Injeksi lewat SUPPORT TICKET WHMCS

[indoc0der]

Dengan segala respek saya.. CG tolong dihapus script sourcenya. biar ga dipakai orang lain buat "coba2"..


on topic : selama udah di patch pake patch yg bulan desember ga bakal kenapa2.. saran dari matt whmcs masukin ini di dalem /whmcs/folder/includes/hooks/filenamanyabebas.php

<?php
$checkvars = array('subject','message');
foreach ($checkvars AS $checkvar) if (strpos($_REQUEST[$checkvar],'{php}')!==false) die("no thanks");
?>

buat yg merasa terganggu sama ticket2 itu..

makasih infonya. btw linknya untuk solvingnya di mana ya?

 

[cpserv]

http://www.webhostingtalk.com/showpost.php?p=7856656&postcount=68

 

[PusatHosting]

code sudah disensor.

<?php
$checkvars = array('subject','message');
foreach ($checkvars AS $checkvar) if (strpos($_REQUEST[$checkvar],'{php}')!==false) die("no thanks");
?>

Confirmed, it's works.

ini memanfaatkan tag {php} smarty untuk generate file yang parah ditempat saya dia mau generate file db didapet dari configuration.php

saya cari2 di WHMCS itu file configuration.php bisa di custom tdk ya? diganti dengan nama lain

 

[cpserv]

saya cari2 di WHMCS itu file configuration.php bisa di custom tdk ya? diganti dengan nama lain

yg diganti apanya yah pakde? isi si configuration.php atau si "configuration.php" itu sendiri? klo nama "configuration.php" sendiri harus di decrypt dulu whmcs-nya gatau menyalahi aturan mereka atau ngga, yg jelas ethically menyalahi aturan nurani.






ps: klo saya sih bodo amat hahahaha buktinya mereka ng-encrypt semua sourcenya kita yg jadi "kebobolan" kena inject sana sini.

 

[PusatHosting]

yg diganti apanya yah pakde? isi si configuration.php atau si "configuration.php" itu sendiri? klo nama "configuration.php" sendiri harus di decrypt dulu whmcs-nya gatau menyalahi aturan mereka atau ngga, yg jelas ethically menyalahi aturan nurani.

ps: klo saya sih bodo amat hahahaha buktinya mereka ng-encrypt semua sourcenya kita yg jadi "kebobolan" kena inject sana sini.

configuration.php ngga di enkrip bos, itu kan file setting dbnya.
saya cuman pingin ganti nama filenya, misalnya dari configuration.php ke settingan.php atau apa lah, tapi sepertinya ngga bisa karena semua source untuk include configuration.php di enkrip.

 

[cpserv]

iya maksud saya nama configuration.php ganti jadi ngasal.php gitu kan? nah "core"nya yg manggil configuration.php itu yg di encrypt. saya lupa file apa aja yg manggil si configuration.php ini.. kemungkinan lain yg bisa jadi masalah itu urusan licensing. license key ditaronya disana.

 

[hostingceria]

minggu lalu saya juga kena praktek shell berbasis base64 ini di tiket, sekitar 3-5 tiket, yang injeksi dari IP indo, kalau ga salah pakai three, yah mirip praktek script kiddies, untungnya ga berhasil

 

[Wien Dk]

oh gitu ya mbak wien, dengan diletakkan di public_html pengaruhnya ke apanya ya mbak?

kasihan amat gue dipanggil mbk :'(

itukan script nya bila mengupload ke server tidak akan ke buka lewat browser, kan under public_html..

@cpservd thanks inpoh nya mas

 

[twistedshells]

Buat rekan,

coba discan server yang dicurigai sudah diinjek sama phpshell menggunakan base64_encode:

find /home -name '*.php*' -print | xargs grep 'eval(base64_decode'

semoga membantu

 

[atriumhosting]

Buat rekan,

coba discan server yang dicurigai sudah diinjek sama phpshell menggunakan base64_encode:



semoga membantu

kalo account sedikit pake cara ini mmg bisa cek yg mencurigakan, kalo account buanyaakkkk, mata berkedip-kedip dan kepala berkunang2

Nice share