site yönetimi ne der bilmiyorum ama hack yayını yapan sitelerden derlediğim nuke açıklarını bu başlık atında paylaşmak istiyorum, belki açıkları burda yayınladıkça herkes sitesini kontrol eder, ve gereken önlemleri alır.
İlk olarak her zaman yazmak istediğim bir olay var GOOGLE gerçeği, çoğumuz google’ın peşinde koşarız, google sitemi tanısın, aramalarda benim sitem çıksın, benim hitim artsın, bunlar yararlı şeyler, peki hiç düşündünüz mü google başka nelere kadri? (burda amaç google’ı kötülemek değildir, google bir arama motorudur ve işini yapar onun işi yazılan kelime ya da satırın geçtiği siteleri bulup önümüze koymak, ama adamın niyeti başka olunca google ne yapsın?)
anlatıma ilk olarak netopsiyon’da bulunan ve hemen hemen hepimizin kullandığı nuke toplist_kodu_ekle.php dosyasıdır. Ana dizine atarız browserdan çağırırız, toplist kodunu ekleriz, peki siteyi hackleyecek adam bunu nasıl kullanıyor;
| Alıntı: |
|
1- www.siteadı.com/nukeyolu/toplist_kodu_ekle.php TÜRK Siteleri için
Kullanımı Sadece Yönlendirme Kodlarını Hazırda Tutun Bulursanız Ekleyin Ha Title Bara Bişeler Yazmak Size Kalmış 🙂 Sql injectiondan Hiç Bir Farkı Yoktur Aksine Daha kolaydır En Alttaki Toplist Alanıdır Bir Çok Webmaster Site Pachli Değilse Toplist Kodları Eklemek için Kullanır Bunu Ve Çoğu ( Kek ) Silmeden Serverde bekletir 🙂 Gogglede : ” toplist_kodu_ekle.php ” ?eklinde Aratıyoruz Tabi Bunu Çeşitlendirmek Mümkün Uzantısı .php Olsunda Gerisi Sizin hayal Gücünüze kalmış 🙂 |
burdanda anlayacağımız gibi toplist_kodu_ekle.php dosyasını işimiz biter bitmez ana dizinden siliyoruz.Zaten kullanımında bu açık açık yazılmıştır.silmezsek ne mi olur? alın örnek bir yönlendirme kodu:
toplist kısmına bu eklenir ve site hack adresine yönlendirilir.
Gelelim bir başka açık olayına BigDump
| Alıntı: |
|
2- www.siteadı.com/nukeyolu/dump/bigdump.php
Kullanımı : Elinizde Ana Sayfası indexlenmiş Bir Veri Tabanı Yedeği Olması Gerekiyor Bunu Dump Ediyoruz 🙂 Bunun Mantığıda Msql Veri Tabanına Direk Bağlantı Sağlayarak Elinizdeki Büyük 40-50 mb Veri tabanını Okutmaktır Yukarıdaki Gibi Bunu Serverde Barındıran Yerli Yabancı Bir Çok Webmaster ( Kek ) Mevcuttur 🙂 Googlede ” bigdump.php ” şeklinde Aratırsınız 🙂 |
evet burdanda dump klasörünü ya ftp’de bulundurmyacağımızı ya da şu an aklımda değil chmod ayarını olması gerektiği gibi bırakmamız gerektiğini anlıyoruz.
Buradaki diğer bir problem ise resim galerisi kullananlar için.
Güvenliğe çok önem veriyorsanız sitenizde resim galerisi My_eGallery yada coppermine kullanmayın. Yok ben illa kullanacam diyorsanız o zaman CHMOD 777 olması gereken yerleri kullanacağınız zaman 777 haline getirin. Diğer durumlarda klasörlerin CHMOD değeri 755 ve dosyaların ise 644 olması gerekiyor.
Sizler açıkları kapattıkça PHP-Nukeyi CHMOD üzerinden hacklemeye çalışıyor. Bu nedenle uyarılara mutlaka göz atın.
Sürekli resim eklemiyorsanız resimlerinizi HTML halinde ekleyin ve modül oluşturma tekniklerini kullanarak basit modüller hazırlayın. Resim gösterilerinin o kadar gösterişli olmasına hiç ama hiç gerek yok.
Eğer PHP-Nuke kullanıyorsanız bazı kısıtlamaları kabul etmeniz gerekiyor. Bu kısıtlamaları kaldırmak sitenizi elinizle başkalarına yem etmek anlamına geliyor. Bunu asla unutmayın.
Son bir not daha: Forum yönetimini (modules/Forums/admin klasörü) mutlaka bir şifre ile korumaya alın.
Bilgi Rehberi Eğitim Doküman Danışmanlık Hizmetleri 