全球主机交流论坛

标题: whmcs lagom主题开源版众筹拼车有没有？ [打印本页]

作者: 饕餮 时间: 2024-2-18 22:44
标题: whmcs lagom主题开源版众筹拼车有没有？

有没有大佬拼车的

作者: tomcb 时间: 2024-2-18 22:48
这不是有洞吗？

作者: tomcb 时间: 2024-2-18 22:49
我们很遗憾地通知您，

我们的计费系统（idc.wiki）出现了安全漏洞

原因是我们的 Lagom 主题再修复漏洞完成后, 又发现了一个安全漏洞，导致黑客在未经授权的情况下访问了我们的数据库以及文件。

我们必须承认，在此次漏洞中访问的数据有可能被滥用。

我们无法绝对保证被访问的数据将保持安全。

因此，我们敦促您采取一切必要的预防措施来保护您的账户、服务和系统。

如果您的服务（VPS、共享主机等）账户密码与最初设置的密码不一致，请立即更改。

也请通过 idc.wiki 更改您的客户账户密码。我们对由此给您带来的不便表示诚挚的歉意。

在此期间，我们将竭尽所能为您提供帮助和支持，敬请谅解。

作者: 饕餮 时间: 2024-2-18 23:17

tomcb 发表于 2024-2-18 22:49
我们很遗憾地通知您，

我们的计费系统（idc.wiki）出现了安全漏洞

有说具体的洞在哪里吗？

作者: huiyi 时间: 2024-2-18 23:19

tomcb 发表于 2024-2-18 22:49
我们很遗憾地通知您，

我们的计费系统（idc.wiki）出现了安全漏洞

啥时候的洞啊

作者: tomcb 时间: 2024-2-18 23:30

饕餮发表于 2024-2-18 23:17
有说具体的洞在哪里吗？

Origin: https://t.me/network00000/1447

该问题出现于 Lagom 主题的下单界面。

WIKIHOST 已在下单页面时，已经添加了自动化机器人防护以及常见漏洞防护，因此早期没有发现该问题。

攻击者手动下单，通过在结算页的 Lagom 主题漏洞，向 assets/img/clients 目录上传 PHP 文件

攻击者访问上传的 PHP 文件，获取到了服务器的敏感信息。

目前, WIKIHOST 已加固财务系统的安全性，并且已经删除了攻击者上传的 PHP 文件。

并通过备份的差异对比，确认了没有其他文件被上传。

目前新增的加固措施:

1. 新增大量 WAF 规则
2. 静态资源目录将挂载为只读分区，无法新增/修改文件
3. 所有请求将只能从 WAF 通过后，才能到达后端服务器 (此前是部分请求)

作者: 饕餮 时间: 2024-2-18 23:44

tomcb 发表于 2024-2-18 23:30
Origin: https://t.me/network00000/1447

我看到了LET上的通告了，但是都没有说明具体的问题，如何上传的什么的，WAF也不能完全防住的。还是得明白问题的根源

作者: opelnic 时间: 2024-2-19 00:26

饕餮发表于 2024-2-18 23:44
我看到了LET上的通告了，但是都没有说明具体的问题，如何上传的什么的，WAF也不能完全防住的。还是得明白 ...

应该是hostus的公告吧

作者: NodeLoc 时间: 2024-2-19 01:17
https://www.wucuoym.com/7388_urgent_security_update_notification_for_lagom_whmcs_theme.html

作者: a8dog 时间: 2024-2-19 03:34
老哥 whmcs购买一直欺诈有没有啥其他途径购买授权，正好我也是想购买lagom主题

作者: 饕餮 时间: 2024-2-19 17:55

a8dog 发表于 2024-2-19 03:34
老哥 whmcs购买一直欺诈有没有啥其他途径购买授权，正好我也是想购买lagom主题 ...

用盗版

欢迎光临全球主机交流论坛 (https://d.168530.xyz/)