• Bu site çerezler kullanır. Bu siteyi kullanmaya devam ederek çerez kullanımımızı kabul etmiş olursunuz. Daha fazla bilgi edin.

Yeterrr kimdir bu sitemi hackleyen!

Konuyu Okuyan Kişiler (0)

fhartavi

webmaster.tc
Katılım
27 Nis 2013
Mesajlar
58
Beğeniler
0
#1
Arkadaşlar inforesim yüklü oyun sitemde admin panelim hacklenmiş tüm üyeler silinmiş ve kategorilere küfür yazılmıştır.Bu hackerleri sadece insanları korumak adına yaptıkları diyenler benim sitemin kime ne zararı olmuş şimdi cevap bekliyorum! Neden hackleniyorum.Neden admin panelimdeki şifrem kuvvetli olmasına ragmen yani hacklendi.Sayın inforesim sizi konuya davet ediyorum böyle güvenlik kontrolu yüksek olan bir admin panel yapın allah razı olsun tüm sorunlarla ilgileniyorsunuz lütfen bu sorunlada ilgilenin çünkü bıktım.Örn: e-destek tek kullanımlık şifre sistemi var onu entegre edebilseniz süper olur yada başka bir yöntem yeterki sadece kul adı şifreyle sınırlanmasın bu scriptin önü açık!

ALPSQL teşekkürler

inforesim konuya sizi davet ediyorum
 

depresan

webmaster.tc
Katılım
14 May 2013
Mesajlar
12
Beğeniler
0
#2
admin panel linkinize cpanelden şifre koyabilirsiniz
2 kere giriş olur. birde scripte aramayın hatayı, sunucunuz güvenlimi?
 

blackcode06

webmaster.tc
Katılım
12 May 2013
Mesajlar
2
Beğeniler
0
#3
arkadaşlar benimde bugün sitemden ftp den index.php vs bi kaç dosya silinmiş. şifreleri silinmiş bilgileri kimse ile paylaşmadım ve şifreler çok güçlü scriptte açık var sanırım. lütfen ilgilenin.
 

fhartavi

webmaster.tc
Katılım
27 Nis 2013
Mesajlar
58
Beğeniler
0
#4
admin panel linkinize cpanelden şifre koyabilirsiniz
2 kere giriş olur. birde scripte aramayın hatayı, sunucunuz güvenlimi?

scriptte hata kesinlikle yok.diyorum ek bir eklenti eklense süper olur.Dostum cpanelden nasıl şifre koyacam onuda anlatsan süper olacak.


arkadaşlar benimde bugün sitemden ftp den index.php vs bi kaç dosya silinmiş. şifreleri silinmiş bilgileri kimse ile paylaşmadım ve şifreler çok güçlü scriptte açık var sanırım. lütfen ilgilenin.

Scriptte açık falan yok.Senin sunucun güvenli değildir.Benim cPanel e erişim olmadı ücretli iyi hostlardan alırsan sorun çıkmaZ

Saygılar

Ancak verisign tek kullanımlık şifre entegresi çok iyi olur isteyen aktifleştirir isteyen devredışı bırakır
 

fhartavi

webmaster.tc
Katılım
27 Nis 2013
Mesajlar
58
Beğeniler
0
#5
script açığı ne kadar kuvvetli olursa zaten senın cpanel şifreni veremez sadece db bilgilerini verebilir onunda karşıdaki kişiye pek yararı olacağını zannetmıyorum
 

fhartavi

webmaster.tc
Katılım
27 Nis 2013
Mesajlar
58
Beğeniler
0
#7
Ama neden bizimki olmuyor zannetmem scriptte açık olduğunu bu sorunun en iyi cevabını inforesim verir çok teşekkür ediyorum burdan bize çok yardımcı olduğu için.
 

Radi Core

webmaster.tc
Katılım
27 Nis 2013
Mesajlar
198
Beğeniler
0
#8
İnforesim bütün açıkları kapamıştır sanmıyorum pm atarsanız kendilerine en yakın sürede geri dönecektir. Kolay gelsin
 

inforesim

webmaster.tc
Katılım
4 Ağu 2012
Mesajlar
2,439
Beğeniler
0
#9
Merhaba,

İlk olarak arkadaşın araması üzerine konuya geldim, Biraz dinleniyordum ama konu daha çok bilen bilmeyen kişilerin karışması ile uzamasın diye bir açıklama yapma gereği duydum.

İlk olarak, Ben yazılımlarımda güvenliğe önem veren biriyim, İnforesim Oyun Scriptinden önceki yazılımım, İnforesim Video Scripti ile 1m kadar hite ulaşılmış. Yüzlerce insan tarafından kullanılmış ve Bu güne kadar sorun yaratmamıştır (açık vb. konularında).

İlk olarak, İnforesim Oyun Scriptindeki tüm üyelerin şifreleri 4 defa md5 yaparak saklanmaktadır. Şuan, MD5 kırılmasını sadece hazır veritabanları ile Olmaktadır.

Yani adamlar, 1 sayısını ve md5 li halini veritabanına kayıt ediyor ve Böyle bir liste yaratıyor. Bu liste ilede, md5 veriyor ve md5 varsa veritabanında karşıdaki değeri alarak çözümlüyor. Yani aksi şekilde kırılması imkansızdır.

Bu dediğim olay ise sadece sayı kombinasyonlarında geçerlidir. Örnek adam,
100000000 kadar sayıların hepsini md5 den geçirerek bir liste hazırlar ve O sayıların arasında 1 defa md5lenmiş sayı var ise çözümler. Bu kadar sayı arasına 1 harf bile girmesi milyarlarca ihtimal yaratır. Yani sayı ve Harf karışık bir md5 kırmak imkansız gibi bir şeydir ki bunun 4 defa md5lendiğini söylemiyorum bile.

Şuan 4 defa md5 lenmiş sayıyı kırmak bile imkansız gibidir (6-7 haneli olmalı) çünkü çok fazla ihtimal ve Kombinasyon demek. Böyle bir veriyi saklamak ve Sorgular gerçekleştirmek güç bir olaydır.

Md5 Hakkında Daha Detaylı Bilgiyi : MD5 Nedir? - Türkiye'nin Sosyal Bilgi Platformu buradan alabilirsiniz.

Yani, Eğer yazılımda bir SQL açığı bulunsa bile ve Adminin şifresini çekse bile elde edeceği, Şifrenizin 4 defa md5 lenmiş halidir. Bunu elde etse bile MYSQL giremeyecektir.

Ayrıca, Yazılımda %100 SQL koruması vardır. %100 derken, Bir insan mantığını yansıtmıyorum burada. VERİTABANI BAĞLANTISI OLAN TÜM SAYFALARDA, POST - GET - SESSİON - COOKİE gibi sisteme ulaşabilecek değerlerin tümü sentezden geçmektedir. Bu otomatik olarak mysql bağlantısı olan tüm sayfalarda olmaktadır.

Ayrıca, SQL açığı bulsa bile (imkansız gibi görünüyor) anca olan md5 değerini kendi oluşturduğu bir değer ile değiştirerek bunu sağlayabilir. Ki yazılımın kaç defa md5 yaptığı vb. şifreli dosyalarda bulunmaktadır.

Konuyu açan arkadaşımın sorusunu cevapladığıma inanıyorum, İkinci soruya gelirsek

blackcode06 demesi üzerine FTP sinde 2-3 tane php dosyası silinmiş. İlk olarak, FTP deki dosyayı silebilmek için SQL açığının ilerisi bir kabilyete sahip olmak gerekir. Yani, Sunucuya shell atılması gerekmektedir.

Bir scripte shell atmak için, Ziyaretçilerin ve Üyelerin veri yükleyebileceği alanlardaki açıklardan yararlanarak php dosyasının içeri aktarılması gerekmektedir. Ziyaretçinin böyle bir imkanı yoktur, Sadece üyeler resim yükleme özelliği bu açığı yaratabilir.

Üyelerin resim yüklemesinde, Hem yüklenen resmin uzantısının kontrolü yapılmaktadır ki bir şekilde php olarak aktarsa bile içeriye, Gelen dosya jpg formatına çevirilip boyutlandırılmaktadır.

Yani gelen dosya php dosyası olsa bile en fazla alacağı hal shell.jpg olacaktır ve Bir etkisi olmayacaktır.

FTP dosyasını silindiğini söyleyen arkadaş, Hosting firmasından sitesine ait ftp loglarını isteyerek hangi saatte hangi dosya silinmiş vb. bakabilirler.

Yani işin özeti, Ben bu yazımda Oyun Scriptinde açık olmasının imkansız olduğunu söylemedim. Sadece söylediğiniz yöntemlerle böyle bir açık yaratılmasının pek mümkün olmadığını söyledim. He, İnsan olduğumuz için elbet açık olma ihtimali vardır (Paranında dik düşme ihtimali var). Eğer bu tür bir konuya net olarak rastlarsanız bana iletin detaylı inceleriz ve Ücretsiz dağıttığımız İnforesim Oyun Scriptinin daha kuvvetli hale getiririz.

ve Unutmadan, Yazılımda bir açık olup olmadığına emin olmadan önce bilgisayarınızda keylogger ve Sunucunuzda açık olmadığına, Bilgilerinizin başkaları tarafından erişilemeyeceğine emin olmalısınız.

Selametle...
 

blackcode06

webmaster.tc
Katılım
12 May 2013
Mesajlar
2
Beğeniler
0
#11
eyw saol aydınlattıgın için tekrar kontrol edecem aksi bi durum olursa özelden ulaşırım. ayrıca kusura bakmayın amaç scriptin adını lekelemek değil piyasada bundan iyisi ve destek verileni yok teşekkür ederim 5 dk geçmeden cvp yazıldı bile ii çalışmalar. allah yardımcınız olsun.
 

Ademcan52

webmaster.tc
Katılım
29 Ara 2012
Mesajlar
249
Beğeniler
0
#12
Buyuk Bır Ihtımal Shell Yemıssındır Hocam .. kodlarla oynayıp admın panelıne sıfresız gırmek te kolay... bu sekılde gırıs yapılıp yazılar yazıla bılır...daha sonra tek rar duzenlemıslerdır... ftp de dosyalar sılınmıs dedıgın ıcın bunu yazdım... %100 shelll yemıssındır .. ıyıce bak dosyalara.. hatta host fırması ıle ırtıbat kur oda baksın..


Bu Benım Sahsı Fikrim... Ama İnforesim İşin Ehli Ve Gereklı Acıklamayı Yapmıs...
 

fhartavi

webmaster.tc
Katılım
27 Nis 2013
Mesajlar
58
Beğeniler
0
#13
Sayın inforesim;

Dediğinize katılıyorum açık zor.Ancak ek bir güvenlik önlemi yararlı olur diye düşünüyorum.Tek kullanımlık şifre sisteminnin kırılması bildiğiniz gibi çok zordur.Telefonum iPhone verisign tek kullanımlık şifre sistemiyle şifrelenebilen tüm sitelerdeki üyeliklerimi şifreledim . Zaten benim scriptle sorunum yok bu eklenti olursa daha iyi olur açısından konuyu açtım


Saygılarımla
 
Katılım
20 Eyl 2012
Mesajlar
390
Beğeniler
0
#14
birkaç arkadaş daha böyle dedi bende istek üzerine scriptin demo sitesini inceledim demo sitesinde bulduğum küçük birkaç açık var.
1-(bu sadece demo sitesi için geçerli)Sitenin Web Serveri Doss atack lara karşı yeterli değil
2-(bu herkes için geçerli)Kullanıcı Kimlik Bilgileri Şifresiz Bir Kanal Üzerinden İletiliyor.Https olmalı(Parayla Alınabilecek Birşey)

Yani Bunlar Büyük Açıklar Değil Zaten Başkada Açık Yok Şuanlık Gözlemlediğim

Şifrenizi Bulmaları İçin Rasgele Şifre Tekniğini Kullanmış Olabilirler
 

fhartavi

webmaster.tc
Katılım
27 Nis 2013
Mesajlar
58
Beğeniler
0
#15
Şifremi bulmak için rasgele mi :DDDDD haha güldürmeyin lütfen koydugum şifre süperdi neyse boşver üstad verisign entegre etmeye çalışırım
 

alexcelik

webmaster.tc
Katılım
1 May 2013
Mesajlar
7
Beğeniler
0
#17
Arkadaşlar bu sistemde güvenlik açığı var keisnlikle kullanmanızı tavsiye etmem daha sonra süprizler yaşayabilirsiniz sitedeki oyunların kendiliğinden silinmesi vb. bir çok süpriz