phpBB güvenlik modülü (phpBB Security 1.0.3)

phpBB güvenliği.

phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti

ALEXIS
06.01.2007, 07:57

Kendi siteleri (phpbb-tweaks.com) şu an kapalı ve 1.0.2 den sonra 1.0.3 çıkmıştı, ufak bir değişik ile.



phpBB Security 1.0.3 dosyası

phpBB Security 1.0.3 Türkçe dil dosyası


Başlıktada belirtildiği gibi phpbb güvenlik modülü phpbb forumunuzu daha güvenli bir hale getirmektedir böylece hacklenme riskinizi minumum a düşürmektedir

Özellikleri

1. Veritabanı yedekleme scripti sayesinde günlük yedekleriniz belirlediğiniz bir klasörde saklanabilir.

2. Forumdan uzaklaştırılan kullanıcıların ip numaralarını kolayca arayabilmek ve daha detaylı bilgilere ulaşabilmek için geliştirilmiş arama arayüzü.

3. 3 Dereceli DDoS saldırı koruması eklenmiştir.

4. allow_url_fopen fonksiyonu kontrolü forumda meydana gelebilecek bir güvenlik açığını kullanarak başka bir sitedeki bir dosyayı include etmelerini engellemektedir.

5. Kullanıcı profillerine gizli soru ve cevabı eklenmiştir böylece yanlış girişlerle hesabı bloke edilen kişi bu soruya cevap vererek hesabı açabilmektedir yada şifresini resetlemek isteyen kişi aynı şekilde bu soruya cevap vermek zorundadır bu sorunun cevabı veritabanında düz metin olarak saklanmaz md5 hash şeklinde saklanmaktadır.

6. Yönetici ve moderatör koruması getirilmiştir örneğin menulerden forumda yönetici sayısını 1 olarak ayarlarsanız hiç bir şekilde bir yönetici yada moderatör daha foruma eklenemiyecektir sql injection saldırılarına karşı bire bir.

7. Belirli tarayıcıları kullanan kişileri forumdan uzaklaştırma yetkisi örnek internet explorer gibi.

8. Belirli bir siteden gelen kullanıcıları forumdan uzaklaştırabilme yeteneği örnel yahoo.com gibi.

9. Cookie kontrol özelliği kullanıcılar tarafından değiştirilen cookieleri belirleyip geçersiz sayabilme yeteneği.

10. Yöneticiye hesabı kilitlenene kişiler hakkında email yada özel meesaj atabilme özelliği

11. fopen(),fwrite(),system() özelliklerini kontrol atında tutma kullanmaya çalışanları forumdan uzaklaştırma.

12. DDoS, Clike, UNION & SQL Injection saldırılarını anlayıp bu saldırı girişiminde bulunanları forumdan uzaklaştırma.

13. phpbb_sessions tablosunu bir limit altında tutarakt ablonun dolup error_creating new sessions hatasını almanızı engellemesi.

14. Admin klasörünü .htaccess ile şifreleyerek yönetici olarak yönetim paneline girmek istiyen birinin ekstra bir kullanıcı adı ve şifresi girmesini sağlaması.



Kurulum aşamaları

1. Modun zip dosyasını açtıktan sonra root klasöründeki bütün dosya ve klasörleri forum ana klasörünüze atıyorsunuz forum ana klasörü dediğim yer config.php nin bulunduğu dizin
language klasörü içindeki dil dosyası için biizm dil dosyamızıda kullanabilirsiniz tamamen türkçe olur

2. install klasöründeki içindeki installer.php dosyasını config.php nin bulunduğu yere yani forum ana klasörüne atıyorsunuz forumunuza yönetici olarak giriş yaptıktan sonra www.sitenizinadi.com/forumunuz/installer.php olarak çalıştırıyorsunuz ve karşınıza gelen ekranda şunları yapıyoruz:


Choose an admin config name yazan kısımın altına


admins_allowed yazın

Choose a mod config name yazan kısıma

mods_allowed yazın

Choose a disable config name yazan kısıma

block_unwanted yazın ve alttaki submit tuşuna basın şimdi karşınıza bir menu gelicek, aşağıdaki değişiklikleri yapmazsanız yönetici hesaplarını koruma özelliği çalışmayacaktır

includes klasörü içindeki phpbb_security.php dosyasını açın


Kod: Tümünü seç
return 'phpBBSecurity_max_admins';
kısmını bulun aşağıdaki ile değiştirin

Kod: Tümünü seç
return 'admins_allowed';


Kod: Tümünü seç
return 'phpBBSecurity_max_mods';
kısmını bulun aşağıdaki ile değiştirin

Kod: Tümünü seç
return 'mods_allowed';


Kod: Tümünü seç
return 'phpBBSecurity_use_max';
kısmını bulun aşağıdaki ile değiştirin

Kod: Tümünü seç
return 'block_unwanted';
dosyayı kaydedip çıkın ve installer.php yi silin şimdi yapmanız gereken kod değişikliği modun içindeki install.txt de bulabileceğiniz gibi ekteki dosyadada vereceğim


Son kısım admin klasörünün .htaccess ile şifrelenmesi

modun içindeki :file: rename.phpbbsecurity dosyasını notepad ile açın

http://www.perlscriptsjavascripts.com/perl/htreg/ bu adrese giderek admin paneli için koyacağınız şifreyi kutucuğa yazn ve encrypt tuşuna basın o sizin belirlediğiniz şifreyi unix tarzı şifreliyecektir benimkinin çıktısı
bu ew/osnPjNhhvg birde aklımıızdan kullanıcı adını belirledik diyelim dropby23 olsun notepad ile açtığımız rename.phpbbsecurity dosyasının içine şu formatta belirlediğimiz kullanıcı adı ve şifresini yazıyoruz dropby23:ew/osnPjNhhvg kullanıcı adı ve şifresini 2 nokta işareti ayırıyor ve bu dosyanın adını :file: .phpbbsecurity olarak değiştirip :folder: public_html/ klasörünüzün içine atıyoruz

şimdi :file: rename2.htaccess dosyasını da notepad ile açıyoruz içinde aşağıdaki kod yoksa ekleyin varsa ellemeden çıkın
[syntax="apache"]<Files .phpbbsecurity>
deny from all
</Files>[/syntax]
bu dosyayı da :folder: public_html/ klasörüne attıktan sonra adını :file: .htaccess olarak değiştiriyoruz.

şimdi :file: rename.htaccess dosyasını açın eğer aşağıdaki kod yoksa ekleyin varsa ellemeyin:

[syntax="apache"]require valid-user

AuthType Basic

AuthName "phpBB Security"

AuthUserFile "/home/{USERNAME}/public_html/.phpbbsecurity"[/syntax]
{USERNAME} kısmına kullanıcı adınızı yazıyorsunuz mesela cpanel için girdiğiniz kullanıcı adı neyse oraya onu yazıyorsunuz benimki dropby23 şifremde 123456 diyelim oraya sadece dropby23 yazıyoruz ve görünümü şu şekilde oluyor

[syntax="apache"]AuthUserFile "/home/dropby23/public_html/.phpbbsecurity"[/syntax]
bu kullanıcı adını yukarıda belirlediğimiz kullanıcı adı ve şifresiyle karıştırmayın burdaki kullanıcı adı yönetim panelinizdeki kullanıcı adıdır bu dosyayıda :folder: /forum/admin/ klasörüne atıyoruz ve adını :file: .htaccess olarak değiştiriyoruz böylece artık admin klasörüde şifre ile korunmaktadır modun kurulum işlemleri bitmiştir aklınıza takılan her kısmı sorabilirsiniz.
Eklentiler
phpBB Security [1.0.3].rar
phpBB Security 1.0.3
(47.65 KiB) 1629 defa indirildi
Kullanıcı avatarı
ALEXIS
Site Yöneticisi
Site Yöneticisi
 
İleti: 2563
Kayıt: 30.06.2005, 09:08

İleti sabri ünal 06.01.2007, 09:03

bunun yedekleme mekanizmasını bugün baktım, öcceden çözememiştim...

Kod: Tümünü seç
system("/usr/bin/mysqldump -u". $dbuser ." -p". $dbpasswd ." -h ". $dbhost ." ". $dbname ." > ". (($_SERVER['DOCUMENT_ROOT']) ? $_SERVER['DOCUMENT_ROOT'] : $HTTP_SERVER_VARS['DOCUMENT_ROOT']) . $board_config['script_path'] . $backup_folder ."/". $backup_file  ."-". date('Y-m-d') .".sql", $fp);
         
if ($fp == 0)
$msg = 'Your Daily Database Backup Was Completed.';
else
$msg = 'Your Daily Database Backup Failed.';


bu kadar hatta sondaki mesaj kısmı fazla bile :) artık bunu uygun bir yere monte edip otomatik mesaj yedek alabiliriz, ben diyorum ki version cache modunun içine gömelim ve günde bir defa yedek alsın veya ustam senin yaptığın belli sürede dosya kontrol mekanizmasını da ekleyip sitenin constant.php sinden yedeği kendisi alsın ? bu siteyi yavaşlatmıyor onu da söylim, adam script yerine shell ile yedek almayı tercih ediyor :)
Mutluyum, biraz komedi takılıyorum! sakın kızmayın yakında geçer, sebebini ben de bilmiyorum! yeni bir aşk da bulmuş değilim!
Kullanıcı avatarı
sabri ünal
Üye
Üye
 
İleti: 1325
Kayıt: 27.10.2005, 15:49
Konum: İstanbul

İleti

ALEXIS
06.01.2007, 09:13

system() fonksiyonu çoğu host'ta çalışmaz bence. Engellenen fonksiyonlar arasında ilk sıralarda çünkü.
Kullanıcı avatarı
ALEXIS
Site Yöneticisi
Site Yöneticisi
 
İleti: 2563
Kayıt: 30.06.2005, 09:08

İleti asdf29 06.01.2007, 17:37

önceki sürümlerde ctracker ile bunun çalışabilmesi için fix yapılması gerekiyordu peki ctracker in 5. sürümleri ile bunun arasında nasıl bir fix olacak.. tabi olacaksa..
Kullanıcı avatarı
asdf29
Üye
Üye
 
İleti: 206
Kayıt: 24.03.2006, 15:05

İleti Holy 07.01.2007, 03:37

*kodlar silindi*

abi bu ne yaa bu kurulmaz

bunun kurulumu ölüm

bide ingilizce zaten fazla anlayamıyoruz :S
Holy
Üye
Üye
 
İleti: 53
Kayıt: 28.01.2006, 18:37

İleti Simuzer 08.01.2007, 20:42

Alexis yukarıya bi açıklama yazmış sanırım, okumakta fayda var.
Kullanıcı avatarı
Simuzer
Geliştirme Grubu
Geliştirme Grubu
 
İleti: 669
Kayıt: 09.11.2005, 09:34
Konum: İstanbul

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti eseryucel 03.02.2007, 00:29

modun içindeki dosya rename.phpbbsecurity dosyasını notepad ile açın demişsin ama rar dosyasının içinde öyle bir dosya bulamadım dostum
eseryucel
Üye
Üye
 
İleti: 3
Kayıt: 15.12.2005, 14:16

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti Simuzer 03.02.2007, 09:58

Bu dosyanın içeriğine ne yazılması gerektiği yukarıda, ilk mesajda yazmaktadır. Dosya içerisinde yok, çünkü muhtemelen, sizin phpBB dizininde böyle bir dosya vardır. Bu dosyayı kaybetmemek için, o dosyayı açıp düzenliyoruz. Eğer yoksa, aynı isimle notpad ile bu dosyayı oluşturabilir.
Kullanıcı avatarı
Simuzer
Geliştirme Grubu
Geliştirme Grubu
 
İleti: 669
Kayıt: 09.11.2005, 09:34
Konum: İstanbul

İleti yaso19 04.02.2007, 00:47

sabri ünal yazdı:bunun yedekleme mekanizmasını bugün baktım, öcceden çözememiştim...

Kod: Tümünü seç
system("/usr/bin/mysqldump -u". $dbuser ." -p". $dbpasswd ." -h ". $dbhost ." ". $dbname ." > ". (($_SERVER['DOCUMENT_ROOT']) ? $_SERVER['DOCUMENT_ROOT'] : $HTTP_SERVER_VARS['DOCUMENT_ROOT']) . $board_config['script_path'] . $backup_folder ."/". $backup_file  ."-". date('Y-m-d') .".sql", $fp);
         
if ($fp == 0)
$msg = 'Your Daily Database Backup Was Completed.';
else
$msg = 'Your Daily Database Backup Failed.';


bu kadar hatta sondaki mesaj kısmı fazla bile :) artık bunu uygun bir yere monte edip otomatik mesaj yedek alabiliriz, ben diyorum ki version cache modunun içine gömelim ve günde bir defa yedek alsın veya ustam senin yaptığın belli sürede dosya kontrol mekanizmasını da ekleyip sitenin constant.php sinden yedeği kendisi alsın ? bu siteyi yavaşlatmıyor onu da söylim, adam script yerine shell ile yedek almayı tercih ediyor :)


safe_mod:on ise çalışma imkanı olmuyor yani.. bende diyodum bu niye hiç yedek almayı beceremiyo diye :) bu konuda yazarla görüşülmesi lasım, 2 seçenek sunabilir script mi shell mi diye.. yada direk scripti tercih edebilir.. ama böyle dewam ederse safe_mod:on olan sunucularda çalışmıcağı kesin.
Kullanıcı avatarı
yaso19
Üye
Üye
 
İleti: 531
Kayıt: 05.02.2006, 01:01
Konum: İzmir

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti wolf 05.02.2007, 11:43

phpbb_security.php dosyasının içindeki kodları bulamadım.
wolf
Üye
Üye
 
İleti: 11
Kayıt: 03.02.2007, 00:17

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti Simuzer 05.02.2007, 13:39

eseryucel yazdı:modun içindeki dosya rename.phpbbsecurity dosyasını notepad ile açın demişsin ama rar dosyasının içinde öyle bir dosya bulamadım dostum
Kullanıcı avatarı
Simuzer
Geliştirme Grubu
Geliştirme Grubu
 
İleti: 669
Kayıt: 09.11.2005, 09:34
Konum: İstanbul

İleti yeniaykarama 19.02.2007, 03:32

page_header.php dosyası hariç bütün dosyaların kodlamasını yaptım bu dosyaya kod koymamamın sebebi açılışta güvenlik sorusu cevabı istemesi buna kodlama yapmayınca o soruları sormuyor profiline yada kayıt olurken kayıt alanına dolduruyorsun kabul ediyor şimdi benim sorunum ben bu dosyaya bu kodlamayı koymadım ama kayıt olurken formu doldurup gönder dediğimizde beyaz bir sayfa çıkıyor ama aktifleştirme maili gidiyor ve kayıt oluyorsunuz yani işleyiş devam ediyor ama kaydınız yapıldı foruma dönmek için buraya tıklayın yazısı çıkmıyor buna nasıl bir çare bulabiliriz sizden yardım bekliyorum...teşekkürler ..
bilgin olmak için bize gelin mutlaka olusunuz www.bilginlerboard.com
yeniaykarama
Üye
Üye
 
İleti: 49
Kayıt: 15.01.2007, 04:28

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti Holy 24.03.2007, 02:21

iyide ben phpbb 2.0.22 kulanıyorum ve hostumda .htaccess diye bir dosya göremiyorum :S nerde bu dosya ayrıca .htaccess yüzünden seo da kuramıyorum . 2003 server kullanıyorum :S
Holy
Üye
Üye
 
İleti: 53
Kayıt: 28.01.2006, 18:37

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti erhanby 26.03.2007, 19:22

eğer windows serversa zaten htacess gözükmez...
Resim
erhanby
Üye
Üye
 
İleti: 204
Kayıt: 23.01.2006, 13:22

Cvp: phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti Hakmer 03.04.2007, 12:11

angelside yazdı:2. install klasöründeki içindeki installer.php dosyasını config.php nin bulunduğu yere yani forum ana klasörüne atıyorsunuz forumunuza yönetici olarak giriş yaptıktan sonra www.sitenizinadi.com/forumunuz/installer.php olarak çalıştırıyorsunuz ve karşınıza gelen ekranda şunları yapıyoruz:


Choose an admin config name yazan kısımın altına


admins_allowed yazın

Choose a mod config name yazan kısıma

mods_allowed yazın

Choose a disable config name yazan kısıma

block_unwanted yazın ve alttaki submit tuşuna basın şimdi karşınıza bir menu gelicek, aşağıdaki değişiklikleri yapmazsanız yönetici hesaplarını koruma özelliği çalışmayacaktır

includes klasörü içindeki phpbb_security.php dosyasını açın


Kod: Tümünü seç
return 'phpBBSecurity_max_admins';
kısmını bulun aşağıdaki ile değiştirin

Kod: Tümünü seç
return 'admins_allowed';


Kod: Tümünü seç
return 'phpBBSecurity_max_mods';
kısmını bulun aşağıdaki ile değiştirin

Kod: Tümünü seç
return 'mods_allowed';


Kod: Tümünü seç
return 'phpBBSecurity_use_max';
kısmını bulun aşağıdaki ile değiştirin

Kod: Tümünü seç
return 'block_unwanted';
dosyayı kaydedip çıkın ve installer.php yi silin şimdi yapmanız gereken kod değişikliği modun içindeki install.txt de bulabileceğiniz gibi ekteki dosyadada vereceğim


Bu bilgileri uygulamaya geçtiğimizde benzer isimler bulamamaktayız. Mesela yukarıdaki kod'ları bulun ve değiştirin deniyor, aradığımızda ise bulunmamakta. Bu sorunu nasıl çözebiliriz? Kullandığım Phpbb2 dir, herşeyi yeni update yaptım ve forum admin ana sayfasında ise "Yüklemeniz şu anda güncel, kullandığınız phpBB sürümü için herhangi bir güncelleme yok." diyor.

Burada benmi yanlışlık yapıyorum? Ve ya anlatılan başka bir Forum içinmi?
Hakmer
Üye
Üye
 
İleti: 1
Kayıt: 03.04.2007, 11:59

Re: phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti turkdost 23.05.2007, 12:57

valla kodları degiştirin diyorsunuz ama kodlar yokki acaba başka bi dosyadamı degişiklik yapılacak ?
turkdost
Üye
Üye
 
İleti: 7
Kayıt: 22.03.2006, 22:40

Re: phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti TaunMilitary 04.07.2007, 14:01

Arkadaşlar bu günlerde başım "lamer"lerle dertte. Ve bunu kurmak istiyorum. Ama Türkçe dil dosyası mefta olmuş.
CrackerTracker kur diyenler olabilir ama o çok problemli bir sistem ve çok sorun çıkartıyor. Onun kurulumunu tekrar kaldırdım. Bana sadece cookilerle oynayıp admin panaline girmeyi engellemesi yeterli olacak. O kadar büyük korumalara gerek yok.

Türkçe dil dosyasını tekrar yükleyecek arkadaş olursa şimdiden teşekkür ediyorum.
Esen kalın.

*** Düzeltme ***
Pardon arkadaşlar içinde zaten Türkçe dil paketi mevcutmuş hemen kuruyorum emeği geçenlerden Yaradan razı olsun.
Esen kalın.
TaunMilitary
Üye
Üye
 
İleti: 5
Kayıt: 10.05.2007, 11:56

Re: phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti erhanby 27.08.2007, 22:01

Bana sadece cookilerle oynayıp admin panaline girmeyi engellemesi yeterli olacak.


admin paneline ek şifre koysan nasıl olur...
Resim
erhanby
Üye
Üye
 
İleti: 204
Kayıt: 23.01.2006, 13:22

Re: phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti muhakara 28.09.2007, 20:22

admin panele ek şifre koymak nasıl oluyor?
muhakara
Üye
Üye
 
İleti: 1
Kayıt: 22.07.2007, 21:52

Re: phpBB güvenlik modülü (phpBB Security 1.0.3)

İleti EFE03 20.02.2008, 16:44

ctracker 5.0.6 var. ve phpbb 2.0.23 buna gerek varmı
EFE03
Üye
Üye
 
İleti: 302
Kayıt: 09.06.2006, 07:37

Sonraki

Güvenlik



Kimler çevrimiçi

Bu forumu görüntüleyenler: Kayıtlı kullanıcı yok ve 0 misafir

cron