PNT Nuke Güvenlik Önlemleri

PNT-Nuke sürümleri hakkında yaşanan sorunların ve yapılan paylaşımların yazıldığı bölüm

Moderatör: Moderatörler

PNT Nuke Güvenlik Önlemleri

Mesajgönderen bir_umut » 2012/08/30 - 17:18

PNT Nuke sürümü bildiğiniz gibi nukenin en gelişmiş,özel ve güvenilir sürümü ancak sürümü tasarlayan ibrahim Demircan (Sonsuzluk) her ne kadar güvenliğe önem versede bizlerin kişisel güvenliğini yinede yapmamız gerekmektedir.Bu güvenlik önlemlerini sırası ile aşağıya yazıyorum onları mutlaka uygulamanızı öneriyorum.

[b]admin box kurulumu :[/b] Sitenize alacağınız yöneticiler bile admin.php adresine sizin izninizle girseler bile gerçek dosya ismini sizden başka kimse bilemeyecektir... adminboxun kurulumuyla

ilk önce aşağıdaki linkten AdminBox-1.0.3 indirin

ADMİN BOX DOSYASI

1- Orjinal admin.php dosyanızın ismini sadece sizin bileceğiniz bir isimle değiştirin (örneğin turkuaz.php)

2- ana dizinde ismini sadece sizin bileceğiniz bir klasör oluşturup upload edin. İsmini değiştirmiştik turkuaz.php dosyasını bu klasörün içine upload edin. (örneğin oluşturduğumuz klasör'ün ismi melek olsun)

3- İndirdiğiniz adminbox dosyanın içinden çıkan .htaccess ve index.html dosyalarını orjinal ismini değiştirmiştik turkuaz.php dosyanızı sakladığınız klasöre upload edin. (bizim örneğimizde klasörün ismini melek yapmıştık)

4- İndirdiğiniz dosyanın içinden çıkan admin.php dosyasını bir metin editoru mesela (Not Defteri) ile admin.php dosyasını sağ tıklayıp / birlikte aç / Not Defteri tıklayıp açın.

5- Değiştirmeniz gereken dört adet satır var bunlar

Kod: Tümünü seç
$authuser = "umut"; Buraya root 'u silip kendi istediğiniz bir isim yazınız
$authpass = "123456"; Buraya pass silip kendi istediğiniz bir şifre yazınız
$authpath = "melek"; Örnekte melek dedik onun için melek yazıyoruz
$authfile = "turkuaz.php"; Örnekte turkuaz dedik onun için turkuaz yaz.


Bu satırlarıda değiştirdikten sonra admin.php dosyasını root dizininize upload edin (Oluşturduğumuz klasörün içine değil root'a yollayın yoksa çalışmaz).

Kurulum bitti. Artık admin paneline az önce belirlediğiniz kullanıcı adı ve şifreyi belirtmeden, yazmadan kimse giremeyecek diğer site yöneticilerine bu kullanıcı adını ve şifreyi vermeniz lazım yoksa onlarda giremez ama onlar bile sizin belirlediğiniz bu klasörün ve de dosyanın ismini bilmeyecek....... Şunu da diyelim siteye yeni ilk girişte

www.sizinsiteniz.com/admin.php olarak giriş yapacaksınız

enter yaptığınızda istediği isim ve şifre admin giriş sayfasına ulaşmak için ulaşınca birde admin olarak girişte kullandığınız isim ve şifreyide girmeniz gerekecek yani iki isimli ve iki şifreli bir güvenlik oluşturdunuz her ikisinde de aynı isimleri ve şifreleri kullanmamanızı tavsiye ederim
Moderatör
Kullanıcı avatarı
Mesajlar: 115
Kayıt: 2011/09/05 - 00:00
Ettiği teşekkür: 0
Aldığı teşekkür: 1


Re: PNT NUKE GÜVENLİK ÖNLEMLERİ

Mesajgönderen yeserentohumlar » 2012/08/30 - 17:24

faydalı bilgi için teşekkür ederiz. ÖNCE EMNİYET SONRA HAREKET.
Uğur AĞAOĞLU
PNT Üyesi
Kullanıcı avatarı
Mesajlar: 512
Kayıt: 2011/09/29 - 00:00
Konum: Eskişehir
Ettiği teşekkür: 8
Aldığı teşekkür: 3

Mesajgönderen bir_umut » 2012/08/30 - 17:46

prefix değiştirici : nukede klasik olarak prefixlerde nuke ön tagı kullanılmaktadır ama biz şanslıyız pnt nuke v3de istediğimiz prefix ön takını ekliyebiliriz güncelleme yapan arkadaşların kullandıgı pnt prefix ön takını değiştirmek için aşağıdaki anlatılanları uygulayın


ilk önce aşağıdaki linkten prefix değiştiriciyi indirin

PREFİX DEĞİŞTİRİCİ

prefix değiştirici not defteriyle açın şu kısımları değiştirin

Kod: Tümünü seç
//mysql bağlantısı
$dbname = 'fener';   //veritabanı adını yazınız.
$dbkullaniciadi ='root';  //veritabanı kullanıcı adını yazınız.
$db_sifre ='19071907';   //veritabanı şifrenizi yazınız.


Kod: Tümünü seç
//prefix ayarları
$onceki_prefix ="pnt";  ///mevcut prefix nedir? Onu yazacaksınız.
$yeni_prefix="serap";     ///Olmasını istediğiniz prefix nedir onu yazacaksınız!!


diyer kısımlara dokunmadan ana dizine atın admin girişi yapıp www.siteniz.com/prefixdegis.php entırlayın gördügünüz gibi prefixleriniz değişti

şimdi config.php açın prefix ve user prefixde değiştirdiğiniz prefix ismini yazın

Kod: Tümünü seç
$prefix = 'serap';
$user_prefix = 'serap';


tüm işlemler bittikten sonra ana dizindeki prefixdegis.php silmeyi unutmayın
Moderatör
Kullanıcı avatarı
Mesajlar: 115
Kayıt: 2011/09/05 - 00:00
Ettiği teşekkür: 0
Aldığı teşekkür: 1

Mesajgönderen bir_umut » 2012/08/30 - 18:10

en önemli güvenlik önlemlerinden biride config.php mainfile.php header.php bu dosyaların saklanmasıdır

pntnukede config.php saklanmıştır ama siz değiştirmek isterseniz aşağıdakini uyguluyabilirsiniz

ana dizinde isimini sizin bileceğiniz bir klasör açın orjinal config.php o klasöre atın

ana dizindeki config.php aşağıdaki kodu uygulayın

Kod: Tümünü seç
if (stristr($_SERVER['SCRIPT_NAME'], "config.php")) {
Header("Location: index.php");
    die();}
@include("sizinklasörünüz/config.php");
?>


bu işlemin aynısını header ve mainfiliyede uyguluyabilirsiniz tek dikat etmeniz gereken nokta hangi dosyaya uyguluyaarsanız

Kod: Tümünü seç
f (stristr($_SERVER['SCRIPT_NAME'], "şu kısmı değişmenizdir ")) {
Header("Location: index.php");
    die();}

headerse header mainfiliyse mainfile.php yazmanız gerekmektedir
Moderatör
Kullanıcı avatarı
Mesajlar: 115
Kayıt: 2011/09/05 - 00:00
Ettiği teşekkür: 0
Aldığı teşekkür: 1

Mesajgönderen bir_umut » 2012/08/30 - 18:40

php nuke forum admin paneline sızarak sitelere saldırı yapıyorlar bunun için forum admine şifre koyacağız

modules/Forums/admin/index.php yi açın

<?php kodundan sonra aşağıdaki kodu ekleyin

Kod: Tümünü seç
$ourLogin = "buraya kendi belirliyeceğiniz kullanıcı adını yazınız";
$ourPassword = "buraya kendi belirliyeceğiniz şifreyi yazınız";

session_start();

if ($_SESSION['login']!=$ourLogin && $_SESSION['password']!=$ourPassword) {


if ($_POST['login']==$ourLogin && $_POST['password']==$ourPassword) {


$_SESSION['login'] = $_POST['login'];
$_SESSION['password'] = $_POST['password'];
header("Location: index.php");


}
else {


echo "
<form>


Login:<br>
<input><br>

Password:<br>
<input><br>

<input>


</form>
";

exit;

}

}
Moderatör
Kullanıcı avatarı
Mesajlar: 115
Kayıt: 2011/09/05 - 00:00
Ettiği teşekkür: 0
Aldığı teşekkür: 1

Re:

Mesajgönderen bir_umut » 2012/08/30 - 19:15

forumda üyelerin avatar yüklemesini engelleyin kolay kolay üyelerin upload yapabileceği bir modül kullanmayın yönetici şifrelerinde özel karakterlerde kullanın ( -*'&%!</{ ) vb.

ftp ve yönetici bilgilerini bilgisayarda kayıtlı tutmayın
bilgisayarınıza güncel ve güvenilir bir virüs programı mutlaka kurun
her bulduğunuz dosyayı sitenize atıp çalıştırmayı denemeyin
indirdiğiniz tüm dosyaları virüs taramasından geçirin
Moderatör
Kullanıcı avatarı
Mesajlar: 115
Kayıt: 2011/09/05 - 00:00
Ettiği teşekkür: 0
Aldığı teşekkür: 1

Mesajgönderen Sonsuzluk » 2012/08/31 - 09:55

teşekkür ederim yararlı bir paylaşım oldu konuyu sabitledim

burada yazılanlar sadece burada kalmasın herkez elinden geldiğince uygulasın bu anlatımları
Tarih Hayal Edenleri Değil,Gerçekleştirenleri Yazar !

NOT : Özel mesajla veya farklı yollar ile bana verdiğiniz admin paneli, ftp, phpmyadmin, cpanel, pleskpanel, direckpanel (v.b.) gibi size özel yerlerin kullanıcı adı ve şifrelerini ben sorunu çözüp size teslim ettikten sonra lütfen değiştirin. Aksi taktirde hiçbir sorumluluk kabul etmiyorum.
Administrator
Kullanıcı avatarı
Mesajlar: 2362
Kayıt: 2011/07/10 - 00:00
Konum: Samsun
Ettiği teşekkür: 1
Aldığı teşekkür: 95

Re:

Mesajgönderen MetinPascha » 2012/09/12 - 10:59

Dün PNT Nuke'nin v3 sürümünü indirdim ancak henüz kurmadım, bugün kurmaya başlayacağım. Daha önce PHP Nuke'nin 7 sürümlerinden bir tanesini kullandım ve kendimce birkaç güvenlik önlemi alıp, tam 10 yıl boyunca böyle siteyi yönettim ve kimse bir güvenlik açığı bulup sayfaya saldırıp çökertemedi. Saldıranlar çok oldu ama çökertilemedi. Geçenlerde Database'de yani veri tabanında kendi bir hatamdan dolayı da hata yaptım, verilerin birkaçını geri getirme mümkün olmadan sildim, kopyesini de almamıştım, bu yüzden şimdi PNT Nuke'nin v3 sürümünü kuracağım ancak bu sürümün bile PHP Nuke'nin "tipik" açıkları gibi güvenlik zaafiyetlerinin olduğunu okudum.

Bu güvenlik zaafiyetlerinin çözümlemelerinin burada anlatılması çok güzel, biraz zaman alacak ama düşmana fırsat vermemek lazım :)
Yeni Üye
Kullanıcı avatarı
Mesajlar: 1
Kayıt: 2012/09/11 - 00:00
Ettiği teşekkür: 0
Aldığı teşekkür: 0

Re:

Mesajgönderen Sonsuzluk » 2012/09/12 - 16:36

MetinPascha yazdı: PNT Nuke'nin v3 sürümünü kuracağım ancak bu sürümün bile PHP Nuke'nin "tipik" açıkları gibi güvenlik zaafiyetlerinin olduğunu okudum.


Bu kelimenizde önyargı gördüm yani incelemediğiniz kullanmadığınız bir sürüm hakkında bu denli kanıya varmayın burada arkadaşın anlatmış oldukları güvenlik açıkları değil güvenlik önlemleri bu ikisi arasındaki farkı lütfen göz ardı etmeyin

Ayrıca şunuda anlamanızı istiyorum genel olarak bilinen yanlış şu (bu yazım herkez için)

4-4 lük güvenli bir sürüm-cms-kodlama yoktur olamazda dev şirketlerin siteleri bile dakikalar içerisinde yerlebir olurken sizlerin kusursuz bir arayış içerisine girmeniz yanlış.Pentagonun sitesinin ne hale geldiğini-Mit'in sitesinin ne hale geldiğini sanırım hepiniz bilirsiniz bunlardaki güvenlik üst safhada olmasına rağmen bakın yinede ayakda duramıyorlar.

Burada anlatılanlar güvenlik önlemleri açıkları değil bu ikisi arasındaki fark şu eğer bunların açık olduğunu düşünseydim zaten paketi yaparken bunları kapatır paylaşırdım ama bunlar açık değil güvenlik önlemleri yani insanların bazı kişisel güvenlik önlemlerini almasını istememiz paketin tipik güvenlik açıkları diye adlandırılmasını gerektirmez, kaldıki bu yazınızdan nukede bulunan tipik açıklardan haberdar olmadığınızı anlıyorum eğerki nukedeki o tipik açıkları kapatmayıpda bu paketi paylaşsaydım şuan çokdaha farklı kulvarlarda mesajlaşıyor olurduk :)
Tarih Hayal Edenleri Değil,Gerçekleştirenleri Yazar !

NOT : Özel mesajla veya farklı yollar ile bana verdiğiniz admin paneli, ftp, phpmyadmin, cpanel, pleskpanel, direckpanel (v.b.) gibi size özel yerlerin kullanıcı adı ve şifrelerini ben sorunu çözüp size teslim ettikten sonra lütfen değiştirin. Aksi taktirde hiçbir sorumluluk kabul etmiyorum.
Administrator
Kullanıcı avatarı
Mesajlar: 2362
Kayıt: 2011/07/10 - 00:00
Konum: Samsun
Ettiği teşekkür: 1
Aldığı teşekkür: 95

Re:

Mesajgönderen beklentiler » 2012/10/19 - 20:16

Çok faydalı bir bilgi teşekkürler.
Yeni Üye
Kullanıcı avatarı
Mesajlar: 20
Kayıt: 2012/10/18 - 00:00
Ettiği teşekkür: 0
Aldığı teşekkür: 0



Dön PNT Nuke

Kimler çevrimiçi

Bu forumu gezen kullanıcılar: Hiç bir kayıtlı kullanıcı yok ve 0 misafir