protector 1.15b kullanıyordum seyranlı arkadaşım açığı var dedi kaldırdım. Peki sizce hangi güvenlik sistemini kullanmalıyım yada örnek güvenlikler nasıl olmalıdır. kullanan arkadaşlardan tavsiye alırsam daha iyi olur.
sentinel mi?
admin secure mi?
protector mü?
güvenlik başlığındakileri okudum ama pek bi açıklayıcı bulamadım o yüzden bu başlığı açıyorum. sedece bunların serveri yavaşlatığıyla ilgili bilgiler verilmiş işlevle ilgili bişi yok. evet güvenlik hakkında sağlam bilgili arkadaşların görüşlerini bekliyorum
güvenlik hakkında çok bilgim yok en azından hiç hack yemedim ama sentinelin fix lenmiş yani açıkları kaptılmış hali seyranlının sitede var seyranlı banada cracker truckerkur demişti o da var seyranlının sitede herkeskafasına ne eserse nu kullanıyor ama admin box kullannan çok ama
amoki sağolasın pronuke ye bakıcam.
admin box ufak çaplı bi yönlendirme scripti onu güvenlik sisteminden saymıyoz artıkım :) kurulu zati sistemimde. bu başlığı açtım çünkü biraz tartışılsın istedim güvenlik hakkında direk birini seçip yüklemek istemiyorum. scriptlerin işlevleri, özellikleri ve çalışma sistemi hakkında detaylı bilgi verebilecek arkadaşlar aranıyor :)
Güvenlik olarak var olan açıkları kapa..Çok saldıran varsa ip banlama araçlarından en iyisi olan sentineli kullan..İp banlamaktan başka bi işe yaramıyorlar..
ama ne kadar da lamer desek aptal değiller bu adamlar. bağlantılarını kesip yeniden girdiklerinde farklı bir ip ile girerler ve ban bi işe yaramaz. yani önemli olan neymiş, açıklrı kapatmak. sentinel admin secure vs. vs. kapıya köpek bağlamaya benzer. hırsız gelir köpek huyslanırsa havlar, sonra hgırsız elbise değiştir gelir eninde sonunda köpek ses çıkarmaz, ne biliyim tipi güzeldir vs. vs.
yani napıyoruz, önce kapıyı kapatıyoruz, sonra kilitliyoruz, anahtarı da kimseye vermiyoruz.
geçenlerde güvenlik için htaccess le epey uğraştım ve sonunda nukede olmayan bi açık çıktı sitemde :) saolsun birisi uyardı da geri eski haline getirdim. her bulduğunuz htaccess kodunu direk eklemeyin. illaki banlayacağınız ip varsa htaccess ile banlayın. başında
if eregi.... veya if !defined... kısmı olmayan modülünüz olmasın. bakın bu çok önemlidir, my_eGallery açığı tamamen bundan ibarettir ve hepimizin o yüzden kullanmayı bıraktığı messenger ın büyük açıklarından biri de buddy.php de bunun olmaması idi :) ynai o kodu eklediğinizde herhangi bişey olmaz :) sadece flood yiyebilirsiniz başka da bişey olmaz.
aynı şey bloklar için de geçerlidir. blok oluşturucudan aldığınız gibi kullanmayın blokları, ya if !defined block_file olsun ya da, if eregi blockadınız.php ... olsun, yani blok adınızı oraya doğru şekilde yazın. neden çünkü bu sayede www.siteniz.com/blcoks/blockadi.php şeklinde bloğa giremezler,
sql injectionmuş, adam sizin prefixlerinizi bilmezse nasıl uygulayacak açıkları?
diyelimki açık var, ne deyip alacak select * from nuke_authorsmu diyecek iyide bizim prefiximiz nasıl bulacak prefixi.
mainfile.php nizde, adres bara http:// yazılmasını engelleyin
forumda html kullanımını tamamen kapatın.
admin.php yi gizleyin
değiştirdiğiniz dosyalar için yerlerine birer feyk bırakın.
ne biliyim basit bi admin.php yapın, şifre sorsun, şifre ne girilirse girilsin admin paneline benzer resimler gelsin, hangisine tıklarsa tıklasın sorun versin, çerezlerinizde sorun var, çerezlerinizi temizleyip tekrar girin diye. veya admin.php dosyasına bnir resim koyum width= 99999999999999 height= 99999999999 olsun, giren şak diye kilitlensin kalsın yerinde.
çok sık kullandığımız haberler modülünde dahi açık çıktı özellikle güvenlik hakkında bilgi alabileceğiniz sitelere çok sık olmasa da rutin kontroller yapın.
hack sitelerine de bakın bazen, hazır script haline getirip veriyolar dosyaları, bi bakın sitenizde işe yarıyormu.
açık bulduğunuz zaman aha bunun kapatılması yazmıyo bari söylemeyimde kimse uyanmasın demeyin, kod bilgisine güveniğiniz kişilere açıktan bahsedin.
sitenize ne olursa olsun resim upload etmelerine izin vermeyin.
ayrıca bu cracker tracker ın yanında, hacker trap diye de bir forum güvenlik eklentisi var, resimlere trojan konulmasını vs.vs. engelliyor, onu da deneyebilirsiniz. sitesinde patch olmayanlarda mutlaka patch yüklesin 3.2 gerçekten çok faydalı yalnız, aşırı kısıtlamaları var gibi :) onları da halledicez ondan sonra yükleyin, yani şimdi 3.1 falan kurmayın az sabredin kurmuşken bi kere kurun en iyisini kurun.
platinum kullananlar bi şekilde patch 2.0 ı temin etsinler, 7.6 için çıkarılmış bir patch bu.
sağolasın hocam ya cidden şuana kadar güvenlik için okuduğum en açıklayıcı bilgi bu oldu.portal admin.php yi i gizledim admin box ile, config.php yide gizledim forum admin için tekrar şifre koruması koydum. ama şöle bişi var siteadı/languages/ yazdığımda ana sayfaya çıkıyor ve sitesadı/?pagetitle=deneme böle denediğimde yine anasayfaya çıkıyor bunu nasıl hallederiz.
siteadı/languages yazdığınızda ana sayfaya çıkması çok ciddi bir açıktır ve htaccess den kaynaklanır, htaccess soyanıda index.php yazar satırları ikişer üstü ile buraya yazarsanız hangisinde sorun olduğunu söylerim, pagetitle meselesi de mainfile.php den kapatılıyor http://www.pronuke.net/modules.php?name=Forums&file=viewtopic&t=159 buraya yazmıştım
RewriteRule ^index.html index.php [L] bende bi tek bu var seyranlı pagetitle açığı vermedi www.sitecom/language/ de boş sayfa www.sitecom/modules/ te anasayfa çıkıyor.
eğer imzanda gçen site ise bu, www.atabilmar.com/pronuke.php yaz mesela ana sayfan açılır. güvenlik olaylatı mainfile da yapılıyor biliyorsun ancak şu an modules/ içerisinde çalışıyo orada mainfile.php yok, o yüzden mainfile daki kodlar tamamen devre dışı kalıyor, bu şekilde adres bardan sql injection yapabilirler veya extra bir exploitle tüm ftp ni silebilirler. gerekirse tüm htaccess i sil. o bile daha güvenli olur
sitenize ne olursa olsun resim upload etmelerine izin vermeyin.
demişsin ama ben forumlarımdan bu resim Upload işini mutlaka yapmalıyım ve yapıyorumda.Attachmen eklentisi kurulu.Acaba Attachment in buna karşı bir güvenlik eklentisi varmıdır.
Ayrıca Ctracker da kurulu değil forumlarımda.Resim Uploadını güvenli bir hale getirmenin yolları nedir bu konuda bildiklerini paylaşırsan sevinirim.
Ctracker bu güvenliği tamamen sağlar mı ne dersin ?
resim ekleme genel bir php sorunudur, şu an için bir çözümü varmı bilmiyorum, microsoft, windows için böyle bi yama çıkardı ama linux da durum nedir bilmiyorum
patch yüklemekle işler bitmiyoki, yine modüllerde açıklar oluyo onları da kapatmak gerekiyo
uzun zamandan beri ugramadim buraya :)
3.2 patch attim bir suru blok modul var iyidir ozelikli diye yukledik biz yandık o zaman ph-nuke sitesi kurmasak daha iyi bir haftadan beri guvenlik araştiriyorum :)
artık fazla zormiyacam bu iş yamali bohça gibi bir sey yamaladur :)
prefix değişimi yapınca ben şimdiye kadar bi sorunla karşılaşmadım çümü modül içindeki kodlar $Prefix şeklinde sabit olur genelde yani sen ne yaparsan onu görür
Bu forumda yeni başlıklar açamazsınız Bu forumdaki başlıklara cevap veremezsiniz Bu forumdaki mesajlarınızı değiştiremezsiniz Bu forumdaki mesajlarınızı silemezsiniz Bu forumdaki anketlerde oy kullanamazsınız