Вы не зашли.

#1 

mychatik
Moderator
Имя: Геннадий
Зарегистрирован: 2016-04-24
Сообщений: 275
На форуме: 69 час.
Репутация: 21 (96%) ±
Инфо  Вебсайт  Написать

В чате есть папки, в которые грузятся картинки самим пользователем - это и фотографии, и вложения, и графники ( у кого в магазине есть товар "Графник")... И туда могут, под видом картинки, влить какую-нибудь каку...
Поэтому, во ВСЕ эти папки нужно добавить .htaccess следующего содержания:

Для серверов, которые работают в режимах CGI, FastCGI, suPHP, DSO (Apache).

Этот код запрещает прямое обращение к PHP файлам, находящимся в папках.

На серверах работающих в режиме mod_PHP (DSO - Apache PHP), где не запрещены директивы php_flag, php_value
добавляете файл .htaccess следующего содержания:

Данная строчка отключает использование PHP интерпретатора при попытке обращения к PHP файлам находящимся
в этой папке, а также находящимся во всех вложенных папках.

В итоге, даже в случае заливки в эти папки файлов со зловредным PHP кодом, они становятся для злоумышленника совершенно бесполезными, т.к. попросту не будут запускаться и выполнятся сервером.

ВАЖНО! При использовании данных директив, обратите внимание, чтобы в защищаемых таким образом папках, не было ваших PHP файлов. Иначе они также будут заблокированы для исполнения.

Неактивен

#2 

mychatik
Moderator
Имя: Геннадий
Зарегистрирован: 2016-04-24
Сообщений: 275
На форуме: 69 час.
Репутация: 21 (96%) ±
Инфо  Вебсайт  Написать

В корне чата почти каждой сборки находится файл-паразит merge.php.
Зачем он там и кто, с какой целью вложил его во все сборки - неизвестно.

Сообщение от Marik:

Казалось бы мелочь, но уязвимость таки присутствует на многих чатах, позволяя атакующему узнать абсолютный путь к скрипту на сервере и в дальнейшем использовать для каких-либо целей.
Как известно  в дистрибутиве чата много лишних (мусорных) файлов, которые не используются чатом и при этом разработчик также не удосужился их удалить. Среди них файл merge.php, который находится в корне чата и присутствует в стандартном дистрибутиве чата, приходящем от разработчика.
Естественно, в большинстве чатов этот файл не удаляли. При прямом обращенни к файлу, выбивается соответствующая ошибка с раскрытием путей.

Файл самим скриптом чата нигде не используется и что именно он должен был делать - тоже сложно сказать.
Верно только одно, что ничего хорошего для чата он не принесёт, а только может помочь злоумышленнику взломать чат.
Если обратится к этому файлу, то на экране можно увидеть ошибку и полный путь, типа:

А это очень полезная информация для хакера smile

Советую всем проверить на наличие и удалить этот файл. И не переживайте - он никак не взаимодействует с чатом.
Чат после его удаления будет работать, как и работал.

Неактивен

#3 

mychatik
Moderator
Имя: Геннадий
Зарегистрирован: 2016-04-24
Сообщений: 275
На форуме: 69 час.
Репутация: 21 (96%) ±
Инфо  Вебсайт  Написать

Может ещё кому пригодится и поможет.

Только что ко мне обратились с просьбой найти, почему при входе в чат, при вводе логина, вылазят какие-то рекламные блоки.

Лично я никаких блоков не увидел. Но...

Сканирование индексной страницы с помощью Firebug, показало наличие скрипта непонятного счётчика.

http://imgs.su/users/67540/1496789273.png

Немного погуглив - выяснилось, что это никакой не счётчик, а вирус - мобильный редирект.
Причём он у меня почему-то выдавал ошибку 404 - поэтому я и не видел этой рекламы.

Визуально, адреса state.sml2.ru на странице не находилось. Но при просмотре подключаемых скриптов - был обнаружен левый скрипт, замаскированный под счётчик  статистики topchats.

А внутри этого скрипта - и сам код:

Будьте внимательны со своими чатами! Не допускайте левых людей к админке и серверу.

А админу данного чата - для начала, в срочном порядке, менять пароли к серверу/FTP и удалять из файлов эту гадость.
Удалить подключение скрипта с индексной страницы и сам скрипт topchats.min.js из папки topchats в корне чата.
А может и всю эту папку. Смотря что в ней находится ещё.

Неактивен

#4 

mychatik
Moderator
Имя: Геннадий
Зарегистрирован: 2016-04-24
Сообщений: 275
На форуме: 69 час.
Репутация: 21 (96%) ±
Инфо  Вебсайт  Написать

Однажды мне сбросили вот такой скриншот.

http://imgs.su/users/67540/1501509507.jpg

Это открывалось вместо комнаты чата, при входе с ЛЮБОГО браузера.
С телефона вход нормальный.

Это вирус на стороне пользователя.
В большинстве случаев этот паразит - программа Video and Audio plugin Ubar. Она встраивается в любую загружаемую страницу, отправляя персональные данные и выдавая кучу рекламы.

Лечение - через Uninstall Tool (или подобную) найти все программы, установленные в день возникновения проблемы. Особенно, в которых есть слово Ubar.
Удалить их с принудительной чисткой реестра.

P.S. Походу, если найдена программа (по статистике она есть почти у всех) sputnik.mail.ru - тоже удалить! По функционалу и скрытному способу установки - это тот же рекламный вирус и пользы от неё - никакой.
Также можно удалить всё, что имеет в названии mail.ru (кроме того, что вы действительно устанавливали и пользуетесь им).

Неактивен

[ Generated in 0.007 seconds, 9 queries]