heklendim. Tecrübelerinize ihtiyacım var.

Yeni açtığım bir site var. Reklamstore'de az kalan parayla bir reklam vereyim dedim.

Gelen ziyaretçilerden birisi 2 defa üye oldu. IP adreslerini kayıt altına alıyorum. Oradan farkettim. Daha sonra veritabanına bir göz atarken bu kullanıcının girdiği bilgilerde bir kod vardı ve kod içinde php uzantılı bir site adresi. Daha sonra loglara baktığımda bu site adresini aradığımda direk scriptin yönteci panelinin adresinin gözüktüğünü gördüm ve bu IP ile gelen kişi panelde gezinmiş.

Anladığım kadarı ile işlem bu şekilde gerçekleşti. Ben yönetici panelinden bu kullanıcıları listelerken bu kişinin eklemiş olduğu site adresi çağrıldı ve adres direk ona gitti.

Site adresini ve whois bilgilerini incelediğimde gerçek bilgilerinin girilmemiş kanısına vardım. Site ve whois bilgileri ile bir araştırma yaptım ama bir sonuç alamadım. ancak o site üzerinden bir iki hek sitesine de link verilmiş. Dostlinkler babında herhalde.

Sormak istediğim bir kaç soru var.

1. Şimdi ne yapmalıyım ?
2. Bu bir heker'lık mı yoksa lamerlik midir ? Yani yaptığı bilindik bir yöntem mi...

Geçmiş olsun gozüm!

Kullandığın hazır script mi?
Hazır script ise; nedir senin scriptinin adı?

Teşekkür ederim.

Scripti ben yazmıştım. Form gönderimlerinde

sadece bunu kullanıyordum. Ancak yeterli gelmedi. çünkü eklediği kodu <script site.com/ddsa.php> gibi ekleyebilmişti.

Hemen müdahale ettim ve


artık bunlarıda uygulamaya başladım.

Benim merak ettiğim acaba root şifrelerini de ele geçirmiş midir ?

safe mod on mu hocam ?

safe mod ON arkadaşlar.

bende artık formlarda script java meta http < > ' gibi karakterler varsa yorum yada kayıt girilmesini engelliyorum spam mesaj atam sistemlerdende kurtulmuş oluyorum böylece. Lamerin yapacağı bir işe benzemiyor onlar genelde hazır scriptlerin çeşitli açıkları olur ve oradan girer ben genelde admin bölümlerine cpanelden şifre koyuyorum en sağlamı o daha hiç geçen görmedim ama diğer şifre yöntemleri çeşitli kodlarla gecebiliyorlar.

Ozcan' Alıntı:

bende artık formlarda script java meta http < > ' gibi karakterler varsa yorum yada kayıt girilmesini engelliyorum spam mesaj atam sistemlerdende kurtulmuş oluyorum böylece. Lamerin yapacağı bir işe benzemiyor onlar genelde hazır scriptlerin çeşitli açıkları olur ve oradan girer ben genelde admin bölümlerine cpanelden şifre koyuyorum en sağlamı o daha hiç geçen görmedim ama diğer şifre yöntemleri çeşitli kodlarla gecebiliyorlar.

Genişletmek için tıkla ...

Kesinlikle katılıyorm.Yönetim panellerine ek şifre koymanızın kesinlikle bir zararı olmaz

admin'e şifre de koyacaktım ama unutmuşum.

kayıt olurken <script site.com/a.php> böyle bir kodu kullanıcı bilgilerine ekleyebilmiş. Herhalde o sayfa benim panelden çağırılınca bilgiler ona gitti. İşin burası benim için önemli açıkçası. Böyle bir yöntem var mı varsa da hangi bilgiler çalınmış olabilir ?

Şifreler gitmiş olabilir mi. Gerçi değiştirdim bunları da dosyalar çekilmiş olabilir mi ?
Düşünüyorum. Eğer şifreler gitmiş olsaydı en azndan veri tabanına zarar verirdi. Ayrıca panele girdiği sırada bir kaç işleme yaparak o kodu gene eklemeye çalışmış.

heralde kodu sitye ekleyip senin ne yaptığını izliyecekti. antivir kullanırsan iframe gibi kullanılan java kodlarında virüs uyarısı veriyor.

Geçmiş olsun. Kesinlikle lamerlik script kiddylikten başka birşey değil.

Bir full backup alın, tüm dosyalarınızı bilgisayarınızda açın ve gif, txt, jpg gibi dosyalar da dahil olmak üzere iyi bir antivirusle dosyalarınızı tarayın.

Dosyalarınız arasında c99 r57 vs türü bir shell script olmalı. Söylediğiniz Linkin tam yolunu yazsaydınız daha doğru bir tespitte bulunabilirdik. Bu tarz bir shell kullanılmışsa root şifreniz dahil tüm şifrelerinizi değiştirmenizi tavsiye ederim.

Site adresini sizlerinde zarar görme ihtimalinize karşı vermek istemedim.

Bu olayı farkettikten sonra zaten tüm şifreleri sıfırladım ve virüs taramasını dagerçekleştirdim. Bir sonuç çıkmadı. Ayrıca frame olup olmadığını kotrol ettim. Ancak bir sonuç çıkartamadım.

Size adresi gönderdim...

Ben şifrelerimi her 20 günde bir değiştiririm. Hemde öyle 6 hane falan değil. 20 hane ve eğer numara haricinde harfte kabul ediyorsa harfte eklerim. Gerekirse karakter bile

Şifrelerinizin kolay bulunma itimallerini yükseltin, Gerekirse haftalık olarak yenileyin.

Geçmiş olsun, son olsun!

ogranver' Alıntı:

Ben şifrelerimi her 20 günde bir değiştiririm. Hemde öyle 6 hane falan değil. 20 hane ve eğer numara haricinde harfte kabul ediyorsa harfte eklerim. Gerekirse karakter bile

Şifrelerinizin kolay bulunma itimallerini yükseltin, Gerekirse haftalık olarak yenileyin.

Geçmiş olsun, son olsun!

Genişletmek için tıkla ...

Bencede karakter kullanmalısınız bende şifrelerin bir çoğunda karakter kullanırım ve büyüklü küçüklü yazmaya özen gösteririm. ^+Df34wSd/& gibi şeyler hee diceksiniz onu nasıl aklında tutuyosun monitöre yapışık post it var.

Saolsun kaanoglu bana çok yardımcı oldu.

Ondan aldığım bilgiler ve araştırmalarım sonucunda sitemde yapılanın "Çerez (Cookie) Çalma - XSS açığı" olduğu kanısına vardım. Bunla ilgii makaleleri okuduğumda sitemde yapılanların benzerlikleri dikkatimi çekti.

Vardığım son kanıya göre bu kişi sisteme üye olarak veri tabanına kayıt işlemi olan bölümlerinden (Mesaj, anket vs...) birisini kullanarak istediği kodu veritabanına kaydetmeyi başarbilmiş. Bunun sonucunda da o sayfaya giren kullanıcıların bilgisi kendi sitesine yüklediği "a.php" şeklinde olan dosya tarafından çalıştırılıyor ve o sayfayı gezen kişinin Cookie bilgilerini çalmış oluyor.

Bu noktada size sormak istediğim gelen verileri (Post, get) aşağıdaki gibi düzenlersem bu yöntemi engellemiş olabilir miyim ? Çünkü kullanıcı şuan sitede gezinmekte ama bir işlem henüz yapabilmiş değil.

WordPress'de admin dosyasının ismini değiştirdiğimiz zaman bir sorun çıkıyor mu? Yani herhangi bir bağlantısı var mı diğer dosyalarla. Vardır da yani demek istediğim ad olarak var mı?