论坛 › HLDS 技术讨论区 › 超级危险，请使用psychostats3.1的管理员进入[已附上解决方法]

Sashow 发表于 2008-9-24 00:49:51

超级危险，请使用psychostats3.1的管理员进入[已附上解决方法]

上篇帖子改不了主题名字，就开个新贴吧。

描述一下危险的地方吧。

大家可以尝试一下，http://地址/cstrike/ 例如：http://192.168.0.1/cstrike/

你会惊讶的发现，可以访问下载服务端的所有文件！！这意味着什么？

cstrike？ addons？ amxmodx？ configs？ users.ini :cold: :cold: :cold:

cstrike？ server.cfg :cold: :cold: :cold: 相信不少在这文件里记录着rcon password吧

如果心怀不轨的人得到了这些，这服务器还要开吗？:cry:


以上说的绝对不是故事，在论坛某位网友的psychostats3.1上我试过，可以访问，并且得到了它的USER.INI:D 说说笑，测试而已，并不会做出对不起他的事情，目前已通过论坛短信通知他了。


=======================================================


解决方法测试已可行，这只是Apache2的问题而已

本人对这东西不熟悉，以下解决方法是参考http://www.bornin76.cn/?p=21琢磨出来的。



是这个文件引起的：
\stats\Web\Apache2\conf\httpd.conf

文件可用记事本打开，最底下有这么一段

# 配置HTTP流式下载虚拟目录
Alias /cstrike "E:/cs/cstrike"
<Directory "E:/cs/cstrike">
Options Indexes MultiViews
AllowOverride None
order allow,deny
Allow from all


问题的原因就出在这一句：
Options Indexes MultiViews

把它改成
Options none
即可！

（更改后请停止停止Apache2服务后再启动Apache2服务）
（在CMD运行下列命令）
（停止服务：C:\WINDOWS\system32\net.exe stop apache2）
（启动服务：C:\WINDOWS\system32\net.exe start apache2）
（其实在开始菜单也有:D ）

由于COOKIES的原因，可能还能访问，但清除COOKIES之后再访问就会出现以下提示：
Forbidden

You don't have permission to access /cstrike/ on this server.
（你在这服务器上没有权限允许访问/cstrike/）


如果把这句Alias /cstrike "E:/cs/cstrike" 中的Alias /cstrike 改成其他的，比如说Alias /888 也可以，改成这样的话再访问就会提示：

Not Found

The requested URL /cstrike was not found on this server
（很好理解，找不到该地址）


不过不知道有啥后遗症没有。应该是没有的，我测试过，如果想更改phpmyadmin的访问地址，直接改Alias /phpmyadmin "E:/cs/stats/www/phpmyadmin"这句中的Alias /phpmyadmin ，例如：Alias /bb 。那么，以后访问phpmyadmin就是以这个访问了：http://192.168.0.209/bb/

感觉解决安全隐患的帖子都变成了修改fishout发布的psychostats3.1教程。

再多说一句吧，httpd.conf这个文件可能就是访问路径的关键。大家琢磨琢磨吧。

同时建议大家修改页面最下面的Powered by PsychoStats 3.1   只是建议…… ^_^

-------------------------------------------------------------------------------------------------


有些人可能还会留意到这一段

# 配置phpmyadmin虚拟目录
Alias /phpmyadmin "E:/cs/stats/www/phpmyadmin"
<Directory "E:/cs/stats/www/phpmyadmin">
Options Indexes MultiViews
AllowOverride None
order allow,deny
Allow from all
</Directory>

可能会问，那这一段中也有Options Indexes MultiViews。会不会有问题？
PASS：我改了，貌似没发现什么问题，事实上我不熟悉，不知道。:cold:

===================================================

以上是发现问题后，由于自己不才，做了近一个多小时测试的结果，目前是最好的测试结果。

其他的，例如将
Alias /cstrike "E:/cs/cstrike"
<Directory "E:/cs/cstrike">
中的路径去掉，会造成所有的都访问不了。（包括cstrike/ ；stats/ ； phpmyadmin/）

===================================================

最后附上半傻瓜式解决方法吧。
将附件中的文件覆盖到你的此路径下：CS目录\stats\Web\Apache2\conf

点此连接下载：http://www.dt-club.net/forum/attachment.php?attachmentid=17637&stc=1&d=1222189307

===================================================


为了所有使用psychostats3.1的安全，辛苦点，值得！

Sashow 发表于 2008-9-24 01:15:03

回复: 超级危险，请使用psychostats3.1的管理员进入[已附上解决方法]

Google一下Powered by PsychoStats 3.1，发现很多使用了psychostats3.1的还是解决了这个问题的，而且他们的cstrike/页面还访问不了。可能改了名字而已。 :byebye:

看来我好象有点激动过头了…… :byebye:

Sashow 发表于 2008-9-24 02:24:14

回复: 超级危险，请使用psychostats3.1的管理员进入[已附上解决方法]

再继续熟悉一下Apache，才发现，这只是一个基本的问题。

0secK 发表于 2008-9-24 02:32:39

回复: 超级危险，请使用psychostats3.1的管理员进入[已附上解决方法]

晕死!
还以为呢!
很多服务器的web和hlds分离的

Sashow 发表于 2008-9-24 02:38:51

回复: 超级危险，请使用psychostats3.1的管理员进入[已附上解决方法]

Post by 0secK
晕死!
还以为呢!
很多服务器的web和hlds分离的

:byebye: 其实这个贴可以说只是针对fishout发的psychostats3.1安装包的啦。

y543685085 发表于 2008-9-24 03:51:42

回复: 超级危险，请使用psychostats3.1的管理员进入[已附上解决方法]

请问下..我是用着 IIS6.0 + PHP 配置的.
应该没这问题吧?
还有.我们服务器和PS排行的服务器是分开的.
日志是利用FTP上传到 PS3.1排行服务器 PS3.1排行服务器在读取本地的日志生成的
我想应该没问题吧?


http://www.0745ea.com/dodstats/stats
http://www.0745ea.com/dodstats/wx
http://www.0745ea.com/dodstats/wm
http://www.0745ea.com/dodstats/gc
http://www.0745ea.com/dodstats/jh

http://www.0745ea.com/csstats/stats
http://www.0745ea.com/csstats/wx
http://www.0745ea.com/csstats/wm
http://www.0745ea.com/csstats/gc
http://www.0745ea.com/csstats/jh

76233386 发表于 2008-9-24 10:16:22

回复: 超级危险，请使用psychostats3.1的管理员进入[已附上解决方法]

危险？？？？？？？？？我晕死。。。这个是 提供 地图 HTTP下载啊。
另外配置文件里面已经 阻止了.cfg 类 文件的下载。。。楼主。。额。。多虑了

Sashow 发表于 2008-9-24 12:46:22

回复: 超级危险，请使用psychostats3.1的管理员进入[已附上解决方法]

阻止的CFG应该只是WWW目录里的STATS目录里的CONFIG.CFG吧。

用fishout的安装包默认装在的目录是在CS的目录下。 所以装完后会有一条命令可以通过HTTP访问整个服务端的cstrike目录，你的OP密码RCON密码都在里头，危险吗？

当然了，WEB和CsServer分开的没有这个问题，但还是需要注意更新补丁。

就算是Apache2，漏洞依然持续不断有，PHP也是。 东西只要用得人多了，就会有人想尽办法去搞破坏。:gogo:

fishout 发表于 2008-9-24 15:41:57

回复: 超级危险，请使用psychostats3.1的管理员进入[已附上解决方法]

这个问题多虑了，现在的新版本安装程序已考虑了这个问题，你下载并测试一下看看结果如何？
在httpd.conf文件中是这样配置的：
# 配置HTTP流式下载虚拟目录
Alias /cstrike "C:/hlds/cstrike"
<Directory "C:/hlds/cstrike">
Options Indexes MultiViews
AllowOverride None
order allow,deny
Allow from all
# 阻止配置文件下载
<FilesMatch \.(cfg|ini)$>
Deny from all
</FilesMatch>
</Directory>


这个配置意思就是阻止了C:/hlds/cstrike下目录的所有cfg和ini文件的下载，如嫌不够，还可以自己添加。

Sashow 发表于 2008-9-24 19:24:08

回复: 超级危险，请使用psychostats3.1的管理员进入[已附上解决方法]

试过是可以下载的。其实为什么要开放这个目录呢？

查看完整版本: 超级危险，请使用psychostats3.1的管理员进入[已附上解决方法]