Injeksi lewat SUPPORT TICKET WHMCS

budiono · 18 Jan 2012

Wien Dk said:
kasihan amat gue dipanggil mbk :'(

eh maap bro, maap beribu maap, kirain cewek habis namanya wien, maap maap

twistedshells · 18 Jan 2012

Memang benar pak kalau dalam satu server itu digunakan oleh ratusan user/domain. Tetapi ada cara lain yang lebih elegan yaitu hasil output dipipe ke command berikutnya yaitu chmod 000.
Jarang ada aplikasi menggunakan encode64, biasanya digunakan sama phpshell

Kalau misalnya mau lebih straight tinggal tambahkan di php.ini bagian disable_functions baris berikut:

disable_functions = base64_decode

Good luck

Adhie · 18 Jan 2012

twistedshells said:
Memang benar pak kalau dalam satu server itu digunakan oleh ratusan user/domain. Tetapi ada cara lain yang lebih elegan yaitu hasil output dipipe ke command berikutnya yaitu chmod 000.
Jarang ada aplikasi menggunakan encode64, biasanya digunakan sama phpshell

Kalau misalnya mau lebih straight tinggal tambahkan di php.ini bagian disable_functions baris berikut:

disable_functions = base64_decode

Good luck

maaf pak mau tanya
masih newbie bener nih
kalaw kita disable base64_decode brarti kita disable fungsi script yang telah di enkripsi dengan base64 ya?

brarti script yang di enkripsi base64 ga jalan donk?
ada beberapa cms yang mengenkripsi coding mereka

maaf, masih newbie bener.

hostingceria · 18 Jan 2012

Adhie said:
maaf pak mau tanya
masih newbie bener nih
kalaw kita disable base64_decode brarti kita disable fungsi script yang telah di enkripsi dengan base64 ya?

brarti script yang di enkripsi base64 ga jalan donk?
ada beberapa cms yang mengenkripsi coding mereka

maaf, masih newbie bener.

Betul, sudah pernah saya coba dan ga disangka2 ternyata banyak script terkenal yang pakai enkripsi base64 untuk beberapa file modul/functionnya

twistedshells · 18 Jan 2012

Adhie said:
maaf pak mau tanya
masih newbie bener nih
kalaw kita disable base64_decode brarti kita disable fungsi script yang telah di enkripsi dengan base64 ya?

brarti script yang di enkripsi base64 ga jalan donk?
ada beberapa cms yang mengenkripsi coding mereka

maaf, masih newbie bener.

Setahu saya engine/cms yang komersial menggunakan encode seperti zend dan ioncube. Kalau memang beberapa cms yang mengencode code mereka menggunakan base64 sebaiknya dibuatkan exception di php.ini lalu di lock.

indonic · 18 Jan 2012

cara atasi nya gampang tinggal buat file hooks di whmcs installernya, dengan isi script seperti ini:

Code:

<?php
$checkvars = array('subject','message');
foreach ($checkvars AS $checkvar) {
    if (strpos($_REQUEST[$checkvar],'{php}')!==false) {
        header("HTTP/1.1 500 Internal Server Error");
        exit;
    }
}
?>

Dan upload file tersebut ke dalam folder <whmcs_root>/includes/hooks/. Dan pastikan jg whmcs yang digunakan sudah di patch dengan file patch ini: http://forum.whmcs.com/showthread.php?t=43462

BennyKusman · 18 Jan 2012

twistedshells said:
Buat rekan,

coba discan server yang dicurigai sudah diinjek sama phpshell menggunakan base64_encode:

semoga membantu

makasih...

mau nanya, apa hasil scannya 100% injeksi ?

misalnya ini:

/home/indone/public_html/wp-content/themes/News/footer.php:<?php $_F=__FILE__;$_X='Pz48L2Q0dj4gPCEtLSA1bmQgZDR2ICNwMWc1LTRubjVyIC0tPg0KPC9kNHY+IDwhLS0gNW5kIGQ0diAjcDFnNSAtLT4NCjwhLS0gRU5EIFBBR0UgLS0+DQoNCg0KCTw/cGhwIDRmIChnNXRfMnB0NDJuKCc1dDVkXzFjdDR2MXQ1X2IydHQybV9tNW4zJyApID09J3RyMzUnICkgezRuY2wzZDUoVEVNUExBVEVQQVRIIC4gJy80bmNsM2Q1cy9iMnR0Mm0tbTVuMy5waHAnKTsgfSA/PiANCgkNCg0KCTwhLS0gQkVHSU4gQkFDSy1UTy1UT1AgLS0+DQoJPGQ0diA0ZD0iYjFjay10Mi10MnAiPg0KCTxkNHYgNGQ9ImIxY2stdDItdDJwLTRubjVyIiBjbDFzcz0iY2w1MXJmNHgiPg0KCQk8cD48MSBocjVmPSIjdDJwIj48NG1nIHNyYz0iPD9waHAgNWNoMiBnNXRfdDVtcGwxdDVfZDRyNWN0MnJ5XzNyNCgpOyA/Pi80bTFnNXMvYjFjay10Mi10MnAucG5nIiAvPjwvMT48L3A+DQoJPC9kNHY+IDwhLS0gNW5kIGQ0diAjYjFjay10Mi10MnAtNG5uNXIgLS0+DQoJPC9kNHY+IDwhLS0gNW5kIGQ0diAjYjFjay10Mi10MnAgLS0+DQoJPCEtLSBFTkQgQkFDSy1UTy1UT1AgLS0+DQoNCg0KCTwhLS0gQkVHSU4gRk9PVEVSIC0tPg0KCTxkNHYgNGQ9ImYyMnQ1ciI+DQoJPGQ0diA0ZD0iZjIydDVyLTRubjVyIiBjbDFzcz0iY2w1MXJmNHgiPg0KCQkNCgkJPGQ0diA0ZD0iZjIydDVyLWw1ZnQiPg0KCQkJPHA+VGg1bTUgYnkgPDEgaHI1Zj0iaHR0cDovL3d3dy5nNW41cjRrMWo1dHp0LmMybS8iIHQ0dGw1PSJWNDFncjEgSzEzZjVuIj5WNDFncjEgSzEzZjVuPC8xPjxiciAvPg0KCQkJPDEgaHI1Zj0iaHR0cDovL3d3dy5nNW41cjRrMWo1dHp0LmMybS9jNDFsNHMuaHRtbCIgdDR0bDU9IkM0MWw0cyBLMTNmNW4iPkM0MWw0cyBLMTNmNW48LzE+IHwgPDEgaHI1Zj0iaHR0cDovL3d3dy5nNW41cjRrMWo1dHp0LmMybS92NDFncjEtZzVuNXI0azEuaHRtbCIgdDR0bDU9IlY0MWdyMSI+VjQxZ3IxPC8xPiB8IDwxIGhyNWY9Imh0dHA6Ly93d3cuZzVuNXI0azFqNXR6dC5jMm0vbDV2NHRyMS5odG1sIiB0NHRsNT0ibDV2NHRyMSI+bDV2NHRyMTwvMT48L3A+DQoJCTwvZDR2PiA8IS0tIDVuZCBkNHYgI2YyMnQ1ci1sNWZ0IC0tPg0KDQoJCTxkNHYgNGQ9ImYyMnQ1ci1yNGdodCI+DQoJCQk8cD4mYzJweTsgPD9waHAgNWNoMiBkMXQ1KCdZJyk7Pz4gPDEgaHI1Zj0iPD9waHAgYmwyZzRuZjIoJ3M0dDUzcmwnKTs/Pi8iIHQ0dGw1PSI8P3BocCBibDJnNG5mMignbjFtNScpOz8+IiA+PD9waHAgYmwyZzRuZjIoJ24xbTUnKTs/PjwvMT48YnIgLz4NCgkJCTw/cGhwIDVjaDIgc3RyNHBzbDFzaDVzKGc1dF8ycHQ0Mm4oJzV0NWRfZjIydDVyX3Q1eHQnKSk7ID8+PC9wPg0KCQk8L2Q0dj4gPCEtLSA1bmQgZDR2ICNmMjJ0NXItcjRnaHQgLS0+DQoNCgk8L2Q0dj4gPCEtLSA1bmQgZDR2ICNmMjJ0NXItNG5uNXIgLS0+DQoJPC9kNHY+IDwhLS0gNW5kIGQ0diAjZjIydDVyIC0tPg0KCTwhLS0gRU5EIEZPT1RFUiAtLT4NCgkJDQo8L2Q0dj4gPCEtLSA1bmQgd3IxcHA1ciAtLT4NCg0KPD9waHAgd3BfZjIydDVyKCk7ID8+DQoNCjwvYjJkeT4NCjwvaHRtbD4=';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));?>

bagaimana kita bisa tau ini injeksi atau emang pembuat templatenya encode php nya ?

thanks

PusatHosting · 18 Jan 2012

BennyKusman said:
makasih...
mau nanya, apa hasil scannya 100% injeksi ?

misalnya ini:

/home/indone/public_html/wp-content/themes/News/footer.php:<?php $_F=__FILE__;$_X=
bagaimana kita bisa tau ini injeksi atau emang pembuat templatenya encode php nya ?

thanks

Memang di encode pak ini hasilnya

?></div> 
</div> 


<?php if (get_option('eted_activate_bottom_menu' ) =='true' ) {include(TEMPLATEPATH . '/includes/bottom-menu.php'); } ?>


<div id="back-to-top">
<div id="back-to-top-inner" class="clearfix">
<p><a href="#top"><img src="<?php echo get_template_directory_uri(); ?>/images/back-to-top.png" /></a></p>
</div> 
</div> 



<div id="footer">
<div id="footer-inner" class="clearfix">

<div id="footer-left">
<p>Theme by <a href="http://www.generikajetzt.com/" title="Viagra Kaufen">Viagra Kaufen</a><br />
<a href="http://www.generikajetzt.com/cialis.html" title="Cialis Kaufen">Cialis Kaufen</a> | <a href="http://www.generikajetzt.com/viagra-generika.html" title="Viagra">Viagra</a> | <a href="http://www.generikajetzt.com/levitra.html" title="levitra">levitra</a></p>
</div> 

<div id="footer-right">
<p>© <?php echo date('Y');?> <a href="<?php bloginfo('siteurl');?>/" title="<?php bloginfo('name');?>" ><?php bloginfo('name');?></a><br />
<?php echo stripslashes(get_option('eted_footer_text')); ?></p>
</div> 

</div> 
</div> 


</div> 

<?php wp_footer(); ?>

</body>
</html>

ini decodernya http://www.tareeinternet.com/scripts/byterun.php

cpserv · 18 Jan 2012

itu kayaqnya template wordpress premium yg jadi freemium deh. si wp sering bobol ya kebanyakan termasuk dari template2 yang kayaq begini.. langsung aja apus pakde ben!!

Es Cendol · 18 Jan 2012

punya saya smpe skrng msh dpt email ginian, tp udah saya upgred ke 5.0.3, sdh aman blm ya? :takut

Injeksi lewat SUPPORT TICKET WHMCS

budiono

Expert 1.0

twistedshells

Apprentice 1.0

Adhie

Expert 1.0

hostingceria

Expert 1.0

twistedshells

Apprentice 1.0

indonic

Apprentice 1.0

BennyKusman

Hosting Guru

PusatHosting

Hosting Guru

cpserv

Expert 1.0

Es Cendol

Apprentice 1.0