Başka Bir Güvenlik Yolu

phpBB güvenliği.

Başka Bir Güvenlik Yolu

İleti Curtis 02.11.2005, 19:54

phpBB kendi çapında güvenli bir sistem fakat bunu daha güvenli hale nasıl getiricez anlatıcam burada


Öncelikle bunu 5 şubat 2005 tarihinde yazıyorum forumunuzu güncelleyin bu tarihte en son sürüm phpbb 2.0.11 görsel doğrulama standart oldu bunu açaak başlıyoruz

restrict guess accessbu modu kurmanızı öneririrm ziyaretçilerin izinlerini sınırlıyor kimler online sayfasına kullanıcı gruplarına arama özelliğini kullanmalarını engelliyor bunlardan herhalde en önemli yer arama özelliği
http://www.phpbbhacks.com/download/1415
çok kısa aralıklarla çok belirgin bir ünlü harfi istemek a gibi cpu nuzun şişmesine sebep olur eğer sistem kaynaklarının size ayrılan kısımından çoğunu bu yüzden kullanırsanız hesbaınız dondurulur suspend edilir

2. olay config.php nize weden ulaşılabilecek bir klasörde tutmayın public_html yada www klasörlerine webden ulaşılır bunların bir üst klasörüne koyun config.php nizi ve şu değişikliği yapın;

common.php'yi açın;

Kod: Tümünü seç
include($phpbb_root_path . 'config.'.$phpEx);


Bunu bulun
Bununla değiştirin

Kod: Tümünü seç
include($phpbb_root_path . '../config.'.$phpEx);


phpbb de ara ara çıkan xss açıkları ile saldırganlar sizin farkına varmadan bir link tıkltıp cookienizi alıp içindkei md5 hash i kırıp şifrenize ulaşmak isteyebilir bunu içinde bu modu kuruyoruz
http://www.phpbbhacks.com/download/3527
olayın mantığı şey şifrenizi girip login e bastığınız anda girdiğiniz şifrenin yanına tamamen random rastgele yani sayılar ekliyor cookienizdede bu eklenmiş sayıları içeren hash saklanıyor yani kırsalar bilr sizin şifreniz değil bu olaya custom salt denir


max session modunu kurun diyeceğim ama bgüne kadar hiç bir yararını görmeddim kurmak sizin elinizde sözde server ın overload olmasını engelliyor
oda burada
http://eski.canver.net/viewtopic.php?t=358

şimdi küçük ama etkili ve asıl önemli şeylere geldik

öncelikle powered by yazısını kaldırıyoruz yanlış anlamayın türkçesini yazıcaz onu editlemek için overal_footer.tpl yie ditlicez
Powered by phpBB yazan yeri php.B.B tarafından güçlendirilmiştir gibi bir şey yazın copyright ı silmeyin bu neyi engeller google vs. de inurl yada intitle powered by phpbb 2.0.10 diye arayanları engeller sizin forumu bulamazlar yada bu yazı yerine bir resim yapıştrabilirsiniz


en önemli değişim versiyonun silinmesi
overall_footer.tpl yi açın
'PHPBB_VERSION' yazan kısımı silin yada başına // koyun yani
// 'PHPBB_VERSION'
bu şekilde olsun yada silin işte

admin/admin_db_utilities.php i kesinlikle siliyoruz çok gereksiz zaten oradan ne veritabanı yükleyin nede yedek almaya çalışın o işlemleri phpmyadmin den hallediyoruz
eğer bir saldırgan yönetim panelinize girerse en azından yedeğini alamasın kullanıcıların şifrelerini vs. kırmak için

şimdi admin klasörünün adını değiştirin

daha sonra includes/functions.php yi açın
include($phpbb_root_path . 'admin/ yazan kısımı değiştirdiğiniz klasör adıyla değiştirin admin klasörünü ab5hjd olarak adını değiştirdiyseniz orada admin yazan yere ab5hjd yazın


daha sonra includes/page_tail.php yi açın
'ADMIN_LINK' => $admin_link yazan kısımı bulun
'ADMIN_LINK' => '' olarak değiştirin
bu neyi sağlar login olmuş yöneticinin alttaki yönetim paneli linkine tıklayarak giremesini sğalar çünkü o link yok girişi nasıl yapacak
admin klasörümünüz yeni adı ab5hjd idi forum/ab5hjd/index.php şeklinde giricek
dananın kuyruğunu kopartıyoruz o klasörü bir de şifreliyelim onu daha önce anlatmıştım

http://eski.canver.net/viewtopic.php?t=732
onunda linki üstteki neyse devam edelim

phpbb_ yi standart prefiz olarak kullanmayın sql injection saldırılarında başınızı ağrıtabilir en son phpbb 2.0.10 açığında php üzerinden shell kodu çalıştırılıp mysqldump ile yedke alınabiliyordu bunun için phpbb_ tablo yapısı bilinmesi laızmdı oda çoğumuuzn forumdunda standart phpbb_ dir şimdi onu değiştiricez

config.php yi açın değiştirmek istediğiniz tablo adını
$table_prefix = 'phpbb_' phpbb_ yazan kıısma girin tablo adı xyz14xyz_ oldun diyelim oraya girin
daha sonra

NOT :bu tablolar sadece standart hiç mod kurulmamış phpbb içindir plus a da uymaz ona kendiniz ekleme çıkarma yapabilirsiniz

phpmyadmin en bu sorguyu çalıştırın;

Kod: Tümünü seç
ALTER TABLE phpbb_auth_access      RENAME TO xyz14xyz_auth_access;
ALTER TABLE phpbb_banlist          RENAME TO xyz14xyz_banlist;
ALTER TABLE phpbb_categories       RENAME TO xyz14xyz_categories;
ALTER TABLE phpbb_config           RENAME TO xyz14xyz_config;
ALTER TABLE phpbb_confirm          RENAME TO xyz14xyz_confirm;
ALTER TABLE phpbb_disallow         RENAME TO xyz14xyz_disallow;
ALTER TABLE phpbb_forum_prune      RENAME TO xyz14xyz_forum_prune;
ALTER TABLE phpbb_forums           RENAME TO xyz14xyz_forums;
ALTER TABLE phpbb_groups           RENAME TO xyz14xyz_groups;
ALTER TABLE phpbb_posts            RENAME TO xyz14xyz_posts;
ALTER TABLE phpbb_posts_text       RENAME TO xyz14xyz_posts_text;
ALTER TABLE phpbb_privmsgs         RENAME TO xyz14xyz_privmsgs;
ALTER TABLE phpbb_privmsgs_text    RENAME TO xyz14xyz_privmsgs_text;
ALTER TABLE phpbb_ranks            RENAME TO xyz14xyz_ranks;
ALTER TABLE phpbb_search_results   RENAME TO xyz14xyz_search_results;
ALTER TABLE phpbb_search_wordlist  RENAME TO xyz14xyz_search_wordlist;
ALTER TABLE phpbb_search_wordmatch RENAME TO xyz14xyz_search_wordmatch;
ALTER TABLE phpbb_sessions         RENAME TO xyz14xyz_sessions;
ALTER TABLE phpbb_smilies          RENAME TO xyz14xyz_smilies;
ALTER TABLE phpbb_themes           RENAME TO xyz14xyz_themes;
ALTER TABLE phpbb_themes_name      RENAME TO xyz14xyz_themes_name;
ALTER TABLE phpbb_topics           RENAME TO xyz14xyz_topics;
ALTER TABLE phpbb_topics_watch     RENAME TO xyz14xyz_topics_watch;
ALTER TABLE phpbb_user_group       RENAME TO xyz14xyz_user_group;
ALTER TABLE phpbb_users            RENAME TO xyz14xyz_users;
ALTER TABLE phpbb_vote_desc        RENAME TO xyz14xyz_vote_desc;
ALTER TABLE phpbb_vote_results     RENAME TO xyz14xyz_vote_results;
ALTER TABLE phpbb_vote_voters      RENAME TO xyz14xyz_vote_voters;
ALTER TABLE phpbb_words            RENAME TO xyz14xyz_words;


bu tablolar sadece standart hiç mod kurulmamış phpbb içindir plus a da uymaz ona kendiniz ekleme çıkarma yapabilirsiniz

en son phpbb worm saldırılarından korunmak için apache ye mod_security yi kurmanızı öneririm yapamazsanız yardım edebilriim ayrıca arama motorlarını bunun için kullanana kişilerin sitenizdeki trafiği arttırmasını şöyle engelliyebilirsiniz adamın biri phpbb.com da görmüştüm 3 gb trafiğini yemiş google 2 günde bu aramalar yüzünden
.htacess dosyası oluşturun forumun ana klasöründe
bunu ekleyin içine;

Kod: Tümünü seç
RewriteCond %{QUERY_STRING} ^(.*)\%2527
RewriteRule ^.*$ http://127.0.0.1/ [R,L]


bu açığı kapamaz sadece arama motorları bu şekilde sitenizi indexliyemez

sunucunuzda neler olduğunu mu öğrenmek istiyorsun mysql ın loglamasını sağlayın
ssh yada telnet ile sunucuya bağlanın
my.cnf
dosyaısnı açın

[mysqld] yazan yerin altına şu kelimeuyi ekleyin
log-bin
daha fazla bilgi google
http://www.google.com/search?num=100&q=mysqlbinlog

kurabilirseniz siteye hotlinkide kuun böylece sql injectionları direk deniyemezler gene istediğiniz sayfaya yönlendirir döküman bitti bende bittim...

Döküman Yazarı:droppy23
Kullanıcı avatarı
Curtis
Üye
Üye
 
İleti: 686
Kayıt: 06.10.2005, 06:22
Konum: İstanbul

İleti RnBoyeR 26.12.2005, 16:21

phpbb de ara ara çıkan xss açıkları ile saldırganlar sizin farkına varmadan bir link tıkltıp cookienizi alıp içindkei md5 hash i kırıp şifrenize ulaşmak isteyebilir bunu içinde bu modu kuruyoruz
http://www.phpbbhacks.com/download/3527
olayın mantığı şey şifrenizi girip login e bastığınız anda girdiğiniz şifrenin yanına tamamen random rastgele yani sayılar ekliyor cookienizdede bu eklenmiş sayıları içeren hash saklanıyor yani kırsalar bilr sizin şifreniz değil bu olaya custom salt denir



Yahu ben bunu kurdum, gayet güzel oldu kurulumda hiç bir sorun çıkmadı. Ama ben phpBB 2.0.18 tabanlı plus 1.52 kullanıyorum. Bu yüzden portalda sağ taraftaki giriş bloğundan giriş yapılmaya çalışıldığında ;

"Yanlış ya da aktive edilmemiş bir kullanıcı adı yazdınız" uyarısını veriyor.

Ancak yukarı menüdeki •Giriş linkine tıklayıp giriş sayfasına gittiğimde şifremin arkasına rastgele sayılar ekleyip [Hash e çevirip] kabul ediyor. Bu olayı portalda da yapması için nasıl bir değişiklik yapmalıyım ? Aksi taktirde o blok işlevselliğini kaybedecek ve ben bunu istemediğim için modu kaldırmak zorunda kalacağım.

Bir çözümü varsa yardım istiyorum. Şimdiden Teşekkürler.
RnBoyeR
Üye
Üye
 
İleti: 29
Kayıt: 12.11.2005, 10:52

İleti k@os 03.05.2006, 23:39

portal body tpl de aynı işlemi yap yani

bul :

<form method="post" action="{S_LOGIN_ACTION}">

bununla değiştir :

<script type="text/javascript" src="javascript/md5.js"></script>
<form method="post" action="{S_LOGIN_ACTION}" onsubmit="this.password.value=hex_md5(this.password.value)">
Kullanıcı avatarı
k@os
Üye
Üye
 
İleti: 36
Kayıt: 14.11.2005, 14:29

İleti Asterix 04.05.2006, 13:16

güzel makale ama uraş istiyo :(
Kullanıcı avatarı
Asterix
Üye
Üye
 
İleti: 44
Kayıt: 12.04.2006, 18:50
Konum: İstanbul

İleti velociraptor 20.02.2007, 23:50

2. olay config.php nize weden ulaşılabilecek bir klasörde tutmayın public_html yada www klasörlerine webden ulaşılır bunların bir üst klasörüne koyun


bu sekilde yaparsaniz forumunuz sadece calismaz hale gelir , bunu deneyerekmi yazdiniz=? , sadece belirtilen klasörlerde ise webden ulasim vardir , zaaten forum acmanin amaci insanlarin webden foruma ulasmalaridir , ben mi birseyleri yanlis biliyorum acaba
Kullanıcı avatarı
velociraptor
Üye
Üye
 
İleti: 130
Kayıt: 26.11.2005, 01:35

İleti mazlum 21.02.2007, 08:55

velociraptor yazdı:
2. olay config.php nize weden ulaşılabilecek bir klasörde tutmayın public_html yada www klasörlerine webden ulaşılır bunların bir üst klasörüne koyun


bu sekilde yaparsaniz forumunuz sadece calismaz hale gelir , bunu deneyerekmi yazdiniz=? , sadece belirtilen klasörlerde ise webden ulasim vardir , zaaten forum acmanin amaci insanlarin webden foruma ulasmalaridir , ben mi birseyleri yanlis biliyorum acaba


evet yanlış biliyorsun. ben söyleyeyim çalışma prensibini.. örneğin senin www.siteadi.com diye siten var ana dizine phpbb yi kurdun o zaman config dosyayının dizini www.siteadi.com/config.php şeklinde olur ama sen config dosyasını site adresini yazıpta ulaşılamayacak bir dizine atarsan site adresinden doğru ulaşılamaz dosya pekii yerini değiştirdik ama forum nerden bilcek dosyayı diyorsundur. vereyim cevabı değiştirdikten sonra forum dizinine config.php diye bir dosya oluşturacan içine örneğin include($phpbb_root_path . '../config.'.$phpEx); yazacaksın o zaman eski config dosyanı görür forum ama site adresinden eski dosyana ulaşamazlar. yeni config dosyasına ulaşırlar oda bi işlerine yaramaz.

bu yöntem denedi ve güvenilir..
mazlum
Üye
Üye
 
İleti: 312
Kayıt: 04.05.2006, 16:51
Konum: Zonguldak

İleti

ALEXIS
21.02.2007, 11:53

Bir de, plesk panel kullanan bazı host'ların htdocs2un üst seviyesine yazma izinleri yok maalesef.
Kullanıcı avatarı
ALEXIS
Site Yöneticisi
Site Yöneticisi
 
İleti: 2563
Kayıt: 30.06.2005, 09:08

İleti velociraptor 21.02.2007, 16:27

angelside yazdı:Bir de, plesk panel kullanan bazı host'ların htdocs2un üst seviyesine yazma izinleri yok maalesef.

Sanirim bendeki bundan
Kullanıcı avatarı
velociraptor
Üye
Üye
 
İleti: 130
Kayıt: 26.11.2005, 01:35

Cvp: Başka Bir Güvenlik Yolu

İleti wolf 11.03.2007, 14:52

Bu yönetemle config.php nin adınıda değiştirelebilir demi gizlemek adına.
wolf
Üye
Üye
 
İleti: 11
Kayıt: 03.02.2007, 00:17

Cvp: Başka Bir Güvenlik Yolu

İleti yeniaykarama 11.03.2007, 18:21

http://www.google.com/search?num=100&q=mysqlbinlog

kurabilirseniz siteye hotlinkide kuun böylece sql injectionları direk deniyemezler gene istediğiniz sayfaya yönlendirir döküman bitti bende bittim...demiş arkadaş makalede

bu nasıl kurulacak ben bulamadım biri anlatabilirmi bu bir modmudur nedir ne değildir tam anlamıyla bir açıklama gelirse sevinirim..
bilgin olmak için bize gelin mutlaka olusunuz www.bilginlerboard.com
yeniaykarama
Üye
Üye
 
İleti: 49
Kayıt: 15.01.2007, 04:28


Güvenlik



Kimler çevrimiçi

Bu forumu görüntüleyenler: Kayıtlı kullanıcı yok ve 0 misafir

cron