Tentativa de Invasão

Prezados,
Temos tido diversas tentativas de invasão explorando uma vulnerabilidade de exploit. O Invasor cria uma conta na revista e faz upload de um pequeno arquivo php que permite ao invasor executar comandos locais.
Nós desabilitamos a possibilidade de executar qualquer arquivo upado, mas sempre fica uma dúvida, se eles tiveram ou não sucesso.
Alguém mais esta sofrendo este tipo de ataque?
Tem como eu configurar o OJS para aceitar uploads de extensões predeterminada? Tipo odt doc dox e recusar outras extensões?

Agradeço a ajuda

Segundo a PKP não há o que se preocupar. Segue texto extraído do fórum.

OJS doesn’t check what kinds of files you attach to submissions; there are situations where an .EXE file could be a valid attachment. OJS is protected from malicious uploads (e.g. .PHP scripts that could be run server-side) because access to those files is mediated by PHP, so that they can’t be invoked directly on the server. Client-side, users should treat downloaded files with the same care they would from any website.

Regards,
Alec Smecher
Public Knowledge Project Team

Olá @Elisabete

Existem algumas precauções além dessa que já tomaste, para assegurar um pouco mais de segurança no seu sistema. Por exemplo:

  1. Habilitar o CAPTCHA para registro de usuário junto com a validação por email. Assim antes de receber o email de verificação do registro o usuário tem de mostrar que não é um robô tentando se registrar;
  2. Sempre coloque o diretório ojs_files fora da pasta web_root onde o site roda e peça para sua equipe de TI retirar permissões de execução nesta pasta e suas pastas filhas, assim mesmo que algum usuário mal intencionado suba um arquivo de script, não poderá executar tão facilmente;

Um script somente será executado remotamente se estiver dentro de uma pasta exposta para Internet.

Se mesmo assim quiseres bloquear o upload de arquivos em PHP esse tópico no Forum do OJS mostra como logo no primeiro post:

Estas instruções, em modo amplo, estão disponíveis no https://pkp.sfu.ca/ojs/README na seção Recommended Configuration.

Espero que isso ajude.

Abraço
Israel

@Fabio_Rosa bom dia,

muito obrigada.

@israelcefrin bom dia,
muito obrigada, repassarei as orientações ao pessoal do TI.