Injeksi lewat SUPPORT TICKET WHMCS

[budiono]

Bro hoster sekalian, kode seperti ini jika dimasukkan ke support ticket akan menyebabkan apa? Kode ini dikirim dari sebuah IP dari arab saudi

{php}eval(base64_decode('JGNvZGUgPSBiYX...UpOw=='));{/php}

kalau saya decode, hasilnya seperti ini:

$code = base64_decode("PD9waHANCmVj...GI+VXBsb2FkIEdBR0FMICEhITwvYj48YnI+PGJyPic7IH0NCn0NCj8+");
$fo = fopen("templates_c/red.php","w");
fwrite($fo,$code);

nah kalau kode itu saya decode lagi hasilnya seperti ini:

<?php
echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" ...'; }
else { echo '<b>Upload GAGAL !!!</b><br><br>'; }
}
?>

Mohon petuah para suhu security. Thanks

 

[Adhie]

Bro hoster sekalian, kode seperti ini jika dimasukkan ke support ticket akan menyebabkan apa? Kode ini dikirim dari sebuah IP dari arab saudi



kalau saya decode, hasilnya seperti ini:



nah kalau kode itu saya decode lagi hasilnya seperti ini:



Mohon petuah para suhu security. Thanks

hehehe,
saya juga pernah mengalamin
5x malah



kayaknya sih dia mw inject shell kedalam whmcs
tp kayaknya itu yang versi lama
CMIIW

 

[felz]

itu buat memasukkan file ke dalam folder WHMCS, file tersebut biasanya terus di panggil lewat browser.
dari situ baru menginjeksi MysQL, dan deface index.php atau index.html, kalau securitinya lemah malah bisa nge-root dari situ

 

[Wien Dk]

Wah penah ini,

sebaiknya folder

• attachments
• downloads
• templates_c

di tempatkan di under public_html.

 

[premium]

ada yg aneh

{ echo '<b>Upload SUKSES !!!</b><br><br>'; }
else { echo '<b>Upload GAGAL !!!</b><br><br>'; }
}
?>

ktnya dari arab saudi... tp echo -nya bhs indo.

saya prnh di serang jg dari pakistan ip-nya. yg kena serang.. .org-2 DWH jg

 

[afiv_answers]

oh, itu sejenis Uploader injection sob, biasanya ini di pakai oleh hacker yang ingin memasukan shell ke web. cepet perbaiki, seebelum shell-nya di upload! (saya lupa lagi caranya, tapi coba ke forum hacker aja)

 

[budiono]

hehehe,
saya juga pernah mengalamin
5x malah

wah sampe 5 kali, sampai terjadi ilfiltrasi ndak bro? trus mengatasinya gimana bro?

itu buat memasukkan file ke dalam folder WHMCS, file tersebut biasanya terus di panggil lewat browser.
dari situ baru menginjeksi MysQL, dan deface index.php atau index.html, kalau securitinya lemah malah bisa nge-root dari situ

kalo gitu supaya gak lemah, antisipasinya gimana bro?

Wah penah ini,

sebaiknya folder

• attachments
• downloads
• templates_c

di tempatkan di under public_html.

oh gitu ya mbak wien, dengan diletakkan di public_html pengaruhnya ke apanya ya mbak?

ada yg aneh


ktnya dari arab saudi... tp echo -nya bhs indo.

saya prnh di serang jg dari pakistan ip-nya. yg kena serang.. .org-2 DWH jg

nah itu bro, IP yang terekam dari arab saudi, ya mungkin aja pake web proxy

oh, itu sejenis Uploader injection sob, biasanya ini di pakai oleh hacker yang ingin memasukan shell ke web. cepet perbaiki, seebelum shell-nya di upload! (saya lupa lagi caranya, tapi coba ke forum hacker aja)

semoga injeksinya sudah gak mempan di whmcs versi terbaru ya sob. btw ada step-by-step memperbaikinya ndak sob? forum hacker itu contohnya apa sob supaya saya bisa belajar ke sana

 

[afiv_answers]

semoga injeksinya sudah gak mempan di whmcs versiterbaru ya sob. btw ada step-by-step memperbaikinya ndak sob? forum hacker itu contohnya apa sob supaya saya bisa belajar ke sana

saya takut nanti malah belajar nge hack lagi tapi okelah saya kasih contohnya, PM send...

 

[derrimaulana]

kalo saya sih langsung di hapus aja dari table ticket, beres dah

 

[cpserv]

Dengan segala respek saya.. CG tolong dihapus script sourcenya. biar ga dipakai orang lain buat "coba2"..


on topic : selama udah di patch pake patch yg bulan desember ga bakal kenapa2.. saran dari matt whmcs masukin ini di dalem /whmcs/folder/includes/hooks/filenamanyabebas.php

<?php
$checkvars = array('subject','message');
foreach ($checkvars AS $checkvar) if (strpos($_REQUEST[$checkvar],'{php}')!==false) die("no thanks");
?>

buat yg merasa terganggu sama ticket2 itu..