|
本帖最后由 flyqie 于 2021-12-26 09:08 编辑
今天上午10点收到香水哥被日相关邮件, 是否自导自演尚不清楚, 但估计大概率是真的, 自导自演这么玩代价太大了.
以下是个人对本次事件的分析, 本人开发过一段时间whmcs相关程序, 对whmcs有一定了解.
1.这次被黑应该不是从whmcs主程序那边正面入侵的, 虽然whmcs很大很重很封闭, 但是客户群体很大, 真要出事了肯定不止香水一家.
2.gateway addon server等模块入侵, 个人感觉有一定可能性但是不大, 香水哥网站大部分好像都是mg那边的插件, mg插件虽然也是出了名的臃肿难改, 但代码质量还是可以的, 一般来说不会出啥问题(mg插件用的商家那可多了去了...).
3.个人认为更大程度可能是服务器/cpanel直接被人黑进去了(原因未知, 可能是定向社工?), 论坛上之前有帖子(https://hostloc.wiki/thread-940453-1-1.html)说香水哥网站打不开, 看路径感觉似乎是cpanel, cpanel对站点安全隔离方面做的还是很强悍的, 基本不存在旁站入侵风险, cpanel客户群体也很大, 基本不存在能够挖到的洞(跟whmcs和mg一样,如果有的话搞香水哥那真的大材小用了).
4.明文登录密码从理论上来说不存在泄露风险(之前客户有迁移需求, 特地研究过, 最后的方案是在登陆时候通过hook方式获取提交的邮箱和密码...明文密码根本解密不出来,碰撞那成本可高了去了).
5.香水哥好像用的是pve, mg的pve模块接触过但没怎么尝试, 不太清楚会在whmcs保存什么数据, 但可以告诉大家的是, whmcs里面的service username、service password、server username、server password、server hash、system email information等都是可以直接拿到明文的, 这是正常的设计, 但也意味着财务系统一旦被入侵, 发件邮箱和客户服务均无法保证安全.
2021.12.26 Update:
明文密码可能已经泄露, 香水哥这个傻逼在注册欢迎邮件里面写上了密码....
whmcs默认注册欢迎邮件模板是不会包含密码的,并且明文密码只会在注册欢迎邮件发送的时候出现一次,此后均以星号代替。
邮件采用明文储存, 现在只能祈祷香水哥之前定期删已发送邮件了(单纯whmcs删了没用, 可以直接从发件邮箱用POP3/IMAP拉下来邮件)..
2021.12.26 Update2:
疏忽了,疏忽了,刚才看了下whmcs的原始sql文件,确实默认就是带密码的,香水哥没改,我这边之前接触到的商家都是改了的(包括我自己),这个锅基本不算香水哥的。 |
|