Вчера произошел взлом моего сервера через mychat ftp сервер.
Был открыт огромный бэкдор, которым воспользовался злоумышленник.
В пункте настройки - FTP был по умолчанию включен публичный доступ со стандартными паролями mcuser:mychat. Я просто не обращал на это внимания, думал, это нужно для файлообмена через клиентов.
Через этот доступ вошли с микрософтовского ИП и с помощью команды CWD выкосили половину данных на сервере, до каких дотянулись руки. В том числе, файлы из system32. Пытались убить виртуальные машины. Потом убили файлы Mychat вместе с историей и переписками и отключились. Обнаружил взлом только потому что майчат перестал работать. Восстановил из резервной копии и обнаружил весь этот шабаш в ftp.log
Я просто в ах..е. Логи могу показать.

У вас нет необходимых прав для просмотра вложений в этом сообщении.

[Алексей Пикуров]

1. Не используйте стандартные логин/пароль, это небезопасно.
2. FTP не используется для стандартного обмена файлами в MyChat.
3. Перешлите пожалуйста файл лога на [email protected]

Team lead
Чат со мной

[Алексей Пикуров]

Не берусь утверждать, но мне кажется, что вы наговариваете на MyChat

1. MyChat Server не поддерживает команду CWD. В целях безопасности она игнорируется, так как working dir вы указываете в настройках сервера, а пользователь его поменять не может.

2. Вы не можете перемещаться выше назначенного home dir. Соответственно, даже если вы не поменяли стандартный публичный логин и пароль и оставили публичный доступ, то злоумышленник сможет изменить только содержимое папки C:\ProgramData\MyChat Server\publicftp\

Но он не сможет никуда переместиться оттуда. В том и смысл home directory. Я надеюсь, вы не поменяли вручную home directory на "c:\", например?

В любом случае, жду от вас логи.

Team lead
Чат со мной

[Алексей Пикуров]

P.S. И перешлите в том же письме ваш лицензионный ключ, пожалуйста.

Team lead
Чат со мной

[Алексей Пикуров]

Роман, вы используете устаревшую версию MyChat Server. Почему не обновляетесь? Обновления придуманы не просто так.

Просто хрестоматийный пример. Версия древняя, публичный доступ включен, дефолтовый пароль/логин не меняли.

1. Немедленно обновитесь на последнюю версию.
2. Отключите публичный доступ к FTP.
3. Смените дефолтовый логин/пароль.

Team lead
Чат со мной

[Алексей Пикуров]

Переношу тему в раздел вопросов.

Team lead
Чат со мной

Лог переслал, посмотрите внимательно, каждое действие злоумышленника.
Он вычистил все юзерские папки, потом пошел в системные.
Пример:
09.03.2025 00:28:04:813|0020|52.170.117.233 PASV
09.03.2025 00:28:04:813|0021|52.170.117.233 227 Entering Passive Mode
09.03.2025 00:28:05:063|0020|52.170.117.233 LIST
09.03.2025 00:28:05:066|0021|52.170.117.233 150 Opening data connection for directory list.
09.03.2025 00:28:05:186|0021|52.170.117.233 226 File sent ok
09.03.2025 00:28:28:027|0021|52.170.117.233 250 File '/Windows/py.exe' deleted.
09.03.2025 00:28:39:226|0021|52.170.117.233 250 File '/Windows/pyw.exe' deleted.
09.03.2025 00:29:39:291|0021|52.170.117.233 250 File '/Windows/pyshellext.amd64.dll' deleted.
09.03.2025 00:29:44:254|0021|52.170.117.233 450 File '/Windows/regedit.exe' can't be deleted.
09.03.2025 00:32:10:609|0021|52.170.117.233 450 File '/Windows/explorer.exe' can't be deleted.

Лицензионный ключ вложил вторым сообщением.

[Алексей Пикуров]

Роман, я специально проверил ваши действия на нашем публичном сервере, на последней версии MyChat, перед тем, как ответить. Команда CWD не работает, как я уже вам и писал ранее. Ну мы же занимаемся обновлениями безопасности, правим баги, исправляем уязвимости.

Почему же вы со своей стороны забиваете на безопасность и игнорируете новые версии MyChat?

Team lead
Чат со мной

[Алексей Пикуров]

Код: Выделить всё

ncftp / > cwd /
cwd: no such command.
ncftp / >

Team lead
Чат со мной

Использую д0в0енные версии 8.14.3 и 8.14.5 от января-февраля 22.
Дальше обновляться не имею возможности - при обновлении на следующие версии полностью слетает работоспособность. Продлить лицензии после марта 22 так же не имел возможности.

Остальное, непубличное, ответил в письме на support

[Алексей Пикуров]

Да, спасибо за откровенность, в почте можно дальше обсудить.

Добавлю. В какой-то старой версии, насколько я помню, не было запрета на изменение домашнего каталога и FTP мог разрешить его смену. Однако это уже давно пофиксили. Однако, как видите, у вас кто-то воспользовался такой уязвимостью. И произошло это потому, что вы не обновили сервер MyChat. Печально.

Team lead
Чат со мной