Boa tarde

Dando seguimento aos testes, ainda é possivel via web acessar a pasta dos backups.maz do mk-auth.

o mesmo se encontra acessivel via 

http://ip-endereco-da-máquina/admin/down_bckp.php?id=2102ARQXXXXXXXX  "criando um script que gere os ultimos 8 digitos" uma vez que o backup gerado apenas usa letras minusculas e Maiusculas nos ultimos 8 digitos.. nos 10 backups de teste que geramos até ao momento não foram gerados nenhum backup com numeros ou caracteres especiais nos ultimos digitos.

Não seria bom adicionar uma protecão extra, adicionando a solicitacão de um usuário e senha especifico para acessar este tipo de pastas, que se encontram abertas?

Os testes foram efetuados em máquina com IP publico, tanto em http como https é possivel baixar o dump arquivo de backup.

Lembrando que o intuito aqui é alertar para que seja corrigido ou adicionado algum mecanismo o mais rápido possivel.

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Enviar-me um email quando as pessoas responderem –

Respostas

  • Nota importante, quem estiver usando addons, é possivel acessar os addons sem estar logado, facam o teste abram os navegadores em modo anônimo, para garantir que não estão logados no sistema, e acessem o menu de addons.

    principalmente quem estiver usando o addon /adminer ou addon de testes habilitado..

    http://IP-DO-SERVIDOR/admin/addons/adminer/adminer.php 

    "muito importante"  addon permite acessar direto o banco de dados usando o usuário e senha padrão do banco de dados. e baixar o dump direto sem sequer ter que acessar o mk-auth.

    8782827286?profile=RESIZE_710x

  • Metodo simples para proteger os diretórios que tem acesso externo sem necessitar estar logado.

    Exemplo abaixo para proteger a pasta "addons"

    1-  Vamos criar um diretório pasta dentro do servidor, onde iremos registrar o usuário e senha de acesso para o sistema .htaccess

    Tem que ter acesso ao servidor mk-auth via SSH.  após acessar o servidor mk-auth digitar o seguinte comando abaixo na janela de comando

    sudo mkdir /home/chaves/

    o comando acima irá criar uma pasta "chaves" dentro do diretório "home".

    8782912293?profile=RESIZE_710x

    2- após criar a pasta, vamos adicionar o usuário e senha especifica para acesso a pasta que queremos proteger, digitando o comando abaixo

    htpasswd -c /home/chaves/htpasswd N1B4M3

    o comando acima solicita o sistema para criar o usuário nome N1B4M3 dentro da pasta /home/chaves/

    8782923253?profile=RESIZE_710x

    após enviar o comando ele irá solicitar para digitar a nova senha a ser criada para o usuário

    8782923866?profile=RESIZE_710x

    Após digitar a nova senha ele irá solicitar para confirmar a senha de novo

    8782923691?profile=RESIZE_710x

    3- Em seguida vamos até a pasta que queremos proteger no caso citado acima /opt/mk-auth/admin/addons , usando o wincsp e navegamos até a pasta acima mencionada, em seguida criamos um novo arquivo com o nome .htaccess como mencionado na foto abaixo

    8782930480?profile=RESIZE_710x

    e no arquivo adicionamos o seguinte.

    #Protect Directory
    AuthName "Acesso Negado"
    AuthType Basic
    AuthUserFile /home/chaves/htpasswd
    Require valid-user

    8782931699?profile=RESIZE_710x

    após digitar clicamos em salvar e fechamos o arquivo.

    4- Por ultimo vamos ter que acessar o apache2.conf arquivo para editarmos e adicionarmos o diretório que queremos proteger que no caso mencionado é /apache2/apache2.conf

    abrimos o arquivo em modo editar

    8782934695?profile=RESIZE_710x

    e no final do texto adicionamos o seguinte

    <Directory /opt/mk-auth/admin/addons>
    Options Indexes Includes FollowSymLinks MultiViews
    AllowOverride AuthConfig
    Order allow,deny
    Allow from all
    </Directory>

    8782935869?profile=RESIZE_710x

    Salvamos o arquivo e fechamos o mesmo.

    5- por ultimo vamos reiniciar o apache2   usando o comando abaixo  

    service apache2 reload

    8782936696?profile=RESIZE_710x

    6- por ultimo tente acessar a pagina em modo anonimo sem estar conectado novamente em  /admin/addons/   se tudo estiver ok irá aparecer a mensagem abaixo na página que antes abria sem estar logado no servidor..

    8782940082?profile=RESIZE_710x

    Digite o novo usuário e senha criado nos passos acima e deverá liberar o acesso ao addon.

    Lembrando que o mesmo pode ser adicionado em qualquer outra pasta que quiser adicionar protecão com usuário e senha especifico, basta acessar a pasta criar um novo arquivo .htaccess, digitar os mesmos dados mencionados acima para o arquivo .htaccess, e salvar o arquivo na nova pasta,  depois tem que entrar em apache2.conf e adicionar as linhas abaixo igula fez no passo anterior, só mudando o caminho do diretório  /opt/mk-auth/xxx

  • down_bckp.php requer login para funcionar.

  • vc tem que incluir o arquivo addons.class.php no seu addon como no exemplo da pasta /opt/mk-auth/admin/addons/teste/index.php para o controle de acesso funcionar e Pedro não coloca phpmyadmin, adminer, etc no sistema, é fatal amigo, algum momento alguém acessa, usa algum programa como o HeidiSQL que já tem opção de criar a conexão mysql via tunel SSH.

    Pedro Costa disse:

    Nota importante, quem estiver usando addons, é possivel acessar os addons sem estar logado, facam o teste abram os navegadores em modo anônimo, para garantir que não estão logados no sistema, e acessem o menu de addons.

    principalmente quem estiver usando o addon /adminer ou addon de testes habilitado..

    http://IP-DO-SERVIDOR/admin/addons/adminer/adminer.php 

    "muito importante"  addon permite acessar direto o banco de dados usando o usuário e senha padrão do banco de dados. e baixar o dump direto sem sequer ter que acessar o mk-auth.

    • como faz para incluir esse addons.class.php no meu addons ? tentei aqui mais nao sei como e onde coloca no meu addons

    • atualizei para a versao 22.01 e agora meu addons fica dando ( Acesso negado... )

  • realmente tendo o ID ainda da pra fazer o download dos backup, mas como o começo mudar de servidor pra servidor acho que e meio difícil de sabe o id.

    Pedro Filho disse:

    down_bckp.php requer login para funcionar.

  • Testei o addon de Mapa de CTO e deu acesso negado (usandoo firefox em modo anônimo).
    Então realmente depende de como foi desenvolvido o addon, neste caso está seguro.

    8801173452?profile=RESIZE_710x

  • Boas

    só fiz uma referencia para quem usa, não recomendo também ou se for usar tentar tomar as precaucões necessárias deixar habilitado o addon apenas enquanto estiver usando .... porém tem essa falha testada com o adminer deu acesso.

    por outro lado seria bom uma atualizacão também do kernel para a versão 5.4.xx 

    Pedro Filho disse:

    vc tem que incluir o arquivo addons.class.php no seu addon como no exemplo da pasta /opt/mk-auth/admin/addons/teste/index.php para o controle de acesso funcionar e Pedro não coloca phpmyadmin, adminer, etc no sistema, é fatal amigo, algum momento alguém acessa, usa algum programa como o HeidiSQL que já tem opção de criar a conexão mysql via tunel SSH.

    Pedro Costa disse:

    Nota importante, quem estiver usando addons, é possivel acessar os addons sem estar logado, facam o teste abram os navegadores em modo anônimo, para garantir que não estão logados no sistema, e acessem o menu de addons.

    principalmente quem estiver usando o addon /adminer ou addon de testes habilitado..

    http://IP-DO-SERVIDOR/admin/addons/adminer/adminer.php 

    "muito importante"  addon permite acessar direto o banco de dados usando o usuário e senha padrão do banco de dados. e baixar o dump direto sem sequer ter que acessar o mk-auth.

This reply was deleted.