Invasão no sistema OJS após atualização para versão 2.4.8

betetk · Novembro 10, 2016, 1:35pm

Olá Ronnie. Aqui é a Elisabete da Universidade Estadual de Goiás.
No dia 1 de novembro de 2016 foi realizada a migração do sistema OJS da versão 2.3.3.3 para 2.4.8.0.
Nessa migração, a parte do gerenciamento de imagens do sistema não está funcionando.
Mas antes de relatar esse problema, ontem a noite o sistema foi invadido e o Maycon prontamente resolveu o problema.
Gostaria de verificar com você se conhece alguma vulnerabilidade no sistema e o que podemos fazer para resolvê-lo.
Você poderia nos ajudar na questão da segurança do aplicativo e ficar uma semana aqui em Anápolis para resolver esse problema?
O invasor está submetendo arquivos .exe, .php e .html. A parte da submissão está com problema. Essa rotina deveria estar limitada a extensões doc, docx, odt, pdf, img e jpg.

ronniebrito · Novembro 10, 2016, 1:46pm

oi @betetk,

a questão do gerenciamento de imagens, talvez seja por causa de permissoes da pasta ‘public’, que deve permitir a escrito por parte do webserver. Precisaria de mais informações , como o log do webserver, para poder analisar melhor.

ja sobre a invasão, desconheço vulnerabilidades da versão 2.4.8
sobre a restrição de upload de determinados tipos de arquivos, acho que a discussão abaixo pode auxiliar:

Elisabete · Dezembro 19, 2016, 10:22am

Bom dia Ronnie, Aqui é a Elisabete da Pesquisa Florestal Brasileira, da Embrapa Florestas.
Também tivemos problemas de invasão após a atualização do OSJ para versão 2.4.8.0. Infelizmente não e a primeira vez, hoje de madrugada invadiram novamente. O invasor está submetendo arquivos .exe, .php e .html.
Você saberia nos dizer como barrar este tipo de problema?

Agradeço

ronniebrito · Janeiro 12, 2017, 12:17pm

ola @Elisabete,

parece que a vulnerabilidade é devido a localização da pasta de uploads do sistema, que esta acessivel diretamente via web, permitindo ao invasor enviar arquivos ‘executáveis’ e chama-los diretamente.

essa pasta é a indicada na diretiva files_dir no arquivo config.inc.php, e ela deve estar um nivel acima da pasta do OJS e/ou em local fora da pasta “www” do servidor web.

veja essa discussão no forum do PKP, onde tratam do assunto com mais detalhes:

se puder nos passe o endereço da sua instalação

abs