Phpbb Security
phpbb kendi çapında güvenli bir sistem fakat bunu daha güvenli hale nasıl getiricez anlatıcam burada
öncelikle bunu 5 şubat 2005 tarihinde yazıyorum forumunuzu
güncelleyin bu tarihte en son sürüm phpbb 2.0.11 görsel doğrulama
standart oldu bunu açaak başlıyoruz
restrict guess accessbu modu kurmanızı öneririrm ziyaretçilerin
izinlerini sınırlıyor kimler online sayfasına kullanıcı gruplarına
arama özelliğini kullanmalarını engelliyor bunlardan herhalde en önemli
yer arama özelliği
[Linkleri görebilmek için üye olun veya giriş yapın.]
çok
kısa aralıklarla çok belirgin bir ünlü harfi istemek a gibi cpu nuzun
şişmesine sebep olur eğer sistem kaynaklarının size ayrılan kısımından
çoğunu bu yüzden kullanırsanız hesbaınız dondurulur suspend edilir
2. olay config.php nize weden ulaşılabilecek bir klasörde tutmayın
public_html yada www klasörlerine webden ulaşılır bunların bir üst
klasörüne koyun config.php nizi ve şu değişikliği yapın
common.php yi açın
Kod: Hepsini Seç
include($phpbb_root_path . ’config.’.$phpEx);
bunu bulun
bununla değiştirin
Kod: Hepsini Seç
include($phpbb_root_path . ’config.’.$phpEx);
phpbb de ara ara çıkan xss açıkları ile saldırganlar sizin farkına
varmadan bir link tıkltıp cookienizi alıp içindkei md5 hash i kırıp
şifrenize ulaşmak isteyebilir bunu içinde bu modu kuruyoruz
[Linkleri görebilmek için üye olun veya giriş yapın.]
olayın
mantığı şey şifrenizi girip login e bastığınız anda girdiğiniz şifrenin
yanına tamamen random rastgele yani sayılar ekliyor cookienizdede bu
eklenmiş sayıları içeren hash saklanıyor yani kırsalar bilr sizin
şifreniz değil bu olaya custom salt denir
max session modunu kurun diyeceğim ama bgüne kadar hiç bir yararını
görmeddim kurmak sizin elinizde sözde server ın overload olmasını
engelliyor
oda burada
[Linkleri görebilmek için üye olun veya giriş yapın.]
şimdi küçük ama etkili ve asıl önemli şeylere geldik
öncelikle
powered by yazısını kaldırıyoruz yanlış anlamayın türkçesini yazıcaz
onu editlemek için overal_footer.tpl yie ditlicez
Powered by phpBB
yazan yeri php.B.B tarafından güçlendirilmiştir gibi bir şey yazın
copyright ı silmeyin bu neyi engeller google vs. de inurl yada intitle
powered by phpbb 2.0.10 diye arayanları engeller sizin forumu
bulamazlar yada bu yazı yerine bir resim yapıştrabilirsiniz
en önemli değişim versiyonun silinmesi
overall_footer.tpl yi açın
’PHPBB_VERSION’ yazan kısımı silin yada başına // koyun yani
// ’PHPBB_VERSION’
bu şekilde olsun yada silin işte
admin/admin_db_utilities.php i kesinlikle siliyoruz çok gereksiz zaten
oradan ne veritabanı yükleyin nede yedek almaya çalışın o işlemleri
phpmyadmin den hallediyoruz
eğer bir saldırgan yönetim panelinize girerse en azından yedeğini alamasın kullanıcıların şifrelerini vs. kırmak için
şimdi admin klasörünün adını değiştirin
daha sonra includes/functions.php yi açın
include($phpbb_root_path
. ’admin/ yazan kısımı değiştirdiğiniz klasör adıyla değiştirin admin
klasörünü ab5hjd olarak adını değiştirdiyseniz orada admin yazan yere
ab5hjd yazın
daha sonra includes/page_tail.php yi açın
’ADMIN_LINK’ => $admin_link yazan kısımı bulun
’ADMIN_LINK’ => ’’ olarak değiştirin
bu
neyi sağlar login olmuş yöneticinin alttaki yönetim paneli linkine
tıklayarak giremesini sğalar çünkü o link yok girişi nasıl yapacak
admin klasörümünüz yeni adı ab5hjd idi forum/ab5hjd/index.php şeklinde giricek
dananın kuyruğunu kopartıyoruz o klasörü bir de şifreliyelim onu daha önce anlatmıştım
[Linkleri görebilmek için üye olun veya giriş yapın.]
onunda linki üstteki neyse devam edelim
phpbb_ yi standart prefiz olarak kullanmayın sql injection
saldırılarında başınızı ağrıtabilir en son phpbb 2.0.10 açığında php
üzerinden shell kodu çalıştırılıp mysqldump ile yedke alınabiliyordu
bunun için phpbb_ tablo yapısı bilinmesi laızmdı oda çoğumuuzn
forumdunda standart phpbb_ dir şimdi onu değiştiricez
config.php yi açın değiştirmek istediğiniz tablo adını
$table_prefix = ’phpbb_’ phpbb_ yazan kıısma girin tablo adı xyz14xyz_ oldun diyelim oraya girin
daha sonra
NOT :bu tablolar sadece standart hiç mod kurulmamış phpbb içindir plus a da uymaz ona kendiniz ekleme çıkarma yapabilirsiniz
phpmyadmin en bu sorguyu çalıştırın
Kod: Hepsini Seç
ALTER TABLE phpbb_auth_access RENAME TO xyz14xyz_auth_access;
ALTER TABLE phpbb_banlist RENAME TO xyz14xyz_banlist;
ALTER TABLE phpbb_categories RENAME TO xyz14xyz_categories;
ALTER TABLE phpbb_config RENAME TO xyz14xyz_config;
ALTER TABLE phpbb_confirm RENAME TO xyz14xyz_confirm;
ALTER TABLE phpbb_disallow RENAME TO xyz14xyz_disallow;
ALTER TABLE phpbb_forum_prune RENAME TO xyz14xyz_forum_prune;
ALTER TABLE phpbb_forums RENAME TO xyz14xyz_forums;
ALTER TABLE phpbb_groups RENAME TO xyz14xyz_groups;
ALTER TABLE phpbb_posts RENAME TO xyz14xyz_posts;
ALTER TABLE phpbb_posts_text RENAME TO xyz14xyz_posts_text;
ALTER TABLE phpbb_privmsgs RENAME TO xyz14xyz_privmsgs;
ALTER TABLE phpbb_privmsgs_text RENAME TO xyz14xyz_privmsgs_text;
ALTER TABLE phpbb_ranks RENAME TO xyz14xyz_ranks;
ALTER TABLE phpbb_search_results RENAME TO xyz14xyz_search_results;
ALTER TABLE phpbb_search_wordlist RENAME TO xyz14xyz_search_wordlist;
ALTER TABLE phpbb_search_wordmatch RENAME TO xyz14xyz_search_wordmatch;
ALTER TABLE phpbb_sessions RENAME TO xyz14xyz_sessions;
ALTER TABLE phpbb_smilies RENAME TO xyz14xyz_smilies;
ALTER TABLE phpbb_themes RENAME TO xyz14xyz_themes;
ALTER TABLE phpbb_themes_name RENAME TO xyz14xyz_themes_name;
ALTER TABLE phpbb_topics RENAME TO xyz14xyz_topics;
ALTER TABLE phpbb_topics_watch RENAME TO xyz14xyz_topics_watch;
ALTER TABLE phpbb_user_group RENAME TO xyz14xyz_user_group;
ALTER TABLE phpbb_users RENAME TO xyz14xyz_users;
ALTER TABLE phpbb_vote_desc RENAME TO xyz14xyz_vote_desc;
ALTER TABLE phpbb_vote_results RENAME TO xyz14xyz_vote_results;
ALTER TABLE phpbb_vote_voters RENAME TO xyz14xyz_vote_voters;
ALTER TABLE phpbb_words RENAME TO xyz14xyz_words;
bu tablolar sadece standart hiç mod kurulmamış phpbb içindir plus a da uymaz ona kendiniz ekleme çıkarma yapabilirsiniz
en son phpbb worm saldırılarından korunmak için apache ye mod_security
yi kurmanızı öneririm yapamazsanız yardım edebilriim ayrıca arama
motorlarını bunun için kullanana kişilerin sitenizdeki trafiği
arttırmasını şöyle engelliyebilirsiniz adamın biri phpbb.com da
görmüştüm 3 gb trafiğini yemiş google 2 günde bu aramalar yüzünden
.htacess dosyası oluşturun forumun ana klasöründe
bunu ekleyin içine
Kod: Hepsini Seç
RewriteCond %{QUERY_STRING} ^(.*)\\%2527
RewriteRule ^.*$ [Linkleri görebilmek için üye olun veya giriş yapın.] [R,L]
bu açığı kapamaz sadece arama motorları bu şekilde sitenizi indexliyemez
sunucunuzda neler olduğunu mu öğrenmek istiyorsun mysql ın loglamasını sağlayın
ssh yada telnet ile sunucuya bağlanın
my.cnf
dosyaısnı açın
[mysqld] yazan yerin altına şu kelimeuyi ekleyin
log-bin
phpbb kendi çapında güvenli bir sistem fakat bunu daha güvenli hale nasıl getiricez anlatıcam burada
öncelikle bunu 5 şubat 2005 tarihinde yazıyorum forumunuzu
güncelleyin bu tarihte en son sürüm phpbb 2.0.11 görsel doğrulama
standart oldu bunu açaak başlıyoruz
restrict guess accessbu modu kurmanızı öneririrm ziyaretçilerin
izinlerini sınırlıyor kimler online sayfasına kullanıcı gruplarına
arama özelliğini kullanmalarını engelliyor bunlardan herhalde en önemli
yer arama özelliği
[Linkleri görebilmek için üye olun veya giriş yapın.]
çok
kısa aralıklarla çok belirgin bir ünlü harfi istemek a gibi cpu nuzun
şişmesine sebep olur eğer sistem kaynaklarının size ayrılan kısımından
çoğunu bu yüzden kullanırsanız hesbaınız dondurulur suspend edilir
2. olay config.php nize weden ulaşılabilecek bir klasörde tutmayın
public_html yada www klasörlerine webden ulaşılır bunların bir üst
klasörüne koyun config.php nizi ve şu değişikliği yapın
common.php yi açın
Kod: Hepsini Seç
include($phpbb_root_path . ’config.’.$phpEx);
bunu bulun
bununla değiştirin
Kod: Hepsini Seç
include($phpbb_root_path . ’config.’.$phpEx);
phpbb de ara ara çıkan xss açıkları ile saldırganlar sizin farkına
varmadan bir link tıkltıp cookienizi alıp içindkei md5 hash i kırıp
şifrenize ulaşmak isteyebilir bunu içinde bu modu kuruyoruz
[Linkleri görebilmek için üye olun veya giriş yapın.]
olayın
mantığı şey şifrenizi girip login e bastığınız anda girdiğiniz şifrenin
yanına tamamen random rastgele yani sayılar ekliyor cookienizdede bu
eklenmiş sayıları içeren hash saklanıyor yani kırsalar bilr sizin
şifreniz değil bu olaya custom salt denir
max session modunu kurun diyeceğim ama bgüne kadar hiç bir yararını
görmeddim kurmak sizin elinizde sözde server ın overload olmasını
engelliyor
oda burada
[Linkleri görebilmek için üye olun veya giriş yapın.]
şimdi küçük ama etkili ve asıl önemli şeylere geldik
öncelikle
powered by yazısını kaldırıyoruz yanlış anlamayın türkçesini yazıcaz
onu editlemek için overal_footer.tpl yie ditlicez
Powered by phpBB
yazan yeri php.B.B tarafından güçlendirilmiştir gibi bir şey yazın
copyright ı silmeyin bu neyi engeller google vs. de inurl yada intitle
powered by phpbb 2.0.10 diye arayanları engeller sizin forumu
bulamazlar yada bu yazı yerine bir resim yapıştrabilirsiniz
en önemli değişim versiyonun silinmesi
overall_footer.tpl yi açın
’PHPBB_VERSION’ yazan kısımı silin yada başına // koyun yani
// ’PHPBB_VERSION’
bu şekilde olsun yada silin işte
admin/admin_db_utilities.php i kesinlikle siliyoruz çok gereksiz zaten
oradan ne veritabanı yükleyin nede yedek almaya çalışın o işlemleri
phpmyadmin den hallediyoruz
eğer bir saldırgan yönetim panelinize girerse en azından yedeğini alamasın kullanıcıların şifrelerini vs. kırmak için
şimdi admin klasörünün adını değiştirin
daha sonra includes/functions.php yi açın
include($phpbb_root_path
. ’admin/ yazan kısımı değiştirdiğiniz klasör adıyla değiştirin admin
klasörünü ab5hjd olarak adını değiştirdiyseniz orada admin yazan yere
ab5hjd yazın
daha sonra includes/page_tail.php yi açın
’ADMIN_LINK’ => $admin_link yazan kısımı bulun
’ADMIN_LINK’ => ’’ olarak değiştirin
bu
neyi sağlar login olmuş yöneticinin alttaki yönetim paneli linkine
tıklayarak giremesini sğalar çünkü o link yok girişi nasıl yapacak
admin klasörümünüz yeni adı ab5hjd idi forum/ab5hjd/index.php şeklinde giricek
dananın kuyruğunu kopartıyoruz o klasörü bir de şifreliyelim onu daha önce anlatmıştım
[Linkleri görebilmek için üye olun veya giriş yapın.]
onunda linki üstteki neyse devam edelim
phpbb_ yi standart prefiz olarak kullanmayın sql injection
saldırılarında başınızı ağrıtabilir en son phpbb 2.0.10 açığında php
üzerinden shell kodu çalıştırılıp mysqldump ile yedke alınabiliyordu
bunun için phpbb_ tablo yapısı bilinmesi laızmdı oda çoğumuuzn
forumdunda standart phpbb_ dir şimdi onu değiştiricez
config.php yi açın değiştirmek istediğiniz tablo adını
$table_prefix = ’phpbb_’ phpbb_ yazan kıısma girin tablo adı xyz14xyz_ oldun diyelim oraya girin
daha sonra
NOT :bu tablolar sadece standart hiç mod kurulmamış phpbb içindir plus a da uymaz ona kendiniz ekleme çıkarma yapabilirsiniz
phpmyadmin en bu sorguyu çalıştırın
Kod: Hepsini Seç
ALTER TABLE phpbb_auth_access RENAME TO xyz14xyz_auth_access;
ALTER TABLE phpbb_banlist RENAME TO xyz14xyz_banlist;
ALTER TABLE phpbb_categories RENAME TO xyz14xyz_categories;
ALTER TABLE phpbb_config RENAME TO xyz14xyz_config;
ALTER TABLE phpbb_confirm RENAME TO xyz14xyz_confirm;
ALTER TABLE phpbb_disallow RENAME TO xyz14xyz_disallow;
ALTER TABLE phpbb_forum_prune RENAME TO xyz14xyz_forum_prune;
ALTER TABLE phpbb_forums RENAME TO xyz14xyz_forums;
ALTER TABLE phpbb_groups RENAME TO xyz14xyz_groups;
ALTER TABLE phpbb_posts RENAME TO xyz14xyz_posts;
ALTER TABLE phpbb_posts_text RENAME TO xyz14xyz_posts_text;
ALTER TABLE phpbb_privmsgs RENAME TO xyz14xyz_privmsgs;
ALTER TABLE phpbb_privmsgs_text RENAME TO xyz14xyz_privmsgs_text;
ALTER TABLE phpbb_ranks RENAME TO xyz14xyz_ranks;
ALTER TABLE phpbb_search_results RENAME TO xyz14xyz_search_results;
ALTER TABLE phpbb_search_wordlist RENAME TO xyz14xyz_search_wordlist;
ALTER TABLE phpbb_search_wordmatch RENAME TO xyz14xyz_search_wordmatch;
ALTER TABLE phpbb_sessions RENAME TO xyz14xyz_sessions;
ALTER TABLE phpbb_smilies RENAME TO xyz14xyz_smilies;
ALTER TABLE phpbb_themes RENAME TO xyz14xyz_themes;
ALTER TABLE phpbb_themes_name RENAME TO xyz14xyz_themes_name;
ALTER TABLE phpbb_topics RENAME TO xyz14xyz_topics;
ALTER TABLE phpbb_topics_watch RENAME TO xyz14xyz_topics_watch;
ALTER TABLE phpbb_user_group RENAME TO xyz14xyz_user_group;
ALTER TABLE phpbb_users RENAME TO xyz14xyz_users;
ALTER TABLE phpbb_vote_desc RENAME TO xyz14xyz_vote_desc;
ALTER TABLE phpbb_vote_results RENAME TO xyz14xyz_vote_results;
ALTER TABLE phpbb_vote_voters RENAME TO xyz14xyz_vote_voters;
ALTER TABLE phpbb_words RENAME TO xyz14xyz_words;
bu tablolar sadece standart hiç mod kurulmamış phpbb içindir plus a da uymaz ona kendiniz ekleme çıkarma yapabilirsiniz
en son phpbb worm saldırılarından korunmak için apache ye mod_security
yi kurmanızı öneririm yapamazsanız yardım edebilriim ayrıca arama
motorlarını bunun için kullanana kişilerin sitenizdeki trafiği
arttırmasını şöyle engelliyebilirsiniz adamın biri phpbb.com da
görmüştüm 3 gb trafiğini yemiş google 2 günde bu aramalar yüzünden
.htacess dosyası oluşturun forumun ana klasöründe
bunu ekleyin içine
Kod: Hepsini Seç
RewriteCond %{QUERY_STRING} ^(.*)\\%2527
RewriteRule ^.*$ [Linkleri görebilmek için üye olun veya giriş yapın.] [R,L]
bu açığı kapamaz sadece arama motorları bu şekilde sitenizi indexliyemez
sunucunuzda neler olduğunu mu öğrenmek istiyorsun mysql ın loglamasını sağlayın
ssh yada telnet ile sunucuya bağlanın
my.cnf
dosyaısnı açın
[mysqld] yazan yerin altına şu kelimeuyi ekleyin
log-bin