Config.php Güvenliği Nasıl Olmalıdır ?

16-07-2009, 19:11:24

Arkadaşlar uzun bir süredir vbulletin forumunda bazı açıklar söz konusu,özellikle config.php deki bilgileri alıp phpmyadmine girip veritabanı ile oynuyorlar,oradan foruma index atıyorlar.Bu durum neden kaynaklanır,buna alınabilecek önlemler nelerdir ?

Bu konuda birçok arkadaş faydalanacaktır,bunu dikkata alıp açıklama yapacak arkadaşlara şimdiden çok teşekkürler.

16-07-2009, 21:35:45

#2

~~keskin_root~~

Üyeliği durduruldu

dostum alttakileri yapıp config yolunu değiştir bakalım.

https://www.r10.net/1058942655-post2.html

17-07-2009, 20:01:24

#3

PcKOnetwork

Ben size şöyle bir şey sunmak istiyorum.Ama belirtmekte fayda var çok profesyonel bir hacker ne yaparsan yap zaten rahatlıkla configini ele geçirebilir.
@keskinroot arkadaşımızın aksine config yolunu değiştirmeni önermiyorum.beni bu tür bir şey her zaman tedirgin eder ,kurulan eklentiler belki config.php ye ulaşmak isteyebilir, o zaman sorun yaşarsınız aynı zamanda ben bile bir server a girsem class_core.php den config yolunu rahatlıkla bulabilirm ve illa forumda bir açık olması gerekmiyor.En güvenli sunuculara farklı komutlu shellerle ulaşılabiliniyor.
Üstteki yazı biraz terslemişim gibi geldi.Yanlış anlaşılan bir şey varsa affola,sadece görüşlerimi söyledim.
---
Şimdi gelelim güvenlik kısmına.Ben vbulletin sitelerimde şöyle yapıyorum.ilk olarak vbulletin config.php dosyasını satırı satırana kontrol ediyorum.Eklentilerin zart zurt configleri varsa onlarıda kontrol ediyorum

sonra hepsini bir klasörde toplayıp SOURCECOP adlı program ile şifreliyorum. Bu Programın internet ortamında decoder'ı olduğu gözüme çarptı ancak çalışmıyor,çalışan varsa sölerseniz sevinirm : ).Ama dediğim gibi iyi birisi bunu kırabilirde , rus hackerlara kırdıranlara da olabilir. Ama neden iyi bir hacker seni hacklemek istesin,yanlış içerikli sitelerin yoksa ? zaten çok uğraş gerektiren bir iş kimsenin uğraşcağını da zannetmiyorum.Aynı zamanda config.php dosyanızı her zaman 644 yapın.Hatta tüm dosyalarınız 644 , tüm klasörleriniz 755 e ayarlayın,ancak wordpress gibi sistemlerde wp-content gibi dosyalara 777 vermeniz gerekebilir.Aynı zamanda programda sadece tek ip den girilebilmesi veya belli bir zaman sonra kullanamaması gibi lisans ayarlamaları yapılabiliyor bu şekilde geliştirebilirsiniz. Büyük bir forumunuz varsa başka önerilerde verebilirim,güvenlik açısından.Aynı zamanda programa ulaşmak isterseniz PM gönderebilirsiniz veya google amca size yardımcı olur. Ama bazı arkadaşlarında dediği gibi en güvenli server fişi çekik olandır

hacklenmicek site yoktur. Sadece zorlaştırabilirsin,lamer koruma gibi bir şey

> Not configlerinizin her zaman elinizde şifresiz yedeği olsun.

17-07-2009, 20:16:47

#4

vBulletinMaster

1.)config.php yolunu değiştir
2.)teşekkür eklentisi yükleme
3.)null kullanma
4.)admincp ve modcp yolunu değiştir config.php de verme(şaşırsınlar)
5.)tanımadığın kimseye adminlik verme
5.)hostcunu iyi seç
6.)dosylara 0777 izin verme
bunları yaparsan sorun çıkacağını sanmıyor

18-07-2009, 15:18:09

#5

~~keskin_root~~

Üyeliği durduruldu

PcKOnetwork adlı üyeden alıntı: mesajı görüntüle

Ben size şöyle bir şey sunmak istiyorum.Ama belirtmekte fayda var çok profesyonel bir hacker ne yaparsan yap zaten rahatlıkla configini ele geçirebilir.
@keskinroot arkadaşımızın aksine config yolunu değiştirmeni önermiyorum.beni bu tür bir şey her zaman tedirgin eder ,kurulan eklentiler belki config.php ye ulaşmak isteyebilir, o zaman sorun yaşarsınız aynı zamanda ben bile bir server a girsem class_core.php den config yolunu rahatlıkla bulabilirm ve illa forumda bir açık olması gerekmiyor.En güvenli sunuculara farklı komutlu shellerle ulaşılabiliniyor.
Üstteki yazı biraz terslemişim gibi geldi.Yanlış anlaşılan bir şey varsa affola,sadece görüşlerimi söyledim.
---
Şimdi gelelim güvenlik kısmına.Ben vbulletin sitelerimde şöyle yapıyorum.ilk olarak vbulletin config.php dosyasını satırı satırana kontrol ediyorum.Eklentilerin zart zurt configleri varsa onlarıda kontrol ediyorum

sonra hepsini bir klasörde toplayıp SOURCECOP adlı program ile şifreliyorum. Bu Programın internet ortamında decoder'ı olduğu gözüme çarptı ancak çalışmıyor,çalışan varsa sölerseniz sevinirm : ).Ama dediğim gibi iyi birisi bunu kırabilirde , rus hackerlara kırdıranlara da olabilir. Ama neden iyi bir hacker seni hacklemek istesin,yanlış içerikli sitelerin yoksa ? zaten çok uğraş gerektiren bir iş kimsenin uğraşcağını da zannetmiyorum.Aynı zamanda config.php dosyanızı her zaman 644 yapın.Hatta tüm dosyalarınız 644 , tüm klasörleriniz 755 e ayarlayın,ancak wordpress gibi sistemlerde wp-content gibi dosyalara 777 vermeniz gerekebilir.Aynı zamanda programda sadece tek ip den girilebilmesi veya belli bir zaman sonra kullanamaması gibi lisans ayarlamaları yapılabiliyor bu şekilde geliştirebilirsiniz. Büyük bir forumunuz varsa başka önerilerde verebilirim,güvenlik açısından.Aynı zamanda programa ulaşmak isterseniz PM gönderebilirsiniz veya google amca size yardımcı olur. Ama bazı arkadaşlarında dediği gibi en güvenli server fişi çekik olandır

hacklenmicek site yoktur. Sadece zorlaştırabilirsin,lamer koruma gibi bir şey

> Not configlerinizin her zaman elinizde şifresiz yedeği olsun.

Yalnız belirteyim sourcecop programıyla şifrelenen dosyalar kırılıyor.saniyemi almaz kırmak

18-07-2009, 15:23:35

#6

JustRulz

Kimlik doğrulama veya yönetimden onay bekliyor.

config güvenliği diye saçma sapan bir konu yoktur.Yanlış anlamayın sakın önemli olan sunucu güvenliğidir.

18-07-2009, 15:28:53

#7

Milenyum

JustRulz adlı üyeden alıntı: mesajı görüntüle

config güvenliği diye saçma sapan bir konu yoktur.Yanlış anlamayın sakın önemli olan sunucu güvenliğidir.

sunucu sahinin konuşmasını bir görseniz,dersiniz ki bu adam hayatında hacklenmez,o kadar sağlam ona göre sunucusu,ama benim gördüğüm adam resmen o dosyadaki bilgilerle veritabanına bağlanmış,ftp şifremi bilmesi mümkün değil,bilse zaten değişir,o zaman hangi ihtimal kalıyor ?