2.0.22 deki acık çözümü nedir?

phpBB güvenliği.

2.0.22 deki acık çözümü nedir?

İleti Nurettin 08.03.2007, 23:39

Merhaba,
sitemde phpbb 2.0.22 kullanıyorum bir çok kişi kategori adlarını meta etiketlerini yazarak degiştiriyor böylece forumu yönlendirmiş oluyor acaba bunun için ne yapabilirim bilen varmı? :(
Kullanıcı avatarı
Nurettin
Üye
Üye
 
İleti: 17
Kayıt: 25.11.2005, 19:37
Konum: Denizli

Cvp: 2.0.22 deki acık çözümü nedir?

İleti AkrepKral 09.03.2007, 00:49

Mahut vakitte tam anlamadım ama kastedilen iki farklı klasör kullanılarak tıklandığında başka bir klasördeki dosyadan açma işi ise bunu index.tpl yi frontPage ile düzenleme yaparak halledebilirsin. Tabi bunun için açılmış index.php'yi FrontPagede kaydederek yapabilirsin. Veya Veritabanından oynama yaparak ta halledebilirsin.
Üstadlar görürse daha ayrıntılı ve işe yarar bir şeyler yazacaklardır.
Ancak Güvenlik için böyle bir şey yapılıyorsa bence gereksiz birisi kafaya takmışsa her kutu açılıyor. Günlük Veritabanı yedeği alıyorsan /admin/ klasörünü şifrelemişsen bir de spamlara karşı Cback kurmuşsan yeterlidir bence.
Kullanıcı avatarı
AkrepKral
Üye
Üye
 
İleti: 142
Kayıt: 28.11.2005, 00:13

Cvp: 2.0.22 deki acık çözümü nedir?

İleti Nurettin 09.03.2007, 10:43

AkrepKral front page ile düzelicek bir şey degil.

Browser dan meta tagları kapatarak panele girip düzelttim. Ama her zaman böylemi yapacagım bu garip geldi. CBACK CrackerTracker kurdum ama extra programla çözülmesi bana garip geldi phpbb buna bir çözüm bulması gerekiyordu. Ama bulmadı bu yüzden 2 defa site yönlendirildi.

İlkinde degiştirdim phpbb yeni sürüm cıkartır diye ama baktım bir şey yok. Şimdi CBACK CrackerTracker kurdum artık inşallah sorun cıkmaz.
Kullanıcı avatarı
Nurettin
Üye
Üye
 
İleti: 17
Kayıt: 25.11.2005, 19:37
Konum: Denizli

Cvp: 2.0.22 deki acık çözümü nedir?

İleti Nurettin 11.03.2007, 00:10

CrackerTracker Professional v5.0.3 kurdum bu sefer site acıklamasına meta tag ekliyorlar ne yapacagım bu phpbb de devamlı farklı açıklar
Kullanıcı avatarı
Nurettin
Üye
Üye
 
İleti: 17
Kayıt: 25.11.2005, 19:37
Konum: Denizli

Cvp: 2.0.22 deki acık çözümü nedir?

İleti Nurettin 11.03.2007, 06:29

Arkadaşlar tek 2.0.22 benmi kullanıyorum :shock: :shock: :shock: :shock: :shock:

Arkadaşlar phpbb dünden beri kapalı kapalı olmasının sebebide bence bu açıklar en son sürümde dahi dolusuyla açık var. canver.net ne yaptı bunun için? Yani açıkları engellemek için. CBACK CrackerTracker kurdum extra dan ama yinede nafile.

bu bugları phpbb bildiren olursa sevinirim.

İyi günler
Kullanıcı avatarı
Nurettin
Üye
Üye
 
İleti: 17
Kayıt: 25.11.2005, 19:37
Konum: Denizli

Cvp: 2.0.22 deki acık çözümü nedir?

İleti AkrepKral 11.03.2007, 12:32

Duyun arkadaşın sesini... Kimse yaşamadı mı benzer şeyleri ya da bulan yok mu çözüm yollarını.
Kullanıcı avatarı
AkrepKral
Üye
Üye
 
İleti: 142
Kayıt: 28.11.2005, 00:13

Cvp: 2.0.22 deki acık çözümü nedir?

İleti sabri ünal 11.03.2007, 13:32

garip gelmesin, fakat ben böyle bir hack yaşamadım... tabii fazla düşman edinmemem de bunda önemli heralde...

sistemde, cback ctracker ve 250 tane, ki çoğu güvenlikle ilişkisi olmayan mod var...
Mutluyum, biraz komedi takılıyorum! sakın kızmayın yakında geçer, sebebini ben de bilmiyorum! yeni bir aşk da bulmuş değilim!
Kullanıcı avatarı
sabri ünal
Üye
Üye
 
İleti: 1325
Kayıt: 27.10.2005, 15:49
Konum: İstanbul

Cvp: 2.0.22 deki acık çözümü nedir?

İleti Simuzer 11.03.2007, 20:58

Eğer öyle bir şey olsa ilk deneme yapılacak yer burası olurdu.

Elbette açığı sadece phpBB'de aramamak gerekir. Hostun da güvenilir olması ve hosttan kaynaklı açık bulunmaması gerekir.
Kullanıcı avatarı
Simuzer
Geliştirme Grubu
Geliştirme Grubu
 
İleti: 669
Kayıt: 09.11.2005, 09:34
Konum: İstanbul

Cvp: 2.0.22 deki acık çözümü nedir?

İleti Nurettin 11.03.2007, 21:00

Arkadaşlar hosttan olsa adamlar direk siteye index atardı. ama kişiler sql injection ile yapıyor sanırım.

Ne iştir anlamadım. php safe mod on register global açık.
Kullanıcı avatarı
Nurettin
Üye
Üye
 
İleti: 17
Kayıt: 25.11.2005, 19:37
Konum: Denizli

Cvp: 2.0.22 deki acık çözümü nedir?

İleti Simuzer 11.03.2007, 21:17

Bi şekilde veritabanı şifreni öğrenmişler.

Öncelikle onları değiştir.
Kullanıcı avatarı
Simuzer
Geliştirme Grubu
Geliştirme Grubu
 
İleti: 669
Kayıt: 09.11.2005, 09:34
Konum: İstanbul

Cvp: 2.0.22 deki acık çözümü nedir?

İleti Nurettin 11.03.2007, 22:54

veritabanı bilgilerini degiştirdim inşallah ondan kaynaklıdır.
Kullanıcı avatarı
Nurettin
Üye
Üye
 
İleti: 17
Kayıt: 25.11.2005, 19:37
Konum: Denizli

Cvp: 2.0.22 deki acık çözümü nedir?

İleti erhanby 12.03.2007, 13:22

Nurettin yazdı:veritabanı bilgilerini degiştirdim inşallah ondan kaynaklıdır.


prefix değiştirdin mi config.php yi gizledin mi md5 i karmalaştıran modu kurdun mu? eğer bunları yapmadıysan yolun başındasın :-1:
Resim
erhanby
Üye
Üye
 
İleti: 204
Kayıt: 23.01.2006, 13:22

Cvp: 2.0.22 deki acık çözümü nedir?

İleti erhanby 12.03.2007, 13:36

Nurettin yazdı:Merhaba,
sitemde phpbb 2.0.22 kullanıyorum bir çok kişi kategori adlarını meta etiketlerini yazarak degiştiriyor böylece forumu yönlendirmiş oluyor acaba bunun için ne yapabilirim bilen varmı? :(


ayrıca saldırının nasıl yapıldığını yani meta tagların nasıl değiştirildiğini yazarsan sana daha sağlam koruma yöntemi verebilirim :wink:
Resim
erhanby
Üye
Üye
 
İleti: 204
Kayıt: 23.01.2006, 13:22

Cvp: 2.0.22 deki acık çözümü nedir?

İleti sabri ünal 13.03.2007, 03:30

becne admin paneli .htacces ile şifrele, böylece için daha rahat olur, yönetim paneline girmeden yapılabilecek hack vs yöntemleri ise zaten çok sınırlıdır.
Mutluyum, biraz komedi takılıyorum! sakın kızmayın yakında geçer, sebebini ben de bilmiyorum! yeni bir aşk da bulmuş değilim!
Kullanıcı avatarı
sabri ünal
Üye
Üye
 
İleti: 1325
Kayıt: 27.10.2005, 15:49
Konum: İstanbul

Re: 2.0.22 deki acık çözümü nedir?

İleti emre_k 20.06.2007, 15:31

kategorilerimi yoksa mesajlarımı editliyolar, ayrıca sen forumunda html kodlarına izin verdinmi? adamlar meta_refresh ekleyebilirlerde bu şekilde bypass dedikleri r57 veya c99 dosyaları host kaynaklı bir açık galiba
Kullanıcı avatarı
emre_k
Üye
Üye
 
İleti: 35
Kayıt: 09.04.2006, 09:07

Re: 2.0.22 deki acık çözümü nedir?

İleti lordworld 26.07.2007, 21:25

istediğiniz kadar güvenlik kurun istediğiniz kadar her yolu deneyin açık yol belli mantıkken sizi hackliyen kişi sunucuya shell script sokmuş yani istediği dizine girip istediği kullanıcının dosyalarını görebiliyor ve config.php dosyasındaki phpmyadmin kullanıcı adı ve şifresiyle db ye bağlanıp meta yonlendirme çakıyor bukadar basit
lordworld
Üye
Üye
 
İleti: 1
Kayıt: 26.03.2006, 04:47

Re: 2.0.22 deki acık çözümü nedir?

İleti erhanby 16.08.2007, 13:17

lordworld yazdı:istediğiniz kadar güvenlik kurun istediğiniz kadar her yolu deneyin açık yol belli mantıkken sizi hackliyen kişi sunucuya shell script sokmuş yani istediği dizine girip istediği kullanıcının dosyalarını görebiliyor ve config.php dosyasındaki phpmyadmin kullanıcı adı ve şifresiyle db ye bağlanıp meta yonlendirme çakıyor bukadar basit


config.php gizlendi mi açık kapanır :D
Resim
erhanby
Üye
Üye
 
İleti: 204
Kayıt: 23.01.2006, 13:22


Güvenlik



Kimler çevrimiçi

Bu forumu görüntüleyenler: Kayıtlı kullanıcı yok ve 0 misafir

cron