHIFT+F5. SSL lijkt ook niet te werken. Goed in ieder geval dat ze het snel oppakken en ben benieuwd wat het uiteindelijk geweest is. Was op wht.com ook eentje die zich af vroeg waarom (moet er een reden zijn?).

DNS flush werkt ook niet. De homepage is wel te bereiken via het oude IP: http://50.116.115.104/.

Moc
21/05/12, 22:01
UPDATE 19:55 The main site and ticket system are now back online.
Update

Iemand al van die cpanel page af?

SmilieBG
21/05/12, 22:08
Hier (UPC kabel) zie ik hun reguliere website op de domein (www.whmcs.com).

Huib
21/05/12, 22:15
Hier nog helemaal geen cPanel pagina gezien...


Het is wel een bekend bij cPanel dat hun defaultpagina's nog al wel eens lang in de browsers van mensen wil blijven hangen als ze hem eenmaal gezien hebben.

SF-Jeroen
21/05/12, 22:17
Bij mij werkt de site en de blog gewoon (http://blog.whmcs.com/)

Moc
21/05/12, 22:20
Edit: Ok gelukt. Heb nu ook weer de website.

Moc
21/05/12, 23:03
Nieuwe update met wat tot nu toe bekend is: http://forum.whmcs.com/showthread.php?p=223467

Domenico
21/05/12, 23:06
Kijk eens naar dit plaatje en dan onderaan de pagina.

whmcscom_clients.sql.gz
Hmmmm...

10266

Huib
21/05/12, 23:51
Kan bluf zijn? Eerst zien dan geloven geld hier waarschijnlijk?

Erik H.
22/05/12, 00:06
Kan bluf zijn? Eerst zien dan geloven geld hier waarschijnlijk?

Als een hacker EN de mail EN contact weet te leggen met HostGator namens WHMCS EN de site weet te redirecten EN bestanden weet te verwijderen EN toegang tot hun twitter account heeft gekregen dan is het een relatief makkelijke rekensom om te bedenken dat het hebben van de database ook het geval is. Het feit dat Matt het niet stellig ontkent zegt mij al genoeg.

En ja, dit is al de 2e keer dat wij niet blij verrast worden door WHMCS inzake de security (al lijkt dit probleem niet IN WHMCS te zitten). Al met al helemaal niet blij mee. En mensen die beweren dat een zelf-ontwikkeld panel ALTIJD beter is hebben natuurlijk ook een beetje boter op hun hoofd. Met die laatste zin refereer ik overigens niet naar posts in dit topic maar meer de algemene tendens die ik op het www lees.

Hoe dan ook, -1 voor WHMCS

Huib
22/05/12, 00:25
Hmmm, Al die dingen die je daar boven noemt kunnen vanuit WHMCS geregeld worden, waarbij onze database extern staat en niet bereikbaar is vanuit WHMCS. Anyways ik ben soweiso niet zo'n negatieve denker.

Dit is eigenlijk mijn eerste probleem met WHMCS met betrekking op security

Arieh
22/05/12, 02:04
Altijd WHMCS en elk ander panel (al dan niet zelf gemaakt) waar je je hosting aan koppelt, zoveel mogelijk restricten. Voor DirectAdmin denk aan een apart admin account met dit: http://www.directadmin.com/features.php?id=1171

Mocht je dan eens de sjaak zijn, dan is de schade beperkt.

Huib
22/05/12, 02:47
Zojuist zijn alle bestanden gepost: http://pastebin.com/UJCi72FS

maxnet
22/05/12, 03:06
Zo-te-zien inclusief cc gegevens.
Als je een WHMCS licentie per credit card hebt afgerekend kan je deze dus maar beter blokkeren.

SmilieBG
22/05/12, 07:27
oei oei oei slechte zaak dit :(

whmcs.com is ook weer down

Yourwebhoster
22/05/12, 08:57
Tsja, extract het naar een WHMCS installatie en je kan makkelijk bij de gegevens in WHMCS zelf zonder moeilijk te doen...

Je kan ook gelijk de inkoopprijzen van resellers inzien, wat zullen die zich genaaid voelen. En natuurlijk kan je zo de omzet van WHMCS zelf inzien.

Huib
22/05/12, 12:35
Ik zie wel dat onze inkoopsprijzen als reseller niet gelijk staan een een gelijkwaadige :-o Anyways... Dit had natuurlijk nooit mogen gebeuren hoe dan ook. Met 250K omzet per maand had er vast wel iets beters kwa beveiliging kunnen gebeuren

bvs
22/05/12, 13:14
Fijn.. een paar maanden geleden wilde ik mijn oude CC nummer verwijderen (gebruikte Paypal) maar kon dat niet doen.
Gelukkig dat die creditcard niet meer actief is.

Arieh
22/05/12, 13:16
Laatste bericht van http://blog.whmcs.com/


Following an initial investigation I can report that what occurred today was the result of a social engineering attack.

The person was able to impersonate myself with our web hosting company, and provide correct answers to their verification questions. And thereby gain access to our client account with the host, and ultimately change the email and then request a mailing of the access details.

This means that there was no actual hacking of our server. They were ultimately given the access details.

This is obviously a terrible situation, and very unfortunate, but rest assured that this was no issue or vulnerability with the WHMCS software itself.

We are immediately reviewing all of our hosting arrangements, and will be migrating to a new setup at the earliest opportunity.

I would like to take this opportunity to thank all of you who have sent in messages of support, and offers of help. It has clearly been a very stressful time, and I thank everyone both personally and on behalf of WHMCS for their loyalty and support.

The matter is now in the hands of the FBI.

Zoals al eerder gemeld, inderdaad dus social engineering. Kan haast toch niet anders dat er bij HostGator nalatig is gehandeld. Als je toegang geeft tot zo'n grote klant mag je toch wel heel zeker zijn dat je de juiste voor je hebt.

The-BosS
22/05/12, 14:38
Zoals al eerder gemeld, inderdaad dus social engineering. Kan haast toch niet anders dat er bij HostGator nalatig is gehandeld. Als je toegang geeft tot zo'n grote klant mag je toch wel heel zeker zijn dat je de juiste voor je hebt.

Alsof ze bij hostgator een onderscheid maken tussen klanten, een nummer is daar gewoon een nummer. En als de correct procedure gevolgd is dan is er hostgator ook niets te verwijten lijkt me. Want hoe ver moet je gaan in het controleren van gegevens als op alle security vragen het juiste antwoord gegeven wordt.

Wat wel kwalijk te nemen is, is dat indien whmcs een managed dienst afnam dat hostgator in de eerste plaats al gegevens afstaat aan de klant (het is niet voor niets managed). Of dat whmcs zijn eigen dingen niet beter beveiligd heeft als het unmanaged was, zoals 2 factor authentificatie en enkel access tot bepaalde zaken (ssh, mysql, backend) vanaf fixed ip.

Erik H.
22/05/12, 14:50
De site is weer down (www.whmcs.com) en de hackers zijn nog steeds actief op het twitteraccount @whmcs. Ziet er allemaal niet zo mooi uit natuurlijk. Dit had niet mogen gebeuren natuurlijk.

SmilieBG
22/05/12, 14:52
Het lijkt niet op te houden, van 'hun' twitter account:

"http://whmcs.com => Tango Down http://i.imgur.com/dSr0b.png #UGNazi #DDOS #lulz Whmcs Database: ### via @UG"

En uiteraard, vanaf hier opent website niet :(

Edit, stom stom :nono:

Axel Polfliet
22/05/12, 15:07
Persoonlijk ben ik in ieder geval blij dat ik daar nooit credit card gegevens gebruikt hebt, je zou ze nu maar op straat hebben liggen, verder met gegevens omtrent licenties etc. De licenties die wij hebben worden toch op het moment niet gebruikt, maar voor actieve licenties (welke door een gigantische hoeveelheid hosters gebruikt worden) is dit best catastrofaal. De vraag of je Hostgator wat kan verwijten is natuurlijk relatief, je gaat immers niet elke keer als er een support request binnen komt niet om een volledige scan van bijv. het paspoort vragen.

Moc
22/05/12, 15:21
Wat updates...


21st May 2012 - Further Update


Following an initial investigation I can report that what occurred today was the result of a social engineering attack.

The person was able to impersonate myself with our web hosting company, and provide correct answers to their verification questions. And thereby gain access to our client account with the host, and ultimately change the email and then request a mailing of the access details.

This means that there was no actual hacking of our server. They were ultimately given the access details.

This is obviously a terrible situation, and very unfortunate, but rest assured that this was no issue or vulnerability with the WHMCS software itself.

We are immediately reviewing all of our hosting arrangements, and will be migrating to a new setup at the earliest opportunity.

I would like to take this opportunity to thank all of you who have sent in messages of support, and offers of help. It has clearly been a very stressful time, and I thank everyone both personally and on behalf of WHMCS for their loyalty and support.

The matter is now in the hands of the FBI.




Latest Status Update


Just another quick update as I know there's a lot of rumours and speculation going around.

Right now to compound matters, we are experiencing a large scale DDOS attack, which started at around 1am last night, and continues to this moment, so accessing the site may be intermittent for the time being due to the protection hardware that has been put in place for that.

We know we've let you down. Although the attack yesterday was not directly due to any lapses in the security in place on either our server or WHMCS itself, we realise that we could, and should, have had a more robust hosting infrastructure in place. Plans have already been put in motion for a new multi-server hosting infrastructure to be setup and migrated to.

As soon as we get things sorted, we'll be back online and give you another update.

In the meantime, thank you for bearing with us.

Matt


En een mogelijk motief voor de hack:

WHMCS ‏@whmcs
Many websites use WHMCS for scams. You ignored our warnings. We spoke louder. We are watching; and will continue to be watching.

drex
22/05/12, 15:48
De vraag of je Hostgator wat kan verwijten is natuurlijk relatief, je gaat immers niet elke keer als er een support request binnen komt niet om een volledige scan van bijv. het paspoort vragen.

Onzin want dit soort gevoelige gegevens om dit soort zaken te kunnen uithalen, ga je toch zo maar niet verstrekken! Als jij dit wel doet dan zou ik nog maar eens heel goed bij jezelf te raden gaan.

Arieh
22/05/12, 15:51
Weet niet precies wat voor systeem er bij HostGator ligt, maar als je alleen door wat geheime vragen (en allicht wat naw info, die ook te vinden is) toegang kan krijgen is dat gewoon geen degelijk systeem. Bij hotmail kan dat misschien, waar dat al sinds jaar en dag misbruikt werd/wordt, maar als je een betalende klant bent mag je toch meer verwachten. Waar mogelijk vul ik die geheime vragen nooit in als recovery methode, er kan altijd iemand zijn die 't ook weet, het is te raden, of je moet dingen gaan invullen die niet logisch zijn, maar dan mag je dat weer gaan bewaren.

Gebruik telefoon/sms of wel een paspoort scan, of post desnoods. Via nieuwe/neutrale kanalen en alleen dmv wat veiligheidsvragen toegang geven is, zoals nu en zo vaak gebleken, geen goede oplossing.

WHMCS op haar beurt kan er natuurlijk ook wat van, om zon simpele hosting oplossing te kiezen. Het zou toch niet mogelijk moeten zijn om dmv een password reset, of überhaupt een dergelijke account login toegang geeft tot heel WHMCS.

tjvb
22/05/12, 16:12
Dat HostGator bij de wachtwoord vergeten functie een mail stuurt na het invullen van het juiste adres om door middel van een link o.i.d. het wachtwoord te resetten lijkt me niet zo raar.
Dat de aanvallers bij de mailbox kunnen is natuurlijk niet de fout / het probleem van HostGator.

Arieh
22/05/12, 16:19
Dat is niet hoe het gegaan is:


The person was able to impersonate myself with our web hosting company, and provide correct answers to their verification questions. And thereby gain access to our client account with the host, and ultimately change the email and then request a mailing of the access details.

Axel Polfliet
22/05/12, 16:24
Onzin want dit soort gevoelige gegevens om dit soort zaken te kunnen uithalen, ga je toch zo maar niet verstrekken! Als jij dit wel doet dan zou ik nog maar eens heel goed bij jezelf te raden gaan.

Slaat uiteraard nergens op, als een klant zich kan identificeren onder het 'account' van WHMCS of via het bij de provider bekende e-mail adres dan mag je de conclusie trekken dat het daadwerkelijk om de klant gaat. Het is aan de klant om zijn account of andere toegang tot zijn producten en diensten te voorzien van een sterk wachtwoord, of in dit geval een niet door derden te raden antwoord op de geheime vraag.

De keuze voor een geheime vraag in het klanten systeem is wellicht wel iets wat je zou kunnen heroverwegen, e-mail validatie bij een password reset lijkt me zelf een stuk veiliger.

patrickekkel
22/05/12, 16:26
Als whmcs zo'n groot bedrijf is waarom hebben ze dan geen eigen servers in eigenbeheer waar enkel zij zelf bij kunnen ?
Dan had je problemen als dit al kunnen voorkomen.

tjvb
22/05/12, 16:32
Omdat ze geen serverbeheerders zijn? De download van hun cpanel root map is nog geen 2gb. Daar heb je geen losse server voor nodig

SmilieBG
22/05/12, 16:32
Zo te horen heeft WHMCS slechts een / of een handvol servers bij HostGator; dat is niet spannend 'groot' klant, dus voor HostGator wellicht dertien in een dozijn. Zelfs als ze een hele rack hebben is dat alsnog voor meeste DC's aan de kleine kant.

Ik vind dit meer 'schuld' van WHMCS zelf. Met name als je ziet hoe ze met code / DB gegevens omgaan - dan trek ik dezelfde conclusie naar rest van de 'beveiliging' en dan is wel duidelijk hoe zoiets kon gebeuren.

HostGator heeft naar mijn mening voldoende checks uitgevoerd om vast te stellen of klant is wie hij zei dat ie is. Als ik zelf WHMCS eigenaar was, dan had ik zeker vele malen betere afspraken met mijn DC. In iedere geval, geen kritische zaken aanpassen zonder mijn expliciet toestemming middels vooraf afgesproken methode.

Ten slotte, vroeg ik me ook af - indien servers managed zijn, waarom zou HostGator dergelijke gegevens überhaupt verstrekken?! :S

Arieh
22/05/12, 16:40
Waar staat dat men onder een geldig e-mail adres HostGator heeft gecontact? Zover ik weet is het puur op geheime vragen / algemene info gegaan.

En de grootte in GBs van een website zegt niets over of je wel of niet een eigen omgeving moet hebben. WHMCS heeft nu zelf al aangegeven een eigen platform in te richten. Lijkt me niet meer dan terecht. Je bent een bekend bedrijf met veel klanten & info, daar gaat het om.

WebMeso
22/05/12, 17:20
Waar staat dat men onder een geldig e-mail adres HostGator heeft gecontact? Zover ik weet is het puur op geheime vragen / algemene info gegaan.

Klopt. Nergens wordt vermeld dat dit via een e-mailcorrespondentie heeft plaatsgevonden. Uit het uitgebrachte bericht van WHMCS kan ik concluderen dat de gegevens van het account (WHMCS) op het panel van HostGator via social engineering buit zijn gemaakt (missschien via de live support?). Daarna hebben ze in het account de email aangepast en via het account systeem van HostGator een aanvraag gedaan om access te krijgen tot de server.


En de grootte in GBs van een website zegt niets over of je wel of niet een eigen omgeving moet hebben. WHMCS heeft nu zelf al aangegeven een eigen platform in te richten. Lijkt me niet meer dan terecht. Je bent een bekend bedrijf met veel klanten & info, daar gaat het om.

Geen idee waar je dat vandaan haalt. Nergens heb ik gezien dat ze een eigen platform gaan inrichten? Ik zie alleen dat ze over gaan stappen naar een ander platform en daarbij natuurlijk rekening gaan houden met de gebeurtenissen welke voor de leaks en downtime hebben gezorgd. Daarbij zullen ze zorgen voor een betere hosting infrastructuur. Of ze dat helemaal zelf gaan doen en kunnen, is maar de vraag. Zie de quote hieronder.


We know we've let you down. Although the attack yesterday was not directly due to any lapses in the security in place on either our server or WHMCS itself, we realise that we could, and should, have had a more robust hosting infrastructure in place. Plans have already been put in motion for a new multi-server hosting infrastructure to be setup and migrated to.

maxnet
22/05/12, 17:32
Waar staat dat men onder een geldig e-mail adres HostGator heeft gecontact? Zover ik weet is het puur op geheime vragen / algemene info gegaan.


Denk dat die suggestie komt door het eerste bericht van Matt.


http://www.webhostingtalk.com/showpost.php?p=8137936&postcount=56



Hi Guys,

As you've seen we have unfortunately become the victim of a hack just a little over an hour ago.

So far early indications are that they were able to compromise my email, and subsequently impersonate myself with HostGator staff. In response to those saying it's an unsecured box, we use a fully managed service from HostGator for our website, in connection with McAfee Secure.

We'll post more updates as soon as we have them.

Matt


Vraag is of dat een foute eerste aanname was, of dat het hem handiger leek in latere berichtgeving een stukje van het verhaal buiten beschouwing te laten.
Zou daarom een beetje voorzichtig zijn met partijen gaan beschuldigen.

Axel Polfliet
22/05/12, 17:43
Geen idee waar je dat vandaan haalt. Nergens heb ik gezien dat ze een eigen platform gaan inrichten?

Afkomstig van blog.whmcs.com:


Plans have already been put in motion for a new multi-server hosting infrastructure to be setup and migrated to.

Arieh
22/05/12, 17:58
Geen idee waar je dat vandaan haalt. Nergens heb ik gezien dat ze een eigen platform gaan inrichten? Ik zie alleen dat ze over gaan stappen naar een ander platform en daarbij natuurlijk rekening gaan houden met de gebeurtenissen welke voor de leaks en downtime hebben gezorgd. Daarbij zullen ze zorgen voor een betere hosting infrastructuur. Of ze dat helemaal zelf gaan doen en kunnen, is maar de vraag. Zie de quote hieronder.

Voeg het woordje laten aan m'n zin toe en hij klopt altijd :) Het ging er mij om dat het te eenvoudig was toegang te krijgen tot alle gegevens. Bij de nieuwe omgeving zal dit niet het geval zijn neem ik aan.

Maar, het is inderdaad nu de vraag of Matt's e-mail niet de bron is. Hij claimt in het latere bericht wel dat het e-mail adres bij HG gewijzigd is, en dat toen de gegevens zijn opgevraagd. Als dit niet klopt dan lijkt me dat HG dit wel kenbaar zal maken.

Yourwebhoster
22/05/12, 18:01
Voeg het woordje laten aan m'n zin toe en hij klopt altijd :) Het ging er mij om dat het te eenvoudig was toegang te krijgen tot alle gegevens. Bij de nieuwe omgeving zal dit niet het geval zijn neem ik aan.

Maar, het is inderdaad nu de vraag of Matt's e-mail niet de bron is. Hij claimt in het latere bericht wel dat het e-mail adres bij HG gewijzigd is, en dat toen de gegevens zijn opgevraagd. Als dit niet klopt dan lijkt me dat HG dit wel kenbaar zal maken.

Zoals ik het lees vanuit hun blog post ( http://blog.whmcs.com/?t=47660 )

The person was able to impersonate myself with our web hosting company, and provide correct answers to their verification questions. And thereby gain access to our client account with the host, and ultimately change the email and then request a mailing of the access details.

Zou Matt zijn e-mail account niet eens gebruikt zijn maar gewoon contact opgenomen zijn met HG en daarna toegang verkregen hebben.

drex
22/05/12, 20:21
Slaat uiteraard nergens op, als een klant zich kan identificeren onder het 'account' van WHMCS of via het bij de provider bekende e-mail adres dan mag je de conclusie trekken dat het daadwerkelijk om de klant gaat. Het is aan de klant om zijn account of andere toegang tot zijn producten en diensten te voorzien van een sterk wachtwoord, of in dit geval een niet door derden te raden antwoord op de geheime vraag.

De keuze voor een geheime vraag in het klanten systeem is wellicht wel iets wat je zou kunnen heroverwegen, e-mail validatie bij een password reset lijkt me zelf een stuk veiliger.

Je gaat zo maar niet de login gegevens verstrekken op de wijze zoals dat nu is gebeurt bij deze partij.....blijkbaar denk jij hier anders over en doe je dit maar af met "Slaat nergens op"? Jij bent dus een partij waar ik dus nooit geen zaken mee zou doen.

Voxio
23/05/12, 00:12
De klopjacht op de dader is in ieder geval al gaande: http://whmcs-hacker.soup.io/

Spyder01
23/05/12, 00:53
Tja, als iemand zijn e-mailadres nooit update en vervolgens aan de lijn hangt: ik ben gegevens nodig maar ik heb verzuimd mijn mailadres up to date te houden en de veiligheidsvragen worden netjes beantwoord... Dat zie je vaker, in dit geval kunnen ze dus beter een kopie paspoort bij het klant worden vragen en deze bij zo`n incident vergelijken met een nieuwe kopie die je de klant laat sturen.

Maar dan schop je ook mensen tegen het verkeerde been. Dus eigenlijk kun je het nooit goed doen als je het zo bekijkt.

Huib
23/05/12, 01:20
Wij hebben laatst aan een klant gevraagd of die even een bestandje via FTP online kon zetten zodat we konden zien dat hij de persoon in kwestie was. Maar we hebben ook allemaal de telefoonnummers van klanten toch? Verifiëren hoeft niet moeilijk te zijn dan.

veiligheidsvragen, geheime vragen etc etc worden door sommige mensen zo serieus ingevuld dat je ze makkelijk kan raden als iemand een beetje kent.

maxnet
23/05/12, 09:13
*zucht*
Laatste regel: http://i.imgur.com/ep0kl.png

Huib
23/05/12, 10:43
Ook weer fijn, ben benieuwd wanneer het stopt

Huib
23/05/12, 10:51
Lijkt nu verwijderd te zijn?

Yourwebhoster
23/05/12, 10:57
Lijkt nu verwijderd te zijn?

Idd. Op het forum van whmcs zelf hebben ze het er ook over http://forum.whmcs.com/showthread.php?t=47640&page=33

Hier is trouwens ook een aardige post http://forum.whmcs.com/showpost.php?p=224101&postcount=483 wat aangeeft dat WHMCS niet de enige is met security bugs. Dit is uiteraard wel een ander geval maar ik neem de mensen die gelijk gaan zeuren om credits ( http://forum.whmcs.com/showthread.php?t=47685 ) niet serieus.

Tuurlijk is het vervelend en jammer dat dit gebeurd is, maar als hoster weet je zelf ook wel hoe het is als iets fout gaat en dan moet je de juiste prioriteiten geven. Compensatie kan later komen als die er is, hier hebben wij geen last gehad van de storing zover bekend. Waar het nu om gaat is dat alles veilig kan functioneren en security audits wellicht.

SF-Jeroen
23/05/12, 11:31
Wij hebben laatst aan een klant gevraagd of die even een bestandje via FTP online kon zetten zodat we konden zien dat hij de persoon in kwestie was. Maar we hebben ook allemaal de telefoonnummers van klanten toch? Verifiëren hoeft niet moeilijk te zijn dan.

veiligheidsvragen, geheime vragen etc etc worden door sommige mensen zo serieus ingevuld dat je ze makkelijk kan raden als iemand een beetje kent.


Maar zelfs met een wachtwoord zou het niet zomaar mogelijk moeten zijn om in te loggen op een server met dergelijke privacygevoelige informatie.

maxnet
23/05/12, 11:35
Beveiligingsproblemen komen inderaad wel vaker voor.

Maar het vervelende is nu wel dat er naast cc gegevens ook een licentie database met de adressen van alle WHMCS installaties op straat ligt.
Als er ooit nog een ander lek in de WHMCS software zelf gevonden wordt, heb je het risico dat iemand er een botnet van gaat bouwen. (bedenk daarbij dat veel hosters ook de inloggegevens van hun andere servers in WHMCS hebben staan)
En daar kunnen ook de niet-WHMCS gebruikers last van krijgen.

Huib
23/05/12, 12:17
Het hele forum is nu gesloten vanwege onderhoud / update

Yourwebhoster
23/05/12, 12:25
Beveiligingsproblemen komen inderaad wel vaker voor.

Maar het vervelende is nu wel dat er naast cc gegevens ook een licentie database met de adressen van alle WHMCS installaties op straat ligt.
Als er ooit nog een ander lek in de WHMCS software zelf gevonden wordt, heb je het risico dat iemand er een botnet van gaat bouwen. (bedenk daarbij dat veel hosters ook de inloggegevens van hun andere servers in WHMCS hebben staan)
En daar kunnen ook de niet-WHMCS gebruikers last van krijgen.

Je kan preventief de installatie verhuizen, dat zal je eigen keuze zijn dan. Maar het blijft inderdaad makkelijk te vinden.

Huib
23/05/12, 13:14
Statement van UGNazi: http://pastebin.com/iDgfV8RM

Maar als ik het goed begrijp zit WHMCS dus op een VPS danwel shared hosting, ik neem aan als je dat budget ziet dat het niet moeilijk zou zijn om gewoon eigen servers in een co-lo te hangen? Vooral (als) je webhost ervoort zorgt dat je "gehacked" word en ik weet niet hoeveel schade er aan over houdt.

Yourwebhoster
23/05/12, 13:20
Statement van UGNazi: http://pastebin.com/iDgfV8RM

Maar als ik het goed begrijp zit WHMCS dus op een VPS danwel shared hosting, ik neem aan als je dat budget ziet dat het niet moeilijk zou zijn om gewoon eigen servers in een co-lo te hangen? Vooral (als) je webhost ervoort zorgt dat je "gehacked" word en ik weet niet hoeveel schade er aan over houdt.

Als je geen kennis hebt dan moet je er voor zorgen dat er kennis is dat die servers online blijven. In principe is er niks mis mee als je dit door een externe partij wilt laten doen maar dit moet je wel goed inregelen. Mogelijk dat ze tijdelijk bij Hostgator zitten totdat er een goed alternatief gevonden is.

Erik H.
23/05/12, 14:44
En hoppa, ook de blog is de pisang... http://blog.whmcs.com.
Op het forum waren ze ook al bezig.

Andere server(s) volgens Matt. Zucht.

Huib
23/05/12, 14:58
Dat de blog en nu ook het forum niet wrken heeft volgens Matt te maken met een DDOS die ze al een tijdje op hun dak krijgen? Ze resolven wel naar andere IP nummers.

Yourwebhoster
23/05/12, 14:59
Dat de blog en nu ook het forum niet wrken heeft volgens Matt te maken met een DDOS die ze al een tijdje op hun dak krijgen? Ze resolven wel naar andere IP nummers.

Volgens mij werkt het wel maar enorm traag.

Erik H.
23/05/12, 15:01
Dat de blog en nu ook het forum niet wrken heeft volgens Matt te maken met een DDOS die ze al een tijdje op hun dak krijgen? Ze resolven wel naar andere IP nummers.

Op de blog stond een plaatje en teksten met alle users, " r0x" en meer teksten door de user "Matt". Dat lukt je echt niet met een DDOS....

IT-worX
23/05/12, 15:01
http://www.robtex.com/dns/whcms.com.html

Yourwebhoster
23/05/12, 15:03
Op de blog stond een plaatje en teksten met alle users, " r0x" en meer teksten door de user "Matt". Dat lukt je echt niet met een DDOS....

Dat is inderdaad niet goed, ik ben benieuwd hoe dit mogelijk is want als ze alles goed gedaan hebben hebben ze alles aangepast.
Krijg iig nu niks meer.

Huib
23/05/12, 15:08
Toen ik keek was het alleen erg langzaam, stond geen troep meer op.

Huib
23/05/12, 15:17
Het forum geeft nu een pop-up dat je een wachtwoord en gebruikersnaam moet invoeren om forum.whmcs.com:80 te benaderen.

Yourwebhoster
23/05/12, 16:20
Status update:
We are continueing to work very hard to recover from the events of the past few days.

To start with, here's a recap of the timeline of events:

Monday 21st
> Alarm raised about breach of primary server
> Access regained to server, security audit performed, and website restored from backup
> Independant company also asked to perform security audit of primary server
> DDOS Attack starts

Tuesday 22nd
> DDOS attack to main server continues throughout the day causing intermittent access issues

Wednesday 23rd
> DDOS attack to main server continues
> DDOS Attack starts towards forum
> Forums are attacked - posts edited. vBulletin used as a point of entry. The forums, the documentation, and the blog are all hosted on a different server, entirely separate from our primary server. So this poses no new risk to our main client database. This issue is ongoing.

Unfortunately credit card details were taken, and we do urge any clients who feel their credit card might have been included in this to take appropriate steps to secure their card. Further investigations have shown that the social engineering attack did not involve the compromising of any email account. This was only done after access to the server had been gained.

We've been working very hard with our web hosting provider to restore and secure services. The DDOS mitigation continues to be ongoing and we are doing everything we can to limit the impact of this.

Our main priority until now has been getting our main site back online, secured, and operational, so that we could bring our WHMCS installation back online to open up a route of communication to you, our users, and start dealing with any questions and concerns as quickly as possible.

As soon as we have things completely back under control, we will be reviewing all our systems and operating procedures, and making changes as and where appropriate. Steps are already in progress to migrate to a new hosting infrastructure as a first priority. This will likely mean some brief downtime in the coming hours.

As I'm sure you can imagine, we are currently receiving a very large number of support tickets and enquiries, and we're doing all we can to answer them as quickly as possible. Your continued patience & support in these testing times is greatly appreciated.

The whole WHMCS team has been working extremely hard, and I'd like to take this opportunity to thank them as well for all their efforts in the past 36 hours.

-- Our Twitter Account remains out of our control. Does anybody know of any way to contact them or get any assistance from their side to regain control? We have got no response to our requests to them in over 36 hours now.

http://blog.whmcs.com/?t=47717

GlobalServe
23/05/12, 17:14
Hoe is het nu mogelijk dat er creditcard gegevens gestolen worden!
Volgens de PCI Compliance mag dit toch niet! Ze mogen alle sinds geen volledige nummers bijhouden!

https://www.pcisecuritystandards.org/

davinci
23/05/12, 17:46
Hoe is het nu mogelijk dat er creditcard gegevens gestolen worden!
Volgens de PCI Compliance mag dit toch niet! Ze mogen alle sinds geen volledige nummers bijhouden!


Door rood rijden mag ook niet, toch gebeurt dit...

Huib
23/05/12, 18:47
never mind :)

phoenix78
23/05/12, 19:21
En zoals het ernaar uitziet zal WHMCS de problemen blijven houden:



1.The reason for the hack and database leak of the WHMCS was due to the vulnerability WHMCS and "Matt" have. As most of you know the database contains credit cards, Really? Yup. WHMCS, the number 1 Web Hosting Client management company stores your credit card on Hostgator's servers. By Matt hosting this huge domain on Hostgator he made himself and his domain very insecure and that is why we took action and did what we did. It is now 2 days after the attack from us and the site is back up and it still remains on Hostgator after Matt knows it is insecure. Well Matt, guess what... Here at UGNazi We laugh at your security. By releasing your files, we wanted to make it known that we are watching; and will continue to be watching. Stay Frosty.

Yourwebhoster
23/05/12, 19:23
En zoals het ernaar uitziet zal WHMCS de problemen blijven houden:

Was al bekend;)


Statement van UGNazi: http://pastebin.com/iDgfV8RM

Maar als ik het goed begrijp zit WHMCS dus op een VPS danwel shared hosting, ik neem aan als je dat budget ziet dat het niet moeilijk zou zijn om gewoon eigen servers in een co-lo te hangen? Vooral (als) je webhost ervoort zorgt dat je "gehacked" word en ik weet niet hoeveel schade er aan over houdt.

phoenix78
23/05/12, 19:30
Heb ik overeen gelezen dan :D

®on
23/05/12, 20:05
En zoals het ernaar uitziet zal WHMCS de problemen blijven houden:
Waarbij het mij ontgaat wat het nut is om de gegevens te lekken. Als je punt is om Matt/WHMCS iets duidelijk te maken, is dat gelukt. Dit kunnen ze blijven herhalen, totdat Matt zijn security op orde heeft. Het lekken van gegevens is volledig onnodig, en zorgt voor flinke colleteral damage.

Huib
23/05/12, 20:14
Het heeft waarschijnlijk niet een extra nut om het te lekken maar deed hij dat "just for the fun of it". Het nut van al 3 dagen een DDOS op zijn dak gooien mis ik ook een beetje... Als het punt is dat ie weg moet bij hostgator dan zou hij tijd moeten hebben omdat te doen i.p.v achter feiten aan blijven lopen?

systemdeveloper
23/05/12, 23:43
Waarbij het mij ontgaat wat het nut is om de gegevens te lekken. Als je punt is om Matt/WHMCS iets duidelijk te maken, is dat gelukt. Dit kunnen ze blijven herhalen, totdat Matt zijn security op orde heeft. Het lekken van gegevens is volledig onnodig, en zorgt voor flinke colleteral damage.
True, maar het dwingt anderen ook om preventief hun security aan te scherpen zonder dat ze eerst gehacked moeten worden om 'het punt duidelijk te maken'. Ik denk/hoop dat een hele hoop hosters onder ons eieren voor hun geld kiezen en dus preventief hun belangrijke data een extra security-jasje aangetrokken hebben.

Imho is er geen verschil tussen een hacker die in zijn eentje/clubje de gegevens misbruikt (en dus niet lekt) of een hele reeks wannabees die het doen als het wel gelekt is.

Huib
24/05/12, 11:08
Ze hebben nu ook hun twitter account weer terug. Lijkt nu de goede kant op te gaan, heb vandaag ook geen last van een langzame site bij hun. Alleen het forum blijft onbereikbaar.

beenske
24/05/12, 12:20
Hier direct Visa kaart laten blokkeren... tis mss overkill maar liever zeker zijn..


Hoe is het nu mogelijk dat er creditcard gegevens gestolen worden!
Volgens de PCI Compliance mag dit toch niet! Ze mogen alle sinds geen volledige nummers bijhouden!

https://www.pcisecuritystandards.org/

dreamhost_nl
24/05/12, 15:07
Ben benieuwd hoe ze de Twitter account terug hebben gekregen. In eerdere posts gaven ze nog aan hier hulp voor te zoeken.

Yourwebhoster
24/05/12, 20:18
Ben benieuwd hoe ze de Twitter account terug hebben gekregen. In eerdere posts gaven ze nog aan hier hulp voor te zoeken.

ER is een standaard procedure om je account terug te krijgen (zie https://support.twitter.com/articles/185703 ). Mogelijk hebben zij gereageerd.

dreamhost_nl
24/05/12, 20:58
Dat zal het inderdaad wel zijn. Wel logisch dat ze ongeduldig werden als er zoveel dingen tegen zitten waar je voor het overgrote deel niet veel meer aan kan doen.

Yourwebhoster
26/05/12, 09:34
E-mail van WHMCS:


Dear Customer,

This is a follow up to the Urgent Security Alert email sent earlier this week. As you will be aware from that, we were the victim of a malicious attack which has resulted in our server being accessed, and our database being compromised.

As a security precaution, we are expiring all passwords for our client area. In order to restore access to your account, please visit the following url to reset your password:
https://www.whmcs.com/members/pwreset.php

We have restored all essential services except for our forums, and resumed normal operations as quickly as possible in order to keep licensing and support channels open. We are still actively working to restore the forums, and we expect them to return to operation soon.

A full security audit and hardening was undertaken immediately following the breach, and the site remains safe to use. It is important to note that the breach we experienced was the result of a social engineering attack, and not the result of a hack or a breach in the WHMCS software.

We continue to experience a distributed denial of service attack, which has caused disruption to our public facing site. We are in the process of moving to a more expansive infrastructure which should mitigate this type of attack in the future. With this move, we will have a much stronger setup with additional layers of security, and these upgrades to our infrastructure will ultimately mean that our servers, and your data, will be better protected than ever before.

Please be aware, that in order to deliver these security upgrades, we expect some very brief downtime during the migration process. We apologize in advance for any inconvenience this may cause.

While we are all currently focused on security, we would like to take this opportunity to ask everyone to read our Security Guide @ http://go.whmcs.com/22/security

While it would be ideal for all steps to be followed, we recommend that you at least rename (http://go.whmcs.com/23/securityfolder), and apply IP protection (http://go.whmcs.com/24/securityip) and/or password protection (http://go.whmcs.com/25/securityadmin) to the admin directory.

We are continuing to work tirelessly to resume normal service and regain your trust. On behalf of everyone at WHMCS please accept my apologies for the inconvenience and we thank you for your support.

----
Matt
WHMCS Limited
www.whmcs.com

Huib
26/05/12, 10:27
Spammers hebben de database inmiddels ook gebruikt :')


Good afternoon,

would be interested in processing payments by Credit Card in your WHMCS?

You can do this through our HiPay Gateway for integration with WHMCS.

HiPay (hipay.com), is a company like Paypal, but enables its customers to pay by Credit Card and other 15 different types of payments (easy account setup without waiting or approval time). We provide you with a gateway that allows you to use HiPay in your WHMCS, similarly to how you probably already use Paypal.

We offer full support in setting up the gateway to your whmcs and the possibility of testing, totally free, the gateway for 7 days.

For a free license follow this link: .

Any difficulty in the installation please contact us, which will help you in everything you need for free. If you prefer support by msn: .


That is all.

Best regards,
Frogost.com

Yourwebhoster
26/05/12, 10:42
Spammers hebben de database inmiddels ook gebruikt :')

Om die reden maak ik meestal andere e-mail adressen aan, maar dat deed ik pas nadat ik WHMCS had genomen en daarna nooit meer aangepast:(


Helaas werkt dat niet altijd want door te registreren bij Moneybookers krijg je ook spam en dat kan je niet blokkeren helaas.

Yourwebhoster
26/05/12, 14:32
Inmiddels is het forum ook weer online. Geen nieuwe info, maar ze hebben een Q & A online gezet:

Compromise Q&A
Compromise Q&A

Q. Where can I find the details about what happened?

We have been regularly posting on our blog all week to keep users updated as soon as new details have become available, so please refer to http://blog.whmcs.com

Q. Why can't I login to your client area?

As a security precaution, we have expired all passwords for our client area. In order to restore access to your account, please visit the following url to reset your password: https://www.whmcs.com/members/pwreset.php

Q. I tried to access your site but it was down again, what's happened?

Since the initial attack on Monday, we have been experiencing a continuous distributed denial of service attack. This has caused disruption to our public facing site(s) and intermittent access problems.

Q. I've heard you host everything on one server, is that true?

No, we have our primary server which hosts our WHMCS installation and then a secondary server which hosts third party software's such as this forum, the blog and the documentation resources.

Q. How did the user gain access to your server?

Access was gained using social engineering.

Q. What is "social engineering"?

Put simply, it is the art of manipulating people into performing actions or divulging confidential information. In our case, it was a user impersonating our owner with our managed web hosting provider.

Q. What information was taken?

Our database was compromised, and therefore names, addresses & credit card information is at risk.

Q. What should I do?

You should change all passwords that you have used with us, both for the client area and provided via support tickets. Also if you have ever paid us via credit card directly (not through PayPal), then we recommend notifying your card company that your card details may have been stolen.

Q. Is there anything else I should look out for?

You should beware of criminals pretending to be from either WHMCS, your bank or other trusted companies.

Q. What are you doing to ensure this doesn't happen again?

We are in the process of moving to a new more expansive hosting infrastructure. This will happen next week. In the meantime, a full security audit and hardening was undertaken immediately following the breach, and our site remains safe to use. It is important to note that the breach we experienced was the result of a social engineering attack, and not the result of a hack or a breach in either the server or WHMCS software.


http://forum.whmcs.com/showthread.php?47739-Compromise-Q-amp-A

Huib
26/05/12, 14:33
Hmm, handig. Hier gebruiken we geen moneybookers... Maar had eigenlijk mijn prive mailadres best wel spam vrij, beetje jammer.

dreamhost_nl
26/05/12, 14:57
@Huib: Misschien handig om de links van de spammerT te (laten) verwijderen.

Yourwebhoster
26/05/12, 14:59
@Huib: Misschien handig om de links van de spammerT te (laten) verwijderen.
Heb het gereport.

Hoe kan een partij als deze nou zichzelf serieus nemen door de WHMCS database te misbruiken; als ik toch interesse had dan had ik het om die reden niet gedaan.

Huib
26/05/12, 15:07
Yep... Ik had het gepost en dacht toen al de link kan beter weg... maar kon de edit knop nergens vinden

Yourwebhoster
26/05/12, 15:09
Yep... Ik had het gepost en dacht toen al de link kan beter weg... maar kon de edit knop nergens vinden

Na 15 minuten gaat die weg.

Huib
27/05/12, 02:18
Na 15 minuten gaat die weg.
Dat verklaard idd waarom ik hem niet kon vinden.

Voxio
30/05/12, 17:35
Een van de boefjes is inmiddels opgepakt: http://news.softpedia.com/news/UGNazi-Hacker-Cosmo-Arrested-After-WHMCS-Breach-272565.shtml

Domenico
31/05/12, 18:31
Mocht je het allemaal niet echt bijhouden, er is nog meer slecht nieuws voor de WHMCS gebruiker. Blijkbaar is er al maanden een 0-day exploit in omloop die nog steeds niet gepatched is.

Lees bijvoorbeeld het volgende artikel maar eens: http://krebsonsecurity.com/2012/05/whmcs-breach-may-be-only-tip-of-the-trouble/


“No patches for it until now, vulnerability is a full blind SQL injection discovered by me. Wrote an exploit for it that works from command line which extracts admin hash from [database]. No need to decode md5 hash, can login directly with faking cookies.

Also can provide 3 methods to upload shell from the whmcs panel after logging in as admin.

will sell exploit to maximum 3 buyers.

-Price: $6k USD

-Payment Method: LR [Liberty Reserve]“

maxnet
31/05/12, 18:38
Mocht je het allemaal niet echt bijhouden, er is nog meer slecht nieuws voor de WHMCS gebruiker. Blijkbaar is er al maanden een 0-day exploit in omloop die nog steeds niet gepatched is.


Klinkt als de exploit die maandag op FullDisclosure is geplaatst met de opmerking "Looks like someones been trying to sell this".
Is inmiddels gepatched.


Edit: staat ook in het artikel dat je linkt "Update, May 29, 12:35 p.m. ET: WHMCS just issued a patch to fix an SQL injection vulnerability that may be related to this 0day."

Domenico
31/05/12, 18:44
Klinkt als de exploit die maandag op FullDisclosure is geplaatst met de opmerking "Looks like someones been trying to sell this".
Is inmiddels gepatched.


Edit: staat ook in het artikel dat je linkt "Update, May 29, 12:35 p.m. ET: WHMCS just issued a patch to fix an SQL injection vulnerability that may be related to this 0day."

Klopt maar het is niet zeker of dat de fix over de 0day exploit gaat.

WHMCS just issued a patch to fix an SQL injection vulnerability that may be related to this 0day

Al met al een slechte zaak. Hopelijk houd het nu op en gaan ze flink aan de slag met de security. Iets wat al vanaf het begin op orde had moeten zijn.

EDIT: Misschien ook wel een reden voor een security audit en wachtwoorden veranderen...

Yourwebhoster
31/05/12, 21:46
Zie http://www.webhostingtalk.nl/billing-administratie-en-monitoring-systemen/174340-whmcs-security-patch.html

Er waren inderdaad problemen, ik vermoed dat door de centrale aanpassing dat dit opgelost is. Een vrijgegeven exploit gaf een voorbeeld dat het via een module een injectie kon doen.

Edit: http://www.webhostingtalk.com/showpost.php?p=8158182&postcount=5