php sitesinin güvenliği nası sağlanır

[blademaster]

şlindi bizm arkadaşlarla bi php sitemiz var ama bi lamer dadandı sürekli salak salak şeyler yapıp duruyoı nası güvenliğni sağlıycaz bi tevsiye verin ...[signature][hline]Ne kadar carpe diem deseler de inanma. Hep geleceğe oyna. Neden mi? Çünkü şu anda bu yazıyı okuyosun, geçmiş de saniyeler önce geride kaldı.

[unity100]

olay ne onu detaylandir once.

php site nedir nuk mu yoksa kendiniz mi yazdiniz.

phpsuexec gibi yardimcilar calisiyor mu hostta.[signature][hline].~:&:* Let the sunshine in *:&:~.

[blademaster]

nuke
hosatta dediin gibi yardımcılar yok
çok basit bi site eleman nası beceriyosa admin şifrelerini ele geçiriyo sora da heryer benim diyerek ortalıkta dolaşıyo milletin adına mesaj atıyo milletin avatarlarlaimzalarla oynuyo
neyse bi şekilde ipsini bulduk adamın savcılığa şikayet ediyoruz da yine de bi sorun olmasın[signature][hline]Ne kadar carpe diem deseler de inanma. Hep geleceğe oyna. Neden mi? Çünkü şu anda bu yazıyı okuyosun, geçmiş de saniyeler önce geride kaldı.

[Berk]

direk ip ban koyun?

hatta kedi bi zaman dürümcüde phpde adamın hdd serialnın alan bi functionun olduğunu söylemişti onu bulun aın serialı
minik bi script yazın bu serillı adam servera bağlanamasın bağlanırsa boş bişi çıksın diye

[sharky]

Javascript destegi ile evet. Fakat PHP ile hayir. :)

Server-Side calisan bir olay nasil hdd serialtini alabilir, algilayabilmis degilim.[signature][hline]There are 10 types of people in the world: Those who understand binary, and those who don't..

-EE
Unix/Linux Sys. Adm., Security Prov., Programmer, IT Depart. PM
Google Search : "Türkiyenin en iyi hosting firması"

[Faust]

hmm hdd serial olayını biraz açabilirmisiniz nasıl oluyor?

arkadaşa tavsiyem. nukeu hiç kullanma. başka portallar kullanabilirsin. ayrica sitende avatar upload v.s. gibi modülleride kaldir.

[Faust]

hmm programlama dilinden anlamam ama visual basic scripti sanırım. programcı arkadaşlara faydalı olabilir.

Use GetVolumeInformation function, like this example:


procedure TForm1.Button1Click(Sender: TObject);
var
SerialNum: DWord;
A,B: DWord;
C: array [0..255] of Char;
Buffer: array [0..255] of Char;
begin
if GetVolumeInformation(
PChar('C:'),
Buffer,
256,
@SerialNum,
A,
B,
C,
256) then Label1.Caption:=IntToStr(SerialNum);
end;

[blademaster]

çok saolun arkadaşlar ama ban bi işe yaramıyo galiba çünkü adam dial-up kullanıyo galiba ama küçü bi ihtimal dsl kullanıyo yine de bulduğum bi ip ye ban koydum

bu hd serial olayı için kediye buraya yardıma çağırıyorum
sesimi duyo da gelir işallah
bi de unutmuşum onu da yzıyıım telekomdan falan bi ip nin sahibini nası örğreniyoruz dilekçe veince söylüyolar mı
[signature][hline]Ne kadar carpe diem deseler de inanma. Hep geleceğe oyna. Neden mi? Çünkü şu anda bu yazıyı okuyosun, geçmiş de saniyeler önce geride kaldı.

[Bu mesaj blademaster tarafından 28 January 2004 00:19 tarihinde değiştirilmiştir]

[essoloube]

adı geçen sitenin diğer adminlerinden biri de benim ama sorarım size bi sitede 7 dene admin olursa nolur, böle olayların olması çok doğal değil mi???
Bence bu hdd olayı çok gereksiz, ya da ne bilim kasıntı bi işlem. tek bi site olsa yani kendi hazırladığımız bi site olsa yapması kolay ama php-nuke'e bunu entegre etmek biraz kasıntı...

[Bu mesaj essoloube tarafından 28 January 2004 00:24 tarihinde değiştirilmiştir]

[unity100]

hdd serialini almanin hicbir manasi yok. adam der ben o saatte evde yoktum kuzenime vermistim bik bik. ancak o ipnin tahsis edildigi evin, sirketin, sahsin, meskenin artik ne ise sahibine karsi bir durumun olur.

nuke siteni hemen patchle. emin ol bu sorunla karsilasan tek kisi sen degilsindir, birileri bir yerde patch cikarmistir onun icin.

bu nukenin kendi ic sisteminin bir olayi oldugu icin hosttan ya da script disinda sistemlerden yapabilecegin pek birsey yok. adam admin sifresini aliyor. eger bu sistemdeki herhangi bir olaydan kaynaklanan bir acik olsaydi baska seylerin de sifresini edinirdi. zaten yanlis hatirlamiyorsam nuk sifreleri md5leyerek atiyor dbaseye. md5 i de decode edemeyecegine gore herif dbaseye ulasti sifrelere coktu gibi bir durum olamaz. olay yine nukun ic yapisina isaret ediyor demek.[signature][hline].~:&:* Let the sunshine in *:&:~.

[Berk]

unity md5ler gayet rahat kırılabiliyor,
ama lamer bi kişilik onla uraşmaz kesinlikle

[Faust]

hmm bu olay sanırım phpnukenin sql injection olayı. bi çok hazır script var. phpnukenın kurulu oldugu dizini gösteriyorsunuz. admin user ve pass yaziyorsunuz. o sitede size admin yaratıyor. berkinde dediği gibi md5 kırılır ama uzun bir şifreyi kırmak günler alabilir. çok kasış bişi. kimse uğraşmaz bencede.

[unity100]

kendiniz yazin siteyi. en iisi.[signature][hline].~:&:* Let the sunshine in *:&:~.

[sharky]

said:

Berk, 28 January 2004 16:42 tarihinde demiş ki:
unity md5ler gayet rahat kırılabiliyor,
ama lamer bi kişilik onla uraşmaz kesinlikle

Asıl problem authentication kısmını md5($pass), yerine md5(md5($pass."BENSUPERPASSWORDUMHARIKAYIMBITANEY1M.")."ANA"); olarak değiştirirsiniz, bir daha şifreleriniz kaynak kodu görmeden pek kolay kırılmaz.[signature][hline]There are 10 types of people in the world: Those who understand binary, and those who don't..

-EE
Unix/Linux Sys. Adm., Security Prov., Programmer, IT Depart. PM
Google Search : "Türkiyenin en iyi hosting firması"

[unity100]

hatta userin kaydoldugu anin unix timestampini, adamin ipsini hep beraber passwordla hashlarsaniz daha bile neseli olur. her login sisteminde bunu yaparim ben.[signature][hline].~:&:* Let the sunshine in *:&:~.

[sharky]

Eger o timestamp, sabit bir degerse, ve veritabaninda tutuluyorsa evet :) Obur turlu o sifreyi bir daha bulmak cok cok uzun zaman alacaktir :)[signature][hline]There are 10 types of people in the world: Those who understand binary, and those who don't..

-EE
Unix/Linux Sys. Adm., Security Prov., Programmer, IT Depart. PM
Google Search : "Türkiyenin en iyi hosting firması"

[blademaster]

neyse hacker geçinne elamanı bulduk benim accountumla mesaj atınca ipsi açığa çıktı dsl kullanıcısı salak kişilik ban yiyince bu gün rahat durdu kayıtlarla beraber telekoma şikayet edcez dial-updan başkasını göremez artık[signature][hline]Ne kadar carpe diem deseler de inanma. Hep geleceğe oyna. Neden mi? Çünkü şu anda bu yazıyı okuyosun, geçmiş de saniyeler önce geride kaldı.

[unity100]

userin passworduyle hash edilecegi ve sonra dbaseye atilacagi icin userin kaydoldugu anin zamani olmak zorunda. aslinda unix timestamp olmak zorunda da degil hatta formatlayip efendi gibi "12-03-2003 20.30" gibi bir string haline getirip de yapilabilir. mesela

$string=md5('sOrOlOHackErsiEgIt');
$ip=$REMOTE_ADDR;
$iphash=md5($ip);
$time=time();
$timehash=md5($time);
$domainhash=md5('www.yenisite.com');
$passwordtemp=md5($kaydolaninverdigipassword);
$passwordcorbasi=$string.$iphash.$domainhash.$passwordtemp.$timehash;
$passwordtodb=md5($passwordcorbasi);

passwordtodb yi dbaseye atariz. md5 maymunu bir hash olur elimizde.[signature][hline].~:&:* Let the sunshine in *:&:~.

[unity100]

said:

blademaster, 28 January 2004 22:41 tarihinde demiş ki:
neyse hacker geçinne elamanı bulduk benim accountumla mesaj atınca ipsi açığa çıktı dsl kullanıcısı salak kişilik ban yiyince bu gün rahat durdu kayıtlarla beraber telekoma şikayet edcez dial-updan başkasını göremez artık

baskasi yapacak bu sefer. kendiniz yazin siteyi bence.[signature][hline].~:&:* Let the sunshine in *:&:~.

[unity100]

ha tabi yukarida yazdigimda kullanicinin kayit oldugu ip ve zaman da kullanicinin login bilgisinin parcasi haline gelecek. onlarin da dbaseye atilmasi lazim. aksi takdirde adam normal sekilde passwordunu kullandiginda decode etmek imkansiz olur login vakti.[signature][hline].~:&:* Let the sunshine in *:&:~.

[wanderer]

said:

unity100, 28 January 2004 22:42 tarihinde demiş ki:

baskasi yapacak bu sefer. kendiniz yazin siteyi bence.

+1[signature][hline]raki asmis biseydir

[Berk]

tamamda en azından asp veya pph bilmeden nasıl yönetecekler siteyi?
aa şunu da ekleyelim diyince çakılıp kalırlar öbür türlü,

Ben bi ara sıkılınca passwordleri md5(md5(crypt("hebele")))

tarziında hashliyordum neşeli oluyor tavsiye ederim bu parantezlerin uzunluğu coder kişiliğin üşengeçliğine de bağlı tabi =)

[mexinth]

nuke ün hangi versiyonu bu, bende php nuke kullanıyorum. Kendiniz yazacak zamanınız yoksa modifiye edin bir arayüz üstüne, başkasınn yazdığı kodda değişiklik yapmak başta zor gerçekten çünkü ara ara nerde bu olaylar bul filan zor olabilir. Ama ben azıcık c++ bilgimle php yi de anlamaya başladığımdan, en azından konseptini bazı ayarları yapabildiysem siz de rahatça üstelik 2 kişi istediğinizi yaparsınız gibme geliyor birde

www.nuketurk.org yada com adında bir portal olacaktı güzelce kaynak ve yardım alabilirsiniz.[signature][hline]sonunda yeniledim.

[blademaster]

hıı yazabilitemiz düşük galiba yani aramızda phpden çok iyi derecede anlayan kimse yok yan idüşünüyorum da biz yazarsak dah açok açık çıkar gibi geliyo :(
peki html le bi forum yapılabilir mi nası olur olursa[signature][hline]Ne kadar carpe diem deseler de inanma. Hep geleceğe oyna. Neden mi? Çünkü şu anda bu yazıyı okuyosun, geçmiş de saniyeler önce geride kaldı.

[blademaster]

yaaa yine hacklediler ama adam ftp den bişielr yapıyo artık database e giremiyo bütün database i temizleyip yerine resim koyyuo :( bi çözüm bi çözüm[signature][hline]Ne kadar carpe diem deseler de inanma. Hep geleceğe oyna. Neden mi? Çünkü şu anda bu yazıyı okuyosun, geçmiş de saniyeler önce geride kaldı.