搜索
查看: 8921|回复: 15

超级危险,请使用psychostats3.1的管理员进入[已附上解决方法]

[复制链接]
发表于 2008-9-24 00:49:51 | 显示全部楼层 |阅读模式 来自 中国–广东–珠海–香洲区
上篇帖子改不了主题名字,就开个新贴吧。

描述一下危险的地方吧。

大家可以尝试一下,http://地址/cstrike/ 例如:http://192.168.0.1/cstrike/

你会惊讶的发现,可以访问下载服务端的所有文件!!这意味着什么?

cstrike? addons? amxmodx? configs? users.ini :cold: :cold: :cold:

cstrike? server.cfg :cold: :cold: :cold: 相信不少在这文件里记录着rcon password吧

如果心怀不轨的人得到了这些,这服务器还要开吗?:cry:


以上说的绝对不是故事,在论坛某位网友的psychostats3.1上我试过,可以访问,并且得到了它的USER.INI:D 说说笑,测试而已,并不会做出对不起他的事情,目前已通过论坛短信通知他了。


=======================================================


解决方法测试已可行,这只是Apache2的问题而已

本人对这东西不熟悉,以下解决方法是参考http://www.bornin76.cn/?p=21琢磨出来的。



是这个文件引起的:
\stats\Web\Apache2\conf\httpd.conf

文件可用记事本打开,最底下有这么一段

# 配置HTTP流式下载虚拟目录
Alias /cstrike "E:/cs/cstrike"
<Directory "E:/cs/cstrike">
Options Indexes MultiViews
AllowOverride None
order allow,deny
Allow from all


问题的原因就出在这一句:
Options Indexes MultiViews

把它改成
Options none
即可!

(更改后请停止停止Apache2服务后再启动Apache2服务)
(在CMD运行下列命令)
(停止服务:C:\WINDOWS\system32\net.exe stop apache2)
(启动服务:C:\WINDOWS\system32\net.exe start apache2)
(其实在开始菜单也有:D )

由于COOKIES的原因,可能还能访问,但清除COOKIES之后再访问就会出现以下提示:
Forbidden

You don't have permission to access /cstrike/ on this server.
(你在这服务器上没有权限允许访问/cstrike/


如果把这句Alias /cstrike "E:/cs/cstrike" 中的Alias /cstrike 改成其他的,比如说Alias /888 也可以,改成这样的话再访问就会提示:

Not Found

The requested URL /cstrike was not found on this server
(很好理解,找不到该地址)


不过不知道有啥后遗症没有。应该是没有的,我测试过,如果想更改phpmyadmin的访问地址,直接改Alias /phpmyadmin "E:/cs/stats/www/phpmyadmin"这句中的Alias /phpmyadmin ,例如:Alias /bb 。那么,以后访问phpmyadmin就是以这个访问了:http://192.168.0.209/bb/

感觉解决安全隐患的帖子都变成了修改fishout发布的psychostats3.1教程。

再多说一句吧,httpd.conf这个文件可能就是访问路径的关键。大家琢磨琢磨吧。

同时建议大家修改页面最下面的Powered by PsychoStats 3.1   只是建议…… ^_^

-------------------------------------------------------------------------------------------------


有些人可能还会留意到这一段

# 配置phpmyadmin虚拟目录
Alias /phpmyadmin "E:/cs/stats/www/phpmyadmin"
<Directory "E:/cs/stats/www/phpmyadmin">
Options Indexes MultiViews
AllowOverride None
order allow,deny
Allow from all
</Directory>

可能会问,那这一段中也有Options Indexes MultiViews。会不会有问题?
PASS:我改了,貌似没发现什么问题,事实上我不熟悉,不知道。:cold:

===================================================

以上是发现问题后,由于自己不才,做了近一个多小时测试的结果,目前是最好的测试结果。

其他的,例如将
Alias /cstrike "E:/cs/cstrike"
<Directory "E:/cs/cstrike">
中的路径去掉,会造成所有的都访问不了。(包括cstrike/ ;stats/ ; phpmyadmin/)

===================================================

最后附上半傻瓜式解决方法吧。
将附件中的文件覆盖到你的此路径下:CS目录\stats\Web\Apache2\conf

点此连接下载:http://www.dt-club.net/forum/attachment.php?attachmentid=17637&stc=1&d=1222189307

===================================================


为了所有使用psychostats3.1的安全,辛苦点,值得!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注个册吧

×

评分

参与人数 1点通币 +100 收起 理由
xiaolysh + 100

查看全部评分

 楼主| 发表于 2008-9-24 01:15:03 | 显示全部楼层 来自 中国–广东–珠海–香洲区

回复: 超级危险,请使用psychostats3.1的管理员进入[已附上解决方法]

Google一下Powered by PsychoStats 3.1,发现很多使用了psychostats3.1的还是解决了这个问题的,而且他们的cstrike/页面还访问不了。可能改了名字而已。 :byebye:

看来我好象有点激动过头了…… :byebye:
回复

使用道具 举报

 楼主| 发表于 2008-9-24 02:24:14 | 显示全部楼层 来自 中国–广东–珠海–香洲区

回复: 超级危险,请使用psychostats3.1的管理员进入[已附上解决方法]

再继续熟悉一下Apache,才发现,只是一个基本的问题。
回复

使用道具 举报

发表于 2008-9-24 02:32:39 | 显示全部楼层 来自 中国–广西–贵港

回复: 超级危险,请使用psychostats3.1的管理员进入[已附上解决方法]

晕死!
还以为呢!
很多服务器的web和hlds分离的
回复

使用道具 举报

 楼主| 发表于 2008-9-24 02:38:51 | 显示全部楼层 来自 中国–广东–珠海–香洲区

回复: 超级危险,请使用psychostats3.1的管理员进入[已附上解决方法]

Post by 0secK
晕死!
还以为呢!
很多服务器的web和hlds分离的

:byebye: 其实这个贴可以说只是针对fishout发的psychostats3.1安装包的啦。
回复

使用道具 举报

发表于 2008-9-24 03:51:42 | 显示全部楼层 来自 中国–湖南–怀化–鹤城区

回复: 超级危险,请使用psychostats3.1的管理员进入[已附上解决方法]

请问下..我是用着 IIS6.0 + PHP 配置的.
应该没这问题吧?
还有.我们服务器和PS排行的服务器是分开的.
日志是利用FTP上传到 PS3.1排行服务器 PS3.1排行服务器在读取本地的日志生成的
我想应该没问题吧?


http://www.0745ea.com/dodstats/stats
http://www.0745ea.com/dodstats/wx
http://www.0745ea.com/dodstats/wm
http://www.0745ea.com/dodstats/gc
http://www.0745ea.com/dodstats/jh

http://www.0745ea.com/csstats/stats
http://www.0745ea.com/csstats/wx
http://www.0745ea.com/csstats/wm
http://www.0745ea.com/csstats/gc
http://www.0745ea.com/csstats/jh
回复

使用道具 举报

发表于 2008-9-24 10:16:22 | 显示全部楼层 来自 中国–广东–深圳

回复: 超级危险,请使用psychostats3.1的管理员进入[已附上解决方法]

危险?????????我晕死。。。  这个是 提供 地图 HTTP  下载啊。
另外  配置  文件里面已经 阻止了  .cfg 类 文件的下载。。。楼主。。额。。多虑了
回复

使用道具 举报

 楼主| 发表于 2008-9-24 12:46:22 | 显示全部楼层 来自 中国–广东–珠海–香洲区

回复: 超级危险,请使用psychostats3.1的管理员进入[已附上解决方法]

阻止的CFG应该只是WWW目录里的STATS目录里的CONFIG.CFG吧。

用fishout的安装包默认装在的目录是在CS的目录下。 所以装完后会有一条命令可以通过HTTP访问整个服务端的cstrike目录,你的OP密码RCON密码都在里头,危险吗?

当然了,WEB和CsServer分开的没有这个问题,但还是需要注意更新补丁。

就算是Apache2,漏洞依然持续不断有,PHP也是。 东西只要用得人多了,就会有人想尽办法去搞破坏。:gogo:
回复

使用道具 举报

发表于 2008-9-24 15:41:57 | 显示全部楼层 来自 中国–四川–绵阳

回复: 超级危险,请使用psychostats3.1的管理员进入[已附上解决方法]

这个问题多虑了,现在的新版本安装程序已考虑了这个问题,你下载并测试一下看看结果如何?
在httpd.conf文件中是这样配置的:
  1. # 配置HTTP流式下载虚拟目录
  2. Alias /cstrike "C:/hlds/cstrike"
  3. <Directory "C:/hlds/cstrike">
  4. Options Indexes MultiViews
  5. AllowOverride None
  6. order allow,deny
  7. Allow from all
  8. # 阻止配置文件下载
  9. <FilesMatch \.(cfg|ini)$>
  10. Deny from all
  11. </FilesMatch>
  12. </Directory>
复制代码


这个配置意思就是阻止了C:/hlds/cstrike下目录的所有cfg和ini文件的下载,如嫌不够,还可以自己添加。
回复

使用道具 举报

 楼主| 发表于 2008-9-24 19:24:08 | 显示全部楼层 来自 中国–广东–珠海–香洲区

回复: 超级危险,请使用psychostats3.1的管理员进入[已附上解决方法]

试过是可以下载的。  其实为什么要开放这个目录呢?
回复

使用道具 举报

游客
回复
您需要登录后才可以回帖 登录 | 注个册吧

快速回复 返回顶部 返回列表