|
|
CHMOD ve Shell dosyası korunması
- Konbuyu başlatan SavaS
- Başlangıç tarihi
Eğer sadece wordpress kullanıyorsanız hiçbir bypass veya shell'i upload edemezler. Gif89a; yöntemi bile eski sürümlerde işliyor sadece wp'nin. Sadece wordpress için ise en son sürüme geçmeniz çözüm olacaktır..
Sunucu sahibi iseniz belirtin ben konfigürasyonları anlatayim birebir uygulayın.
Sunucu sahibi iseniz belirtin ben konfigürasyonları anlatayim birebir uygulayın.
Eevet sunucu sahibiyim, sorun sadece wordpress'te değil phpBB forumlarında da aynı şey geçerli malesef 
Ayrıca WP'nin 2.8.x sürümündeyken, elemanın biri msn'e ekleyip böyle böyle sisteminizde açık var dedi ve database bilgilerine ulaşabilmiş config dosyasından.
php.ini'deki allow_url_open'dan mı acaba?
Yardımcı olursanız sevinirim.
Ayrıca WP'nin 2.8.x sürümündeyken, elemanın biri msn'e ekleyip böyle böyle sisteminizde açık var dedi ve database bilgilerine ulaşabilmiş config dosyasından.
php.ini'deki allow_url_open'dan mı acaba?
Yardımcı olursanız sevinirim.
Eevet sunucu sahibiyim, sorun sadece wordpress'te değil phpBB forumlarında da aynı şey geçerli malesef
Ayrıca WP'nin 2.8.x sürümündeyken, elemanın biri msn'e ekleyip böyle böyle sisteminizde açık var dedi ve database bilgilerine ulaşabilmiş config dosyasından.
php.ini'deki allow_url_open'dan mı acaba?
Yardımcı olursanız sevinirim.
hayır allow_url_open'den değil. Şimdi bir kaç fonksiyon'u kapatalım php.ini içerisindeki disable_functions= bölümünden.. Ondan sonra da Modsecurity'e c99 vs gibi basit sheller için kural koyacağız..
İlk olarak; php.ini dosyasını açıp disable_functions kısmını;
PHP:
disable_functions = glob, posix_getpwuid, array_compare, array_user_key_compare, ini_restore, exec, proc_get_status, proc_nice, proc_open, allow_url_fopen, fin, pconnect, system, dl, passthruexec, shell_exec, proc_close, proc_get_status, chown, chgrp, escapeshellcmd, escapeshellarg, fileread, passthru, popen,curl_exec, shell, executeşeklinde değiştiriyor ve bypasslara karşı sunucumuzu en sağlıklı şekilde koruyoruz. (*bypass: sheller içerisinde dosya okumaya yarayan kod betiği)
Önemli: safe_mode mutlaka ON olmalı ve sürümler güncel olmalı (cpanel, kernel vs.) bir çok bypass ve shell'ler kıpırdayamayacaktır.
İkinci işlem ise Modsecurity ile c99, r57 gibi shelllerin çalışmalarını önleyerek işlem yapmalarına izin vermiyoruz..
Modsecurity kurulu değilse hemen WHM panelinizden "Plugins" bölümüne girip Modsecurityi seçerek kurabilirsiniz. Sonra sayfayı yenileyip sol whm menüsünde en alta ModSecurity'nin eklendiğini göreceksiniz..
Eğer ModSecurity'i kurduysak benim devamlı kullandığım Ni.net.tr'nin hazırlamış olduğu modsec rules'i sunucumuza çekip yüklüyoruz ve c99 gibi shell'lere de elveda demiş oluyoruz.
PHP:
cd /usr/local/apache/conf/
rm -rf modsec.conf
wget www.ni.net.tr/dosyalar/modsec.conf.txt
mv modsec.conf.txt modsec.confApache restart yapmayı unutmayalım.
PHP:
/etc/init.d/httpd restartBir sorunla karşılaşırsan buradan bildirirsen yardımcı olmaya çalışalım..
Yazdıklarınızı uyguladım faat sunucumda eggdrop tarzı ircd botlarını da barındırdığım için, modsec.conf'un içerisindeki eggdrop filter'ının önünü kapattım bir sorun olacağını sanmıyorum.
Bu gece vakti zaman ayırıp ilgilendiğiniz için, teşekkür ederim.
Bu gece vakti zaman ayırıp ilgilendiğiniz için, teşekkür ederim.
verilen Modsec rule dosyası güzel ancak bence aşırı abartılmış bu hali ile istedikleriniz dışında istemediğiniz bir çok şeyide engelleyecektir rule lar arasından seçmeler yapılmalı o conf taki tüm rule lar kullanılırsa önlemin yanında bir çok özelliğide kaybedersiniz ve sunucudaki farklı scriptler vb.. sorun yaşarsınız
php.ini de allow_url_fopen ı kapatmak bence gereksiz.
Özetle hepimiz biliyoruz ki bu tür modsec rule ları vs.. sadece scriptin verdiği açıkları kapatmaya çalışmaktır işin özünde var olan açığı sunucu da modsec önlemleri alarak değilde direkt scriptten kapatmanın yolları bulunmalı.
Şu unutulmamalı ki durduğu yerde chmod 777 olan klasöre shell yüklenemez illaki script bazlı bir açık olacak ki o shell o 777 olan klasöre yüklenebilsin ve yine scriptte bir açık olmadığı sürece allow_url_fopen ile shell vb.. durduk yere include edilemez.
php.ini de allow_url_fopen ı kapatmak bence gereksiz.
Özetle hepimiz biliyoruz ki bu tür modsec rule ları vs.. sadece scriptin verdiği açıkları kapatmaya çalışmaktır işin özünde var olan açığı sunucu da modsec önlemleri alarak değilde direkt scriptten kapatmanın yolları bulunmalı.
Şu unutulmamalı ki durduğu yerde chmod 777 olan klasöre shell yüklenemez illaki script bazlı bir açık olacak ki o shell o 777 olan klasöre yüklenebilsin ve yine scriptte bir açık olmadığı sürece allow_url_fopen ile shell vb.. durduk yere include edilemez.
@zemed çok sayıda shared host kullanan bir serverde mutlaka ama mutlaka curl_exec gibi önemli zararlar verilebilecek fonksiyonlar engellenmelidir. Engellenmeli dediğimden kasıt şu Safe mod gerekmiyorsa script'ler için güvenli mod'da bir nebze engelleyecektir ama en etkilisi php.ini üzerinden engellemedir.
Ayrıca sanal pos ile bankadan iletişim kurabilirsin curl komple çalışmamazlık yapmıyor curl'un fonksiyonları çalışıyor. Bana bir örnek kod verebilir misin önemli bir portalın içerisinden kaynakla? bakıp deneyelim.
allow_url_fopen'i kapatmak gerekli değil zaten diğer fonksiyonlar kapatıldığında onun bi önemi kalmıyor zaten ayrıca 777 olan her dizine zaten yükleme yapılamaz o yönden bir sıkıntı bulunmuyor.
Ayrıca modsec kurallarına bende baktım ve kullanıyorum bir sıkıntı olmadı şuana kadar + sıkıntı olduğunda engellenen içeriği modsec ile açmak en mantıklısı. Siz engellemenizi yapın sıkıntı yaratırsa açın c99 gibi basit birşeyle girilip darmadağın olmaktan daha iyidir.
Merhaba , eski çalıştığım yerde curl_exec fonksiyonunu sunucudan pasifleştirdikleri için script banka ile iletişime geçemiyordu. Biraz uğraştıktan sonra hatanın curl_exec in pasifleştirildiği için meydana geldiğini bulmuştum.
Onun haricinde 3D kullanmayan sistemlerde kullanılan yapı aşağıdadır. Mesela çalışan bir garanti bankası pos dosyasının bir bölümü
3D sistemini zamanında bir müşterime yapmıştım fakat uzun süre olduğundan tam hatırlamıyorum. 3D'li kodları inceleyip tekrar buraya koyarım.
Onun haricinde 3D kullanmayan sistemlerde kullanılan yapı aşağıdadır. Mesela çalışan bir garanti bankası pos dosyasının bir bölümü
PHP:
$url = "bankaurlsi"; //TEST
$ch = curl_init(); // initialize curl handle
curl_setopt($ch, CURLOPT_URL,$url); // set url to post to
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST,1);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER,0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER,1); // return into a variable
curl_setopt($ch, CURLOPT_TIMEOUT, 90); // times out after 90s
curl_setopt($ch, CURLOPT_POSTFIELDS, $veriler); // add POST fields
$result = curl_exec($ch); // run the whole process3D sistemini zamanında bir müşterime yapmıştım fakat uzun süre olduğundan tam hatırlamıyorum. 3D'li kodları inceleyip tekrar buraya koyarım.