İPUCU

Vbulletin Vbulletin hakkında soru ve cevaplar, bilgi paylaşımları.
Crack, null vbulletin dosya paylaşımı yasaktır.

Seçenekler

Güvenli Bir Sistem İçin Yapılması Gerekenler (Mutlaka Oku)

ExTreMe - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
08/2011
Nereden:
AYT
Mesajlar:
1.717
Konular:
288
Teşekkür (Etti):
98
Teşekkür (Aldı):
196
Ticaret:
(0) %
17-07-2012 15:02
#1
Exclamation
Güvenli Bir Sistem İçin Yapılması Gerekenler (Mutlaka Oku)



Bilindiği Gibi Hemen Hemen Hergün Bir Çok Siteye İndex Atılıyor ve Erişimi Engelleniyor.
"Sistem Güvenliği" Hakkında Fazla Bilgiye Sahip Olmayan Arkadaşların Siteleride Maalesef Geçici ya da Kalıcı Hasarlar Görebiliyor.


Öncelikle Hosting Firmamızı Seçerken Çok Dikkatli Davranmalıyız

Firmanın Telekom ve Vergi Levhası Kayıtlarını Kontrol Etmeliyiz.
Aldığımız Hizmetin Faturasını Muhakkak Kestirmeliyiz ki İleride Sorun Olduğunda Elinizde Sağlam Bir Kanıt Olsun.


Aldığınız Domainleri Hosting Şirketinde Değil Mümkün Olduğu Kadar Bağımsız Bir Şirkette Tutun.


Kesinlikle FTP'deki Admincp ve Modcp İsimlerini Değiştirip Bunları Şifreleyin.

İsimleri Değiştirdikten sonra "Config.php" nizden Bu Klasör İsimlerini "Değiştirdiğiniz Şekilde" Düzenlemeyi Unutmayın.


Kod:
$config['Misc']['admincpdir'] = 'DEĞİŞTİĞİNİZİSİM';   $config['Misc']['modcpdir'] =   'DEĞİŞTİĞİNİZİSİM'

Daha Sonra Cpanel'inize Girerek Bu Klasorlere Erişim İçin "Password" Koyun.
Yani Admin Şifreniz Çalınsa bile 2.nci bir Güvenlik Şifreniz Olmuş Olacak.
"Cpanel"den Her "Admin" ve "Moderator" İçin Ayrı Kullanıcı Adı ve Şifre Oluşturun!
Biraz Abartalım Ve Admincp nin Yolunu Değiştirdikten Cpanelden Değişik Bir 2.nci Şifre Verdikten sonra Birde 3.cü Şifre Koyalım. "Yuh Artık" dediğinizi Duyar gibiyim (: Önceki Şifrelemeleri Her Admin/ Moderatore Ayrı Olarak Oluşturdunuz. Ama bu Şifreleme Genel Bir Şifreleme Olacağından Bütün Adminlere Vermeniz Gerek. Aynı İşlermi Modcp İçinde Uygulayabilirsiniz.

Admincp'ye girin(ya da Adını Ne İle Değiştirdiyseniz Artık)
Ek Üstteki

Kod:
<?php
Kod:
$ourLogin = "KULLANICIADINIZ"; 
$ourPassword = "ŞİFRENİZ"; 

session_start(); 

if ($_SESSION['login']!=$ourLogin && $_SESSION['password']!=$ourPassword) { 


if ($_POST['login']==$ourLogin && $_POST['password']==$ourPassword) { 


$_SESSION['login'] = $_POST['login']; 
$_SESSION['password'] = $_POST['password']; 
header("********: index.php"); 


} 
else { 


echo " 
<form action=index.php method=post> 

Hoşgeldin Kimsin?:<br> 
<input type=text name=login value=''><br> 
Peki Şifren:<br> 
<input type=password name=password value=''><br> 

<input type=submit value=' Tamam '> 


</form> 
"; 

exit; 

} 

}

FTP Deki Gerekli Dosyalar Haricinde (Avatar,Eklenti,Resim Vs..) Diğer Dosyalarınızın CHMOD Ayarlarını Asla 777 Yapmayın.


"Config.php" dosyanızın İçeriğini Şifrelemeniz Gerekir. Yani Sistemize Erişim Sağlansa Bile Database Bilgilerinizi Koruyabilirsiniz.

https://tik.lat/2vN9M Source Cop İsimli Programı İndirin:
Programı Çalıştırdıktan Sonra "PHP" Seçiin ve Bilgisayarınızda Herhangi Bir Klasor Oluşturup Sitenizde Bulunan config.php yi İçine Atın.
Sonra Programdan "Select Source Folder" Butonuna Basarak Oluşturduğunuz Klasorü Seçip "Encrypt" Butununa Basarak Şifrelemeyi Gerçekleştirin.
Sonra PC'de Oluşan "Scopbin" Dosyası İle Config.php Dosyanızı FTP'ye Geri Atın.
Öncelikle Kendi Admin Hesabınızı Güvenlik Altına Alın. Bunun İçin Config.php Dosyanızı Açın ve Belirrtiğim Yere Kendi Üye İD Numaranızı Yazın.


Kod:
$config['SpecialUsers']['undeletableusers']    = 'BURAYA';
  • vBulletin ilk Kurulumdan Sonra "İnstall" Klasorunun Adını Değiştirmeyin Komple Silin! İllaki FTP De Tutacaksanız Admin ve Mod Paneline Koyduğunuz Gibi Bu Klasorede Şifre Oluşturun.

  • Eklenti Kurmadan Önce Ne Eklentisi Olduğuna, Ne İşe Yaradığına, Kim Tarafından Yazıldığına İyi Bakın!! Eğer Fazla Bir Bilginiz Yoksa Eklenti Hakkındaki Son 5 Yorumu Dikkatlice Okuyun. Sorun Olmadığına Kanaat Getirmeden Asla Kurmayın.

  • Vbulletin.org da Onaylanmamış (yada Hiç Olmayan) ve "Kimliği Belli Olmayan" ve "Güvenmediğiniz Sitelerden" Eklenti İndirip Kurmayın! İçerine Kod Koymuş Olabilirler (Yapanlar ÇOK!!)

  • Her Önünüze Gelene Admin ve FTP Bilgilerinizi Verip "Bana Yardım ET" Demeyin. Kendilerine Gizli Admin Oluştururlar Sitenize binbir Tane Reklam Atarlar. Ruhunuz Duymaz. Siteniz Belirli Bir Düzeye Ulaştığında Databasenizi Çeker Başkasına Satarlar. Siteniz Büyük Zarar Görür. emekleriniz boşa Gider.Gülüp Geçmeyin. Muhtemel Olaylardır.

  • FTP ve Admin Şifreleriniz Kesinlikle Basit Şifrelerden İbaret Olmasın.
  • Yani Sadece Rakam Ya da Sadece Harflerden Oluşmasın. Özellikle FTP Şifreniz Büyük Harf, Küçük Harf,Rakam ve Sembol'lerden Oluşsun..

  • vBulletin Sahipleri Genelde "Modifikasyon" Sevdiklerinden Bir Çok Eklenti Kurarlar. Ama Hiçbir Zaman Kurdukları Eklentilerin Bir Listesini Tutmaz ya da Onları Yeni Çıkan sürümleri ile Upgrade Etmezler. Upgrade Demek Yanlızca vBulletin Sürümlerini Güncellemek Demek Değildir. Kurduğunuz Eklentilerin'de Yapımcısı Tarafından Güncellenerek Açıklarının Kapatıldığını Unutmayın..

  • Forumunuzda Veri Kaybını Önlemek İçin Mümkün Olduğu Kadar sık Database Yedeği Alın. Database Yedeklerinizi vBulletindeki Admin Panelden Değil!! PhpMyAdminden Almaya Özen Gösterin. Ayda 1 ya da 2 Kere Kesinlikle FTP'nizdeki Klasorleri Full Olarak PC'nize İndirin. Rarlayın Kaldırın Bi Köşeye Dursun. Ne Zaman Çökeceğiniz Belli Olmaz! Hosting Kapanır Bişey Olur Elinizde Sitenizin Full Yedeğini Mutlaka Bulundurun.

  • Forumlarınızda Üyelerin HTML Kullanmalarına Kesinlikle izin Vermeyin Gereken Yerden bu Özelliği Deaktif Edin.

  • Forumunuza Chat Paneli Kurmayın. Kursanız Bile Açığı Olup Olmadığına Dikkat Edin..

  • Üye Kayıt Panelinde Güvenlik Önlemlerini Kesinlikle Kullanın. Şu Sıralar Reklam Botları Hayli Fazlalaştı.

  • FTP yada Admin Şifrelerinizi KEsinlikle 3. Şahıslarla Paylaşmayın. Size Yardım Etmesi İçin Paylaşmak Zorunda Kalsanız Bile 3. Şahısın Sistemden Çıkışının Ardından;

  • Admincp'den Log Kayıtlarına Bakın. Ne Değiştirmiş Hangi Bölümlere Girmiş İnceleyin.
  • Administrator Grubunda Tanımadığınız Bir nick Olup Olmadığını Kontrol Edin.
  • Sisteminize Herhangi bir Reklam Kodu Konulp Konulmadığını Kontrol Edin.
  • Üyelerinizin Sitenize Girerken Herhangi bir Siteye Ping Göndermediğinden Emin Olun.
  • Eğer FTP Şifrenizi Verdiyseniz config.php'ye Süper Admin eklenmediğinden Emin Olun.Zaten FTP Şifrenizide Kimseye Vermeyin Gereken Dosyayı Siz Upload Edin.

  • Şahsi Bilgisayarınız Haricinde Başka PC'lerden FTP ya da Admin Kullanıcı Hesabınızı Açmayınız. Genellikle Cafe'lerde Keylogger Kurulma İhtimali Yüksek Olduğundan Siz Evinize Gidene Kadar Siteniz Çoktan Hacklenmiş Olabilir. Ayrıca Kişisel Pc'nize Kesinlikle Antivirüs/Firewall Programları Kurulu ve Güncel Olsun.

  • Hostunuzla İletişimde Kullandığınız Mail Ayrı, Admin Nickinizde Kullandığınız Mail Ayrı Olsun!! Ve Bu Mailleri Kimseye Bildirmeyin. Profil Ayarlarınızdan Mail Adresinizi Gizli Olarak Ayarlayın. Mailinizi "admin@siteadı" Şeklinde Kullanmamaya Özen Gösterin. "Destek@" ya da "iletişim@" gibi Mailleriniz de Kesinlikle Kota Limiti Koyun. Boşu Boşuna BW Harcamamış Olursunuz.

  • Domain bilgileriniz gizli Olsun "Whois" Çekildiğinde Kullandığınız mail Adresi ve İletişim Bilgileriniz Görülmesin..

  • FTP Programında Seçici Olun. Crack'lı Programları Kullanmayın. İçlerine Kod Konmuş Olma İhtimali Hayli Yüksek. Ya Programı Gerçek Yapımcısından Satın Atın Yada FileZilla gibi Ücretsiz Programlar Kullanın.


  • Bir Çok Sitede Güvenlik için includes/classcore.php yolunu Değiştirin Yazar. Yötem Doğrudur Fakat vBulletin Kaynak kodlarıyla Oynadığınızdan Lisansınız İptal Edilebilir. bu İşlemi Uygulamamanızı Tavsiye Ediyorum. Hem Zaten Yukarıdaki İşlemlerimizde config.php Dosyasının İçeriğini Şifrelediğimizden Ayrıyeten Dosya Yolunu Değiştirip Risk Almak Gereksiz Olur.

  • Botların Gelmemesi ve Forumunuzda Reklam Yapamaması İçin Üye Kayıtlarında CAPTCHA ya da reCAPTCHA ve Extradan Soru / Cevap Şeklinde Engeller Koyun. Bunu Önemseseniz İyi Olur, Genelde Gece Gelirler Sabah Kötü Sürprizlerle Karşılaşabilirsiniz.




Kod:
PHP ile URL kontrolü freni: Özgün bir düşünce

Vbulletin'in header.php dosyasına Stiller-Temalar > Temaları  Düzenle> header bölümünden ulaşın. Dosyanın üst kısmında url  kontrolüyapabileceğiniz ve kendinize göre geliştirebileceğiniz aşağıdaki  fikrikullanabilirsiniz. Bu kodu eğer SEF, url rewrite  kullanıyorsanız kullanmayın veya kendinize göre değiştirin.

<?php 
$frenle=$_SERVER['REQUEST_URI'];

//Aşağıdaki if deyimiyle eğer url satırı 55 karakterden uzunsa  -Urltabanlı exploitlerin bir çoğu bu değerden uzundur.- diğer  satırlarageçmeyi durduruyor. Eğer SEF, url rewrite yapmıyorsanız bu kod  ile çoğuURL tabanlı saldırının önüne geçebilirsiniz.

if (strlen($frenle)>=65) {
exit;
}

// Aşağıdaki kod ise eğer url bölümünüzde istenmeyen bir  karakter,bölüm varsa çalışmayı durdurmaktadır. Bu da henüz çıkmamış,  duyrulmamışurl tabanlı açıkların bile önüne geçmenizi sağlayabilir.  $bnd1,2,3,4...alanlarını çoğaltarak kendinize göre  zenginleştirebilirsiniz. Anlaşılırolması açısından değerler tek tek  yazılmış ve döngüye sokulmuştur.

$frenle=strtolower($frenle);
$bnd1=strpos($frenle, "tool"); 
$bnd2=strpos($frenle, "******");
$bnd3=strpos($frenle, "redire");
$bnd4=strpos($frenle, "********");
$bnd5=strpos($frenle, "script");
$bnd6=strpos($frenle, "html");
$bnd7=strpos($frenle, "include");
$bnd8=strpos($frenle, "insert");
$bnd9=strpos($frenle, "*delet*e*");
$bnd10=strpos($frenle, "exit");
$bnd11=strpos($frenle, '//');
$bnd12=strpos($frenle, 'where');
$bnd13=strpos($frenle, 'vb_login');
$bnd14=strpos($frenle, 'xss');
$bnd15=strpos($frenle, 'echo');
$bnd16=strpos($frenle, 'die');
$bnd17=strpos($frenle, 'command');
$bnd18=strpos($frenle, 'cookie');
$bnd19=strpos($frenle, 'cmd');
$bnd20=strpos($frenle, '_md5');
//yukarıda tanımladığımız 11 kural için bir ihlal yakalanmışsaihlali  yapan kişi karşısında echo ile belirtilmiş iletiyi görecek veorada  kalacaktır.
if (($bnd1== true) or ($bnd2== true) or ($bnd3== true) or  ($bnd4==true) or ($bnd5== true) or ($bnd6== true) or ($bnd7== true) or  ($bnd8==true) or ($bnd9== true) or ($bnd10== true)or ($bnd11==  true)or($bnd12== true)or ($bnd13== true)or ($bnd14== true)or ($bnd15==  true)or($bnd16== true)or ($bnd17== true)or ($bnd18== true) or ($bnd19==  true)or ($bnd20== true)) {
echo 'Zararlı olabilecek Url durduruldu! Lütfen kullandığınız Urlye  dikkat ediniz.';
exit; }

?>


Sisteminizde Yukarıda Anlatmış Olduğum Önlemleri Alarak
Sitenizin Şuanki Halinden Çok çok Daha Verimli Bir Güvenlik Kalkanı Oluşturabilirsiniz.
Unutmayın Ne Kadar Önlem Alırsanız Alın İçine Kod Yüklenmiş Bir Eklentiyi Kurduğunuzda
Bunların Bir Anlamı Olmayacaktır.
Onun İçin Güvenmediğiniz Kişilerin Eklentilerini Kurmamanızı Şiddetle Tavsiye Ediyoruz.


yonlendirme yememek icin

1 >Admin Paneline gidin

2 > vBulletin Optionlarini Secin

3 > Kelime Yasaklamaya gidin

4 > &# Bunlari Yasaklayin

5 > Kayit edin

Acik neye Bagli Admin nickinle baskasi üye olabiliyor ayni nicki alabiliyor bölede üyeleri kandirabilirler Kodlar hex Koduna baglidir.



DDOStan korunmak, https://tik.lat/BedcO bu siteye girerek kendinize bir profil yaptiktan sonra site size DNS1 DNS2 ayarlarini verecektir. siz kendi domain sirketinizin panelinden onlari verdigi DNS ayarlari ile guncelledikten sonra Cloudfare Sistemi sitenizde aktif olacaktir. zor bir silem degil 2 dakikanizi alir siddetle oneririm.


Register Globals açığı

bunun kapalı olduğundan emin olun phpinfo bilgisine bakarak bunu öğrenebilirsiniz


admincp/bakım->Phpinfo bilgilerini göster

(register_globals On )yazıyorsa kapatmak için


etc/php.ini dosyasından register_globals = 0 satırını değiştirmelisiniz (bu işlemlerden sonra sunucuya restart atmanız gerekli) tabi sunucu size ait ise..
bunu kapatmanın bir diğer yoluda .htaccess dosyasıdır


.htaccess dosyasına şu kodu

Kod:
php_value register_globals off
kayit et.


vbulletin şablonlarında admincp linki bulunur silmeniz faydalı olacaktır.


Kod:
<vb:if condition="$show['admincplink']"><li><a href="{vb:raw admincpdir}/index.php{vb:raw session.sessionurl_q}">{vb:rawphrase admin}</a></li></vb:if>
sil kayit et, admin yolunuzu siz saklayin.


Vbseo kurduysaniz:

vBSEO nuzun yapılandırma dosyası yazılabilir olmadığından emin olun!
Yalnızca düzenleme için ihtiyacınız olduğunda yazılabilir yapmak gerekir.
Dosya vbseo/resources/xml/config.xml konumunda bulunur.

Chmod olarak 444 yapın

ayriyetten:

/forums/vbseo/functions_vbseo_hook.php dosyasında

Kod:
vbseo_ping_proc($vbseo_ref, $_GET['vbseourl'] ?  $vbulletin->options['bburl'].'/'.$_GET['vbseourl']
Kod:
vbseo_ping_proc($vbseo_ref, $_GET['vbseourl'] ?  $vbulletin->options['bburl'].'/'.preg_replace('#[\x00-\x1F]#', '', $_GET['vbseourl']) :
degistirin.

Klasor guvenligi:

Tüm klasör izinleri doğru olup olmadığını kontrol edin!
Sadece yazma izinleri aşağıdaki klasörleri için etkin olmalıdır;


attachments/
customavatars/
customgroupicons/
customprofilepics/
signaturepics/

bunların dışındaki klasörlerin chmodunu 544 yapın


Sunucu Ayarları

vbulletin admincp, seçenekleri -> Sunucu Ayarları ve Optimizasyon gidin

Use Remote YUI bulun
Google olarak ayarlayın. Yahoo veya herhangi birini kullanmayın.

-----
Bir .htaccess dosyası oluştur. İçine ise alttaki kodları ekle
<Files ~ “\.(php\d*|cgi|pl|phtml)$”>
order allow,deny
deny from all
</Files>
Sonra bu .htaccess dosyasını ftp ana dizinde bulunan alttaki klasörlerin içine at
customavatars
signaturepics
customprofilepics
attachments



Null sürümler neden güvenliği yok deniltiyor ?


Null sürümler ne kadar güvenli ?Şuana kadar null sürümlerde güvenlik açıkları olduğunu söyleyenler size bu açığın kaynağını gösterdi mi ?Şimdi ben bu açığın kaynağına iniyorum
Bilirsiniz ki genelde rus'lar nulled sürümleri paylaşırlarÇünkü rus'lar shell dosyalarını en iyi kullanan insanlardanPeki ne alakası var ?Rus'ların dağıttığı vBulletin 368 ve 373 sürümlerde "/includes/class_dm_announcementphp" dosyasında shell varBunu nasıl anlarız derseniz ; site sonuna "includes/class_dm_announcementphp?p=1" yazıyoruz ve bu şekilde enter'liyoruzKarşımıza sitenin sol üst kısmında eğer bir kutucuk çıkarsa yandıkÇünkü sitemizde shell varPeki bu kutuyu nasıl aşarız ?İnanmayanlar olursa onu da söyleyeyimvBulletin 368'lerde vbVB yazarak giriş yapıyoruz 373 sürümlerde ise DdoS yazarak giriyoruzShell'imiz karşımızdaPeki nasıl gideririz bu açığı diyenler için de dosyayı başka bir sürümün temiz dosyasıyla değişsinler diyorum.
Konu ExTreMe tarafından (06-11-2014 23:47 Saat 23:47 ) değiştirilmiştir.
ahmetbey77 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2012
Mesajlar:
18
Konular:
3
Teşekkür (Etti):
0
Teşekkür (Aldı):
0
Ticaret:
(0) %
17-07-2012 15:26
#2
Teşekkürler..
Reing - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
04/2012
Mesajlar:
11
Konular:
1
Teşekkür (Etti):
0
Teşekkür (Aldı):
0
Ticaret:
(0) %
04-11-2012 19:59
#3
saolasın dostum...

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı