|
发表于 2008-9-24 00:49:51
|
显示全部楼层
|阅读模式
来自 中国–广东–珠海–香洲区
上篇帖子改不了主题名字,就开个新贴吧。
描述一下危险的地方吧。
大家可以尝试一下,http://地址/cstrike/ 例如:http://192.168.0.1/cstrike/
你会惊讶的发现,可以访问下载服务端的所有文件!!这意味着什么?
cstrike? addons? amxmodx? configs? users.ini :cold: :cold: :cold:
cstrike? server.cfg :cold: :cold: :cold: 相信不少在这文件里记录着rcon password吧
如果心怀不轨的人得到了这些,这服务器还要开吗?:cry:
以上说的绝对不是故事,在论坛某位网友的psychostats3.1上我试过,可以访问,并且得到了它的USER.INI:D 说说笑,测试而已,并不会做出对不起他的事情,目前已通过论坛短信通知他了。
=======================================================
解决方法测试已可行,这只是Apache2的问题而已
本人对这东西不熟悉,以下解决方法是参考http://www.bornin76.cn/?p=21琢磨出来的。
是这个文件引起的:
\stats\Web\Apache2\conf\httpd.conf
文件可用记事本打开,最底下有这么一段
# 配置HTTP流式下载虚拟目录
Alias /cstrike "E:/cs/cstrike"
<Directory "E:/cs/cstrike">
Options Indexes MultiViews
AllowOverride None
order allow,deny
Allow from all
问题的原因就出在这一句:
Options Indexes MultiViews
把它改成
Options none
即可!
(更改后请停止停止Apache2服务后再启动Apache2服务)
(在CMD运行下列命令)
(停止服务:C:\WINDOWS\system32\net.exe stop apache2)
(启动服务:C:\WINDOWS\system32\net.exe start apache2)
(其实在开始菜单也有:D )
由于COOKIES的原因,可能还能访问,但清除COOKIES之后再访问就会出现以下提示:
Forbidden
You don't have permission to access /cstrike/ on this server.
(你在这服务器上没有权限允许访问/cstrike/)
如果把这句Alias /cstrike "E:/cs/cstrike" 中的Alias /cstrike 改成其他的,比如说Alias /888 也可以,改成这样的话再访问就会提示:
Not Found
The requested URL /cstrike was not found on this server
(很好理解,找不到该地址)
不过不知道有啥后遗症没有。应该是没有的,我测试过,如果想更改phpmyadmin的访问地址,直接改Alias /phpmyadmin "E:/cs/stats/www/phpmyadmin"这句中的Alias /phpmyadmin ,例如:Alias /bb 。那么,以后访问phpmyadmin就是以这个访问了:http://192.168.0.209/bb/
感觉解决安全隐患的帖子都变成了修改fishout发布的psychostats3.1教程。
再多说一句吧,httpd.conf这个文件可能就是访问路径的关键。大家琢磨琢磨吧。
同时建议大家修改页面最下面的Powered by PsychoStats 3.1 只是建议…… ^_^
-------------------------------------------------------------------------------------------------
有些人可能还会留意到这一段
# 配置phpmyadmin虚拟目录
Alias /phpmyadmin "E:/cs/stats/www/phpmyadmin"
<Directory "E:/cs/stats/www/phpmyadmin">
Options Indexes MultiViews
AllowOverride None
order allow,deny
Allow from all
</Directory>
可能会问,那这一段中也有Options Indexes MultiViews。会不会有问题?
PASS:我改了,貌似没发现什么问题,事实上我不熟悉,不知道。:cold:
===================================================
以上是发现问题后,由于自己不才,做了近一个多小时测试的结果,目前是最好的测试结果。
其他的,例如将
Alias /cstrike "E:/cs/cstrike"
<Directory "E:/cs/cstrike">
中的路径去掉,会造成所有的都访问不了。(包括cstrike/ ;stats/ ; phpmyadmin/)
===================================================
最后附上半傻瓜式解决方法吧。
将附件中的文件覆盖到你的此路径下:CS目录\stats\Web\Apache2\conf
点此连接下载:http://www.dt-club.net/forum/attachment.php?attachmentid=17637&stc=1&d=1222189307
===================================================
为了所有使用psychostats3.1的安全,辛苦点,值得! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注个册吧
×
评分
-
查看全部评分
|