Injeksi lewat SUPPORT TICKET WHMCS


Status
Not open for further replies.

Wien Dk

Apprentice 1.0
oia selain melindungi whmcs dengan sepenggal script untuk menolak masuknya kode php lewat support ticket tadi, ada peringatan yang pernah saya baca di sebuah forum: SEBAIKNYA TIDAK MENYIMPAN PASSWORD ROOT WHM di WHMCS! (pada settingan servers, bikin saya akun reseller dengan akses terbatas, hanya untuk bisa create account secara otomatis)


yup benar mas, untung saja saya juga begitu.
akun untuk created hosting saya pakai level reseller yang di masukin WHMCS untuk menjaga hal ini terjadi.
 

indobizter

New Member
terlambat baca infonya. WHMCSku juga terlanjur kena. (at Fri, Jan 20, 2012 at 11:01 PM)

bersabar mode ON.

Selamat buat hacker yang sudah berhasil menembus member.indobizter.web.id, apabila dikemudian hari menjadi pesakitan, buta atau seret rejeki jangan salahkan saya!!!

TUHAN pasti Melihat dan memberikan Pengadilan.
 

Michael Nicky

Hosting Guru
terlambat baca infonya. WHMCSku juga terlanjur kena. (at Fri, Jan 20, 2012 at 11:01 PM)

bersabar mode ON.

Selamat buat hacker yang sudah berhasil menembus member.indobizter.web.id, apabila dikemudian hari menjadi pesakitan, buta atau seret rejeki jangan salahkan saya!!!

TUHAN pasti Melihat dan memberikan Pengadilan.

Sabar ya br0.......... Orang sabar kekasih Tuhan.
 

felz

Beginner 2.0
tambahan lagi sesuai pengalaman saya,
1. Jangan bikin website jualan hosting kita menggunakan cms wordpress, bikin saja menggunakan static html (wordpress itu gudangnya celah security)
2. public_html di halaman utama sebaiknya di set 444 (read + exe only)
3. kalau mau nekad bikin subdomain untuk blog dan atau keperluan lain, bikin di account terpisah dari whmcs (bisa pakai a record dst)
 

sinji

Apprentice 1.0
gara2 hole ini saya sempet disable WHM login di ---product and service - server

krn bila sang penyusup masuk ke whmcs kita, dengan nyamannya dia bisa login ke server kita dengan tombol WHM disana ....... tanpa password .....

cara disablenya gimna Tuan?
bukannya biar bisa create otomatis memang harus masukkan pasword? product and service - server
 

derrimaulana

Apprentice 2.0
file php nya dinamakan apa?

file .php nya bebas mas...

Secara teknis sudah di blok tuh dari ticket.
cuman doi tetep masuk di log nya, apa log tersebut masih bisa dijalankan dari luar ?
 
Status
Not open for further replies.

Top