Uzun zamandır WordPressleri hakleyen birini takip ediyorum. Önceleri haklediği sistemlerin eski sürümler olduğunu düşünüyordum. Sonradan gördüm ki birbirinden farklı sürümleri de al aşağı etmekte
Lavuk, paso WordPress hakliyor ve şimdiden bine yakın WordPress hesabı ele geçirmiş. Yerli, yabancı, eski sürüm, yeni sürüm adam için hiç fark etmiyor.
Bu işi nasıl beceriyor benim için merak konusu oldu. Sonuçta benim sistemim de bir WordPress ve bu adam önüne geleni al aşağı ediyor!
Panik yapmanıza gerek yok.
Olay bir WordPress açıklığı veya eklentilerinden kaynaklanan bir güvenlik açığı değil. Olay tamamen adamın bizlerden farklı bir bakış açısıyla, zekice düşünen bir elemanın WordPress sistemleri kötüye kullanması şeklinde
Baştan söyleyeyim, adamı tanımıyorum. Sadece haklediği sistemlere nickini yazması dikkatimi çekti. İletişimim de hiç olmadı. Gerçi Türk olduğundan da şüpheliyim ama neyse
Her seferinde index atmak yerine, adam WordPress sayfalarının son postlarına girip değişiklikler yapıyor. WP şifrelerini değiştiriyor Yani bir index.html koymuyor. Bir şekilde databasee erişiyor. WordPressde databasee erişmek için de Wp-config.phpyi okuyabilmek gerekli. Madem Wp-config.phpyi okuyabiliyor, o zaman neden FTPye index atmıyor diye meraklanmıştım.
Bir ara Mysql üzerinde yeni bir açık mı var diye de şüphe etmedim değil, fakat bu sefer de neden Joomla serverlara girmiyor? Şeklinde uzun uzadıya bir sürü soru soruyordum kendi kendime. Sonradan bir şey daha dikkatimi çekti. Adamın girdiği serverlar tamamen WordPress serverlarıydı.
Bir ara da bir siteyi haklemiş, Zone kaydı alırken haklediği sisteme yazdığı bir cümle dikkatimi çekti
Wp-config.phpye dikkat!
Adam aslında WordPress sisteminde bir açık kullanmıyor, databaselere erişim için de bir zafiyetten yararlanmıyor. Yaptığı tek şey, WordPress bir sistemde aşağıdaki artık dosyaları deneme yanılma ile kontrol etmek!
wp-config.php~
wp-config.bak
wp-config.phpBak
wp-config.php-bak
wp-config.save
wp-config.back
wp-config.old
wp-config.html
wp-config.txt
.
Haklediği tüm sistemlerde bu dosyalar üzerinden giriyor
Eleman akıllı
Bir dosyayı değiştireceğimiz zaman ya da bir dosya içerisine yeni bir değer ekleyeceğimiz zaman bu tarz önemli dosyaların yedeklerini alırız. Özellikle de Webmaster arkadaşlar, kodlamacı kardeşlerimiz bunu sıklıkla yapar.
Amaç önemli bir dosya içerisinde bir değer değiştirmeden önce yedeğini almaktır. Sistem değişen değer yüzünden bozulursa, orjinal dosyayı yedeklediğimiz için geriye dönüş çok kolay olacaktır.
Mesela Wp-config.php içinde birkaç satırı silip, yerine yeni değerler yazmak istiyoruz. Doğal olarak sistemdeki orjinal Wp-config.phpnin bir kopyasını Wp-config.YEDEK gibi bir isimle adlandırırız. Sonra işimizi halleder yedek dosyamızı sileriz!
Demek ki yedek dosyasını işimizi bitirdikten sonra silmiyoruz.
En azından 100 kişide 2-3 kişi bu yedekleri silmiyor olabilir. Küçük bir oran olsa dahi milyonlarca WordPress kullanıcısını dikkate alırsak, bu adamın binlerce site haklemesi normal
Bu dosyaların oluşma sebebinden biri de, server üzerinde kullanmış olduğumuz nano, pico, wi gibi editörler ya da ftp üzerinden ftp programları ile editleme yaparken oluşan .bak .old gibi dosyalar olabilir. Nano, pico ve wi editörlerde varsayılan olarak böyle bir backup aldığını görmedim. Benzer editörlerden kaynaklanabilir. İncelemek lazım.
Sonuç olarak Wp-config.phpyi bizler bir şekilde düzenlerken ortaya çıkabilecek olan .bak, .save, .back, .old, .yedek, .php~ gibi artık dosyalar ya da yedek dosyalar sizi büyük bir risk altında bırakabilir.
Sunucunuzdaki Apache, .php dosyalarını yorumlarayak okur. Yani birisi Wp-config.phpyi okumak istediği zaman karşısına bu dosyayı ve şifrelerinizi çıkartmaz. Fakat uzantısı .bak, .txt, .save, .back, .old gibi dosyaları tanımadığı için varsayılan yani text olarak görüntülenmesini ya da download edilmesini sağlar. Yani bir PHP dosyanızın uzantısını .bak, .txt gibi bir formata çevirirseniz bu dosyanın içeriği alelen görüntülenecektir.
Bu sayede saldırgan sizin database user, database name ve database password değerlerini rahatlıkla görebiliyor. Bundan sonrası ise çok kolay, bir sunucuda bu tarz dosyaları gördüğünde Mysqlinize bağlanıp siteniz üzerinde istediği değişikliği yapabilir. Hatta WordPress şifrelerinizi değiştirip, panelinize de erişebilir.
Sonrası malum
Ftp programları da düzenleme yaptırıyor ama onlarda da bu tarz bir kopya alma görmedim. Şuan acaba nano, pico ya da ftp üzerinde düzenleme sırasında bağlantı koparsa bu tarz bir kopya oluşturuyor mu? Sorularını düşünmeye başladım. Sıklıkla oluşan bir durum olmasa da varsayılan olarak yedek almasalar dahi, bir bağlantı kopma sırasında bu tarz bir dosya oluşturmaları muhtemel
Ortaya çıkan durum bir açıklık değil, yalnız birçok server üzerinde bu dosyaların olduğu aşikar ve bunun farkına varan bazı akıllı elemanlar çatır çatır WordPress haking yapıyor.
Bu zeki arkadaş işi tamamen otomatize etmiş olabilir. Bu tarz dosyaları WP sistemler üzerinde arayan otomatik tool da yazılmış olabilir. Ya da en kötüsü Google Haking yapıyor olabilir. Siz siz olun, WordPress sisteminizdeki dosyalar arasında bu tarz dosyalar varsa sisteminizden silin! Yüzde bir, binde bir gibi bir olasılık dahi, dikkatli olmakta fayda var
Not:
Bu Bilgiyi Acıklarınız Örtün Diye Paylşatım.. Bu arada Bunu yapan kişi daha 19 yaşinda cocuk hakleyen Yani Biliyorsunuz Coğu Kişi Herşeyi Bildigini Zanneder Ama Bilmediginiz Cok Şey var + Acıklarınızı Bu Makeleden Yola Cıkarak Kapatın Dikkat Edilmesi Gereken Yerleride belirttim.
Alıntıdır.
Lavuk, paso WordPress hakliyor ve şimdiden bine yakın WordPress hesabı ele geçirmiş. Yerli, yabancı, eski sürüm, yeni sürüm adam için hiç fark etmiyor.
Bu işi nasıl beceriyor benim için merak konusu oldu. Sonuçta benim sistemim de bir WordPress ve bu adam önüne geleni al aşağı ediyor!
Panik yapmanıza gerek yok.
Olay bir WordPress açıklığı veya eklentilerinden kaynaklanan bir güvenlik açığı değil. Olay tamamen adamın bizlerden farklı bir bakış açısıyla, zekice düşünen bir elemanın WordPress sistemleri kötüye kullanması şeklinde
Baştan söyleyeyim, adamı tanımıyorum. Sadece haklediği sistemlere nickini yazması dikkatimi çekti. İletişimim de hiç olmadı. Gerçi Türk olduğundan da şüpheliyim ama neyse
Her seferinde index atmak yerine, adam WordPress sayfalarının son postlarına girip değişiklikler yapıyor. WP şifrelerini değiştiriyor Yani bir index.html koymuyor. Bir şekilde databasee erişiyor. WordPressde databasee erişmek için de Wp-config.phpyi okuyabilmek gerekli. Madem Wp-config.phpyi okuyabiliyor, o zaman neden FTPye index atmıyor diye meraklanmıştım.
Bir ara Mysql üzerinde yeni bir açık mı var diye de şüphe etmedim değil, fakat bu sefer de neden Joomla serverlara girmiyor? Şeklinde uzun uzadıya bir sürü soru soruyordum kendi kendime. Sonradan bir şey daha dikkatimi çekti. Adamın girdiği serverlar tamamen WordPress serverlarıydı.
Bir ara da bir siteyi haklemiş, Zone kaydı alırken haklediği sisteme yazdığı bir cümle dikkatimi çekti
Wp-config.phpye dikkat!
Adam aslında WordPress sisteminde bir açık kullanmıyor, databaselere erişim için de bir zafiyetten yararlanmıyor. Yaptığı tek şey, WordPress bir sistemde aşağıdaki artık dosyaları deneme yanılma ile kontrol etmek!
wp-config.php~
wp-config.bak
wp-config.phpBak
wp-config.php-bak
wp-config.save
wp-config.back
wp-config.old
wp-config.html
wp-config.txt
.
Haklediği tüm sistemlerde bu dosyalar üzerinden giriyor
Eleman akıllı
Bir dosyayı değiştireceğimiz zaman ya da bir dosya içerisine yeni bir değer ekleyeceğimiz zaman bu tarz önemli dosyaların yedeklerini alırız. Özellikle de Webmaster arkadaşlar, kodlamacı kardeşlerimiz bunu sıklıkla yapar.
Amaç önemli bir dosya içerisinde bir değer değiştirmeden önce yedeğini almaktır. Sistem değişen değer yüzünden bozulursa, orjinal dosyayı yedeklediğimiz için geriye dönüş çok kolay olacaktır.
Mesela Wp-config.php içinde birkaç satırı silip, yerine yeni değerler yazmak istiyoruz. Doğal olarak sistemdeki orjinal Wp-config.phpnin bir kopyasını Wp-config.YEDEK gibi bir isimle adlandırırız. Sonra işimizi halleder yedek dosyamızı sileriz!
Demek ki yedek dosyasını işimizi bitirdikten sonra silmiyoruz.
En azından 100 kişide 2-3 kişi bu yedekleri silmiyor olabilir. Küçük bir oran olsa dahi milyonlarca WordPress kullanıcısını dikkate alırsak, bu adamın binlerce site haklemesi normal
Bu dosyaların oluşma sebebinden biri de, server üzerinde kullanmış olduğumuz nano, pico, wi gibi editörler ya da ftp üzerinden ftp programları ile editleme yaparken oluşan .bak .old gibi dosyalar olabilir. Nano, pico ve wi editörlerde varsayılan olarak böyle bir backup aldığını görmedim. Benzer editörlerden kaynaklanabilir. İncelemek lazım.
Sonuç olarak Wp-config.phpyi bizler bir şekilde düzenlerken ortaya çıkabilecek olan .bak, .save, .back, .old, .yedek, .php~ gibi artık dosyalar ya da yedek dosyalar sizi büyük bir risk altında bırakabilir.
Sunucunuzdaki Apache, .php dosyalarını yorumlarayak okur. Yani birisi Wp-config.phpyi okumak istediği zaman karşısına bu dosyayı ve şifrelerinizi çıkartmaz. Fakat uzantısı .bak, .txt, .save, .back, .old gibi dosyaları tanımadığı için varsayılan yani text olarak görüntülenmesini ya da download edilmesini sağlar. Yani bir PHP dosyanızın uzantısını .bak, .txt gibi bir formata çevirirseniz bu dosyanın içeriği alelen görüntülenecektir.
Bu sayede saldırgan sizin database user, database name ve database password değerlerini rahatlıkla görebiliyor. Bundan sonrası ise çok kolay, bir sunucuda bu tarz dosyaları gördüğünde Mysqlinize bağlanıp siteniz üzerinde istediği değişikliği yapabilir. Hatta WordPress şifrelerinizi değiştirip, panelinize de erişebilir.
Sonrası malum
Ftp programları da düzenleme yaptırıyor ama onlarda da bu tarz bir kopya alma görmedim. Şuan acaba nano, pico ya da ftp üzerinde düzenleme sırasında bağlantı koparsa bu tarz bir kopya oluşturuyor mu? Sorularını düşünmeye başladım. Sıklıkla oluşan bir durum olmasa da varsayılan olarak yedek almasalar dahi, bir bağlantı kopma sırasında bu tarz bir dosya oluşturmaları muhtemel
Ortaya çıkan durum bir açıklık değil, yalnız birçok server üzerinde bu dosyaların olduğu aşikar ve bunun farkına varan bazı akıllı elemanlar çatır çatır WordPress haking yapıyor.
Bu zeki arkadaş işi tamamen otomatize etmiş olabilir. Bu tarz dosyaları WP sistemler üzerinde arayan otomatik tool da yazılmış olabilir. Ya da en kötüsü Google Haking yapıyor olabilir. Siz siz olun, WordPress sisteminizdeki dosyalar arasında bu tarz dosyalar varsa sisteminizden silin! Yüzde bir, binde bir gibi bir olasılık dahi, dikkatli olmakta fayda var
Not:
Bu Bilgiyi Acıklarınız Örtün Diye Paylşatım.. Bu arada Bunu yapan kişi daha 19 yaşinda cocuk hakleyen Yani Biliyorsunuz Coğu Kişi Herşeyi Bildigini Zanneder Ama Bilmediginiz Cok Şey var + Acıklarınızı Bu Makeleden Yola Cıkarak Kapatın Dikkat Edilmesi Gereken Yerleride belirttim.
Alıntıdır.
Moderatör tarafında düzenlendi: