Siteme Shell atmışlar
16
●3.589
- 28-06-2009, 12:45:01Sitede shell konusunda uzman arkadaşlar var. Biraz araştır bulursun. Bilgilerini kendine saklayan birilerinin bilgilerinede karşı gösteren son derece seviyeli arkadaşlar mevcut. Konu baltalamak yerine birazda birilerine yardım etmeyi düşünseler iyi olur aslında...
- 28-06-2009, 16:42:57
Kimlik doğrulama veya yönetimden onay bekliyor.php kullanıyorsan upload işleminin yapıldığı dosyada $_FILES["dosya_input_ismi"]["type"] şeklinde kontrol edebilirsin. Bu şekilde php yüklenmez ve farklı uzanyılarda saklı phpler de yüklenmez.Stefua adlı üyeden alıntı: mesajı görüntületam olarak anlayamadım
site adresi sahane.net
shell attıkları klasör sahane.net/dosya
burdada chmod ayarı 777 sanırım ondan attılar - 11-09-2009, 13:03:42her 777 dosyaya shell atılmaz, upload yapan scriptte açık vardır yada rfi açığı ile shell çağırıp sonra sunucuya atmışlardır sitede wp kurulu eklentilerinde açık varmı bir araştır birde illede sende açık olacak diye bişey yok başka accauntta açık varsa o hesapdan senin hesabada gerçe bilirler allah yardım cın olsun vps Linux mu?
- 11-09-2009, 17:29:39Atılan shellerin CHMOD ayarları ile ilişkisi şudur. Dosyaları Shell vasıtası ile görüntülediklerinde silmeye kalkarlarsa eğer CHMOD değeri 777 ise, shell aracılığı dosyaları silebilirler. Yazma izni verilmemiş ise silemezler. Ama her halukarda dosyayı indirebilirler.Stefua adlı üyeden alıntı: mesajı görüntüleMerhabalar;
web siteme shell atmışlar sitemde bir klasor chmod ayarı 777'idi ve oraya .php uzantılı atmışlar
bunun chmod la bir alakasımı var? yoksa kullandıgım vps de bir eksikliklermi var
Shell türevi C99 v.b dosyaları engellemek için lütfen php.ini dosyasını editleyiniz. php.ini ile upload yapılan dosyaların uzantılarını kısıtlayabilirsiniz.
İyi Çalışmalar.
Aytaç Engin - 12-09-2009, 00:10:38ZedTeknoloji adlı üyeden alıntı: mesajı görüntüle
php.ini de tam olarak nereyi düzenleyecegim - 17-09-2009, 18:43:18Bunun adı c99, genellikle linux botlar ile yapılır. Olay şudur bir makinadan bir bot çalıştırılır. Bot IRC'e bağlanır, kanaldan komut almaya başlar.
!tarat inurl:"listings.php?op=details&id=-1+UNION+SELECT+0,0,0,0,0,CONCAT_WS(0x3a,user_login ,user_pass,user_email),0,0,0,0,0,0,0,0,0,0,0,0,0,0 ,0,0+FROM+wp_users--
"
gibi aratılır ve açık olan scriptlerin dizinlerine girilir. chmod 777 olan dizine c99 atılır ve kendimize WEB ADMİN oluştururuz. Aklımıza gelecek herşeyi bu şekilde yaparız.
Tavsiyem chmod 777 kullanmakta bir şey yok, Piyasadaki scriptlerin devamlı güncellemelerini yaparak bundan kurtulursunuz.
Zaten çoğu firmalar ilk baş sürümü çıkarır sonrada açığı piyasaya sürer.
Saygılarımla ~
Altuğ KARAALİ - 17-09-2009, 19:28:47 Üyeliği durdurulduHocam Biraz Çok Kurcalamassın Ve Ayrıntıya Girmişsin.Evet Bende Zamanında r57 Ve c99 Shell Kullandım.Linux Bot Falan Duymadım Daha.Biz Açıkları Elle Bulurduk Öyle Dediğin Gibi Bot Irca Baglanarak Açık Bulsaydı ohho Uzun İş O Kimsede Kullanmaz o Yöntemi Zaten.Herkes Elle Ararn0c0mm3nt adlı üyeden alıntı: mesajı görüntüle
Verdiğin O Exploit Sql İnjection Örneği Bir Exploit.A.Eğer O Exploit Çalışırsa Adminin Şifrelerini Çalar Scripte Girer Herhangi Bir Upload Yeri Varsa Ordan Shell Upload Edilir.
Arkadaşa Gelince
Ben Bir Yöntem Göstemriştim O Yöntemlerle Bırak Shelli, Sheller Kendi Kendini İmha Ediyor.Onu Deneyebilirsin. - 18-09-2009, 18:39:26El ile uzun iş. Gerçi şuanda Google arama kısıtlaması koyduğu için Linux botta yapamıyorlar. Seninde dediğin gibi Injection açıkları ile genellikle mackcilik yapıyorlar. Basit işler, gereksiz işler diye adlandırıyorum.
Bunlara bir nevi önlem almak istiyorsanız, apache'nin mod_security module kurabilirsiniz.
Ayrıca her injection çıktığında regex yazmanız gerekecektir.
Saygılar.
