OVH Community, your new community space.

WHMCS Hackeado


juanillo
30/05/2012, 07:19
PUes sí, muy curioso que después de su problema ahora saquen un parche a los 4 días ...

tonysanchez
29/05/2012, 20:34
Como no, la verdad siempre pilla al mentiroso.

Misterioso email de nuestro amigo, que comunica que un "ethical programmer" ha descubierto una vulnerabilidad en el codigo de WHMCS...

Fichero afectado dbconnect.php
Tipo: Inyeccion SQL.

Al final del email, el bla blah blah de que hay mucho indeseable... y como no, que bueno soy yo, que no tengo problemas en mi codigo.

Parche disponible en la seccion clientes

macklus
27/05/2012, 21:43
Cita Publicado inicialmente por sdzzds
Eso ya se veia venir, el WHCMS es un software basura, hay otros mejores y con menos virguerías que al fin al cabo, de eso se trata. Pero siempre nos gusta seguir a la manada.
¿Cuales recomiendas tu?
Saludos

sdzzds
27/05/2012, 20:47
Eso ya se veia venir, el WHCMS es un software basura, hay otros mejores y con menos virguerías que al fin al cabo, de eso se trata. Pero siempre nos gusta seguir a la manada.

tonysanchez
26/05/2012, 22:01
Si ... es tan klisto que obvia un detalle..

En su doc-email de "tiro la pelota fuera" habla del "securiza el admin folder"....

Coño... ¿si es tan seguro para que portegerlos por htaccess?


Ademas, despues de SUS ultimas cagadas desde diciembre, y sus parches que no funcionan, somos muchismo los que tenemos ya protegido el whcms, y algunos aislado de "otros" software peligrosos, des etsar cerca del suyo.

El insiste en que su WHMCS es fiable... bueno de momento le estan dando para el pelo, y eso jode mucho.

luango
25/05/2012, 22:18
Cita Publicado inicialmente por sdzzds
La gente se lo toma a coña ya, crean una página para comprobar si hoy ha sido hackeado, como si fuera esto un escaparate oiga, que bonito!

http://www.haswhmcsbeenhackedtoday.com/

Desde luego que o le tienen mucha mania a ese chaval o bien la gente está muy aburrida
La verdad es que creo que Matt aprenderá de estas...... se ha ido creando mucha fama de prepotente y a la larga.... pues eso.... todos sabemos que NO EXISTE ningún sistema expuesto al publico 100 % seguro y como te quieran dar caña,,, estas jodi....o.......

Pero tambien creo que el whmcs, no se ha "reventado" ( por ahora,, y espero que se pongan las pilas desde whmcs), por que como explica Kenny no puede tener los servicios "añadidos" a la web, como blog, vbulletin, etc... tan EXPUESTOS sin actualizar y sin control.

Además, Matt , cuando hablabas con él por "casi" cualquier problema de seguridad, siempre te decia justo lo mismo.... ( vuestros servidores son inseguros por los joomla, los wordpress, vbulletin, etc... mi sistema es 100 % seguro) y a veces las formas le faltaban un poco.

Y como el cuento,,,, no quieres caldo?? pues toma dos tazas.

Un saludo

sdzzds
25/05/2012, 09:32
La gente se lo toma a coña ya, crean una página para comprobar si hoy ha sido hackeado, como si fuera esto un escaparate oiga, que bonito!

http://www.haswhmcsbeenhackedtoday.com/

Desde luego que o le tienen mucha mania a ese chaval o bien la gente está muy aburrida

kennysamuerto
24/05/2012, 22:14
Cita Publicado inicialmente por vpsdeploy
Pues por lo que parece WHMCS está comprometido y bien,
ayer acceso a la SQL principal: http://i.imgur.com/0LRQL.jpg así que a volver a cambiar contraseñas? de que serviría?
Y hoy según leo en LET http://www.lowendtalk.com/discussion...mcs-hacked/p13 han hecho defaces en el blog...
El tema da miedo...
En la principal tambien es el blog... ambos casos son el blog, si no lo veo mal.

Eso no es un problema para WHMCS (El script), pero si de que Matt cuida muy poco los detalles y actualiza poco el software que instala.

Ademas, eso lo podriamos llamar defacement, no hackeos en si. El hackeo fue lo del otro dia...

vpsdeploy
24/05/2012, 22:02
Pues por lo que parece WHMCS está comprometido y bien,
ayer acceso a la SQL principal: http://i.imgur.com/0LRQL.jpg así que a volver a cambiar contraseñas? de que serviría?
Y hoy según leo en LET http://www.lowendtalk.com/discussion...mcs-hacked/p13 han hecho defaces en el blog...
El tema da miedo...

luango
24/05/2012, 00:21
Cita Publicado inicialmente por tonysanchez
En que sito he dicho yo, lo que tu dices que he dicho?

Creo que lo unico que he definido es la "edad" de Matt y le he comparado por su actitud en Twitter, con la de algunos "expertos" de aqui, que hacen los mismo.

Ojo, que las palabras no se las lleva el viento.

Ahora puestos, muy grande no debe ser o muy cutre el tipo, cuando en el mismo box, tiene el servidor de licencias, el de desarrollo, el de proudccion, y otras paginas, maxime cuando es tan sobrado, que responde tickets "acusando" a los demas "softwares" de ser los culpables de los porblemas de sus clientes.

Todavia, en el culebron entre el hacker y el grupo de hackers buenos, algunas han saltado con la pregunta.... que seguro sera respondida a su tiempo... ¿Cual fue el agujero?

Ahi estara la verdad, y alguno se le pondra la cara colorada...

Ahora si que en todas tus apreciaciones estoy de acuerdo.


Pienso que no nos vamos a enterar donde estaba el agujero real y sobre tener todo en unico server es directamente un suicido.

Un saludo

kennysamuerto
23/05/2012, 18:52
Cita Publicado inicialmente por tonysanchez

Ahora puestos, muy grande no debe ser o muy cutre el tipo, cuando en el mismo box, tiene el servidor de licencias, el de desarrollo, el de proudccion, y otras paginas, maxime cuando es tan sobrado, que responde tickets "acusando" a los demas "softwares" de ser los culpables de los porblemas de sus clientes.

.
¡¡ CUANTISIMA RAZON !!

Creo que es el error mas grave de todos, no le han "hackeado" el servidor, pero han obtenido toda la informacion. Porque todo lo tenia dentro del mismo servidor.

Sera mas barato y "facil" pero como te hackeen, como ha sido el caso, por el metodo que sea, te han jodido pero bien.

tonysanchez
23/05/2012, 17:33
Pero dicho lo cual, creo que no "puedes" decir ( que si que puedes, faltaria mas... jejejej) que whmcs es una empresa "pequeña" y que "técnicamente" no estan a la "altura".
En que sito he dicho yo, lo que tu dices que he dicho?

Creo que lo unico que he definido es la "edad" de Matt y le he comparado por su actitud en Twitter, con la de algunos "expertos" de aqui, que hacen los mismo.

Ojo, que las palabras no se las lleva el viento.

Ahora puestos, muy grande no debe ser o muy cutre el tipo, cuando en el mismo box, tiene el servidor de licencias, el de desarrollo, el de proudccion, y otras paginas, maxime cuando es tan sobrado, que responde tickets "acusando" a los demas "softwares" de ser los culpables de los porblemas de sus clientes.

Todavia, en el culebron entre el hacker y el grupo de hackers buenos, algunas han saltado con la pregunta.... que seguro sera respondida a su tiempo... ¿Cual fue el agujero?

Ahi estara la verdad, y alguno se le pondra la cara colorada...

Locke
23/05/2012, 17:30
Cita Publicado inicialmente por luango
Nosotros estamos siguiendo de cerca a Hostbill, ya que tiene muy buena pinta y muchas funciones, pero despues de probar la demo nos hemos dado cuenta que le faltan 2 años de desarrollo a todo gas para acercarse a whmcs.
Ni te lo pienses, lo lleva una sola persona y últimamente está tardando demasiado (4 días mínimo) en responder tickets.

luango
23/05/2012, 12:38
Cita Publicado inicialmente por tonysanchez
Hostgator, es uno de los proveedores que mas soluciones de seguridad aporta a la comunidad de Centos, a los desarrolladores de Cpanel, y cuyo equipo, no creo que caiga en una de ingenieria social.

Matt, como muchos jovencitos, es INCAPAZ de dar su brazo a torcer.

Desde el exploit de diciembre, han habido varios hacks en whmcs actualizados, y eso esta en sus foros, y en todos los casos el siempre, como ahora ha tirado la pelota fuera. Y no eran el mismo exploit de inyeccion via ticket... pero claro, la culpa siempre de "otros sitios en tu servidor" de tipo "inseguro"

Hay que tener mas huevos para cuando a uno le van mal las cosas, ir con la verdad por delante y no contando peliculas, en el twitter, o en el facebook, que alguno se cree que todos los clientes pueden mamar tantas mentiras ...

Ademas, a estos personajes se les ve siempre el plumero cuando envian emails, tan cortitos de mente, y tan exculpadores. Siempre la misma cantinela...

Despues cuando pase la marea,....

"GRacias a todos los clientes por el apoyo que nos han prestado... (nique decir tiene la de insultos por ticket y/o telefono que han tenido que oiur tras 3 dias de sitio no operativo"
"Todo el equipo (yo y mi primo) hemos trabajo muy duro para la resolucion de tan grave problema (el problema resulto que de lo que la publicidad decia que habia no habia nada, y la cagada fue mayuscula al ver que no habia copia de seguridad validad.. etc etc etc..."

Y asi, me sigo tronchando.... es el dia dia del HosTeenager....
Estoy de acuerdo en algunas de tus apreciaciones y sobre todo en la actitud de Matt, que muchas veces es bastante prepotente.

Pero dicho lo cual, creo que no "puedes" decir ( que si que puedes, faltaria mas... jejejej) que whmcs es una empresa "pequeña" y que "técnicamente" no estan a la "altura".

Creo que Matt hay que reconocerle que ha hecho muy buen programa, que utiliza y tienen muchisimos clientes ( mirar la base de datos) y que comparando soluciones, la mas completa es WHMCS, le pese a quien le pese.

Nosotros estamos siguiendo de cerca a Hostbill, ya que tiene muy buena pinta y muchas funciones, pero despues de probar la demo nos hemos dado cuenta que le faltan 2 años de desarrollo a todo gas para acercarse a whmcs.

De clientexec no opino, creo que es muy buen software, pero anticuado en muchas funciones y muy complicado de instalar y mantener.

Explicado lo cual, no cambio en mi posicion que Matt ( por ser el CEO y responsable) ha "metido" la gamba por permitir que esto ocurra, creo que va a tomar las medidas ( por la cuenta que le tiene) que no vuelva a pasar y ya vereis como tenemos actualizacion "rápida" para solucionar lo de "la inteligencia social" jejejejje, seguro que nos la meten con la 5.1 para que ni nos demos cuenta... ya lo vereis.

Un saludo.

tonysanchez
23/05/2012, 11:19
Hostgator, es uno de los proveedores que mas soluciones de seguridad aporta a la comunidad de Centos, a los desarrolladores de Cpanel, y cuyo equipo, no creo que caiga en una de ingenieria social.

Matt, como muchos jovencitos, es INCAPAZ de dar su brazo a torcer.

Desde el exploit de diciembre, han habido varios hacks en whmcs actualizados, y eso esta en sus foros, y en todos los casos el siempre, como ahora ha tirado la pelota fuera. Y no eran el mismo exploit de inyeccion via ticket... pero claro, la culpa siempre de "otros sitios en tu servidor" de tipo "inseguro"

Hay que tener mas huevos para cuando a uno le van mal las cosas, ir con la verdad por delante y no contando peliculas, en el twitter, o en el facebook, que alguno se cree que todos los clientes pueden mamar tantas mentiras ...

Ademas, a estos personajes se les ve siempre el plumero cuando envian emails, tan cortitos de mente, y tan exculpadores. Siempre la misma cantinela...

Despues cuando pase la marea,....

"GRacias a todos los clientes por el apoyo que nos han prestado... (nique decir tiene la de insultos por ticket y/o telefono que han tenido que oiur tras 3 dias de sitio no operativo"
"Todo el equipo (yo y mi primo) hemos trabajo muy duro para la resolucion de tan grave problema (el problema resulto que de lo que la publicidad decia que habia no habia nada, y la cagada fue mayuscula al ver que no habia copia de seguridad validad.. etc etc etc..."

Y asi, me sigo tronchando.... es el dia dia del HosTeenager....

sdzzds
23/05/2012, 10:50
Ya han puesto la info del hacker en la red, además es clinte de OVH!

http://whmcs-hacker.soup.io/

luango
22/05/2012, 19:50
Acabo de recibir este correo de una empresa de hosting en UK,, aparentemente es de buen rollo, quieren avisar a todos los clientes de la base de datos, etc...

Os aviso de nuevo, que todos los datos han sido expuestos,, como podeis ver en el correo que acaba de llegarnos, no conocemos de nada a esa empresa, y como nosotros nos hemos bajado el "dump" ellos tambien, saben nuestra ip, saben nuestros correos, datos, etc..

"From: WHMCS Updates
Date: Tue, 22 May 2012 18:30:01 +0100
To: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Subject: WHMCS Updates for xxxxxxxxxxxxxxxxxxxxxxxxx

Your company name (xxxxxxxxxxxxxxxxxxxxxxxx) has been included in this message to verify it’s authenticity.



You have received this message because you are a WHMCS client and we would like to make you aware of a high security threat.



Please note that you are NOT a client of ours, we are mearly trying to warn all WHMCS clients of the recent attacks.



By now I am sure that you have heard all about the recent attacks on WHMCS.

A group known as UGNazi has launched an attack on WHMCS.com and as a result, they have leaked information relating to WHMCS clients payment details and license keys.



We are actively following WHMCS and keeping all their clients updated on the situation at present.

In the first instance, we would advise notifying the card issuer if you have any card payment details linked to your WHMCS account.



For further updates you can follow us on Facebook and/or Twitter to keep up to date with the current progress and to watch for any WHMCS security updates and patches released to keep your own instance of WHMCS safe from attack.



This is not a request or a requirement, mearly a suggestion until WHMCS social media accounts are under control once more by the correct WHMCS staff.



At present, the 'WHMCS Addons' Twitter account is still under correct control. Although it is not directly part of WHMCS they are supplying valid updates and news via twitter, so we also suggest that you follow or watch them - @whmcsaddon



We will also be trying to keep everyone informed of any news relating to the attacks and how it may affect their clients and in turn their clients own customers.
This email is not a plug so we wont give our details directly in this email, but our Twitter and Facebook details can be found below for anyone interested in doing so.



Please be safe and keep your customers secure.



We have not purchased your details, we have mearly sent this email to all WHMCS clients recorded in the WHMCS database leaked by the UGNazi group, in order for us to advise and warn people who have not currently heard of the recent events.

This is not a newsletter, nor have you subscribed to us.
This will be the ONLY email we send you and your address will be removed upon delivery of this mail.





Regards

- AJ Online Services"

Os aviso para que no os asusteis de los correos que os pueden empezar a llegar..

seguro que os ha llegado tambien este correo no?

un abrazo.

luango
22/05/2012, 18:25
Comunicado de Matt esta mañana "reconociendo" sus errores, algo que si me lo cuentan hace 1 semana ni me lo creo... como os digo,, hay algo mas... ya lo vereis.

En teoria siguen siendo atacados por DDOS:

Mensaje de Matt" Right now to compound matters, we are experiencing a large scale DDOS attack, which started at around 1am last night, and continues to this moment, so accessing the site may be intermittent for the time being due to the protection hardware that has been put in place for that.

We know we've let you down. Although the attack yesterday was not directly due to any lapses in the security in place on either our server or WHMCS itself, we realise that we could, and should, have had a more robust hosting infrastructure in place. Plans have already been put in motion for a new multi-server hosting infrastructure to be setup and migrated to.

As soon as we get things sorted, we'll be back online and give you another update."

Por lo menos se han dado cuenta que lo "barato" = hostgator sale caro, como se pongan las oficinas de proteccion de datos de europa a meter caña,,, que se preparen, tengan o no la culpa, si les meten a ellos,, whmcs a su vez meterá caña a hostgator, en fin...

Recuerdo que Sony se enfrenta a demandas multimillonarias por algo parecido.

En cuanto los datos empiecen a "mal usarse" ya vereis, por que habrá algun usuario despistado que ni se habrá enterado, pobre tarjeta de credito.

Un abrazo.

luango
22/05/2012, 16:21
Ayer cancelamos nosotros la Tarjeta de credito, no os imaginais el lio que nos ha ocasionado, licencias de cpanel, whmcs, productos.. etc... en fin..

Ahora Kenny, has visto? Matt está en que le han "enviado" desde soporte "sin querer.... ( inteligencia social o_O) la megaclave de todo su server por "error".

Y sigue afirmando que su software es seguro....

no se.. no se... como os digo, no vamos a irnos con urgencia... ni con "locuras"... pero estamos valorando opciones.

Ya veremos donde acaba esto.

Por cierto, comunicados oficiales por Matt en este link: http://forum.whmcs.com/showthread.ph...467#post223467


Un abrazo

juanillo
22/05/2012, 14:46
Cita Publicado inicialmente por kennysamuerto

Vamos, que a esta gente le puede caer un buen paquete (a WHMCS), y por supuesto, repito, si alguna vez pasasteis algun dato (Incluso sino...) vale la pena que cambieis los passwords de acceso a WHMCS, al FTP, a todo... y si pagabais con tarjeta de credito/debito, mas vale que la canceleis ipso facto.

WHMCS no ha mandado ningun mail informando (lo cual me parece tambien muy grave), por lo que mucha gente ni se enterara....
Ya lo han enviado y justo con tus recomendaciones ...

As a result of this, we recommend that everybody change any passwords that they have ever used for our client area, or provided via support ticket to us, immediately.
Regrettably as this was our billing system database, if you pay us by credit card (excluding PayPal) then your card details may also be at risk.

luango
22/05/2012, 13:01
Nosotros tambien estamos mirando alternativas, la verdad las "tipicas" no nos convencen mucho.

Hemos estado mirando "hostbillapp" y la verdad con la ultima actualizacion tiene un aspecto y unas funciones muy muy chulas.

Vamos a pedir una prueba y hacer algun "try" de traslado de datos a ver.

Por cierto, totalmente de acuerdo con todas las apreciaciones aqui expuestas.

un saludo.

kennysamuerto
22/05/2012, 12:16
Cita Publicado inicialmente por tonysanchez
Si es curiosos el email de "desafeccion" tirando la bola fuera.

El Mat este es del mismo pelo que muchos que son INCAPACES de decir "la culpa fue mia"

En diciembre publico un parche de seguridad. COmo en todo lo que uso estoy abonado a los RSS que leo, asi que tarde 5 horas en poner el parche.

15 dias despues el hack me entro hasta la cabeza, con la cuestion de que los tickets y ciertas cosas me llegan por sms y detecte el problema. El tipo, me dijo en un ticket "la culpa es de otros softwares del servidore que usted usa inseguros"

· meses despues, otro hack...

Desde entonces cansado ya del soporte de esta gente que siempre echa el balon fuera tengo blindado el acceso, y ando buscando reemplazo...

"
¿Es el famoso que te abrian un ticket con el codigo malicioso?

Se de varios, que tras aplicar el parche, tambien les entraron con este metodo...

Demasiados fallos ultimamente, quizas se le empieza a quedar grande esto, ya que, por dinero no sera, y menos ahora que se conocen los datos...

Y ya esto de la ingenieria social, roza lo absurdo para un sitio tan importante, lo increible vamos...

Por desgracia no hay muchos paneles que me parezcan buenos, he mirado algunos, como ModernBill pero... no me terminan de convencer... pero si, como continue asi esto, mas vale un panel que no me guste, que uno con problemas de seguridad.

Saludos

juanillo
22/05/2012, 10:05
Menuda movida.
Tenia la mia con el cartelito de "licencia invalida", he tenido que reinstalar la licencia para poner en marcha la web de nuevo.

No recordaba como, pero ahora veo que yo pagué con Paypal. Mejor ...
Ya cambie la clave de en whmcs, no tengo ticketes, asi que tranquilo entre comillas.

Esperemos a ver que pasa ..

tonysanchez
22/05/2012, 09:30
Si es curiosos el email de "desafeccion" tirando la bola fuera.

El Mat este es del mismo pelo que muchos que son INCAPACES de decir "la culpa fue mia"

En diciembre publico un parche de seguridad. COmo en todo lo que uso estoy abonado a los RSS que leo, asi que tarde 5 horas en poner el parche.

15 dias despues el hack me entro hasta la cabeza, con la cuestion de que los tickets y ciertas cosas me llegan por sms y detecte el problema. El tipo, me dijo en un ticket "la culpa es de otros softwares del servidore que usted usa inseguros"

· meses despues, otro hack...

Desde entonces cansado ya del soporte de esta gente que siempre echa el balon fuera tengo blindado el acceso, y ando buscando reemplazo...

"
Unfortunately today we were the victim of a malicious social engineering attack which has resulted in our server being accessed, and our database being compromised.

To clarify, this was no hack of the WHMCS software itself, nor a hack of our server. It was through social engineering that the login details were obtained.

As a result of this, we recommend that everybody change any passwords that they have ever used for our client area, or provided via support ticket to us, immediately.
Regrettably as this was our billing system database, if you pay us by credit card (excluding PayPal) then your card details may also be at risk.

This is just a very brief email to alert you of the situation, as we are currently working very hard to ensure everything is back online & functioning correctly, and I will be writing to you again shortly.

We would like to offer our sincere apologies for any inconvenience caused. We appreciate your support, now more than ever in this challenging time.

kennysamuerto
22/05/2012, 02:00
Bueno, acaban de publicar TODAS las bases de datos, Archivos de Cpanel, y los archivos root para descarga.

Señores, si alguna vez han pasado datos al soporte de WHMCS (FTP, Datos de acceso a vuestros WHMCS...) mas vale que los vayan cambiando al grito de ya.

EDITO: Me lo he bajado, lo he dumpeado en local, y esta todo publicado, todos los clientes, con sus datos personales, la IP que usan, los servicios, las licencias, el directorio admin, etc, etc, etc.

Por dignidad parece que no han publicado los tickets (Donde deben existir cientos de datos de FTP y accesos admin), por no hablar de que tambien tendran los datos de las tarjetas, que se afirma que son vulnerables.

Vamos, que a esta gente le puede caer un buen paquete (a WHMCS), y por supuesto, repito, si alguna vez pasasteis algun dato (Incluso sino...) vale la pena que cambieis los passwords de acceso a WHMCS, al FTP, a todo... y si pagabais con tarjeta de credito/debito, mas vale que la canceleis ipso facto.

WHMCS no ha mandado ningun mail informando (lo cual me parece tambien muy grave), por lo que mucha gente ni se enterara....

kennysamuerto
22/05/2012, 01:20
Cita Publicado inicialmente por tonysanchez
Se lo merece porque el tipo es unlisto al que siempre que se le dice que tiene problemas de seguridad, echa la culpa a lo que hay en el servidor y no ha su software...

Desde de dicembre ya han sido no una sino varias... las intrusiones que MUCHOS usuarios han tenido, y el, erre que erre, que no... que es "otros" softwares del servidor.
Sin ir mas lejos, la "culpa" del ataque la atribuye a ingenieria social, es decir, que le han descubierto las contraseñas, y el soporte de Hostgator "ha caido en la trampa".

Y lo peor es la cantidad de datos que tenia, como tarjeta de credito, que ahora estan en manos de los atacantes.

Una barbaridad...

tonysanchez
21/05/2012, 21:30
Se lo merece porque el tipo es unlisto al que siempre que se le dice que tiene problemas de seguridad, echa la culpa a lo que hay en el servidor y no ha su software...

Desde de dicembre ya han sido no una sino varias... las intrusiones que MUCHOS usuarios han tenido, y el, erre que erre, que no... que es "otros" softwares del servidor.

sdzzds
21/05/2012, 18:50
No somos nadie.....

kennysamuerto
21/05/2012, 17:56
WHMCS acaba de ser hackeado.

whmcs.com Hacked by #UGNazi @JoshTheGod @ThaCosmo @le4ky Database #leak coming soon.

Esto ha sido retwitteado por el hacker con la cuenta de WHMCS.

Ahora mismo la web de WHMCS da error de bases de datos.

Saludos