PhpNukeTurkiye.Com (F)  >> PNT Nuke ve Php-Nuke (F)  >> PNT Nuke (F)
DSolu Görünüm İçin Tıklayın "PNT Nuke Güvenlik Önlemleri"

bir_umut: PNT Nuke Güvenlik Önlemleri (2012/08/30 - 17:18)

PNT Nuke sürümü bildiğiniz gibi nukenin en gelişmiş,özel ve güvenilir sürümü ancak sürümü tasarlayan ibrahim Demircan (Sonsuzluk) her ne kadar güvenliğe önem versede bizlerin kişisel güvenliğini yinede yapmamız gerekmektedir.Bu güvenlik önlemlerini sırası ile aşağıya yazıyorum onları mutlaka uygulamanızı öneriyorum.

[b]admin box kurulumu :[/b] Sitenize alacağınız yöneticiler bile admin.php adresine sizin izninizle girseler bile gerçek dosya ismini sizden başka kimse bilemeyecektir... adminboxun kurulumuyla

ilk önce aşağıdaki linkten AdminBox-1.0.3 indirin

ADMİN BOX DOSYASI

1- Orjinal admin.php dosyanızın ismini sadece sizin bileceğiniz bir isimle değiştirin (örneğin turkuaz.php)

2- ana dizinde ismini sadece sizin bileceğiniz bir klasör oluşturup upload edin. İsmini değiştirmiştik turkuaz.php dosyasını bu klasörün içine upload edin. (örneğin oluşturduğumuz klasör'ün ismi melek olsun)

3- İndirdiğiniz adminbox dosyanın içinden çıkan .htaccess ve index.html dosyalarını orjinal ismini değiştirmiştik turkuaz.php dosyanızı sakladığınız klasöre upload edin. (bizim örneğimizde klasörün ismini melek yapmıştık)

4- İndirdiğiniz dosyanın içinden çıkan admin.php dosyasını bir metin editoru mesela (Not Defteri) ile admin.php dosyasını sağ tıklayıp / birlikte aç / Not Defteri tıklayıp açın.

5- Değiştirmeniz gereken dört adet satır var bunlar

$authuser = "umut"; Buraya root 'u silip kendi istediğiniz bir isim yazınız
$authpass = "123456"; Buraya pass silip kendi istediğiniz bir şifre yazınız
$authpath = "melek"; Örnekte melek dedik onun için melek yazıyoruz
$authfile = "turkuaz.php"; Örnekte turkuaz dedik onun için turkuaz yaz.

Bu satırlarıda değiştirdikten sonra admin.php dosyasını root dizininize upload edin (Oluşturduğumuz klasörün içine değil root'a yollayın yoksa çalışmaz).

Kurulum bitti. Artık admin paneline az önce belirlediğiniz kullanıcı adı ve şifreyi belirtmeden, yazmadan kimse giremeyecek diğer site yöneticilerine bu kullanıcı adını ve şifreyi vermeniz lazım yoksa onlarda giremez ama onlar bile sizin belirlediğiniz bu klasörün ve de dosyanın ismini bilmeyecek....... Şunu da diyelim siteye yeni ilk girişte

http://www.sizinsiteniz.com/admin.php olarak giriş yapacaksınız

enter yaptığınızda istediği isim ve şifre admin giriş sayfasına ulaşmak için ulaşınca birde admin olarak girişte kullandığınız isim ve şifreyide girmeniz gerekecek yani iki isimli ve iki şifreli bir güvenlik oluşturdunuz her ikisinde de aynı isimleri ve şifreleri kullanmamanızı tavsiye ederim

yeserentohumlar: Re: PNT NUKE GÜVENLİK ÖNLEMLERİ (2012/08/30 - 17:24)

faydalı bilgi için teşekkür ederiz. ÖNCE EMNİYET SONRA HAREKET.

bir_umut: (2012/08/30 - 17:46)

prefix değiştirici : nukede klasik olarak prefixlerde nuke ön tagı kullanılmaktadır ama biz şanslıyız pnt nuke v3de istediğimiz prefix ön takını ekliyebiliriz güncelleme yapan arkadaşların kullandıgı pnt prefix ön takını değiştirmek için aşağıdaki anlatılanları uygulayın


ilk önce aşağıdaki linkten prefix değiştiriciyi indirin

PREFİX DEĞİŞTİRİCİ

prefix değiştirici not defteriyle açın şu kısımları değiştirin

//mysql bağlantısı
$dbname = 'fener'; //veritabanı adını yazınız.
$dbkullaniciadi ='root'; //veritabanı kullanıcı adını yazınız.
$db_sifre ='19071907'; //veritabanı şifrenizi yazınız.

//prefix ayarları
$onceki_prefix ="pnt"; ///mevcut prefix nedir? Onu yazacaksınız.
$yeni_prefix="serap"; ///Olmasını istediğiniz prefix nedir onu yazacaksınız!!

diyer kısımlara dokunmadan ana dizine atın admin girişi yapıp http://www.siteniz.com/prefixdegis.php entırlayın gördügünüz gibi prefixleriniz değişti

şimdi config.php açın prefix ve user prefixde değiştirdiğiniz prefix ismini yazın

$prefix = 'serap';
$user_prefix = 'serap';

tüm işlemler bittikten sonra ana dizindeki prefixdegis.php silmeyi unutmayın

bir_umut: (2012/08/30 - 18:10)

en önemli güvenlik önlemlerinden biride config.php mainfile.php header.php bu dosyaların saklanmasıdır

pntnukede config.php saklanmıştır ama siz değiştirmek isterseniz aşağıdakini uyguluyabilirsiniz

ana dizinde isimini sizin bileceğiniz bir klasör açın orjinal config.php o klasöre atın

ana dizindeki config.php aşağıdaki kodu uygulayın

if (stristr($_SERVER['SCRIPT_NAME'], "config.php")) {
Header("Location: index.php");
die();}
@include("sizinklasörünüz/config.php");
?>

bu işlemin aynısını header ve mainfiliyede uyguluyabilirsiniz tek dikat etmeniz gereken nokta hangi dosyaya uyguluyaarsanız

f (stristr($_SERVER['SCRIPT_NAME'], "şu kısmı değişmenizdir ")) {
Header("Location: index.php");
die();}
headerse header mainfiliyse mainfile.php yazmanız gerekmektedir

bir_umut: (2012/08/30 - 18:40)

php nuke forum admin paneline sızarak sitelere saldırı yapıyorlar bunun için forum admine şifre koyacağız

modules/Forums/admin/index.php yi açın

<?php kodundan sonra aşağıdaki kodu ekleyin

$ourLogin = "buraya kendi belirliyeceğiniz kullanıcı adını yazınız";
$ourPassword = "buraya kendi belirliyeceğiniz şifreyi yazınız";

session_start();

if ($_SESSION['login']!=$ourLogin && $_SESSION['password']!=$ourPassword) {


if ($_POST['login']==$ourLogin && $_POST['password']==$ourPassword) {


$_SESSION['login'] = $_POST['login'];
$_SESSION['password'] = $_POST['password'];
header("Location: index.php");


}
else {


echo "
<form>


Login:<br>
<input><br>

Password:<br>
<input><br>

<input>


</form>
";

exit;

}

}

bir_umut: Re: (2012/08/30 - 19:15)

forumda üyelerin avatar yüklemesini engelleyin kolay kolay üyelerin upload yapabileceği bir modül kullanmayın yönetici şifrelerinde özel karakterlerde kullanın ( -*'&%!</{ ) vb.

ftp ve yönetici bilgilerini bilgisayarda kayıtlı tutmayın
bilgisayarınıza güncel ve güvenilir bir virüs programı mutlaka kurun
her bulduğunuz dosyayı sitenize atıp çalıştırmayı denemeyin
indirdiğiniz tüm dosyaları virüs taramasından geçirin

Sonsuzluk: (2012/08/31 - 09:55)

teşekkür ederim yararlı bir paylaşım oldu konuyu sabitledim

burada yazılanlar sadece burada kalmasın herkez elinden geldiğince uygulasın bu anlatımları

MetinPascha: Re: (2012/09/12 - 10:59)

Dün PNT Nuke'nin v3 sürümünü indirdim ancak henüz kurmadım, bugün kurmaya başlayacağım. Daha önce PHP Nuke'nin 7 sürümlerinden bir tanesini kullandım ve kendimce birkaç güvenlik önlemi alıp, tam 10 yıl boyunca böyle siteyi yönettim ve kimse bir güvenlik açığı bulup sayfaya saldırıp çökertemedi. Saldıranlar çok oldu ama çökertilemedi. Geçenlerde Database'de yani veri tabanında kendi bir hatamdan dolayı da hata yaptım, verilerin birkaçını geri getirme mümkün olmadan sildim, kopyesini de almamıştım, bu yüzden şimdi PNT Nuke'nin v3 sürümünü kuracağım ancak bu sürümün bile PHP Nuke'nin "tipik" açıkları gibi güvenlik zaafiyetlerinin olduğunu okudum.

Bu güvenlik zaafiyetlerinin çözümlemelerinin burada anlatılması çok güzel, biraz zaman alacak ama düşmana fırsat vermemek lazım :)

Sonsuzluk: Re: (2012/09/12 - 16:36)

PNT Nuke'nin v3 sürümünü kuracağım ancak bu sürümün bile PHP Nuke'nin "tipik" açıkları gibi güvenlik zaafiyetlerinin olduğunu okudum.

Bu kelimenizde önyargı gördüm yani incelemediğiniz kullanmadığınız bir sürüm hakkında bu denli kanıya varmayın burada arkadaşın anlatmış oldukları güvenlik açıkları değil güvenlik önlemleri bu ikisi arasındaki farkı lütfen göz ardı etmeyin

Ayrıca şunuda anlamanızı istiyorum genel olarak bilinen yanlış şu (bu yazım herkez için)

4-4 lük güvenli bir sürüm-cms-kodlama yoktur olamazda dev şirketlerin siteleri bile dakikalar içerisinde yerlebir olurken sizlerin kusursuz bir arayış içerisine girmeniz yanlış.Pentagonun sitesinin ne hale geldiğini-Mit'in sitesinin ne hale geldiğini sanırım hepiniz bilirsiniz bunlardaki güvenlik üst safhada olmasına rağmen bakın yinede ayakda duramıyorlar.

Burada anlatılanlar güvenlik önlemleri açıkları değil bu ikisi arasındaki fark şu eğer bunların açık olduğunu düşünseydim zaten paketi yaparken bunları kapatır paylaşırdım ama bunlar açık değil güvenlik önlemleri yani insanların bazı kişisel güvenlik önlemlerini almasını istememiz paketin tipik güvenlik açıkları diye adlandırılmasını gerektirmez, kaldıki bu yazınızdan nukede bulunan tipik açıklardan haberdar olmadığınızı anlıyorum eğerki nukedeki o tipik açıkları kapatmayıpda bu paketi paylaşsaydım şuan çokdaha farklı kulvarlarda mesajlaşıyor olurduk :)

beklentiler: Re: (2012/10/19 - 20:16)

Çok faydalı bir bilgi teşekkürler.