Hack du site de WHMCS par les UGNazi

Un article de Quentin C.    Un commentaire

Aujourd’hui est un mauvais jour pour toutes les personnes qui utilisent le script WHMCS…

Hier comme toujours, je me balade sur le net et, en me rendant sur la partie client du WHMCS j’ai un message ‘Couldn’t connect to database server’… Bon, sur le moment j’ai pensé à une mise à jour!

Je reviens 30 minutes plus tard et là j’ai une page « defaced »:

Ce matin, je fais une petite recherche sur Twitter, et là certain twitter RT un PastBind contenant la DB(MySQL), les fichiers PHP, le compte cPanel (mail,ftp,html_public,….) –> Près de 1.7Go compressé ! OUF

Concernant la DB client; les mots de passe sont chiffrés en md5 avec un random salt, il est cependant TRÈS conseillé de changer tous vos mots de passe si vous êtes client/revendeur chez eux.

Après lecture du code source des fichiers PHP , configuration, … je trouve que c’est un peu brouillon …

error_log -> rempli de log d’erreurs

1.htaccess , .htaccess.1188044011

Pleins de failles XSS , Injection SQL ….

Cependant le WHMCS est bien chiffré avec ionCube Loader -> un bon plus !

Edit : (12:50 22 Mai 2012) -> Le site est de nouveau hors ligne ….