Özkula Güvensizliği ve Scriptimin Dağıltılması

Merhaba Arkadaşlar

Başlamadan önce şunu belirtmek istiyorum.Anlatacağım olaylar yaklaşık 1 yıllık zamanda gelişmiştir.Ancak olayları okuyunca Özkula firması hakkında fikir sahibi olacağınıza inanıyorum.

Konuya geçersek ;

Özkula firması ile 11/09/2013 tarihinde çalışmaya başladım.Başlangıçta herşey çok güzel bir şekilde ilerledi.Herhangi bir sorunum yoktu reseller ssd olması nedeniyle hızlıydı.Kesinti vb olaylarla karşılaşmamda yoktu.Ancak yaklaşık bir 3 ay süreçden sonra bulunduğum sunucunun hacklendiğini öğrendim.Ne herhangi bir uyarı ne herhangi bir haber hiç bir şekilde Cpanel 3 sunucularındaki bütün sitelerin Mysql yedekleri dahil çekildiğini belirtmemişlerdi . (Adamlar ihtiyacı olanı kullandıkları için Özkula firmasına fazla şikayet ulaşmamıştır.) Eğer inanmayan arkadaşlar olursa aşağıdaki videoyu kanıt olarak sunabilirim.



Ayrıca aşağıdaki Ticket konuşmasınıda kanıt olarak sunabilirim


Özelikle host işiyle uğraşan arkadaşlarımızın bildiği üzere reseller ve paylaşımlı hostta sunucu güvenliği host şirketine aittir.Ancak burada görüldüğü üzere özkula firması kendi sunucu güvenliğini sağlayamamıştır.Eğer anlık bir açık diyorsanız lütfen yazının geri kalanınıda okursanız sevirim.

Scriptimin çalındığını Metrica yoluyla öğrendim.Emirhan beye sorduğum zaman böyle bir olay olduğunu ancak kullanıcılara herhangi bir haber verilmediğini öğrendim.Bu olaydan sonra Özkula firmasıyla ilişkimi kestim.Çünkü söyledikleri ile benim gördüklerim aynı değildi.Örnek vermek gerekirse ;

1. Bana açığın hemen kapatıldığını söylüyorlardı.Ancak adamlar hem benim scriptimi çalacak zaman bulup hem de video çekecek zaman bulabiliyorlar.
2. Kendilerine sunucudan sitelerimin ne zaman çekildiği konusunda log istediğimde herhangi bir cevap veremiyorlardı.

Yukarıda yazan nedenler ve başka sebepler nedeniyle Özkula firmasından ayrıldım.Ancak 27-03-2014 tarihinde saat 18:39 tarihinde yönetici olduğum bir sitede bir kullanıcıdan mesaj aldım. Mesajı size aşağıda paylaştım.


Mesajı aldıktan sonra Yougetsignal da kontrol ettiğimde sitem halen Özkula firmasında görünmekteydi.Ayrıca kendisinin gönderdiği link de Özkula firmasında kayıtlıydı ve birkaç ay önce hemen kapattıkları shell açığı orada aynen duruyordu.Bende Özkula firmasına Site yedeklerimin kendi sunucularında saklanıp saklanmadığını sordum.Onlarda silindiğini söylediler.Ancak burada dikkat edilmesi gereken bir nokta Aylar önce kapattık dedikleri bir açığın halen kendi sunucularında işe yaraması aşırı düşündürücüdür.Açıklı sitenin resmi ;


İşte arkadaşlar Özkula firması böyle bir firmadır.Eğer konu içinde kullanıcı etiketlemeyi bilsem Emirhan beyi cevap vermesi için etiketliyecektim.Ancak beceremedim.Sizden ricam lütfen konuyu tam okumadan yorum yapmayınız.

Hayırlı Günler

@ (nick) ; boşlukları silin.
@EmreKarakaya;

Merhaba

Öncelikle malesef şikayetinizi tam olarak anlayamadım.

Öncelikle sunucu güvenliğine gelecek olursak.
Tüm hosting sunucularımızda lisanslı yazılımlar kullanarak atılan shelleri zararlı olabilecek verileri otomatik silinmesini sağlıyoruz.Haftalık olarak da genel olarak shell taraması yapılmakta.

Nadirde olsa lisanslı yazılımların bazen shell silmedikleri olmakta fakat bunla ilgili ciddi bir sıkıntı yaşamadık.

Tüm hosting sunucularımız yedekli çalışmakta olası problemlere karşı.Genel olarak sunucunun ele geçirilmesi veri indirilmesi söz konusu değil

Sunucuya dosya upload scriptleri veya kritik güvenlik açıkları yaratmayan dosyalar yüklenebilir bunların tamamı engellenemez.

Burada anladığım kadarı ile shell durmasını mı şikayet ettiniz ?Shell müşteri açıklarından atılmakta genel olarak shell atılabilir neler yapılabildiği önemli efendim

Merhaba

Size ilk bildirdiğim zamanda açığı kapattığınızı belirtmişdiniz.Ancak ilerleyen aylarda aldığım mesajlar da halen kapatılmadığını görüyoruz. Scriptim firmanız sunucularında olan bir açık nedeniyle çalındı.Olayın kısacası budur.

ilgili Video paylaşan kardeşimiz video çekerken ozkula sunucularını hacklediğini ileri sürmekte fakat tek sunucu üzerinde işlem yapıyor

Video görüldüğü üzere site listesini alıyor ardından kurulu olduğu scripti bildiği için ve config yolu aynı olduğu için config çekiyor.

config neden çekiliyor dosya izinlerinden kaynaklı.

Burada kişi config yolunu değiştirse dosya izinlerini olması gerektiği gibi ayarlarsa veri çekmesi mümkün olmaz.

Sunucuda shell olmasa bile kişi dışarıdan da config çekebilir izinler ayarlı olmadığı zaman

Burada kişi shell ile sunucu şifresini değiştirse direk dosyalara erişebilse kafasına göre index atsa haklısınız fakat böyle bir durum söz konusu değil

Yaşanan problem tamamen izinler ve script üzerinde alınmayan izinler kaynaklı.

Bizim de forum ve canlı destek scriptlerimiz verilerimiz direk hosting sunucularımızda barınıyor ama böyle bir durum yaşanmıyor genel bir sorun olsa illaki bunlar da saldırıya maruz kalırdı.

Merhaba

Dosya izinlerim tam olduğuna emininim.Ayrıca benim şikayetimi dikkatli okursanız sadece config değil bütün dosyalarımın çekildiğini göreceksiniz.Şu an da o adam sayenizde bütün scripti kendi yapmış gibi dağıtıyor.Yarın o scripti kuran siteleri ve üyeleri tek tek başka bir konuda etiketleyerek yaymaya çalışacağım.

Ayrıca dosya çekilmesi tamamiyle izinlerle alakalı diyorsunuz ancak adam zaten sunucuya girip istediğini yapabiliyor.Ve bu açık uzun süren bir dönemde kapatılmıyor veya önlenmiyor.Benim dikkat çektiğim nokta işte budur.

Bize attığınız video tüm dosyaları çekmeye yönelik açık gösteren bir video değil.zira bize bu linki de attığınızda bir düzüne ek önlemler de aldık.

Sanırım siz sunucuda hiç shell olmamasından bahsediyorsunuz ama bunu malesef tamamen engellemek mümkün değil.

Burada bizim yaptığımız çalışmalar shell tamamen engellemek değil shell üzerinden yapılabilecek işlemleri kısıtlamak.

açıkların kapatılmadığından bahsetmektesiniz attığınız tek görüntü shell görüntüsü tekrar söylüyorum sunucuda shell olabilir neler yapıldığı neler yapılabildiği önemli

Videodan sonra ek tedbirler almışsın diyorsunuz ancak mart ayında belirli forumlarda sunucunuz üzerinde bulunan sitelerin shell adresleri paylaşılıyor.Yani yine aynı yöntem kullanıyor.Bu yüzden ben sizin önlem aldığınıza pek inanmıyorum.

Ayrıca sunucuda shell olabilir ne yapıldığı önemlidir.Bende size tekrar ve tekrar söylüyorum scriptim çalındı videoda görüldüğü üzere insanların izni olmadan siteleri hacklendi.Daha neler olabilir ki?

Şirketimiz sadece hosting sunucularımız da ortalama 6000 web sitesi barındırmakta.

Biz tekrar belirtiyorum ücreti ne olursa olsun güvenlik için gerekli hangi yazılımlar varsa bildiğimiz ve güvendiğimiz aldık.


Yıllardır bize gelen sitem hacklendi veya verilerim alındı yönünde gelen şikayet sayısı bir elin parmaklarını geçmemiştir


Burada açıklarımızı kapatmadığımızı söylüyorsunuz bunu sadece bir shell resmi ile söylüyorsunuz bizde bunu kabul etmiyoruz çünkü sunucu güvenliği üzerinde arkadaşlarımız çalışma yaptı.

Atmış olduğunuz shell resmi bir şey ispatlamıyor malesef

Hatta zamanında sunucularımız hedef dahi oldu http://www.spyhatz.com/forum/yardim-...html#post13657 ve http://www.spyhatz.com/forum/yardim-...tesi-olan.html