Resultaten 16 tot 30 van de 47
Pagina 2 van de 4 Eerste 1 2 3 4 LaatsteLaatste
  1. #16
    WHMCS gebruikers opgelet!
    SolidHost
    8.296 Berichten
    Ingeschreven
    29/06/03

    Locatie
    Rotterdam/Amsterdam/Barcelona

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    323 Berichten zijn liked


    Naam: Andre van Vliet
    Bedrijf: SolidHost Managed Hosting
    Functie: CEO
    URL: www.solidhost.com
    KvK nummer: 24366308
    View andrevanvliet's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door patrickekkel Bekijk Berichten
    daar had ik de db al wel apart draaien
    De database.. en hoe zit het met de webserver? Draait die wel op een klantenserver? Dan heb je in dat geval dus ook de MySQL username en password van WeFact in een configuratiebestandje op je klantserver staan..

    Citaat Oorspronkelijk geplaatst door patrickekkel Bekijk Berichten
    Maar ik ga beide installatie's nu geheel apart op een vps plaatsen
    zowel whmcs als wefact
    Doe dat nou niet..

  2. #17
    WHMCS gebruikers opgelet!
    geregistreerd gebruiker
    1.453 Berichten
    Ingeschreven
    20/03/09

    Locatie
    Barendrecht

    Post Thanks / Like
    Mentioned
    3 Post(s)
    Tagged
    0 Thread(s)
    178 Berichten zijn liked


    Naam: Patrick Ekkel
    Bedrijf: Unsal Infratechniek B.V.
    Functie: Monteur Laagspanning
    URL: unsal.nl

    Citaat Oorspronkelijk geplaatst door Apoc Bekijk Berichten
    Patrick, nog even wat tips:

    - Ik zie dat je SolusVM draait. Maak nou niet de fout door een VPS aan te gaan maken via SolusVM en daar je administratie in te gaan hosten. Je hebt dan namelijk weer het risico dat er ooit op je SolusVM ingebroken wordt, en men op die manier toegang krijgt tot je WHMCS (en andere bedrijfsgevoelige systemen). Zet simpelweg een volledig afgezonderde server op, en timmer dat ding helemaal dicht.

    - Ik zie dat je geen SSL certificaat hebt draaien op bestel.uscn.nl. Dit + het bovenstaande zijn toch wel hele duidelijke signalen dat er een boel werk aan de winkel is..

    - de URL in je WHT profiel klopt niet, er staat nu http://http//uscn.nl (WHT voegt zelf http:// toe)

    1.dat is dus weer iets waar ik niet aan dacht !
    2.ssl certificaat is vanmorgen besteld bij networking4all.nl en moet er nog ingezet worden !
    3.Zal ik ook veranderen

  3. #18
    WHMCS gebruikers opgelet!
    geregistreerd gebruiker
    1.453 Berichten
    Ingeschreven
    20/03/09

    Locatie
    Barendrecht

    Post Thanks / Like
    Mentioned
    3 Post(s)
    Tagged
    0 Thread(s)
    178 Berichten zijn liked


    Naam: Patrick Ekkel
    Bedrijf: Unsal Infratechniek B.V.
    Functie: Monteur Laagspanning
    URL: unsal.nl

    Webserver draait wel op een klanten server

    Maar ik heb nu de volgende Constructie in gedachte !

    Whmcs op een aparte Server
    wefact op een aparte Server
    en dan 2 Servers voor een db van whmcs en een db van wefact

    Dan is alles apart en heb ik dit probleem niet meer lijkt mij

  4. #19
    WHMCS gebruikers opgelet!
    geregistreerd gebruiker
    1.331 Berichten
    Ingeschreven
    10/08/08

    Locatie
    Nuland

    Post Thanks / Like
    Mentioned
    3 Post(s)
    Tagged
    0 Thread(s)
    19 Berichten zijn liked


    Naam: Raoul Vos
    Bedrijf: WeservIT
    Functie: Eigenaar
    URL: http://weservcloud.nl
    Registrar SIDN: nee
    KvK nummer: 66365414
    Ondernemingsnummer: nvt

    Thread Starter
    Citaat Oorspronkelijk geplaatst door patrickekkel Bekijk Berichten
    Webserver draait wel op een klanten server

    Maar ik heb nu de volgende Constructie in gedachte !

    Whmcs op een aparte Server
    wefact op een aparte Server
    en dan 2 Servers voor een db van whmcs en een db van wefact

    Dan is alles apart en heb ik dit probleem niet meer lijkt mij
    DB op aparte servers draaien geeft niet echt een meerwaarde, aangezien ze het database wachtwoord uit kunnen lezen in het configuratie bestand. Vaak kunnen ze ook nog een phpshell uploaden en hiermee de database dumpen.
    Zorg gewoon dat je 2 aparte servers hebt voor WHMCS en Wefact en die laat beveiligen door iemand die daar alle verstand van heeft.

  5. #20
    WHMCS gebruikers opgelet!
    SolidHost
    8.296 Berichten
    Ingeschreven
    29/06/03

    Locatie
    Rotterdam/Amsterdam/Barcelona

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    323 Berichten zijn liked


    Naam: Andre van Vliet
    Bedrijf: SolidHost Managed Hosting
    Functie: CEO
    URL: www.solidhost.com
    KvK nummer: 24366308
    View andrevanvliet's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door patrickekkel Bekijk Berichten
    Webserver draait wel op een klanten server

    Maar ik heb nu de volgende Constructie in gedachte !

    Whmcs op een aparte Server
    wefact op een aparte Server
    en dan 2 Servers voor een db van whmcs en een db van wefact

    Dan is alles apart en heb ik dit probleem niet meer lijkt mij
    Waarom wil je een scheiding van je web- en databaseserver? Wat is de toegevoegde waarde hiervan?

    Het scheiden van WHMCS en WeFact kan nog enige toegevoegde waarde hebben, zodat een beveiligingslek in het ene systeem geen invloed heeft op het andere systeem.

    Als ik jou was zou ik gewoon een nieuwe fysieke bak pakken, die virtualiseren en 2 VM's aanmaken; 1 voor WHMCS, 1 voor WeFact. En uiteraard het geheel dicht timmeren (er hoeft niets open te blijven behalve poort 443 + enkele uitzonderingen voor APIs).

    Zoals Ron al zei; als je over dit soort kwesties nog niet eerder nagedacht hebt, doe je er goed aan om iemand een dagje in te huren en het voor je te laten regelen. Dit soort zaken dien je op orde te hebben voordat je überhaupt met je bedrijf van start gaat..

  6. #21
    WHMCS gebruikers opgelet!
    SolidHost
    8.296 Berichten
    Ingeschreven
    29/06/03

    Locatie
    Rotterdam/Amsterdam/Barcelona

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    323 Berichten zijn liked


    Naam: Andre van Vliet
    Bedrijf: SolidHost Managed Hosting
    Functie: CEO
    URL: www.solidhost.com
    KvK nummer: 24366308
    View andrevanvliet's profile on LinkedIn

    Echoooo! oo.. oo..

  7. #22
    WHMCS gebruikers opgelet!
    Vivor B.V. (vivor.net)
    2.357 Berichten
    Ingeschreven
    19/07/03

    Locatie
    Nijmegen / Diemen

    Post Thanks / Like
    Mentioned
    1 Post(s)
    Tagged
    0 Thread(s)
    57 Berichten zijn liked


    Naam: Wisselend
    Bedrijf: Vivor BV
    URL: www.vivor.net
    Registrar SIDN: ja
    KvK nummer: 32095794

    Kwetsbare installaties spugen kennelijk de waardes van configuration.php uit als je waardes voor $templatefile injecteert. Als je SQL dus naar externe IP's antwoordt, kunnen ze in je db. Ik weet niet hoe dat bij jullie zit, maar onze servers antwoorden standaard alleen op localhost...

    Zie: http://gregorydevans.com/2011/11/30/...-exploit-tool/
    Vivor B.V. - Internet voor professionals (contact)

  8. #23
    WHMCS gebruikers opgelet!
    moderator
    4.749 Berichten
    Ingeschreven
    21/02/09

    Locatie
    Noord-Holland

    Post Thanks / Like
    Mentioned
    25 Post(s)
    Tagged
    0 Thread(s)
    185 Berichten zijn liked


    Naam: D. Koop
    Bedrijf: Yourwebhoster.eu
    Functie: baas
    URL: yourwebhoster.eu
    KvK nummer: 32165429
    View danielkoop's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door Cybafish Bekijk Berichten
    Kwetsbare installaties spugen kennelijk de waardes van configuration.php uit als je waardes voor $templatefile injecteert. Als je SQL dus naar externe IP's antwoordt, kunnen ze in je db. Ik weet niet hoe dat bij jullie zit, maar onze servers antwoorden standaard alleen op localhost...

    Zie: http://gregorydevans.com/2011/11/30/...-exploit-tool/
    Hmm als ik het zo zie dan is whmcs wel erg slecht geschreven, dit zijn één van de basic dingen waar je rekening mee moet houden. Een simpele preg_match had dit voorkomen kunnen hebben. Ik vraag me af of het niet slimmer is om whmcs helemaal af te gaan schermen van publiekelijke toegang (inclusief de API) en zelf een front-end niet beter is. Goed het kost tijd maar dan heb je de zekerheid dat het veilig is en hoef je niet een compleet nieuw systeem te gaan ontwikkelen.

    Ik heb het echter niet kunnen reproduceren, front is al gepatched maar dev versie (V5) is ongepatched (wel afgesloten voor publiek) maar krijg ik met de tool geen waardes. Mogelijk was dit al gepatched maar is de patch pas later gepubliceerd?
    Met vriendelijke groet, Yourwebhoster.eu - Managed VPS diensten met Epyc performance op 100% SSDs

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  9. #24
    WHMCS gebruikers opgelet!
    geregistreerd gebruiker
    743 Berichten
    Ingeschreven
    19/11/07

    Locatie
    Dordrecht

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    5 Berichten zijn liked


    Naam: Theo Dumoulin
    Bedrijf: InterOps Storage Diensten
    Functie: Algemeen Directeur
    URL: www.interops.nl
    Registrar SIDN: nee
    KvK nummer: 24383741
    Ondernemingsnummer: nvt
    TrustCloud: oehTie
    View theodumoulin's profile on LinkedIn

    hier ook geupdate, gelijk upgrade naar versie 5 uitgevoerd, die moest nog gebeuren. WHMCS heeft overigens de full download ook al gepatch. Desondanks wel even checken bij dit soort ernstige meldingen.

  10. #25
    WHMCS gebruikers opgelet!
    moderator
    4.749 Berichten
    Ingeschreven
    21/02/09

    Locatie
    Noord-Holland

    Post Thanks / Like
    Mentioned
    25 Post(s)
    Tagged
    0 Thread(s)
    185 Berichten zijn liked


    Naam: D. Koop
    Bedrijf: Yourwebhoster.eu
    Functie: baas
    URL: yourwebhoster.eu
    KvK nummer: 32165429
    View danielkoop's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door oehTie Bekijk Berichten
    WHMCS heeft overigens de full download ook al gepatch. Desondanks wel even checken bij dit soort ernstige meldingen.
    Was volgens mij nog van voor de patch (de dev V5). Maar goed, later maar de patch uitvoeren.
    Met vriendelijke groet, Yourwebhoster.eu - Managed VPS diensten met Epyc performance op 100% SSDs

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  11. #26
    WHMCS gebruikers opgelet!
    geregistreerd gebruiker
    743 Berichten
    Ingeschreven
    19/11/07

    Locatie
    Dordrecht

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    5 Berichten zijn liked


    Naam: Theo Dumoulin
    Bedrijf: InterOps Storage Diensten
    Functie: Algemeen Directeur
    URL: www.interops.nl
    Registrar SIDN: nee
    KvK nummer: 24383741
    Ondernemingsnummer: nvt
    TrustCloud: oehTie
    View theodumoulin's profile on LinkedIn

    de release was van voor de patch, maar toen ik hem vanmiddag downloadde was de release al gepatcht. de extra patch was dus niet nodig. (maar toch altijd even checken natuurlijk)

  12. #27
    WHMCS gebruikers opgelet!
    geregistreerd gebruiker
    1.913 Berichten
    Ingeschreven
    23/10/03

    Locatie
    Enschede (+ London)

    Post Thanks / Like
    Mentioned
    3 Post(s)
    Tagged
    0 Thread(s)
    33 Berichten zijn liked


    Naam: Max
    Registrar SIDN: ja
    KvK nummer: 08119406
    Ondernemingsnummer: -

    Citaat Oorspronkelijk geplaatst door Apoc Bekijk Berichten
    Dit veiligheidslek vormt enkel een potentieel probleem i.c.m. een ander veiligheidsprobleem; namelijk de mogelijkheid om als niet-beheerder verbinding te maken met de database.
    Weet je dat wel zeker?
    Zou mij namenlijk niets verbazen als het lek net zo simpel te misbruiken is met een wel afschermde MySQL.

    - ja, in het voorbeeld dat hier gelinkt wordt het lek gebruik wordt om de inhoud van configuration.php te laten zien.
    - maar let goed op: de misbruikte parameter heet niet voor niets "templatefile". Het lokale bestand dat in de URL wordt genoemd wordt niet zomaar ingelezen, maar als template uitgevoerd!
    - in smarty templates kan PHP code worden ge'embed.
    - iemand die dus een bestand naar je server kan uploaden en daar de locatie van weet, kan met het lek willekeurige php code uitvoeren op je server.

    En ik denk dat de aanvallers er inmiddels ook wel achter zijn hoe ze een bestand op jouw server kunnen krijgen.
    De TS heeft het over rare PHP code als bijlage bij een support ticket....

  13. #28
    WHMCS gebruikers opgelet!
    Mj Webhosting
    215 Berichten
    Ingeschreven
    08/08/08

    Locatie
    veldhoven

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    9 Berichten zijn liked


    KvK nummer: 51819708

    Hier ook meteen geupdate toen de nieuwe versie 5 uit was.
    En tevens meteen alle andere bugfixes verholpen die erbij zaten.

  14. #29
    WHMCS gebruikers opgelet!
    moderator
    4.749 Berichten
    Ingeschreven
    21/02/09

    Locatie
    Noord-Holland

    Post Thanks / Like
    Mentioned
    25 Post(s)
    Tagged
    0 Thread(s)
    185 Berichten zijn liked


    Naam: D. Koop
    Bedrijf: Yourwebhoster.eu
    Functie: baas
    URL: yourwebhoster.eu
    KvK nummer: 32165429
    View danielkoop's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door maxnet Bekijk Berichten
    - iemand die dus een bestand naar je server kan uploaden en daar de locatie van weet, kan met het lek willekeurige php code uitvoeren op je server.

    En ik denk dat de aanvallers er inmiddels ook wel achter zijn hoe ze een bestand op jouw server kunnen krijgen.
    De TS heeft het over rare PHP code als bijlage bij een support ticket....
    Hangt er van af, in dit geval gaat het alleen om het includen/lezen van een file. Als er dus een mysql pw is en deze zou anders moeten zijn dan je ftp/directadmin login, dan is er nog geen toegang tot de whmcs omgeving. Ik moet hier echter wel een kanttekening bij maken dat als toegang tot de database verkregen is dat dus ook de admin login gegeven kan worden en als je in whmcs een module hebt die bestanden weg schrijft naar je server dat je een groter beveiligingsprobleem hebt.
    Met vriendelijke groet, Yourwebhoster.eu - Managed VPS diensten met Epyc performance op 100% SSDs

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  15. #30
    WHMCS gebruikers opgelet!
    geregistreerd gebruiker
    1.913 Berichten
    Ingeschreven
    23/10/03

    Locatie
    Enschede (+ London)

    Post Thanks / Like
    Mentioned
    3 Post(s)
    Tagged
    0 Thread(s)
    33 Berichten zijn liked


    Naam: Max
    Registrar SIDN: ja
    KvK nummer: 08119406
    Ondernemingsnummer: -

    Citaat Oorspronkelijk geplaatst door Yourwebhoster Bekijk Berichten
    Hangt er van af, in dit geval gaat het alleen om het includen/lezen van een file.
    Die file wordt niet alleen ingelezen, maar als template bestand uitgevoerd.

    In het geval van cart.php?a=account.php&template=../../../include/configuration.php%00 zitten er geen smarty tags in configuration.php en word het bestand daarom alleen weergegeven.

    Maar als je via de support ticket functie een bestand upload waar "{php}kwaadaardige code{/php}" in staat en vervolgens ipv configuration.php ../../../attachments/naam%00 aanroept dan wordt die code uitgevoerd.

    Een afgeschermde database server helpt je daar niet tegen. Denk dus niet dat het allemaal wel mee valt, en de patch wel tot na het weekend kan wachten...

Pagina 2 van de 4 Eerste 1 2 3 4 LaatsteLaatste

Labels voor dit Bericht

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics