Sistema OJS hackeado

Existe falha de segurança dentro do sistema OJS, problema que pode comprometer os arquivos. Gostaria de saber o que está sendo providenciado para evitar tais ataques?

veja: https://openjournalsystems.com/open-journal-systems-ojs-hacking-epidemic-solutions/ e
Deface Website Dengan OJS ( Open Journal System ) - YouTube

Bom dia,

A última conhecida, dentro do OJS, é para versão 2.3.6, lançada há 6 anos.

De acordo com a PKP, as versões atuais são seguras, desde que instaladas da forma correta. Que os problemas relatados em versões mais recentes são fruto de instalações que não seguem as recomendações básicas.

O primeiro passo é que a instalação e a manutenção do OJS seja feita por pessoas qualificadas para estas tarefas. As vezes, por falta de conhecimento dos editores, se utiliza instalações feitas por pessoa sem o devido conhecimento, e até mesmo sem manutenção (ex.: atualizações), fazendo com que o risco de problemas futuros para revista sejam bastante ampliados.

As melhorias do software tem sido implementadas na versão 3 do OJS.

Aqui o sistema foi instalado e é mantido por equipe de TI altamente qualificada. Conforme as informações
disponíveis os ataques estão acontecendo mundialmente ao OJS…

Apenas para deixar claro: a citação que fiz sobre a equipe qualificada é genérica, pensando na audiência do fórum, pois sabemos de muitos casos de instalações feitas de forma amadora e de instalações sem manutenção. Não estou colocando em dúvida a qualificação da equipe técnica de vocês.

No caso de vocês, a invasão ocorreu em qual versão do OJS?
A equipe de TI conseguiu identificar qual foi a vulnerabilidade explorada nesta invasão?

De fato, os ataques cresceram com a maior popularidade da plataforma. Mas no vídeo que você divulgou mostra ataques a instalações que não seguiram as recomendações da PKP para instalação da plataforma.

Alguém soube de alguma invasão na versão 3?

vi o video, (eita musiquinha irritante) e as invasões que ele apresenta dependem todas de uma má configuração no OJS: a pasta files estar visivel diretamente no ambiente web.

verifique o conteudo da diretiva do files_dir no arquivo config.inc.php e certifique-se de que a pasta indicada nao seja acessivel diretamente.

em relação ao upload de arquivos maliciosos, o OJS não faz verificação de conteudo, isso fica no nivel de segurançao do servidor web. Mas ao q parece a empresa que publicou essa ‘vulnerabilidade do OJS’ disponibiliza tb um plugin que faz essa verificação

Ou só divulgou por vender o tal plugin… acho bem triste a postura desse cara do “openjournalsystems”.

  1. Usa o nome de um produto da PKP (Open Journal Systems) como “marca” em sua empresa, causando confusão e usufruindo do trabalho de anos de divulgação de um software livre para faturar.
  2. Envia spam para divulgar mensagens vendendo seus produtos ou difamando a PKP
  3. Em vez de agradecer a PKP por desenvolver o OJS, base de todo seu modelo de negócios, processa o projeto, ataca os desenvolvedores… foi até expulso do fórum da PKP por má conduta.

Enfim, em termos éticos me parece bem complicada esta empresa… não recomendo como fonte de informações ou serviços.

1 curtida

Diego_Abadan is a complete liar for the following reasons:

1- OJS security loopholes has been discussed extensively by other security experts:
Henry Raul. Open Journal Systems: ¿Que tan bueno es no tener vulnerabilidades? Behique Digital blog post. December, 13th, 2016. Available at: Open Journal Systems: ¿Que tan bueno es no tener vulnerabilidades? | Behique Digital
Dadkhah M., Borchardt G and Lagzian Do you ignore information security in your journal website? M Sci Eng Ethics (2016). doi:10.1007/s11948-016-9849-z.

2- Its’ PKP that has been defaming it’s competitors, not other way around. For full story, see: https://openjournalsystems.com/pkp-predatory-business-practices/

3- PKP has been holding monopoly over OJS services for many years and charging an exorbitant rate for its services. They have been attacking anyone competing with them.
We will report Diego Abadan to DHS for spreading lies and false information against US corporation.