Genel Saldırıların Çoğundan Korunma

phpBB güvenliği.

Genel Saldırıların Çoğundan Korunma

İleti Curtis 02.11.2005, 19:47

Sabah düşünürken böyle bir şey aklıma geldi
eğer cpanel sahibi bir hosta sahipseniz ve hotlink diye bir seçenek varsa aşağıdaki düzenlemeleri kısaca yaparak saldırıların çoğundan korunabilirsiniz
kısaca açıklarsak
Hot Link:Sitedeki sayfalara başka bir siteden ulaşılmasını engeller mesela sitenizde bir resim var a.gif diyelim bu korumayı açtığınızda bu resime başka bir site altından ulaşılamıyor dosya bulunamadı diyor yada o resmin direk yolunu explorer a yazarsanızda girmiyor girmeniz için resmin bulunduğu siteden o resime link verilmesi lazım
bu korunmayla asıl amaçlanan aslında diğer web sitelerinizin içeriğinizi kullanamaması yani bandwith inizi yememesi
ee bu olay nasıl işimize yarıyoe mesela denyo launch gibi programlara sitenin direk kayıt sayfasının linki yazılıyor

http://www.*****.com/forum/profile.php? ... greed=true
gibi ve gerekli ayarlamalar yapılınca binlerce üye eklenebiliyor ama biz bu hotlink korumasıyla bu sayfanın direkman istenmesini engelleriz ancak bu sayfa sitenin içinden kayıt linkine basıldığında istenebilir hotlink korumasını yaptığımızda

yada ünlü özel mesaj açığını ele alalım bu açık privmsg.php ile ilgili bu dosyanın sonuna gerekli sql kodları getirilerek adminin hash ine ulaşılmaktadır biz bu hotlink korumasını açarak bu sayfanın direk explorer dan istetilmesini engelleriz şimdi nasıl konfigure ediliceğini anlatim

İlk önce sitemizin cpaneline giriyoruz resimdeki gibi ana menuden hotlink'e tıklıyoruz;

Resim

Daha sonra şöyle bir menu çıkıyor;

Resim

Urls to allow access yazan yer insanların direk man istiyebilicekleri sayfa ana sayfa ve forumu yazın o kısıma
http://wildjeo.com
http://www.wildjeo.com
http://wildjeo.com/forum
http://www.wildjeo.com/forum

Bu adresleri kendi istenize göre düzenleyin eğer yazmassanız forum sayfanız index.php olduğu için korumaya maruız kalır ana sayfayı kimse açamaz bunu yazarsanız index.php açılıcaktır

extensions to allow yazan yer izin verilmeyen dosyalar bunları virgulle ayırıcak şekilde sıralayın
bmp,jpg,jpeg,php
en sonda php yazın bu dosyalar direk explorer dan istetilemiyecektir yani adam www.****.com/memberlist.php yazarsa karşısına boş bir sayfa çıkcaktır istemesi için forumdaki linkleri kullanması lazımdır

url redirect to : burası isteğe bağlı eğer adamların karşısına bir uyarı mesajı çıksın diyorsanız çok basit bir html sayfası hazırlayın serverınıza upload edin ve yolunu yazın http://www.***.com/1.htm şekl,nde yada boş bırakın

allow direct request: kutunun içi Boş Kalsın
Ve son olarak activate e basın her şey bu kadar...

Döküman Yazarı:droppy23
Kullanıcı avatarı
Curtis
Üye
Üye
 
İleti: 686
Kayıt: 06.10.2005, 06:22
Konum: İstanbul

İleti EzerchE 28.12.2005, 23:37

direk link ile dosyaların açılmasını .htaccess dosyasına hangi komutları ekleyerek engelleyebiliriz? attachment modu kullanıyorum fakat direk link ile dosyalar kolayca indirilebiliyor buna karşı nasıl korunabilirim?

çok aradım ama hiçbiri işe yaramadı denediklerim bunlar:

RewriteCond %{REQUEST_FILENAME} .*jpg$|.*gif$|.*png$|.*zip$|.*rar$[NC]
RewriteCond %{HTTP_REFERER} !domain\.com [NC]
RewriteCond %{HTTP_REFERER} !google\. [NC]
RewriteCond %{HTTP_REFERER} !search\?q=cache [NC]

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?domain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif|zip|rar)$ http://www.domain.com/logo.png [NC,R,L]

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?yourdomain.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://(www\.)?yourdomain.com.*$ [NC]
RewriteRule \.(gif|jpg)$ - [F]

hostum linux ve htaccess destekliyor.
EzerchE
Üye
Üye
 
İleti: 41
Kayıt: 05.12.2005, 20:23

İleti ozgurboard 17.01.2006, 19:59

sağol bende hotlinkin ne işe yaradığını tam olarak kavrayamamıştım.. şimdi anladım..
Kullanıcı avatarı
ozgurboard
Üye
Üye
 
İleti: 80
Kayıt: 12.10.2005, 12:38
Konum: Düzce

Cvp: Genel Saldırıların Çoğundan Korunma

İleti mattik 18.01.2006, 02:40

ayarları söylediğin gibi yaptım ancak yinede giriş yapamıyor yönlendirdiğim sayfa çıkıyor karşıma ve sadece adresi yazınca oluyor http://www.****.com gibi forum.****.com da veya www.****.com/forum yazınca olmuyor bu neden kaynaklanabilir??
Kullanıcı avatarı
mattik
Üye
Üye
 
İleti: 38
Kayıt: 12.12.2005, 23:34

İleti TheScorpion 18.01.2006, 03:18

özelmsj açığını bu şekilde kapatsak bile adam explorer a yazacağı kodu forumda bi başlığa yazıp tıklasa da olur öyle değilmi ?
Kullanıcı avatarı
TheScorpion
Üye
Üye
 
İleti: 152
Kayıt: 02.12.2005, 16:45

Cvp: Genel Saldırıların Çoğundan Korunma

İleti ostaki 05.02.2006, 22:30

vers 2.0.19 sanıyorum bunda olmuyor.çünkü aynen dediği gibi sona php,PHP Ekledim bu seferde siteye ulasılamıyor...
ostaki
Üye
Üye
 
İleti: 60
Kayıt: 15.01.2006, 06:44

İleti Kefen 25.05.2006, 19:45

aklıma direk şöyle birşey geliyor dökümanı okuduktan sonra..

pekala download a kapatıyoruz linklerimizi, eğer bu mantıkla dosya ve içeriğin indirilmesini izin vermiyorsak, şöyle bir durum olabilir mi? google bot ve diğer arama motorlarının sayfa içeriğini indexlemeside engellenmiş olmaz mı?
Kullanıcı avatarı
Kefen
Üye
Üye
 
İleti: 17
Kayıt: 02.05.2006, 01:11
Konum: İstanbul

İleti showtime_0 26.05.2006, 08:37

arama motorlarının kullandığı tarayıcıları kullansan webde gezinmekten hiçbir şey anlamazsın. (gopher'dan bile daha sıkıcı) sadece metinleri görüntülüyorlar resim yok. ayrıca arama motorları direk url girmez link takip eder ve sitendeki metinleri kendine kopyalar. yani kendi tarayıcısına senin resim dosyanın adresini girmez. (google image konusunu bilmiyorum) arama sonucunda ulaştırmak içinse ztn kendisinde bir kopyası olan sayfada arama terimini bulursa sonucu listeler.
hotlink ise örnek olarak başka bir sitedeki avatarı canverde kullanmak. ve hotlink korumasını aktif hale getirdiğinde o avatar burda kullanılmaz.
php'yi yasaklarsak sitemiz hiç görüntülenmez ki urls to allow access seçeneği bildiğim kadarıyla hotlink'in geçerli olacağı alan adları. yani phpyi yasakladığımızda sitemize nasıl erişecekler.
yazarı sen değilsin sorumu genel olarak soruyorum
Kullanıcı avatarı
showtime_0
Üye
Üye
 
İleti: 243
Kayıt: 04.05.2006, 12:07
Konum: Eskişehir


Güvenlik



Kimler çevrimiçi

Bu forumu görüntüleyenler: Kayıtlı kullanıcı yok ve 0 misafir

cron