Injeksi lewat SUPPORT TICKET WHMCS

[Wien Dk]

oia selain melindungi whmcs dengan sepenggal script untuk menolak masuknya kode php lewat support ticket tadi, ada peringatan yang pernah saya baca di sebuah forum: SEBAIKNYA TIDAK MENYIMPAN PASSWORD ROOT WHM di WHMCS! (pada settingan servers, bikin saya akun reseller dengan akses terbatas, hanya untuk bisa create account secara otomatis)

yup benar mas, untung saja saya juga begitu.
akun untuk created hosting saya pakai level reseller yang di masukin WHMCS untuk menjaga hal ini terjadi.

 

[myqwertyhost]

trus folder admin di whmcs tambahin htaccess aja

 

[indobizter]

terlambat baca infonya. WHMCSku juga terlanjur kena. (at Fri, Jan 20, 2012 at 11:01 PM)

bersabar mode ON.

Selamat buat hacker yang sudah berhasil menembus member.indobizter.web.id, apabila dikemudian hari menjadi pesakitan, buta atau seret rejeki jangan salahkan saya!!!

TUHAN pasti Melihat dan memberikan Pengadilan.

 

[Michael Nicky]

terlambat baca infonya. WHMCSku juga terlanjur kena. (at Fri, Jan 20, 2012 at 11:01 PM)

bersabar mode ON.

Selamat buat hacker yang sudah berhasil menembus member.indobizter.web.id, apabila dikemudian hari menjadi pesakitan, buta atau seret rejeki jangan salahkan saya!!!

TUHAN pasti Melihat dan memberikan Pengadilan.

Sabar ya br0.......... Orang sabar kekasih Tuhan.

 

[jr-webhost]

trus folder admin di whmcs tambahin htaccess aja

Kalau boleh nambahin:
1. Jangan pakai folder admin, ganti dengan folder lain
2. Folder untuk admin coba di proctec directory

 

[felz]

tambahan lagi sesuai pengalaman saya,
1. Jangan bikin website jualan hosting kita menggunakan cms wordpress, bikin saja menggunakan static html (wordpress itu gudangnya celah security)
2. public_html di halaman utama sebaiknya di set 444 (read + exe only)
3. kalau mau nekad bikin subdomain untuk blog dan atau keperluan lain, bikin di account terpisah dari whmcs (bisa pakai a record dst)

 

[felz]

sorry, double post ....

 

[sinji]

gara2 hole ini saya sempet disable WHM login di ---product and service - server

krn bila sang penyusup masuk ke whmcs kita, dengan nyamannya dia bisa login ke server kita dengan tombol WHM disana ....... tanpa password .....

cara disablenya gimna Tuan?
bukannya biar bisa create otomatis memang harus masukkan pasword? product and service - server

 

[sinji]

diblock aja Tuan langsung klo bete dapat email php eval base, walaupun sebenarnya aman klo dah di patch..
caranya ada di post saya disini: http://www.diskusiwebhosting.com/sh...ORT-TICKET-WHMCS?p=56144&viewfull=1#post56144

file php nya dinamakan apa?

 

[derrimaulana]

file php nya dinamakan apa?

file .php nya bebas mas...

Secara teknis sudah di blok tuh dari ticket.
cuman doi tetep masuk di log nya, apa log tersebut masih bisa dijalankan dari luar ?