Prezados,
Temos tido diversas tentativas de invasão explorando uma vulnerabilidade de exploit. O Invasor cria uma conta na revista e faz upload de um pequeno arquivo php que permite ao invasor executar comandos locais.
Nós desabilitamos a possibilidade de executar qualquer arquivo upado, mas sempre fica uma dúvida, se eles tiveram ou não sucesso.
Alguém mais esta sofrendo este tipo de ataque?
Tem como eu configurar o OJS para aceitar uploads de extensões predeterminada? Tipo odt doc dox e recusar outras extensões?
Segundo a PKP não há o que se preocupar. Segue texto extraído do fórum.
OJS doesn’t check what kinds of files you attach to submissions; there are situations where an .EXE file could be a valid attachment. OJS is protected from malicious uploads (e.g. .PHP scripts that could be run server-side) because access to those files is mediated by PHP, so that they can’t be invoked directly on the server. Client-side, users should treat downloaded files with the same care they would from any website.
Regards,
Alec Smecher
Public Knowledge Project Team
Existem algumas precauções além dessa que já tomaste, para assegurar um pouco mais de segurança no seu sistema. Por exemplo:
Habilitar o CAPTCHA para registro de usuário junto com a validação por email. Assim antes de receber o email de verificação do registro o usuário tem de mostrar que não é um robô tentando se registrar;
Sempre coloque o diretório ojs_files fora da pasta web_root onde o site roda e peça para sua equipe de TI retirar permissões de execução nesta pasta e suas pastas filhas, assim mesmo que algum usuário mal intencionado suba um arquivo de script, não poderá executar tão facilmente;
Um script somente será executado remotamente se estiver dentro de uma pasta exposta para Internet.
Se mesmo assim quiseres bloquear o upload de arquivos em PHP esse tópico no Forum do OJS mostra como logo no primeiro post:
Estas instruções, em modo amplo, estão disponíveis no https://pkp.sfu.ca/ojs/README na seção Recommended Configuration.