Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Aus dem Text geht für mich jetzt leider noch kein Beweis hervor, das die Jungs wirklich gehackt wurden. Vielleicht ist das auch nur ein versäuerter Kunde oder Konkurrent. Mal sehen wie sich das entwickelt.
Naja egal ob angesäuerter Kunde oder echter Hacker der Text ist schon cool 
// fuck it was easy to hack them. they have no clue about web security.
// modules are highly insecure. i suggest to not use them again.
// just joking:
echo "Thanks for patching your WHMCS modules. WHMCS Global Services worries very much about your security.";
rrmdir('modules');
// random nonsense to make code bigger
$baz = 'A LONG STRING...' // we do not put this in hereSo wie es eben meist passiert:
Momentan hast du eine Hater - Mail bekommen das sagt noch lange nichts über deren programmier Qualität aus, auch nicht über deren Absicherung Ihres Servers.
Nur das einer seinen Mailaccount offensichtlich nicht ausreichend gesichert hat.
Da Mails auch durch Heimische Rechner abgerufen werden können kann auch der gehackt worden sein.
So lange da wirklich noch keine Kundendaten im Umlauf sind muss man wohl abwarten.
Gruß Christian
Genau deswegen meinte ich das man schauen muss wie sich das entwickelt. Denn das was in dem Text von Root Access steht, ist aktuell noch nicht bewiesen, und durch eine reine Lücke im Modul sollte man (bei korrekter Server Konfig) keinen Root Access auf den Server bekommen.
Kunden von WGS sollten das Thema jedenfalls beobachten und sicherheitshalber Passwörter ändern, wenn dies bei WGS nicht einzigartig war.
Na Klar kam die in der Nacht ist ja auch Indien:
Kann ich nicht beurteilen da ich die Mail nicht kenne.
Ich weiß nur das WHMCS das ganze scheinbar auch nicht so auf die einfache Schulter nimmt der Post wurde schon gesperrt / Zensiert :
https://whmcs.community/topic/…servicescom-rootedhacked/
Gruß Christian
Ich konnte den Post noch sichern verstehe nur nicht warum Sie diesen für die community gesperrt haben 
Kann doch gut sein, dass die Mail erst nach dem Post ankam, z.B. weil Dein Greylisting so eingestellt ist, dass der 2. Versuch erst nach einer Stunde oder so erlaubt ist oder aus anderen Gründen im Zusammenhang mit Absender-, Empfänger-Mail-Server, wie dort die Spam-Filter konfiguriert sind, RBLs etc. … oder nicht?
Der Screenshot ist leider so klein, also ich kann jedenfalls kein Wort erkennen …
Screen anklicken, dann rechts auf "Originalversion aufrufen" und dann kannst du mit der Lupe nochmal vergrößern ;).
Fahre kein Greylisting.
Wir sollten hier auch keine Theorien aufstellen. Fakt ist das Personenbezogene Daten entwendet worden. Wie und wann ist mir egal.
Ich ziehe meine Schlüsse darüber. Ich wollte hier nur informieren.
Gab es das nicht auch schon mal bei WHMCS selbst? 2012 … Jedenfalls Danke für die Info JB1985! Das hätte ich vermutlich gar nicht mitbekommen, ausser mich gewundert, warum deren Seite Offline ist …
Danke auch Denis für den Tipp mit dem Screenshot
Also eben mit einem Betroffenen gechattet es scheint so als hätten die User selber angefangen Ihre WGS Module + tbladdonmodules Tabelle zu löschen.
Es scheint über einen offiziellen WGS Mailaccount ein Anhang versendet worden zu sein mit der bitte diesen einzuspielen ( auto-patch.php ).
( Wie das dazu kam ob gehackter Server oder nur Mailaccount ist eigentlich irrelevant . )
Erst dieser hochgeladen Anhang war der eigentliche Hack er löschte das Moduls Verzeichnis und die eben genannte tbladdonmodules Tabelle.
Der User hat das File in sein DEV-System geladen und drin die Anweisung gefunden Verzeichnis und Datenbank Tabelle zu löschen.
Hier also nochmals der Hinweis kein Entwickler schickt euch einen Anhang mit der Bitte diesen Patch einzuspielen.
Eher kommt eine Mail haben ein Update raus gebracht mit folgender Funktion bitte Loggt euch im Kundenmenü ein und updated bitte .
Was sagt uns das ? Der DAU sitzt immer vor dem Monitor.
Quelle: http://www.webhostingtalk.com/showthread.php?t=1731675
We received an email from Whmcsglobalservices.com with a php file named auto-patch.php attached. It stated that they have found a critical security hole in their license verification system and that we should apply the patch immediately in our whmcs portal. I opened the code and suspected something fishy. So, I uploaded it in our staging environment and executed the code. It displayed the message "Thanks for patching your WHMCS modules. WHMCS Global Services worries very much about your security." after successful execution. Next, I found that it deleted the entire modules directory and also dropped the tbladdonmodules table. When I visited whmcsglobalservices.com, it was down for a long time. I suspect it has been hacked and all their customers have been sent the email. I wonder how many of them did not play safe and have screwed their whmcs portals. I hope there is none. I tried to decode the php code and so far I have been able to find only the deletion of the modules directory and the dropping of the tbladdonmodules table. Those who have not yet executed it, please delete the email immediately. I am waiting for an official announcement from whmcsglobalservices.com.
Gruß Christian
Hallo,
auch ich habe die Hack-Rundmail mit dem Auto-Update.zip (was die Tabelle und das Verzeichnis löscht) erhalten. Da ich in der E-Mail mit Vor/Nachname, korrekter Firmierung angesprochen wurde und das ganze an eine spezielle E-Mail Adresse ging, ist der Verdacht schon sehr nahe das es hier nicht nur um einen E-Mail Account geht. Vielmehr scheint der Versender zumindest auf die o.g. Daten Zugriff zu haben. Auf Nachfrage wurde von WGS auch bestätigt, dass "One of our admin account got hacked" und gestern morgen kam noch eine Rundmail mit folgende Inhalt:
"One of our support account was got hacked. So we are suggesting you to change your all the sensitive login details immediately."
Die heute per Rundmail verschicken Links zu den pastbin-Seiten zeigen allerdings noch deutlich mehr und auch ganz konkrete Code-Funktionen von WGS.
Es scheint also schon deutlich mehr als nur o.g. Daten, ein E-Mail Account, oder ein Support-Account zu sein.
Wie dem auch sei, ändern können wir es jetzt eh nicht. Aber für mich stellt sich immer mehr die grundsätzliche Frage:
Wie sicher ist es überhaupt, Fremd-Module einzusetzen (vorallem encoded)?
Leider (oder glücklicherweise) kann ich selber programmieren und wenn ich mir so manche WHMCS-Module (die auch verkauft werden) anschaue, muss ich leider bestätigen das Funktionalität sehr häufig vor Sicherheit geht. Gut ist es noch, wenn das Modul OpenSource ist und man sich nur ärgert Geld bezahlt zu haben, aber die entsprechende Zeilen selbst optimieren kann. Ich befürchte aber, dass es bei den Encoded-Modulen (wie z.B. von WGS) genau so viele Lücken gibt - von denen wir nichts wissen.
Wie geht Ihr mit dieser Situation um?
Gruß
tcz
Hi tcz,
generell so wenig wie nötig zusätzlich installieren , wenn dann bleibt das auch mal 1-2 Monate auf der DEV - Umgebung ehe es eingeführt wird.
Ich verstehe schon das Entwickler Ihren Sourcecode schützen möchten nur wir Endverbraucher rasen dann im Tiefflug ins Verderben weil wir Sie nicht kontrollieren können.
Hast du es nicht selber unter Kontrolle sondern kaufst extern ein ist man immer etwas masochistisch unterwegs. 
Auch uns hat ein ehemaliger Mitarbeiter schon einen erheblichen Schaden zugefügt trotz Rechte Einschränkung und Überwachung Tools.
Wenn dir einer böses will schafft er es auch .
Ich habe keine Module von WGS im Einsatz, hätte ich Sie würde ich Sie direkt deinstallieren und intensiv meinen Server überwachen.
Ich denke verlockend sind auch immer die Preise son Indisches Modul für 70$ hier zahle ich je nach Arbeit das 10 fache. Gut das ist dann direkt exklusiv für mich entwickelt aber trotzdem.
Gruß Christian
