Submit Ticket Sorunu SPAM Gönderimini Mümkün Kılıyor. DDOS atak ihtimalini arttıyor!

Özellikle web hosting ve reseller satışı yapan firmalrın tercih ettiği kolay ve hızlı bir domain,hosting vb. satış otomasyonu yazılımı olan WHMCS’de; kullanıcıların ve müşterilerin ilgili birimlere internet üzerinden ticket (bilet) açarak yazışmasını sağlayan sistemin kötü niyetli kişiler tarafından SPAM ve Bilgi Çalmak için rahatlıkla kullanılabileceğini gördüm.

Normalde kullanıcı girişi olmadan çıkmaması gereken panel ne yazık ki url kısmında direkt olarak; http://www.xxxxxxxxxx.com/submitticket.php yazılarak erişilebiliyor. Buraya erişimden sonra karşınıza gelen ekranda İSİM, E-POSTA,DEPARTMAN, BAŞLIK, ACİLİYET ve KONU alanları geliyor. Bu alanlara istenilen ( bilgisi çalınmak/spam yapılmak istenilen kişilerin ) e-posta adreslerini yazarak ilgili KONU kısmına da örneğin : “1 MİLYON TL KAZANDINIZ www.da-hi.net’i ziyaret edin” gibi bir mesaj yazılarak gönder dediğinizde karşı tarafa bu mail göndermiş oluyor. Hemde çok ciddi hosting firmasının(!) mail adresinden!

Bu şekilde binlerce maili gönderecek bir script yazmak en fazla bilen birisi için 15 dakika sürecektir. Bu şekilde mail listesindeki herkese istenilen kod veya içerik gönderilebilmektedir.

Örnek :

Barış BAYRAM,
Destek sistemimize ulaştığınız için teşekkür ederiz. Destek biletinize en kısa sürede ilgili yetkililer tarafından yanıt verilecektir.
Konu: 1 Milyon TL kazandınız hemen ziyaret edin ==> http://www.da-hi.net
Öncelik: Yüksek
Durum: Açık
http://www.xxxxxxxxxxx.net/viewticket.php?tid=460151&c=aEpHWwRA linki üzerinden destek biletinizi görüntüleyebilirsiniz.
XXXXXX NET

Bu sistemki açık/zaafiyet kullanılarak yapılacak bir çok şey var fakat daha fazla detaya girmek istemiyorum. Fakat değinmek istediğim bu şekilde MYSQL sunucusununda milyon tane ticket ile şişirilip devre dışı bırakılabileceği!

Yani bir anlamda DDOS atak ta gerçekleştirmiş oluyorsunuz

WHMCS kullanan hosting firması sahiplerinin bu açığı kapatabilecek bir kaç seçeneği var aslında. Bunlardan ilki CAPTHCA seçeneği aktif hale getirmek, en azından sürekli bombarduman şeklinde maillerin gitmesini engelleyebilir. İkinci olarak submitticket.php dosayında da LOGIN şartı konulması ki bunu yapan bir kaç firma var. SESSION kontorlü ile rastgele erişimi kısıtlayabilirsiniz.

Güvenlikle kalın,

Murat Kaya
www.muratkaya.com.tr

submitticket.php üzerinden spam konusu için bir kaç yöntem önermek gerekirse;

1. Chapta
2. SSL
3. Departmanları sadece müşterilerin kullanabileceği şekilde kısıtlamak.İlgili tpl dosyasına

{if $loggedin}{else} üye giriş sayfasına yönlendirme etiketi {/if}

Ayrıca not olarakta şunu belirtmemiz gerekiyor sanırım:

Tpl dosyalarında şu şekilde php kodları çalıştırabilirsiniz;

{php}
$userid = $this->_tpl_vars['userid'];
$result = mysql_query(“SELECT firstname FROM tblclients WHERE id=$userid”);
$data = mysql_fetch_array($result);
$firstname = $data["firstname"];
echo $firstname;
{/php}

Daha ayrıntılı bilgiyi Smarty’le ilgili destek sitesinden (http://www.smarty.net/) edinebilirsiniz.

4. WHMCS 5.0.3 sürümünü yükledikten sonra farkettim ki; admin panelinden giriş yapıp, Setup – Support – Support Departments tıklayarak Clients Only ve Pipe Replies Only parametrelerini seçili hale getirerekte kod eklemeden destek talebi için login şartı getirebiliriz.

Barış BAYRAM
MCP, MCSA, MCTS, MCSE

        

Son birkaç gündür msndeki kişi listelerinde oluşan problemler ile ilgili sorular almaktayız.

-Bu sorulardan birincisi messenger live plus gibi ek parti program kullanan arkadaşlarımızdan gelmekteydi. Yaşadıkları sorun ise özellikle son bir aydır ekledikleri kişilerin listelerinde olmalarına rağmen kişi listesi temizleyicisi (aslında gereksiz bir bölümdür ama insan merakı işte giden gitsin kalan kalsın değil mi?) kısmında listeye ekli olamadıkları şeklinde (hayır olarak) gözükmeleriydi ki bu eklenen kişiler gizlilik kısmında da silinebilir olarak gözükmekteydi. Arkadaşlarımızdan gelen ana soru: “Peki listesinde gözükmediğimiz halde bu kişilerle nasıl konuşabilmekteyiz?” şeklindeydi.

UYARI ve CEVAP: Bu sorunun kaynağı Windows’un server sisteminden kaynaklanmakta. Özellikle yeni sürüm Windows live Messenger kullanan arkadaşlarımızın başına sıklıkla gelmeye başladı. Messenger plus ile alakalı bir sorunda değildir. Kişi listenizin ve maillerinizin barındırıldığı alanlar (serverlar) ile alakalı bir sorundur. Sorun ile alakalı olarak Microsoft’a  birçok mail yollandı. Çözümünü beklemekten başka şansınız şu anda bulunmamaktadır. İşe yarar bir çözüm oluştuğunda sitemizden sizlere en kısa duyurulacaktır. Kişi listesi kısmını sıklıkla kullanan arkadaşlarımız bir süreliğine o kısmı dikkate alıp işlem yapmasalar iyi olur. Çünkü liste yüzünden yanlış bilgi alma ihtimalleri yüksektir.(Yanlış karar alıp arkadaşlarınızı silebilirsiniz.)

BU SORUN İLE İLGİLİ UFAK BİR RESİMLİ ANLATIM YAPTIK:

-Bize ulaşan ikinci soru ise; “Live Messenger’i açınca kişi listem gözükmüyor” ya da “msn açıkken listemde kimse gözükmüyor, bir anda kayboluyor” şeklindeydi.

CEVAP: Windows Live Messenger’ın yeni sürümü ile ortaya çıkan bu sorunun nedeni birden fazla PC (Bilgisayar) de aynı anda hesabınızı kullanabilmenizin sağlanmasıdır. Çözümü ise Araçlar-Seçenekler-Güvenlik kısmında yer alan Bu paylaşılan bir bilgisayardır. Kişi listemi veya yenilikler bilgilerini bu bilgisayara kaydetme seçeneğinin işaretsiz halde olmasıdır. Tercihinize göre o seçeneği işaretleyerek bu sorundan kurtulabilirsiniz.