Injeksi lewat SUPPORT TICKET WHMCS

indonic · 18 Jan 2012

Es Cendol said:
punya saya smpe skrng msh dpt email ginian, tp udah saya upgred ke 5.0.3, sdh aman blm ya? :takut

diblock aja Tuan langsung klo bete dapat email php eval base, walaupun sebenarnya aman klo dah di patch..

caranya ada di post saya disini: http://www.diskusiwebhosting.com/sh...ORT-TICKET-WHMCS?p=56144&viewfull=1#post56144

indoc0der · 19 Jan 2012

cpserv said:
http://www.webhostingtalk.com/showpost.php?p=7856656&postcount=68

walah, pantesan nyari di forum whmcs ndak ketemu. makasih mas cpserv

cpserv · 19 Jan 2012

indoc0der said:
walah, pantesan nyari di forum whmcs ndak ketemu. makasih mas cpserv

sama2 pakde.. kmaren juga gitu ada yg nanya saya suruh cari di forumnya whmcs.. sampe 1 harian dia nyari gataunya saya yg salah.. ternyata saya bacanya di wht hahahahaha lagian semua forum warnanya biru,, jadi kebolak balik (ngeles)

budiono · 20 Jan 2012

oia selain melindungi whmcs dengan sepenggal script untuk menolak masuknya kode php lewat support ticket tadi, ada peringatan yang pernah saya baca di sebuah forum: SEBAIKNYA TIDAK MENYIMPAN PASSWORD ROOT WHM di WHMCS! (pada settingan servers, bikin saya akun reseller dengan akses terbatas, hanya untuk bisa create account secara otomatis)

atriumhosting · 20 Jan 2012

budiono said:
oia selain melindungi whmcs dengan sepenggal script untuk menolak masuknya kode php lewat support ticket tadi, ada peringatan yang pernah saya baca di sebuah forum: SEBAIKNYA TIDAK MENYIMPAN PASSWORD ROOT WHM di WHMCS! (pada settingan servers, bikin saya akun reseller dengan akses terbatas, hanya untuk bisa create account secara otomatis)

gara2 hole ini saya sempet disable WHM login di ---product and service - server

krn bila sang penyusup masuk ke whmcs kita, dengan nyamannya dia bisa login ke server kita dengan tombol WHM disana ....... tanpa password .....

Michael Nicky · 20 Jan 2012

budiono said:
oia selain melindungi whmcs dengan sepenggal script untuk menolak masuknya kode php lewat support ticket tadi, ada peringatan yang pernah saya baca di sebuah forum: SEBAIKNYA TIDAK MENYIMPAN PASSWORD ROOT WHM di WHMCS! (pada settingan servers, bikin saya akun reseller dengan akses terbatas, hanya untuk bisa create account secara otomatis)

solusi + trik jitu, nice info.

mixmaxspace · 20 Jan 2012

budiono said:
oia selain melindungi whmcs dengan sepenggal script untuk menolak masuknya kode php lewat support ticket tadi, ada peringatan yang pernah saya baca di sebuah forum: SEBAIKNYA TIDAK MENYIMPAN PASSWORD ROOT WHM di WHMCS! (pada settingan servers, bikin saya akun reseller dengan akses terbatas, hanya untuk bisa create account secara otomatis)

Alamak!!! bisa Mampus deh kalo root WHM input di WHMCS.

IIXPLANET · 20 Jan 2012

mixmaxspace said:
Alamak!!! bisa Mampus deh kalo root WHM input di WHMCS.

kebanyakan yg malas manual make auto di whmcs , repot nya klo sistem kebobolan habis deh

sigmabisnis · 20 Jan 2012

indonic said:
cara atasi nya gampang tinggal buat file hooks di whmcs installernya, dengan isi script seperti ini:

Code:

<?php $checkvars = array('subject','message'); foreach ($checkvars AS $checkvar) { if (strpos($_REQUEST[$checkvar],'{php}')!==false) { header("HTTP/1.1 500 Internal Server Error"); exit; } } ?>

Dan upload file tersebut ke dalam folder <whmcs_root>/includes/hooks/. Dan pastikan jg whmcs yang digunakan sudah di patch dengan file patch ini: http://forum.whmcs.com/showthread.php?t=43462

Om, itu persisnya masukkin Code di dalam folder /includes/hooks/namafile nya apa .php ya?

Adhie · 20 Jan 2012

sigmabisnis said:
Om, itu persisnya masukkin Code di dalam folder /includes/hooks/namafile nya apa .php ya?

nama filenya terserah.php mas
CMIIW

tp saya pakai yang punya bang cpserv

Injeksi lewat SUPPORT TICKET WHMCS

indonic

Apprentice 1.0

indoc0der

Apprentice 1.0

cpserv

Expert 1.0

budiono

Expert 1.0

atriumhosting

Hosting Guru

Michael Nicky

Hosting Guru

mixmaxspace

Hosting Guru

IIXPLANET

Expert 2.0

sigmabisnis

Hosting Guru

Adhie

Expert 1.0