2 sayfadan 1. sayfa

phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 06.01.2007, 07:57
ALEXIS
Kendi siteleri (phpbb-tweaks.com) şu an kapalı ve 1.0.2 den sonra 1.0.3 çıkmıştı, ufak bir değişik ile.



phpBB Security 1.0.3 dosyası

phpBB Security 1.0.3 Türkçe dil dosyası


Başlıktada belirtildiği gibi phpbb güvenlik modülü phpbb forumunuzu daha güvenli bir hale getirmektedir böylece hacklenme riskinizi minumum a düşürmektedir

Özellikleri

1. Veritabanı yedekleme scripti sayesinde günlük yedekleriniz belirlediğiniz bir klasörde saklanabilir.

2. Forumdan uzaklaştırılan kullanıcıların ip numaralarını kolayca arayabilmek ve daha detaylı bilgilere ulaşabilmek için geliştirilmiş arama arayüzü.

3. 3 Dereceli DDoS saldırı koruması eklenmiştir.

4. allow_url_fopen fonksiyonu kontrolü forumda meydana gelebilecek bir güvenlik açığını kullanarak başka bir sitedeki bir dosyayı include etmelerini engellemektedir.

5. Kullanıcı profillerine gizli soru ve cevabı eklenmiştir böylece yanlış girişlerle hesabı bloke edilen kişi bu soruya cevap vererek hesabı açabilmektedir yada şifresini resetlemek isteyen kişi aynı şekilde bu soruya cevap vermek zorundadır bu sorunun cevabı veritabanında düz metin olarak saklanmaz md5 hash şeklinde saklanmaktadır.

6. Yönetici ve moderatör koruması getirilmiştir örneğin menulerden forumda yönetici sayısını 1 olarak ayarlarsanız hiç bir şekilde bir yönetici yada moderatör daha foruma eklenemiyecektir sql injection saldırılarına karşı bire bir.

7. Belirli tarayıcıları kullanan kişileri forumdan uzaklaştırma yetkisi örnek internet explorer gibi.

8. Belirli bir siteden gelen kullanıcıları forumdan uzaklaştırabilme yeteneği örnel yahoo.com gibi.

9. Cookie kontrol özelliği kullanıcılar tarafından değiştirilen cookieleri belirleyip geçersiz sayabilme yeteneği.

10. Yöneticiye hesabı kilitlenene kişiler hakkında email yada özel meesaj atabilme özelliği

11. fopen(),fwrite(),system() özelliklerini kontrol atında tutma kullanmaya çalışanları forumdan uzaklaştırma.

12. DDoS, Clike, UNION & SQL Injection saldırılarını anlayıp bu saldırı girişiminde bulunanları forumdan uzaklaştırma.

13. phpbb_sessions tablosunu bir limit altında tutarakt ablonun dolup error_creating new sessions hatasını almanızı engellemesi.

14. Admin klasörünü .htaccess ile şifreleyerek yönetici olarak yönetim paneline girmek istiyen birinin ekstra bir kullanıcı adı ve şifresi girmesini sağlaması.



Kurulum aşamaları

1. Modun zip dosyasını açtıktan sonra root klasöründeki bütün dosya ve klasörleri forum ana klasörünüze atıyorsunuz forum ana klasörü dediğim yer config.php nin bulunduğu dizin
language klasörü içindeki dil dosyası için biizm dil dosyamızıda kullanabilirsiniz tamamen türkçe olur

2. install klasöründeki içindeki installer.php dosyasını config.php nin bulunduğu yere yani forum ana klasörüne atıyorsunuz forumunuza yönetici olarak giriş yaptıktan sonra www.sitenizinadi.com/forumunuz/installer.php olarak çalıştırıyorsunuz ve karşınıza gelen ekranda şunları yapıyoruz:


Choose an admin config name yazan kısımın altına


admins_allowed yazın

Choose a mod config name yazan kısıma

mods_allowed yazın

Choose a disable config name yazan kısıma

block_unwanted yazın ve alttaki submit tuşuna basın şimdi karşınıza bir menu gelicek, aşağıdaki değişiklikleri yapmazsanız yönetici hesaplarını koruma özelliği çalışmayacaktır

includes klasörü içindeki phpbb_security.php dosyasını açın


Kod: Tümünü seç
return 'phpBBSecurity_max_admins';
kısmını bulun aşağıdaki ile değiştirin

Kod: Tümünü seç
return 'admins_allowed';


Kod: Tümünü seç
return 'phpBBSecurity_max_mods';
kısmını bulun aşağıdaki ile değiştirin

Kod: Tümünü seç
return 'mods_allowed';


Kod: Tümünü seç
return 'phpBBSecurity_use_max';
kısmını bulun aşağıdaki ile değiştirin

Kod: Tümünü seç
return 'block_unwanted';
dosyayı kaydedip çıkın ve installer.php yi silin şimdi yapmanız gereken kod değişikliği modun içindeki install.txt de bulabileceğiniz gibi ekteki dosyadada vereceğim


Son kısım admin klasörünün .htaccess ile şifrelenmesi

modun içindeki :file: rename.phpbbsecurity dosyasını notepad ile açın

http://www.perlscriptsjavascripts.com/perl/htreg/ bu adrese giderek admin paneli için koyacağınız şifreyi kutucuğa yazn ve encrypt tuşuna basın o sizin belirlediğiniz şifreyi unix tarzı şifreliyecektir benimkinin çıktısı
bu ew/osnPjNhhvg birde aklımıızdan kullanıcı adını belirledik diyelim dropby23 olsun notepad ile açtığımız rename.phpbbsecurity dosyasının içine şu formatta belirlediğimiz kullanıcı adı ve şifresini yazıyoruz dropby23:ew/osnPjNhhvg kullanıcı adı ve şifresini 2 nokta işareti ayırıyor ve bu dosyanın adını :file: .phpbbsecurity olarak değiştirip :folder: public_html/ klasörünüzün içine atıyoruz

şimdi :file: rename2.htaccess dosyasını da notepad ile açıyoruz içinde aşağıdaki kod yoksa ekleyin varsa ellemeden çıkın
[syntax="apache"]<Files .phpbbsecurity>
deny from all
</Files>[/syntax]
bu dosyayı da :folder: public_html/ klasörüne attıktan sonra adını :file: .htaccess olarak değiştiriyoruz.

şimdi :file: rename.htaccess dosyasını açın eğer aşağıdaki kod yoksa ekleyin varsa ellemeyin:

[syntax="apache"]require valid-user

AuthType Basic

AuthName "phpBB Security"

AuthUserFile "/home/{USERNAME}/public_html/.phpbbsecurity"[/syntax]
{USERNAME} kısmına kullanıcı adınızı yazıyorsunuz mesela cpanel için girdiğiniz kullanıcı adı neyse oraya onu yazıyorsunuz benimki dropby23 şifremde 123456 diyelim oraya sadece dropby23 yazıyoruz ve görünümü şu şekilde oluyor

[syntax="apache"]AuthUserFile "/home/dropby23/public_html/.phpbbsecurity"[/syntax]
bu kullanıcı adını yukarıda belirlediğimiz kullanıcı adı ve şifresiyle karıştırmayın burdaki kullanıcı adı yönetim panelinizdeki kullanıcı adıdır bu dosyayıda :folder: /forum/admin/ klasörüne atıyoruz ve adını :file: .htaccess olarak değiştiriyoruz böylece artık admin klasörüde şifre ile korunmaktadır modun kurulum işlemleri bitmiştir aklınıza takılan her kısmı sorabilirsiniz.

İletiTarih: 06.01.2007, 09:03
sabri ünal
bunun yedekleme mekanizmasını bugün baktım, öcceden çözememiştim...

Kod: Tümünü seç
system("/usr/bin/mysqldump -u". $dbuser ." -p". $dbpasswd ." -h ". $dbhost ." ". $dbname ." > ". (($_SERVER['DOCUMENT_ROOT']) ? $_SERVER['DOCUMENT_ROOT'] : $HTTP_SERVER_VARS['DOCUMENT_ROOT']) . $board_config['script_path'] . $backup_folder ."/". $backup_file  ."-". date('Y-m-d') .".sql", $fp);
         
if ($fp == 0)
$msg = 'Your Daily Database Backup Was Completed.';
else
$msg = 'Your Daily Database Backup Failed.';


bu kadar hatta sondaki mesaj kısmı fazla bile :) artık bunu uygun bir yere monte edip otomatik mesaj yedek alabiliriz, ben diyorum ki version cache modunun içine gömelim ve günde bir defa yedek alsın veya ustam senin yaptığın belli sürede dosya kontrol mekanizmasını da ekleyip sitenin constant.php sinden yedeği kendisi alsın ? bu siteyi yavaşlatmıyor onu da söylim, adam script yerine shell ile yedek almayı tercih ediyor :)

İletiTarih: 06.01.2007, 09:13
ALEXIS
system() fonksiyonu çoğu host'ta çalışmaz bence. Engellenen fonksiyonlar arasında ilk sıralarda çünkü.

İletiTarih: 06.01.2007, 17:37
asdf29
önceki sürümlerde ctracker ile bunun çalışabilmesi için fix yapılması gerekiyordu peki ctracker in 5. sürümleri ile bunun arasında nasıl bir fix olacak.. tabi olacaksa..

İletiTarih: 07.01.2007, 03:37
Holy
*kodlar silindi*

abi bu ne yaa bu kurulmaz

bunun kurulumu ölüm

bide ingilizce zaten fazla anlayamıyoruz :S

İletiTarih: 08.01.2007, 20:42
Simuzer
Alexis yukarıya bi açıklama yazmış sanırım, okumakta fayda var.

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 03.02.2007, 00:29
eseryucel
modun içindeki dosya rename.phpbbsecurity dosyasını notepad ile açın demişsin ama rar dosyasının içinde öyle bir dosya bulamadım dostum

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 03.02.2007, 09:58
Simuzer
Bu dosyanın içeriğine ne yazılması gerektiği yukarıda, ilk mesajda yazmaktadır. Dosya içerisinde yok, çünkü muhtemelen, sizin phpBB dizininde böyle bir dosya vardır. Bu dosyayı kaybetmemek için, o dosyayı açıp düzenliyoruz. Eğer yoksa, aynı isimle notpad ile bu dosyayı oluşturabilir.

İletiTarih: 04.02.2007, 00:47
yaso19
sabri ünal yazdı:bunun yedekleme mekanizmasını bugün baktım, öcceden çözememiştim...

Kod: Tümünü seç
system("/usr/bin/mysqldump -u". $dbuser ." -p". $dbpasswd ." -h ". $dbhost ." ". $dbname ." > ". (($_SERVER['DOCUMENT_ROOT']) ? $_SERVER['DOCUMENT_ROOT'] : $HTTP_SERVER_VARS['DOCUMENT_ROOT']) . $board_config['script_path'] . $backup_folder ."/". $backup_file  ."-". date('Y-m-d') .".sql", $fp);
         
if ($fp == 0)
$msg = 'Your Daily Database Backup Was Completed.';
else
$msg = 'Your Daily Database Backup Failed.';


bu kadar hatta sondaki mesaj kısmı fazla bile :) artık bunu uygun bir yere monte edip otomatik mesaj yedek alabiliriz, ben diyorum ki version cache modunun içine gömelim ve günde bir defa yedek alsın veya ustam senin yaptığın belli sürede dosya kontrol mekanizmasını da ekleyip sitenin constant.php sinden yedeği kendisi alsın ? bu siteyi yavaşlatmıyor onu da söylim, adam script yerine shell ile yedek almayı tercih ediyor :)


safe_mod:on ise çalışma imkanı olmuyor yani.. bende diyodum bu niye hiç yedek almayı beceremiyo diye :) bu konuda yazarla görüşülmesi lasım, 2 seçenek sunabilir script mi shell mi diye.. yada direk scripti tercih edebilir.. ama böyle dewam ederse safe_mod:on olan sunucularda çalışmıcağı kesin.

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 05.02.2007, 11:43
wolf
phpbb_security.php dosyasının içindeki kodları bulamadım.

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 05.02.2007, 13:39
Simuzer
eseryucel yazdı:modun içindeki dosya rename.phpbbsecurity dosyasını notepad ile açın demişsin ama rar dosyasının içinde öyle bir dosya bulamadım dostum

İletiTarih: 19.02.2007, 03:32
yeniaykarama
page_header.php dosyası hariç bütün dosyaların kodlamasını yaptım bu dosyaya kod koymamamın sebebi açılışta güvenlik sorusu cevabı istemesi buna kodlama yapmayınca o soruları sormuyor profiline yada kayıt olurken kayıt alanına dolduruyorsun kabul ediyor şimdi benim sorunum ben bu dosyaya bu kodlamayı koymadım ama kayıt olurken formu doldurup gönder dediğimizde beyaz bir sayfa çıkıyor ama aktifleştirme maili gidiyor ve kayıt oluyorsunuz yani işleyiş devam ediyor ama kaydınız yapıldı foruma dönmek için buraya tıklayın yazısı çıkmıyor buna nasıl bir çare bulabiliriz sizden yardım bekliyorum...teşekkürler ..

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 24.03.2007, 02:21
Holy
iyide ben phpbb 2.0.22 kulanıyorum ve hostumda .htaccess diye bir dosya göremiyorum :S nerde bu dosya ayrıca .htaccess yüzünden seo da kuramıyorum . 2003 server kullanıyorum :S

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 26.03.2007, 19:22
erhanby
eğer windows serversa zaten htacess gözükmez...

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 03.04.2007, 12:11
Hakmer
angelside yazdı:2. install klasöründeki içindeki installer.php dosyasını config.php nin bulunduğu yere yani forum ana klasörüne atıyorsunuz forumunuza yönetici olarak giriş yaptıktan sonra www.sitenizinadi.com/forumunuz/installer.php olarak çalıştırıyorsunuz ve karşınıza gelen ekranda şunları yapıyoruz:


Choose an admin config name yazan kısımın altına


admins_allowed yazın

Choose a mod config name yazan kısıma

mods_allowed yazın

Choose a disable config name yazan kısıma

block_unwanted yazın ve alttaki submit tuşuna basın şimdi karşınıza bir menu gelicek, aşağıdaki değişiklikleri yapmazsanız yönetici hesaplarını koruma özelliği çalışmayacaktır

includes klasörü içindeki phpbb_security.php dosyasını açın


Kod: Tümünü seç
return 'phpBBSecurity_max_admins';
kısmını bulun aşağıdaki ile değiştirin

Kod: Tümünü seç
return 'admins_allowed';


Kod: Tümünü seç
return 'phpBBSecurity_max_mods';
kısmını bulun aşağıdaki ile değiştirin

Kod: Tümünü seç
return 'mods_allowed';


Kod: Tümünü seç
return 'phpBBSecurity_use_max';
kısmını bulun aşağıdaki ile değiştirin

Kod: Tümünü seç
return 'block_unwanted';
dosyayı kaydedip çıkın ve installer.php yi silin şimdi yapmanız gereken kod değişikliği modun içindeki install.txt de bulabileceğiniz gibi ekteki dosyadada vereceğim


Bu bilgileri uygulamaya geçtiğimizde benzer isimler bulamamaktayız. Mesela yukarıdaki kod'ları bulun ve değiştirin deniyor, aradığımızda ise bulunmamakta. Bu sorunu nasıl çözebiliriz? Kullandığım Phpbb2 dir, herşeyi yeni update yaptım ve forum admin ana sayfasında ise "Yüklemeniz şu anda güncel, kullandığınız phpBB sürümü için herhangi bir güncelleme yok." diyor.

Burada benmi yanlışlık yapıyorum? Ve ya anlatılan başka bir Forum içinmi?

Re: phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 23.05.2007, 12:57
turkdost
valla kodları degiştirin diyorsunuz ama kodlar yokki acaba başka bi dosyadamı degişiklik yapılacak ?

Re: phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 04.07.2007, 14:01
TaunMilitary
Arkadaşlar bu günlerde başım "lamer"lerle dertte. Ve bunu kurmak istiyorum. Ama Türkçe dil dosyası mefta olmuş.
CrackerTracker kur diyenler olabilir ama o çok problemli bir sistem ve çok sorun çıkartıyor. Onun kurulumunu tekrar kaldırdım. Bana sadece cookilerle oynayıp admin panaline girmeyi engellemesi yeterli olacak. O kadar büyük korumalara gerek yok.

Türkçe dil dosyasını tekrar yükleyecek arkadaş olursa şimdiden teşekkür ediyorum.
Esen kalın.

*** Düzeltme ***
Pardon arkadaşlar içinde zaten Türkçe dil paketi mevcutmuş hemen kuruyorum emeği geçenlerden Yaradan razı olsun.
Esen kalın.

Re: phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 27.08.2007, 22:01
erhanby
Bana sadece cookilerle oynayıp admin panaline girmeyi engellemesi yeterli olacak.


admin paneline ek şifre koysan nasıl olur...

Re: phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 28.09.2007, 20:22
muhakara
admin panele ek şifre koymak nasıl oluyor?

Re: phpBB güvenlik modülü (phpBB Security 1.0.3)

İletiTarih: 20.02.2008, 16:44
EFE03
ctracker 5.0.6 var. ve phpbb 2.0.23 buna gerek varmı