WordPress Hak Oku Ve Hatalarını Kapat

22-08-2023, 13:21:39

#1
Misafir

Açık Profil bilgileri

Özel Mesaj Gönder

Misafir tarafından gönderilen tüm mesajları bul

Misafir'ı arkadaş olarak ekle
Uzun zamandır WordPressleri hakleyen birini takip ediyorum. Onceleri haklediği sistemlerin eski surumler olduğunu duşunuyordum. Sonradan gordum ki birbirinden farklı surumleri de al aşağı etmekte

Lavuk, paso WordPress hakliyor ve şimdiden bine yakın WordPress hesabı ele gecirmiş. Yerli, yabancı, eski surum, yeni surum adam icin hic fark etmiyor.

Bu işi nasıl beceriyor benim icin merak konusu oldu. Sonucta benim sistemim de bir WordPress ve bu adam onune geleni al aşağı ediyor!

Panik yapmanıza gerek yok.

Olay bir WordPress acıklığı veya eklentilerinden kaynaklanan bir guvenlik acığı değil. Olay tamamen adamın bizlerden farklı bir bakış acısıyla, zekice duşunen bir elemanın WordPress sistemleri kotuye kullanması şeklinde

Baştan soyleyeyim, adamı tanımıyorum. Sadece haklediği sistemlere nickini yazması dikkatimi cekti. İletişimim de hic olmadı. Gerci Turk olduğundan da şupheliyim ama neyse

Her seferinde index atmak yerine, adam WordPress sayfalarının son postlarına girip değişiklikler yapıyor. WP şifrelerini değiştiriyor Yani bir index.html koymuyor. Bir şekilde databasee erişiyor. WordPressde databasee erişmek icin de Wp-config.phpyi okuyabilmek gerekli. Madem Wp-config.phpyi okuyabiliyor, o zaman neden FTPye index atmıyor diye meraklanmıştım.

Bir ara Mysql uzerinde yeni bir acık mı var diye de şuphe etmedim değil, fakat bu sefer de neden Joomla serverlara girmiyor? Şeklinde uzun uzadıya bir suru soru soruyordum kendi kendime. Sonradan bir şey daha dikkatimi cekti. Adamın girdiği serverlar tamamen WordPress serverlarıydı.

Bir ara da bir siteyi haklemiş, Zone kaydı alırken haklediği sisteme yazdığı bir cumle dikkatimi cekti

Wp-config.phpye dikkat!

Adam aslında WordPress sisteminde bir acık kullanmıyor, databaselere erişim icin de bir zafiyetten yararlanmıyor. Yaptığı tek şey, WordPress bir sistemde aşağıdaki artık dosyaları deneme yanılma ile kontrol etmek!

wp-config.php~
wp-config.bak
wp-config.phpBak
wp-config.php-bak
wp-config.save
wp-config.back
wp-config.old
wp-config.html
wp-config.txt
.

Haklediği tum sistemlerde bu dosyalar uzerinden giriyor

Eleman akıllı

Bir dosyayı değiştireceğimiz zaman ya da bir dosya icerisine yeni bir değer ekleyeceğimiz zaman bu tarz onemli dosyaların yedeklerini alırız. Ozellikle de Webmaster arkadaşlar, kodlamacı kardeşlerimiz bunu sıklıkla yapar.

Amac onemli bir dosya icerisinde bir değer değiştirmeden once yedeğini almaktır. Sistem değişen değer yuzunden bozulursa, orjinal dosyayı yedeklediğimiz icin geriye donuş cok kolay olacaktır.

Mesela Wp-config.php icinde birkac satırı silip, yerine yeni değerler yazmak istiyoruz. Doğal olarak sistemdeki orjinal Wp-config.phpnin bir kopyasını Wp-config.YEDEK gibi bir isimle adlandırırız. Sonra işimizi halleder yedek dosyamızı sileriz!

Demek ki yedek dosyasını işimizi bitirdikten sonra silmiyoruz.

En azından 100 kişide 2-3 kişi bu yedekleri silmiyor olabilir. Kucuk bir oran olsa dahi milyonlarca WordPress kullanıcısını dikkate alırsak, bu adamın binlerce site haklemesi normal

Bu dosyaların oluşma sebebinden biri de, server uzerinde kullanmış olduğumuz nano, pico, wi gibi editorler ya da ftp uzerinden ftp programları ile editleme yaparken oluşan .bak .old gibi dosyalar olabilir. Nano, pico ve wi editorlerde varsayılan olarak boyle bir backup aldığını gormedim. Benzer editorlerden kaynaklanabilir. İncelemek lazım.

Sonuc olarak Wp-config.phpyi bizler bir şekilde duzenlerken ortaya cıkabilecek olan .bak, .save, .back, .old, .yedek, .php~ gibi artık dosyalar ya da yedek dosyalar sizi buyuk bir risk altında bırakabilir.

Sunucunuzdaki Apache, .php dosyalarını yorumlarayak okur. Yani birisi Wp-config.phpyi okumak istediği zaman karşısına bu dosyayı ve şifrelerinizi cıkartmaz. Fakat uzantısı .bak, .txt, .save, .back, .old gibi dosyaları tanımadığı icin varsayılan yani text olarak goruntulenmesini ya da download edilmesini sağlar. Yani bir PHP dosyanızın uzantısını .bak, .txt gibi bir formata cevirirseniz bu dosyanın iceriği alelen goruntulenecektir.

Bu sayede saldırgan sizin database user, database name ve database password değerlerini rahatlıkla gorebiliyor. Bundan sonrası ise cok kolay, bir sunucuda bu tarz dosyaları gorduğunde Mysqlinize bağlanıp siteniz uzerinde istediği değişikliği yapabilir. Hatta WordPress şifrelerinizi değiştirip, panelinize de erişebilir.

Sonrası malum

Ftp programları da duzenleme yaptırıyor ama onlarda da bu tarz bir kopya alma gormedim. Şuan acaba nano, pico ya da ftp uzerinde duzenleme sırasında bağlantı koparsa bu tarz bir kopya oluşturuyor mu? Sorularını duşunmeye başladım. Sıklıkla oluşan bir durum olmasa da varsayılan olarak yedek almasalar dahi, bir bağlantı kopma sırasında bu tarz bir dosya oluşturmaları muhtemel

Ortaya cıkan durum bir acıklık değil, yalnız bircok server uzerinde bu dosyaların olduğu aşikar ve bunun farkına varan bazı akıllı elemanlar catır catır WordPress haking yapıyor.

Bu zeki arkadaş işi tamamen otomatize etmiş olabilir. Bu tarz dosyaları WP sistemler uzerinde arayan otomatik tool da yazılmış olabilir. Ya da en kotusu Google Haking yapıyor olabilir. Siz siz olun, WordPress sisteminizdeki dosyalar arasında bu tarz dosyalar varsa sisteminizden silin! Yuzde bir, binde bir gibi bir olasılık dahi, dikkatli olmakta fayda var

Not:

Bu Bilgiyi Acıklarınız Ortun Diye Paylşatım.. Bu arada Bunu yapan kişi daha 19 yaşinda cocuk hakleyen Yani Biliyorsunuz Coğu Kişi Herşeyi Bildigini Zanneder Ama Bilmediginiz Cok Şey var + Acıklarınızı Bu Makeleden Yola Cıkarak Kapatın Dikkat Edilmesi Gereken Yerleride belirttim.

Alıntıdır.