Tarih: 2006-03-29, 19:44:04 Mesaj konusu: Güvenlik açıklarım varmış
Az önce bir mail aldım diyorduki:
"Sitenizde güvenlik açıkları var. İsteyen herkes admin girşi yapabilir. Ben yaptım mesala. Güvenlik açıklarını kapatmalısınız. İyi günler"
Yazyrodu.
Siteme daha öncede admin girişi yapılarak 2 kez saldırı olmuştu. Ben de admin.php dosyasına girmek için 2 şifre girme zorunluluğğu getridim. Bu iki şifre girildikten sonra editörler kendi kullanıcı adları ile giriş yapabilyorlardı. Buna rağmen bu mail geldi.
Admin girişini zorlaştırmak ve güvenli hale getirmek için ne yapabilirim?
Benim gördüğüm son hacklenen 5 nuke sitesi 7,8di.. Güvenli olsun istiyorsan admin.php nin adını değiştir ve versiyon olarak 7,6ya da 7,9 ve yama olarakta 3,2. ve server linuxse .htacses şifreleme yap adminne..
Şimdi admin gizlema ile şifrelemeyi kariştirma...htaacses şifreleme bazı control panellerinde olur klasör şifreleme diye aynı şeydir.. Sallıyorum atom.php ye şifre koyarsın. Birisi atom.php yi çağırdığı zaman ekrana gelen kullanıcı adı ve şifresini yazmak zorundadır. Adminboxta olduğu gibi..Bunu sadece .htaccses ile yapıyorsun..
yani gizleme falan yok..
Tarih: 2006-03-29, 21:41:46 Mesaj konusu: Re: Güvenlik açıklarım varmış
Tavsiyleriniz için teşekkürler. özellikle .htaccses olayı ile ilgilencem.
Ben bu maili aldıktan sonra ilk işim admin.php adını değişitrmek oldu. confing.php'den gerekli ayaraları yaptım. Php-nuke ile gelen modüller sorunsuz çalıştı. Ama sonradan yüklediğim bazı modüller hala admin.php sayfasına bağlanmak istiyordu. Örneğin sommaire menu modülü yönetiminde her yer admin.php'ye göre ayarlanmış. Baktım sommaire menu modülünü adam edemiyom admin.php dosyasını tekrar eski haline getiridim.
Bir ara admin box kurayım demiştim ama çok uğraşmama rağmen adam gibi çalıştıramadım.
Bu arada kullandığım sürüm 7.7
.htaccses şifrelemeyi biraz anlatırsanız sevinirim.
hostunda bi klasör oluştur. scripti içine at..benioku dosyasını oku..scripti çaliştır. yaratattığı ".htpasswd01" dosyasını anadizine gönder
şimdi scriptin yarattığı .htaccess dosyasını aç.İçinde ".htpasswd01" dosyasının host yolu var. Onu aşağıda hostun yolu dediğim yere yapiştir. sonra içindekileri temizle açağıda verdiğim kodları yapıştır.
<Files .htaccess>
deny from all
</Files>
<Files .htpasswd01>
deny from all
</Files>
<Files admindosyası.php>
<Limit GET POST PUT>
require valid-user
</Limit>
AuthName "yasak alan"
AuthType Basic
AuthUserFile /hostun yolu/.htpasswd01
</Files>
Bu kodları .htaccsesin içine yapiştir.Sonra .htaccseside anadizine gönder.
İşte bukadar fazla zorluğu yok..
Tekrardan yazalım .htaccses apachenin özelliğidir. Yani LİNUX serverlarda çalışır..
sentinel iyidir güzeldir hoştur ama ona da çok fazla güvenmemek gerekir.sonuç itibari ile sadece banlama görevi yapıyor.açıkları yamamaya devam arkadaşlar
Kayıt: Mar 18, 2005 Mesajlar: 2176 Konum: istanbul-tokat
Tarih: 2006-03-30, 10:03:19 Mesaj konusu:
CeLLaD :
sentinelden şaşmamak lazım :) 3.1 ve 3.2 li bi nuke 7.6 taştan kale gibidir surları yıkmadan içeriye giriş yapılamaz :)
fazla emin olma hatta hiç emin olma sadece bunlar yetmez ki hepsini yapsanda yetmez küçük bir kaç kodla ters dönebilirsin sadece günde bir db yedeği ayda bir dosya yedeklerini al
sentinlin kendinde de açık var diye biliyorum.seyranlı sentinlin fix enmiş halini kendi sitesinde yayınlamıştı.ama saho nun da dediği gibi bunlar yetmez özellikle forum olan sitelerin çok daha fazla güvenlik ile uğraşması gerek.hacker trap cracker tracker gibi uygulamalar güvenliği iyi bir noktaya geitiriyor.gerekli dökümanlar www.pronuke.net te.
Bu forumda yeni başlıklar açamazsınız Bu forumdaki başlıklara cevap veremezsiniz Bu forumdaki mesajlarınızı değiştiremezsiniz Bu forumdaki mesajlarınızı silemezsiniz Bu forumdaki anketlerde oy kullanamazsınız