VB 3.6.8 kurulu bi sitem gectigimiz gunlerde hacklendi. Ve hemen forumu baska klasöre alıp üzerinde calısmaya başladım. Aynı öldürülen bi insanın cesedine otopsi yapar gibi.. Elde ettiğim şeyler şunlar :
- FTP deki tmp, customprofilepics ve customavatars klasörlerinde c99, r57 ve türevi php scriptleri vardı. Saldırgan bunları FTP den atmış diyeceğim. Ama yüklendikleri klasörler çok ilginc
Üçüde, VB nin içindeki çeşitli Upload işlemlerinin saklandığı klasörler. İnsan bu klasör isimlerini görünce, "Saldırgan FTP den girmiş" olayını geçip, "VBulletin deki bi açıktan faydalanıp bu dosyaları yüklemişler" diye düşünüyor. - Siteye konulan hack veriside index dosyasının dosya bazlı değiştirilmesi şeklinde değildi. Yani saldırganda FTP şifrsi olsaydı, kendi indexini falan upload ederdi. Buda yapılmadı. Sadece VB nin temasına bazı nalet kodlar eklenmiş. Bu kodlarıda FTP de gördüğüm VBULLETIN HACKLEMEK üzere dizayn edilmiş bi PHP scripti gerçekleştirmiş (yani VB tabloları üzerinde ölümcül sql sorguları yapan bir script)
- VB nin paneline güç bela girdikten sonra Kontrol Paneli Kayıtları 'na baktım. Orda da benden önce (ve kendi IP im dışında) panelde işlem yapan birileri yoktu. Böylece admin paneline de giriş yapılmadığını (yani bir admin hesabı ele geçirilmemiş) anladım.
Çünkü herhangi bi önlem yani yama, update, açığı tespit edip kapatma gibi bi işlem yapmadım. Aynı şeyin olma ihtimali %95..Önerilerinizi bekliyorum. Ne yapmalıyım..
