Injeksi lewat SUPPORT TICKET WHMCS


Status
Not open for further replies.
twistedshells

twistedshells

Apprentice 1.0
Memang benar pak kalau dalam satu server itu digunakan oleh ratusan user/domain. Tetapi ada cara lain yang lebih elegan yaitu hasil output dipipe ke command berikutnya yaitu chmod 000.
Jarang ada aplikasi menggunakan encode64, biasanya digunakan sama phpshell :)

Kalau misalnya mau lebih straight tinggal tambahkan di php.ini bagian disable_functions baris berikut:

disable_functions = base64_decode

Good luck
 
Adhie

Adhie

Expert 1.0
Verified Provider
twistedshells said:
Memang benar pak kalau dalam satu server itu digunakan oleh ratusan user/domain. Tetapi ada cara lain yang lebih elegan yaitu hasil output dipipe ke command berikutnya yaitu chmod 000.
Jarang ada aplikasi menggunakan encode64, biasanya digunakan sama phpshell :)

Kalau misalnya mau lebih straight tinggal tambahkan di php.ini bagian disable_functions baris berikut:

disable_functions = base64_decode

Good luck
Click to expand...

maaf pak mau tanya
masih newbie bener nih
kalaw kita disable base64_decode brarti kita disable fungsi script yang telah di enkripsi dengan base64 ya?

brarti script yang di enkripsi base64 ga jalan donk?
ada beberapa cms yang mengenkripsi coding mereka

maaf, masih newbie bener.
 
hostingceria

hostingceria

Active Member
Adhie said:
maaf pak mau tanya
masih newbie bener nih
kalaw kita disable base64_decode brarti kita disable fungsi script yang telah di enkripsi dengan base64 ya?

brarti script yang di enkripsi base64 ga jalan donk?
ada beberapa cms yang mengenkripsi coding mereka

maaf, masih newbie bener.
Click to expand...

Betul, sudah pernah saya coba dan ga disangka2 ternyata banyak script terkenal yang pakai enkripsi base64 untuk beberapa file modul/functionnya
 
twistedshells

twistedshells

Apprentice 1.0
Adhie said:
maaf pak mau tanya
masih newbie bener nih
kalaw kita disable base64_decode brarti kita disable fungsi script yang telah di enkripsi dengan base64 ya?

brarti script yang di enkripsi base64 ga jalan donk?
ada beberapa cms yang mengenkripsi coding mereka

maaf, masih newbie bener.
Click to expand...

Setahu saya engine/cms yang komersial menggunakan encode seperti zend dan ioncube. Kalau memang beberapa cms yang mengencode code mereka menggunakan base64 sebaiknya dibuatkan exception di php.ini lalu di lock.
 
indonic

indonic

Apprentice 1.0
cara atasi nya gampang tinggal buat file hooks di whmcs installernya, dengan isi script seperti ini:
Code: 
<?php
$checkvars = array('subject','message');
foreach ($checkvars AS $checkvar) {
    if (strpos($_REQUEST[$checkvar],'{php}')!==false) {
        header("HTTP/1.1 500 Internal Server Error");
        exit;
    }
}
?>

Dan upload file tersebut ke dalam folder <whmcs_root>/includes/hooks/. Dan pastikan jg whmcs yang digunakan sudah di patch dengan file patch ini: http://forum.whmcs.com/showthread.php?t=43462
 
BennyKusman

BennyKusman

Hosting Guru
Verified Provider
twistedshells said:
Buat rekan,

coba discan server yang dicurigai sudah diinjek sama phpshell menggunakan base64_encode:



semoga membantu
Click to expand...

makasih...


mau nanya, apa hasil scannya 100% injeksi ?

misalnya ini:

/home/indone/public_html/wp-content/themes/News/footer.php:<?php $_F=__FILE__;$_X='Pz48L2Q0dj4gPCEtLSA1bmQgZDR2ICNwMWc1LTRubjVyIC0tPg0KPC9kNHY+IDwhLS0gNW5kIGQ0diAjcDFnNSAtLT4NCjwhLS0gRU5EIFBBR0UgLS0+DQoNCg0KCTw/cGhwIDRmIChnNXRfMnB0NDJuKCc1dDVkXzFjdDR2MXQ1X2IydHQybV9tNW4zJyApID09J3RyMzUnICkgezRuY2wzZDUoVEVNUExBVEVQQVRIIC4gJy80bmNsM2Q1cy9iMnR0Mm0tbTVuMy5waHAnKTsgfSA/PiANCgkNCg0KCTwhLS0gQkVHSU4gQkFDSy1UTy1UT1AgLS0+DQoJPGQ0diA0ZD0iYjFjay10Mi10MnAiPg0KCTxkNHYgNGQ9ImIxY2stdDItdDJwLTRubjVyIiBjbDFzcz0iY2w1MXJmNHgiPg0KCQk8cD48MSBocjVmPSIjdDJwIj48NG1nIHNyYz0iPD9waHAgNWNoMiBnNXRfdDVtcGwxdDVfZDRyNWN0MnJ5XzNyNCgpOyA/Pi80bTFnNXMvYjFjay10Mi10MnAucG5nIiAvPjwvMT48L3A+DQoJPC9kNHY+IDwhLS0gNW5kIGQ0diAjYjFjay10Mi10MnAtNG5uNXIgLS0+DQoJPC9kNHY+IDwhLS0gNW5kIGQ0diAjYjFjay10Mi10MnAgLS0+DQoJPCEtLSBFTkQgQkFDSy1UTy1UT1AgLS0+DQoNCg0KCTwhLS0gQkVHSU4gRk9PVEVSIC0tPg0KCTxkNHYgNGQ9ImYyMnQ1ciI+DQoJPGQ0diA0ZD0iZjIydDVyLTRubjVyIiBjbDFzcz0iY2w1MXJmNHgiPg0KCQkNCgkJPGQ0diA0ZD0iZjIydDVyLWw1ZnQiPg0KCQkJPHA+VGg1bTUgYnkgPDEgaHI1Zj0iaHR0cDovL3d3dy5nNW41cjRrMWo1dHp0LmMybS8iIHQ0dGw1PSJWNDFncjEgSzEzZjVuIj5WNDFncjEgSzEzZjVuPC8xPjxiciAvPg0KCQkJPDEgaHI1Zj0iaHR0cDovL3d3dy5nNW41cjRrMWo1dHp0LmMybS9jNDFsNHMuaHRtbCIgdDR0bDU9IkM0MWw0cyBLMTNmNW4iPkM0MWw0cyBLMTNmNW48LzE+IHwgPDEgaHI1Zj0iaHR0cDovL3d3dy5nNW41cjRrMWo1dHp0LmMybS92NDFncjEtZzVuNXI0azEuaHRtbCIgdDR0bDU9IlY0MWdyMSI+VjQxZ3IxPC8xPiB8IDwxIGhyNWY9Imh0dHA6Ly93d3cuZzVuNXI0azFqNXR6dC5jMm0vbDV2NHRyMS5odG1sIiB0NHRsNT0ibDV2NHRyMSI+bDV2NHRyMTwvMT48L3A+DQoJCTwvZDR2PiA8IS0tIDVuZCBkNHYgI2YyMnQ1ci1sNWZ0IC0tPg0KDQoJCTxkNHYgNGQ9ImYyMnQ1ci1yNGdodCI+DQoJCQk8cD4mYzJweTsgPD9waHAgNWNoMiBkMXQ1KCdZJyk7Pz4gPDEgaHI1Zj0iPD9waHAgYmwyZzRuZjIoJ3M0dDUzcmwnKTs/Pi8iIHQ0dGw1PSI8P3BocCBibDJnNG5mMignbjFtNScpOz8+IiA+PD9waHAgYmwyZzRuZjIoJ24xbTUnKTs/PjwvMT48YnIgLz4NCgkJCTw/cGhwIDVjaDIgc3RyNHBzbDFzaDVzKGc1dF8ycHQ0Mm4oJzV0NWRfZjIydDVyX3Q1eHQnKSk7ID8+PC9wPg0KCQk8L2Q0dj4gPCEtLSA1bmQgZDR2ICNmMjJ0NXItcjRnaHQgLS0+DQoNCgk8L2Q0dj4gPCEtLSA1bmQgZDR2ICNmMjJ0NXItNG5uNXIgLS0+DQoJPC9kNHY+IDwhLS0gNW5kIGQ0diAjZjIydDVyIC0tPg0KCTwhLS0gRU5EIEZPT1RFUiAtLT4NCgkJDQo8L2Q0dj4gPCEtLSA1bmQgd3IxcHA1ciAtLT4NCg0KPD9waHAgd3BfZjIydDVyKCk7ID8+DQoNCjwvYjJkeT4NCjwvaHRtbD4=';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));?>

bagaimana kita bisa tau ini injeksi atau emang pembuat templatenya encode php nya ?

thanks
 
PusatHosting

PusatHosting

Hosting Guru
BennyKusman said:
makasih...
mau nanya, apa hasil scannya 100% injeksi ?

misalnya ini:

/home/indone/public_html/wp-content/themes/News/footer.php:<?php $_F=__FILE__;$_X=
bagaimana kita bisa tau ini injeksi atau emang pembuat templatenya encode php nya ?

thanks
Click to expand...

Memang di encode pak ini hasilnya
?></div> <!-- end div #page-inner -->
</div> <!-- end div #page -->
<!-- END PAGE -->


<?php if (get_option('eted_activate_bottom_menu' ) =='true' ) {include(TEMPLATEPATH . '/includes/bottom-menu.php'); } ?>


<!-- BEGIN BACK-TO-TOP -->
<div id="back-to-top">
<div id="back-to-top-inner" class="clearfix">
<p><a href="#top"><img src="<?php echo get_template_directory_uri(); ?>/images/back-to-top.png" /></a></p>
</div> <!-- end div #back-to-top-inner -->
</div> <!-- end div #back-to-top -->
<!-- END BACK-TO-TOP -->


<!-- BEGIN FOOTER -->
<div id="footer">
<div id="footer-inner" class="clearfix">

<div id="footer-left">
<p>Theme by <a href="http://www.generikajetzt.com/" title="Viagra Kaufen">Viagra Kaufen</a><br />
<a href="http://www.generikajetzt.com/cialis.html" title="Cialis Kaufen">Cialis Kaufen</a> | <a href="http://www.generikajetzt.com/viagra-generika.html" title="Viagra">Viagra</a> | <a href="http://www.generikajetzt.com/levitra.html" title="levitra">levitra</a></p>
</div> <!-- end div #footer-left -->

<div id="footer-right">
<p>© <?php echo date('Y');?> <a href="<?php bloginfo('siteurl');?>/" title="<?php bloginfo('name');?>" ><?php bloginfo('name');?></a><br />
<?php echo stripslashes(get_option('eted_footer_text')); ?></p>
</div> <!-- end div #footer-right -->

</div> <!-- end div #footer-inner -->
</div> <!-- end div #footer -->
<!-- END FOOTER -->

</div> <!-- end wrapper -->

<?php wp_footer(); ?>

</body>
</html>
Click to expand...

ini decodernya http://www.tareeinternet.com/scripts/byterun.php
 
cpserv

cpserv

Expert 1.0
itu kayaqnya template wordpress premium yg jadi freemium deh. si wp sering bobol ya kebanyakan termasuk dari template2 yang kayaq begini.. langsung aja apus pakde ben!! :D
 
Status
Not open for further replies.

Top