www.nsoft-s.com

Вчера произошел взлом моего сервера через mychat ftp сервер.
Был открыт огромный бэкдор, которым воспользовался злоумышленник.
В пункте настройки - FTP был по умолчанию включен публичный доступ со стандартными паролями mcuser:mychat. Я просто не обращал на это внимания, думал, это нужно для файлообмена через клиентов.
Через этот доступ вошли с микрософтовского ИП и с помощью команды CWD выкосили половину данных на сервере, до каких дотянулись руки. В том числе, файлы из system32. Пытались убить виртуальные машины. Потом убили файлы Mychat вместе с историей и переписками и отключились. Обнаружил взлом только потому что майчат перестал работать. Восстановил из резервной копии и обнаружил весь этот шабаш в ftp.log
Я просто в ах..е. Логи могу показать.

1. Не используйте стандартные логин/пароль, это небезопасно.
2. FTP не используется для стандартного обмена файлами в MyChat.
3. Перешлите пожалуйста файл лога на [email protected]

Не берусь утверждать, но мне кажется, что вы наговариваете на MyChat

1. MyChat Server не поддерживает команду CWD. В целях безопасности она игнорируется, так как working dir вы указываете в настройках сервера, а пользователь его поменять не может.

2. Вы не можете перемещаться выше назначенного home dir. Соответственно, даже если вы не поменяли стандартный публичный логин и пароль и оставили публичный доступ, то злоумышленник сможет изменить только содержимое папки C:\ProgramData\MyChat Server\publicftp\

Но он не сможет никуда переместиться оттуда. В том и смысл home directory. Я надеюсь, вы не поменяли вручную home directory на "c:\", например?

В любом случае, жду от вас логи.

P.S. И перешлите в том же письме ваш лицензионный ключ, пожалуйста.

Роман, вы используете устаревшую версию MyChat Server. Почему не обновляетесь? Обновления придуманы не просто так.

Просто хрестоматийный пример. Версия древняя, публичный доступ включен, дефолтовый пароль/логин не меняли.

1. Немедленно обновитесь на последнюю версию.
2. Отключите публичный доступ к FTP.
3. Смените дефолтовый логин/пароль.

Переношу тему в раздел вопросов.

Лог переслал, посмотрите внимательно, каждое действие злоумышленника.
Он вычистил все юзерские папки, потом пошел в системные.
Пример:
09.03.2025 00:28:04:813|0020|52.170.117.233 PASV
09.03.2025 00:28:04:813|0021|52.170.117.233 227 Entering Passive Mode
09.03.2025 00:28:05:063|0020|52.170.117.233 LIST
09.03.2025 00:28:05:066|0021|52.170.117.233 150 Opening data connection for directory list.
09.03.2025 00:28:05:186|0021|52.170.117.233 226 File sent ok
09.03.2025 00:28:28:027|0021|52.170.117.233 250 File '/Windows/py.exe' deleted.
09.03.2025 00:28:39:226|0021|52.170.117.233 250 File '/Windows/pyw.exe' deleted.
09.03.2025 00:29:39:291|0021|52.170.117.233 250 File '/Windows/pyshellext.amd64.dll' deleted.
09.03.2025 00:29:44:254|0021|52.170.117.233 450 File '/Windows/regedit.exe' can't be deleted.
09.03.2025 00:32:10:609|0021|52.170.117.233 450 File '/Windows/explorer.exe' can't be deleted.

Лицензионный ключ вложил вторым сообщением.

Роман, я специально проверил ваши действия на нашем публичном сервере, на последней версии MyChat, перед тем, как ответить. Команда CWD не работает, как я уже вам и писал ранее. Ну мы же занимаемся обновлениями безопасности, правим баги, исправляем уязвимости.

Почему же вы со своей стороны забиваете на безопасность и игнорируете новые версии MyChat?

Использую д0в0енные версии 8.14.3 и 8.14.5 от января-февраля 22.
Дальше обновляться не имею возможности - при обновлении на следующие версии полностью слетает работоспособность. Продлить лицензии после марта 22 так же не имел возможности.

Остальное, непубличное, ответил в письме на support

Да, спасибо за откровенность, в почте можно дальше обсудить.

Добавлю. В какой-то старой версии, насколько я помню, не было запрета на изменение домашнего каталога и FTP мог разрешить его смену. Однако это уже давно пофиксили. Однако, как видите, у вас кто-то воспользовался такой уязвимостью. И произошло это потому, что вы не обновили сервер MyChat. Печально.