<div dir="ltr">Thanks! for the input Nilay.<br><div><br></div><div>Yes! I agree we need to take a step towards improving our platform which includes upgrading the outdated libraries and compatibility for recent php. </div><div><br></div><div>Let's work together to contribute more to the product mainly on important things first Security, Coding practises and we are sure community contribution is most respected. I will share the sequence of tasks for 7.4 soon, So we can plan and start working on them.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Sep 20, 2020 at 3:24 PM nilay khatri <<a href="mailto:nilay.spartan@gmail.com">nilay.spartan@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">I did that already when the attack happened.<div><br></div><div>The path through which they were able to gain access was by uploading an extension that contained a lightweight File Manager and a DB Manager. Also, related to view extensions which already contained a File Manager, and later those were removed from the extension store as well. Similarly one of development instances was compromised because of very weak password set by client. (1)</div><div><br></div><div>Always make sure when any instance is setup for a demo or for public, to disable extension store and option to import module zip file.</div><div><br></div><div>Later, the attacker also modified the login script of other instances on the same server and had put a code that keeps sending the credentials to domain <a href="http://vtigersupport.com" target="_blank">vtigersupport.com</a> . I hope this clarifies why similar domains are kept on check by us.</div><div><br></div><div>That is the best I can share as of now, for more information one can refer to the old threads. I spoke/contacted other members of the community as well, even they have faced similar attacks.</div><div><br></div><div>Looking at the brighter side, it is a lesson learnt hard way and then onwards we go through a monthly security audit, our solution which is built on top of Vtiger is also under continuous security review and improvements. I seriously stand on this with Blazej. </div><div><br></div><div>To be frank I was taken aback that even after Blazej reported manhy issues no-one from the Vtiger team took any action (I am not aware if any, because nothing was published on public domain by Vtiger about that) until I took those points and created issues at <a href="http://code.vtiger.com" target="_blank">code.vtiger.com</a> . And then 7.2 was planned. Even right now there are several. I feel embarrassed to bring those basic kindergarten issues in light again and again.  (1) Having a min. viable rule to set password, login failure due to some characters. Which even led to locking of the test instance which was setup by Vtiger for 7.3.</div><div><br></div><div>I have many times emphasized on few incompatibilities and outdated libraries etc. such as with cloudflare, basic/obvious observable things reported by github depandabot, snyk etc. but no attention has been given.  I am ready to share more and more information given the community contribution is planned, kept transparent and important things are focused first. Security, Coding practises, Features is what I feel is the right sequence that should be followed. </div><div><br></div><div>I am happy that there is more traction now, and slowly the community is being given attention to. And so our contributions as well will increase, it will be hand in hand!</div><div><br></div><div>-Cheers, Nilay</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Sep 20, 2020 at 2:52 PM Uma S <<a href="mailto:uma.s@vtiger.com" target="_blank">uma.s@vtiger.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Ok! Nilay. Thanks! for the update.<br><div><br></div><div>Brief introduction about the issue you faced, will help to plan a strategy to solve such issues.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Sep 19, 2020 at 9:42 PM nilay khatri <<a href="mailto:nilay.spartan@gmail.com" target="_blank">nilay.spartan@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Thanks Uma, I guess the legal team has been already notified. <br><div><br></div><div>Just to remind, a couple of years back we faced attacks which emerged from the <a href="http://vtigersupport.com" target="_blank">vtigersupport.com</a> domain, and so it is really necessary to keep a tap on such domains.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Sep 19, 2020 at 9:14 PM Uma S <<a href="mailto:uma.s@vtiger.com" target="_blank">uma.s@vtiger.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi Nilay,<br><div><br></div><div>Thanks! For the alert, I have placed this request with our legal team who are acting on this issue.</div><div><br></div><div>>>The reason why we need to be aware is to block any requests from such domains and to list them as not-officially-associated with Vtiger list and to share with our clients who are using Open Source Vtiger CRM.<br></div><div>Sure! We need to take necessary actions to block any requests from these domains. Can you please file an issue on <a href="http://code.vtiger.com" target="_blank">code.vtiger.com</a></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Sep 18, 2020 at 7:08 AM nilay khatri <<a href="mailto:nilay.spartan@gmail.com" target="_blank">nilay.spartan@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi Uma,<br><div><br></div><div>would there be any action that would be taken against them? I have reported the urls to your legal and partner team as well.</div><div><br></div><div>The reason why we need to be aware is to block any requests from such domains and to list them as not-officially-associated with Vtiger list and to share with our clients who are using Open Source Vtiger CRM.</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Sep 13, 2020 at 10:07 AM Uma S <<a href="mailto:uma.s@vtiger.com" target="_blank">uma.s@vtiger.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi Nilay,<div><br></div><div>No! none of these belongs to Vtiger. These might be using the on-premise application for their business.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Sep 12, 2020 at 11:14 PM nilay khatri <<a href="mailto:nilay.spartan@gmail.com" target="_blank">nilay.spartan@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">What about followings:<br><div><br></div><div><a href="https://persianvtiger.com/" target="_blank">https://persianvtiger.com/</a><br></div><div><a href="http://www.itvtiger.com/" target="_blank">http://www.itvtiger.com/</a><br></div><div><a href="http://vtiger-crm.ru/" target="_blank">http://vtiger-crm.ru/</a><br></div><div><a href="https://www.javtiger.com/" target="_blank">https://www.javtiger.com/</a><br></div><div><a href="http://www.lightcast-vtiger.com/" target="_blank">http://www.lightcast-vtiger.com/</a><br></div><div><a href="http://www.teamvtiger.com/" target="_blank">http://www.teamvtiger.com/</a><br></div><div><a href="http://vtigercrmhosting.com/" target="_blank">http://vtigercrmhosting.com/</a><br></div><div><a href="https://vt01.vtigercrmhosting.com/" target="_blank">https://vt01.vtigercrmhosting.com/</a><br></div><div><a href="http://vtiger-hilfe.info/" target="_blank">http://vtiger-hilfe.info/</a><br></div><div><br></div><div><br></div><div>Most  of them are providing Vtiger services or related somehow.</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Sep 12, 2020 at 10:55 PM Uma S <<a href="mailto:uma.s@vtiger.com" target="_blank">uma.s@vtiger.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi Nilay,<br><div><br></div><div>No! This is not from Vtiger.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Sep 12, 2020 at 10:45 PM nilay khatri <<a href="mailto:nilay.spartan@gmail.com" target="_blank">nilay.spartan@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi Vtiger team,<br><div><br></div><div>just came across <a href="https://vtiger.com.co/" target="_blank">https://vtiger.com.co/</a>  is that a website from Vtiger?</div><div><br></div></div>
_______________________________________________<br>
<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr"><div dir="ltr">With<br>Best Regards<br>Uma.S<br><div>Vtiger Team</div></div></div>
_______________________________________________<br>
<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a></blockquote></div>
_______________________________________________<br>
<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr"><div dir="ltr">With<br>Best Regards<br>Uma.S<br><div>Vtiger Team</div></div></div>
_______________________________________________<br>
<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a></blockquote></div>
_______________________________________________<br>
<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr"><div dir="ltr">With<br>Best Regards<br>Uma.S<br><div>Vtiger Team</div></div></div>
_______________________________________________<br>
<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a></blockquote></div>
_______________________________________________<br>
<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr"><div dir="ltr">With<br>Best Regards<br>Uma.S<br><div>Vtiger Team</div></div></div>
_______________________________________________<br>
<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a></blockquote></div>
_______________________________________________<br>
<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">With<br>Best Regards<br>Uma.S<br><div>Vtiger Team</div></div></div>