c99shell GIF89;

SpyGrup sitesine giren her 10 yaşındaki bebe bunu öğreniyor, Kendine ingilizce bir rumuz buluyor ondan sonra Hacked by O.Ç diye sitelere saldırıyor. Ve Hacker oluyor.

cartcurt.php nin başına GIF89; yazılıyor ve kod. Anladığım kadarıyla bu php yi gif olarak algılıyor sistem ve yükleme yapıyor. (ch 755)

Ondan sonra siteye yapacaklarını yapıyorlar. Birkaç gündür böyle saldırılıyor. Ne ettiysem önlem alamadım. Forumda başlıkları taradım birşey bulamadım.

Bilgisi olan paylaşırsa çok sevinirim. Önlem almak istiyorum.

dosya yüklediği yere .php uzantılarını yükleme engellemesi koycaksın o zaman istesede php yükleyemez.

Nasıl??...

Bir çok yol ve yönetm var. öncelikle siten için yapabileceklerimizi sayalım.

1. Sitenin adres satırına exploit linkini yapıştırarak açık aramaya çalışan lamerleri engelleyim
guvenlik.php diye bir dosya oluştur. içine aşağıdaki kodları ekle.

<?php
 
 $netlojik = $_SERVER['QUERY_STRING'];
 $netlojikguvenlik = array('chr(', 'wget', 'cmd=', 'rush=', 'union', 'UNION', 'echr(', 'esystem(', 'cp%20', 'mdir%20', 'mcd%20', 'mrd%20', 'rm%20', 'mv%20', 'rmdir%20', 'chmod(', 'chmod%20', 'chown%20', 'chgrp%20', 'locate%20', 'grep%20', 'diff%20', 'kill%20', 'kill(', 'killall', 'passwd%20', 'telnet%20', 'vi(', 'vi%20', 'INSERT%20INTO', 'SELECT%20', 'nigga', 'fopen', 'fwrite', '$_REQUEST', '$_GET');
 $guvenlik = str_replace($netlojikguvenlik, '*', $netlojik);
 
 if ($netlojik != $guvenlik)
   {
     $hadegit = $_SERVER['REMOTE_ADDR'];
     $bilgiler = $_SERVER['HTTP_USER_AGENT'];
     $ipadres = GETENV("REMOTE_ADDR");
 
     die( "Defooolllll ulan Ip:$ipadres $i$bilgiler" );
   }
echo "<!-- tüm php kodlanmış siteler için - root[at]netlojik.net -->";

?>

bunuda sitene include et

require_once("guvenlik.php");

Hatta istersen verdiğim bu kodu geliştirip saldırganın pc sine virus ve trojan bile yolluyabilirsin.

Nasıl yapıldığı konusunda burada veya özelmesajla bilgi vermiyecem. çünkü söyleyeceklerimi kötü niyetle uygulayanlarda çıkabilir.

2. Sitenin upload scriptini daha güvenli hale getirmek için

mime_content_type() ,getimagesize()

kodunu scriptine uygula.

3. sunucu seninse ve birden çok site barınıyorsa
safe modu aç.
Safe modu nasıl açacağını buraya yazamam uzun bir döküman googlede aratırsan bulursun.

Safe mod kısaca siteden siteye zıplayamayı engeller. yani sitene bir exploit attıkları zaman home/ahmet/public_html kısmında iseler varsayalım
burayı home/mehmet/public_html yaparlar ve masum olan mehmet kerdeşimizin siteside senin sebebine hacklenebilir.

mod_securiyt kesinlikle sunucuna kur.
daha bir çok yazılacak şeyler var open basedir, register global gibi
bunlar hakkında bilgiyide forumda veya googlede arat uygula.

teşekkürler. araştırıp deneyeceğim

Sana örnek olması açısından burayı oku derim
PHP: Handling file uploads - Manual

gelende bunu bir script kurduğunuzda conf.php yada db.php gibi benzeri setup için gerekli bilgilerin okunduğu dosyanın chmod ayarını işiniz bittikden sonra açık unutuyorsunuz.onlar unutulan dosyaya instediği index kodlarını yazıyor ve sözde index atıyor

dikkatli olmak gerek.

bu konuda en sağlam korunma yöntemi open_basedir [mutlaka ve mutlaka açık olmalı] ve safemod
sunucu tarafından kendinizi korursanız yazılımlarının sizin belirlediğiniz sınırlar dışına çıkamayacağından sorun hallolur

php'de güvenlik konusunda mutlaka dokunmanız gereken durum disabled_functions

sık kullanılan exec, shell_exec gibi fonksiyonları kesmeniz gerekir
bunlarıda sizin sisteminize sızdırılan php scriptinde kullanılan fonksiyonları inceleyerek bulmanız gerekir

İlginiz ve yorumlarınız için teşekkür ederim. Dediklerinizin çoğunu biraz araştırdım ama pek bilgim olmadığından bir sonuca varamadım. Az önce ftp ye girdiğimde yine upload edilen resimlerin dosyasında 10-15 tane isim.php vardı.

Yalnız siteye birşey olmamış;

netlojik arkadaşımızın verdiği guvenlik.php bunu engellemiş olabilirmi?
birde .htaccess koymuştum deny from all yazmıştım. Yalnız bu kod o klasördeki hiçbirşeyi çalıştırmadığından bir işe yaramıyor. Silmeyi unutmuşum siteden. Bundan dolayıda olabilir. Acaba hangisi?

Bilgisi olan arkadaşlar .htaccess e jpg ve gif haricindeki hiçbir dosya ve uzantıyı çalıştırmayan bir kod yazabilirmi? Yazsa bile işe yararmı? Teşekkürler.