Tarih: 2006-11-12, 02:40:09 Mesaj konusu: Sitemde Açık Varmış!!!
Merhaba Arkadaşlar Biraz Önce Birisi Msn'e Ekledi Beni Dediki;
"kurduğun sistem üzerinde rfı açığı var bu sayede uzaktan kod çalışıtırışıp serverına girilebiliyor"
Ve Bana Config.php nin İçindekileri Söyledi Doğru Olarak. Config.php'yi Okumuş Yani, Bana Server'a Zehir Upload Etmemi Server'daki Adult Siteleri Kapatacağını Diğerlerine Zarar Vermeyeceğini Söyledi Bunun Karşılığında Açığımı Kapatmama Yardımcı Olacağını Söyledi. Bende Kabul Etmedim Tabi. Siteme Zarar Vermeyeceğini Söyledi Gene Ama Ben Bu Açığı Nasıl Kapatabilirim? Bu Nasıl Bir Açıktır? 7.6+3.2 Kurulu. Config.php yi Nasıl Gizleyebilirim? Yardımcı Olursanız Sevinirim...
Kayıt: Jan 02, 2006 Mesajlar: 378 Konum: Ankara/Konutkent
Tarih: 2006-11-12, 02:45:05 Mesaj konusu: Re: Sitemde Açık Varmış!!!
Config.php nin adını değiştirdikten sonra mainfile.php'dende config.php yazılı olanları da değiştirmiş olduğun isimle değiştir. Bide config.php de yazılı bir kısım var onu da editle.
Bunlar zaten forumlarda mevcut. Gerekli güvenlik önlemlerini almadıktan sonra hack yemek doğaldır.
Size tavsiyem admin.php ide değiştirmeniz yada serverda bulundurmamanızdır ve admin.php yi sahte şifreleme ile korumanızdır.
öncelikle site adresi yazarmısın kullandığın modul ve bloklara bakmak gerekebilir.config ide adını istediğin bişeyle değiş ve daha sonra mainfile deki config yazan herseyi yeni isimle değiş, tabi prefixleride değişmeyi unutma ...
Birçok Güvenlik Önlemini Almıştım Zaten Ama Config.php yi Saklamamıştım. Bide Prefixleri Değiştirmedim Tam Olarak nasıl Olacağını Anlamadığım İçin. DForumda Gördüğüm Diğer Önlemlerin Hepsini Aldım Sanırım. Şimdi Yedek Alıyorum Tamamlansın Dediğinizi Yapıcam Hemen Teşekkürler."Ama Bide config.php de yazılı bir kısım var onu da editle" Config.php de Tam Olarak Neyi Değiştiricem???
Şu Anda Yedek Aldığımı erişim Olmadığını Söylemiştim Zaten. Dediklerinden Sadece Search Modülünü Kullanıyorum Ama Onuda Denedim Açığı 7.6+3.2 De Kapatılmış Sanırım.
Kayıt: Jan 02, 2006 Mesajlar: 378 Konum: Ankara/Konutkent
Tarih: 2006-11-12, 02:57:54 Mesaj konusu:
Crazy_Blood :
Birçok Güvenlik Önlemini Almıştım Zaten Ama Config.php yi Saklamamıştım. Bide Prefixleri Değiştirmedim Tam Olarak nasıl Olacağını Anlamadığım İçin. DForumda Gördüğüm Diğer Önlemlerin Hepsini Aldım Sanırım. Şimdi Yedek Alıyorum Tamamlansın Dediğinizi Yapıcam Hemen Teşekkürler."Ama Bide config.php de yazılı bir kısım var onu da editle" Config.php de Tam Olarak Neyi Değiştiricem???
config.php'yi açın
Kod:
if (stristr(htmlentities($_SERVER['PHP_SELF']), "config.php")) {
Header("Location: index.php");
die();
}
Buradan Sadece config.php nin Adını Kendi Verdiğim Ad ile Değiştiricem Yanlış Anlamadıysam. Yardımlarınız İçin Çok Teşekkürler. Ama Bu RFI Açığı nedir? Yani Uzaktan Kod Çalıştırma falan?
search Modülünden Bişey Aratıyorlar Ve Admin Şifresini MD5 Algoritmalı Şekilde Alıyorlar Sonra bunu çözüp Şifreni ele Geçiriyorlar, Ben O Girilen Kodu Kendi Sitemde Denedim vermiyordu admin şifresini, Başka Sitelerimde Denedim Olmuştu Sonra Search Modülünü Kaldırdım Onlardan Ama 7.6+3.2 Kurulu Olanda Çalışmamıştı bu Kod.
Kayıt: Jan 02, 2006 Mesajlar: 378 Konum: Ankara/Konutkent
Tarih: 2006-11-12, 03:16:51 Mesaj konusu: Re: Sitemde Açık Varmış!!!
Crazy_Blood :
Buradan Sadece config.php nin Adını Kendi Verdiğim Ad ile Değiştiricem Yanlış Anlamadıysam. Yardımlarınız İçin Çok Teşekkürler. Ama Bu RFI Açığı nedir? Yani Uzaktan Kod Çalıştırma falan?
evet aynen öyle.
uzaktan kod çalıştırıyorlar bu nedenle admin.php dahil config.php isimlerini değiştirmek önemli. Journal modülünüde kaldırsanız iyi olur. Search modülü yerine mSearch kullanabilirsiniz.
Birde Modules/Forums/Admin klasörünüde izin ayarlarını 644 yapın. ve o klasörün içindeki index.php yede admin.php'deki gibi sahte şifreleme uygulamasını yapınız. Prefixler zaten değişmeli. Bunlar bilindik şeyler zaten.
açık oluşturabilecek öoduller kullanıyorsun (kesin açık var demiyorum) ör = messenger. ayrıca güvenlik kodunu aktive et ve htcass teki (seyranlı nın belirttiği) kodları sil, sentinel kurmuş isen ve versiyonunu hatırlamıyorum suan açık olan sentinel ise onun da açığını kapatırsan iyi olur...
Messenger'i Kontrol Edeceğim Açığı Varsa Kaparım. Güvenlik Kodunu Aktif Edince Sorunlar Çıkıyor Sitede Bazı Yerlerde Görünmüyor Kodlar. Açmıştım Onu Ama çok Sorun Oldu Bende Kapattım. Htacces Zaten Çalışmıyor Win Serverda Site Onu Komple Silsem Olur. Teşekkür Ederim...
burda da biraz degindim ama tekrarlamakta yarar var.Siz kullandiginiz sistemde yada modullerin birinde rfi acigi varsa ancak bunu bulup degistirirseniz kurtulabilirsiniz.Yoksa dosyayi saklamakla bas edemezsiniz.Cünkü bircok program var siteyi tarattiginiz zaman size bütün önemli dosyalarin nerde sakli oldugunu gösterip hangi satirinda risk bile oldugunu gösteriyor.Böyle bir durumda eger siz sadece bir yaraniz varken yarayi iyilestireceginize saklarsaniz yara bir yerde yine karsiniza cikar.Tek care bence kökten cözümdür.Biraz emek harcayarak kendi yaraniza tus basarak kurtulabilirsiniz.Simdi biliyorsunuz Coppermine,Download,FCKEditor,Search ve index.php,backend.php vs encok aciklarin icinde yer aldigi dosyalardir.Böyle sql erisimi cok yaygin olan bütün dosyalarinizi gözden gecirirseniz.Yüzde yüz kurtulamazsiniz ama en azindan asgariye iner ve sizde bir gönül rahatligi yaratir cünkü artik hangi dosyanin ne ise yaradigini ve neresinde ne tür islemler yapilabilir onu ögrenmis oluyorsunuz.
Bu forumda yeni başlıklar açamazsınız Bu forumdaki başlıklara cevap veremezsiniz Bu forumdaki mesajlarınızı değiştiremezsiniz Bu forumdaki mesajlarınızı silemezsiniz Bu forumdaki anketlerde oy kullanamazsınız