全球主机交流论坛

标题: 个人对香水哥被日事件的一些看法(利益相关, 香水哥前用... [打印本页]

作者: flyqie 时间: 2021-12-25 13:52
标题: 个人对香水哥被日事件的一些看法(利益相关, 香水哥前用...
本帖最后由 flyqie 于 2021-12-26 09:08 编辑

今天上午10点收到香水哥被日相关邮件, 是否自导自演尚不清楚, 但估计大概率是真的, 自导自演这么玩代价太大了.

以下是个人对本次事件的分析, 本人开发过一段时间whmcs相关程序, 对whmcs有一定了解.

1.这次被黑应该不是从whmcs主程序那边正面入侵的, 虽然whmcs很大很重很封闭, 但是客户群体很大, 真要出事了肯定不止香水一家.

2.gateway addon server等模块入侵, 个人感觉有一定可能性但是不大, 香水哥网站大部分好像都是mg那边的插件, mg插件虽然也是出了名的臃肿难改, 但代码质量还是可以的, 一般来说不会出啥问题(mg插件用的商家那可多了去了...).

3.个人认为更大程度可能是服务器/cpanel直接被人黑进去了(原因未知, 可能是定向社工?), 论坛上之前有帖子(https://91ai.net/thread-940453-1-1.html)说香水哥网站打不开, 看路径感觉似乎是cpanel, cpanel对站点安全隔离方面做的还是很强悍的, 基本不存在旁站入侵风险, cpanel客户群体也很大, 基本不存在能够挖到的洞(跟whmcs和mg一样,如果有的话搞香水哥那真的大材小用了).

4.明文登录密码从理论上来说不存在泄露风险(之前客户有迁移需求, 特地研究过, 最后的方案是在登陆时候通过hook方式获取提交的邮箱和密码...明文密码根本解密不出来,碰撞那成本可高了去了).

5.香水哥好像用的是pve, mg的pve模块接触过但没怎么尝试, 不太清楚会在whmcs保存什么数据, 但可以告诉大家的是, whmcs里面的service username、service password、server username、server password、server hash、system email information等都是可以直接拿到明文的, 这是正常的设计, 但也意味着财务系统一旦被入侵, 发件邮箱和客户服务均无法保证安全.

2021.12.26 Update:

明文密码可能已经泄露, ~~香水哥这个傻逼在注册欢迎邮件里面写上了密码~~....

~~whmcs默认注册欢迎邮件模板是不会包含密码的~~，并且明文密码只会在注册欢迎邮件发送的时候出现一次，此后均以星号代替。

邮件采用明文储存, 现在只能祈祷香水哥之前定期删已发送邮件了(单纯whmcs删了没用, 可以直接从发件邮箱用POP3/IMAP拉下来邮件)..

2021.12.26 Update2:

疏忽了，疏忽了，刚才看了下whmcs的原始sql文件，确实默认就是带密码的，香水哥没改，我这边之前接触到的商家都是改了的(包括我自己)，这个锅基本不算香水哥的。

作者: gick 时间: 2021-12-25 13:52
香水哥是谁

* 若隐若现才是艺术！

作者: cooioobb 时间: 2021-12-25 13:53
所以国外被脱怎么就没人冷嘲热讽

作者: HOH 时间: 2021-12-25 13:54
cpanel我都是拿来偷偷开飞机的

作者: flyqie 时间: 2021-12-25 13:55

gick 发表于 2021-12-25 13:52
香水哥是谁

* 若隐若现才是艺术！

罗马尼亚大盘鸡hostsolutions.ro老板, 半跑路状态, 估计现在真得跑了.

用户等着加密密码、邮箱、电话、姓名被泄露吧。。。哎

作者: flyqie 时间: 2021-12-25 13:57

HOH 发表于 2021-12-25 13:54
cpanel我都是拿来偷偷开飞机的

cp有的商家给ssh确实能用来跑某些玩意, 这个功能快被玩坏了...

作者: imxiaolong 时间: 2021-12-25 14:08
热搜没看到啊

作者: gick 时间: 2021-12-25 14:16

flyqie 发表于 2021-12-25 13:55
罗马尼亚大盘鸡hostsolutions.ro老板, 半跑路状态, 估计现在真得跑了.

用户等着加密密码、邮箱、电话、 ...

买鸡还得大公司靠谱些

作者: 快乐风男 时间: 2021-12-25 14:30
知道了，这就换钢笔人工手写记录客户信息

作者: 我太难了 时间: 2021-12-25 14:31
mg插件是啥

作者: 赵蜇 时间: 2021-12-25 14:40

flyqie 发表于 2021-12-25 13:57
cp有的商家给ssh确实能用来跑某些玩意, 这个功能快被玩坏了...

DA面板照样给ssh

作者: sdqu 时间: 2021-12-25 14:42
这一年来，他一直声名狼藉的，现在正好可以直接关门走人了，或者换个名字东山再起。

作者: NiDiPiZiNaFongQ 时间: 2021-12-25 14:44
MB的，老子的账号和小鸡都被删了，就是因为这原因？鬼知道真被黑还是故意演戏跑路

作者: flyqie 时间: 2021-12-25 14:47

我太难了发表于 2021-12-25 14:31
mg插件是啥

modulesgarden

模块花园

作者: 二氧化碳 时间: 2021-12-25 14:48
提示: 作者被禁止或删除内容自动屏蔽

作者: flyqie 时间: 2021-12-25 14:48

赵蜇发表于 2021-12-25 14:40
DA面板照样给ssh

DA我个人接触到的比较少, 之前主要用的都是cp

作者: flyqie 时间: 2021-12-25 14:50

NiDiPiZiNaFongQ 发表于 2021-12-25 14:44
MB的，老子的账号和小鸡都被删了，就是因为这原因？鬼知道真被黑还是故意演戏跑路 ...

我倒希望他是故意演戏跑路，这事除了他自己估计没人知道是不是真的。。。但如果是真的那就麻烦大了。。

欢迎光临全球主机交流论坛 (https://91ai.net/)