2週間前、モジュールプロバイダーであるWHMCS Servicesでハッキングが発生しました。25230のメンバー@AdvinがLETのスレッドで述べたように、

人気のある WHMCS モジュール プロバイダーである WHMCSServices が最近ハッキングされ、悪意のあるコードを含むモジュールがアップロードされました。

これは最悪のハッキングです。信頼できるはずのマーケットプレイスからモジュールを購入したりアップデートしたりしたのに、それが改ざんされていたことが判明するのです。

複数のホストが影響を受けたと報告しています。コミュニティメンバーはCloudieとQuikhostから通知を受け取っています。その後、さらに多くのプロバイダーが影響を受けたと報告しています。

リスクは？ 攻撃者が選んだコードが入ったモジュールをWHMCSで実行すれば、攻撃者はやりたい放題です。データベースをダンプして持ち去るといった手口はよくあります。

ではプロバイダーは何をすべきでしょうか?

まず、購入するモジュールには十分注意してください。モジュールに「王国の鍵」を渡すことになるということを理解してください。必要なモジュールであれば、セキュリティ監査を実施するのも悪くありません。

LET のベテラン @FatGrizzly が素晴らしいチェックリストを公開しています。

• 管理URLの変更、またはIPによる管理URLの制限
• WAFを使用して不要なファイルへのリクエストをブロックします。インターネット上の誰もconfiguration.phpファイルを取得する必要はありません。
• DBサーバーへのアクセスをローカルホストに制限する
• すべてのアカウント（データベースを含む）に強力で一意のパスワードを使用します
• SSH、PhpAdmin などを公開します。
• ログの監視と確認
• Immunify360のようなツールを使って定期的にスキャンする
• 定期的にバックアップを取り、復元をテストする

(これらの提案のいくつかを提供してくれた @FatGrizzly に感謝します)。

影響を受けましたか？何かアドバイスはありますか？何が起こったのですか？下のコメント欄または25230でお知らせください！