|
|
今天上午10点收到香水哥被日相关邮件, 是否自导自演尚不清楚, 但估计大概率是真的, 自导自演这么玩代价太大了.
以下是个人对本次事件的分析, 本人开发过一段时间whmcs相关程序, 对whmcs有一定了解.
1.这次被黑应该不是从whmcs主程序那边正面入侵的, 虽然whmcs很大很重很封闭, 但是客户群体很大, 真要出事了肯定不止香水一家.
2.gateway addon server等模块入侵, 个人感觉有一定可能性但是不大, 香水哥网站大部分好像都是mg那边的插件, mg插件虽然也是出了名的臃肿难改, 但代码质量还是可以的, 一般来说不会出啥问题(mg插件用的商家那可多了去了...).
3.个人认为更大程度可能是服务器/cpanel直接被人黑进去了(原因未知, 可能是定向社工?), 论坛上之前有帖子(https://hostloc.com/thread-940453-1-1.html)说香水哥网站打不开, 看路径感觉似乎是cpanel, cpanel对站点安全隔离方面做的还是很强悍的, 基本不存在旁站入侵风险, cpanel客户群体也很大, 基本不存在能够挖到的洞(跟whmcs和mg一样,如果有的话搞香水哥那真的大材小用了).
4.明文登录密码从理论上来说不存在泄露风险(之前客户有迁移需求, 特地研究过, 最后的方案是在登陆时候通过hook方式获取提交的邮箱和密码...明文密码根本解密不出来,碰撞那成本可高了去了).
5.香水哥好像用的是pve, mg的pve模块接触过但没怎么尝试, 不太清楚会在whmcs保存什么数据, 但可以告诉大家的是, whmcs里面的service username、service password、server username、server password、server hash、system email information等都是可以直接拿到明文的, 这是正常的设计, 但也意味着财务系统一旦被入侵, 发件邮箱和客户服务均无法保证安全. |
|
发表于 2021-12-25 13:52:15
楼主
