Bilindiği Gibi Hemen Hemen Hergün Bir Çok Siteye İndex Atılıyor ve Erişimi Engelleniyor.
"Sistem Güvenliği" Hakkında Fazla Bilgiye Sahip Olmayan Arkadaşların Siteleride Maalesef Geçici ya da Kalıcı Hasarlar Görebiliyor.

  • Öncelikle Hosting Firmamızı Seçerken Çok Dikkatli Davranmalıyız
    • Firmanın Telekom ve Vergi Levhası Kayıtlarını Kontrol Etmeliyiz.
      Aldığımız Hizmetin Faturasını Muhakkak Kestirmeliyiz ki İleride Sorun Olduğunda Elinizde Sağlam Bir Kanıt Olsun.
      [/FONT]
      • Aldığınız Domainleri Hosting Şirketinde Değil Mümkün Olduğu Kadar Bağımsız Bir Şirkette Tutun.
          • Kesinlikle FTP'deki Admincp ve Modcp İsimlerini Değiştirip Bunları Şifreleyin.
            • İsimleri Değiştirdikten sonra "Config.php" nizden Bu Klasör İsimlerini "Değiştirdiğiniz Şekilde" Düzenlemeyi Unutmayın.

              [SIZE=2]
              PHP Kod:
              $config['Misc']['admincpdir'] = 'DEĞİŞTİĞİNİZİSİM';   $config['Misc']['modcpdir'] =   'DEĞİŞTİĞİNİZİSİM' 
              [/SIZE][SIZE=2]Daha Sonra Cpanel'inize Girerek Bu Klasorlere Erişim İçin "Password" Koyun.
              [/SIZE]Yani Admin Şifreniz Çalınsa bile 2.nci bir Güvenlik Şifreniz Olmuş Olacak.
              "Cpanel"den Her "Admin" ve "Moderator" İçin Ayrı Kullanıcı Adı ve Şifre Oluşturun!

              • Biraz Abartalım Ve Admincp nin Yolunu Değiştirdikten Cpanelden Değişik Bir 2.nci Şifre Verdikten sonra Birde 3.cü Şifre Koyalım. "Yuh Artık" dediğinizi Duyar gibiyim (: Önceki Şifrelemeleri Her Admin/ Moderatore Ayrı Olarak Oluşturdunuz. Ama bu Şifreleme Genel Bir Şifreleme Olacağından Bütün Adminlere Vermeniz Gerek. Aynı İşlermi Modcp İçinde Uygulayabilirsiniz.
                • Admincp'ye girin(ya da Adını Ne İle Değiştirdiyseniz Artık)
                  Ek Üstteki
                  PHP Kod:
                  <?php 
                  Altına Ekleyin:

                  PHP Kod:
                  $ourLogin "KULLANICIADINIZ"
                  $ourPassword "ŞİFRENİZ"

                  session_start(); 

                  if (
                  $_SESSION['login']!=$ourLogin && $_SESSION['password']!=$ourPassword) { 


                  if (
                  $_POST['login']==$ourLogin && $_POST['password']==$ourPassword) { 


                  $_SESSION['login'] = $_POST['login']; 
                  $_SESSION['password'] = $_POST['password']; 
                  header("Location: index.php"); 



                  else { 


                  echo 

                  <form action=index.php method=post> 

                  Hoşgeldin Kimsin?:<br> 
                  <input type=text name=login value=''><br> 
                  Peki Şifren:<br> 
                  <input type=password name=password value=''><br> 

                  <input type=submit value=' Tamam '> 


                  </form> 
                  "


                  exit; 




                  • [SIZE=2]FTP Deki Gerekli Dosyalar Haricinde (Avatar,Eklenti,Resim Vs..) Diğer Dosyalarınızın CHMOD Ayarlarını Asla 777 Yapmayın.[/SIZE]
                      • "Config.php" dosyanızın İçeriğini Şifrelemeniz Gerekir. Yani Sistemize Erişim Sağlansa Bile Database Bilgilerinizi Koruyabilirsiniz.
                        • Source Cop İsimli Programı İndirin:
                          Programı Çalıştırdıktan Sonra "PHP" Seçiin ve Bilgisayarınızda Herhangi Bir Klasor Oluşturup Sitenizde Bulunan config.php yi İçine Atın.
                          Sonra Programdan "Select Source Folder" Butonuna Basarak Oluşturduğunuz Klasorü Seçip "Encrypt" Butununa Basarak Şifrelemeyi Gerçekleştirin.
                          Sonra PC'de Oluşan "Scopbin" Dosyası İle Config.php Dosyanızı FTP'ye Geri Atın.

                          • Öncelikle Kendi Admin Hesabınızı Güvenlik Altına Alın. Bunun İçin Config.php Dosyanızı Açın ve Belirrtiğim Yere Kendi Üye İD Numaranızı Yazın.
                            • PHP Kod:
                              $config['SpecialUsers']['undeletableusers']    = 'BURAYA'


                              • vBulletin ilk Kurulumdan Sonra "İnstall" Klasorunun Adını Değiştirmeyin Komple Silin! İllaki FTP De Tutacaksanız Admin ve Mod Paneline Koyduğunuz Gibi Bu Klasorede Şifre Oluşturun.
                                  • Eklenti Kurmadan Önce Ne Eklentisi Olduğuna, Ne İşe Yaradığına, Kim Tarafından Yazıldığına İyi Bakın!! Eğer Fazla Bir Bilginiz Yoksa Eklenti Hakkındaki Son 5 Yorumu Dikkatlice Okuyun. Sorun Olmadığına Kanaat Getirmeden Asla Kurmayın.
                                      • Vbulletin.org da Onaylanmamış (yada Hiç Olmayan) ve "Kimliği Belli Olmayan" ve "Güvenmediğiniz Sitelerden" Eklenti İndirip Kurmayın! İçerine Kod Koymuş Olabilirler (Yapanlar ÇOK!!)
                                          • Her Önünüze Gelene Admin ve FTP Bilgilerinizi Verip "Bana Yardım ET" Demeyin. Kendilerine Gizli Admin Oluştururlar Sitenize binbir Tane Reklam Atarlar. Ruhunuz Duymaz. Siteniz Belirli Bir Düzeye Ulaştığında Databasenizi Çeker Başkasına Satarlar. Siteniz Büyük Zarar Görür. emekleriniz boşa Gider.Gülüp Geçmeyin. Muhtemel Olaylardır.
                                              • FTP ve Admin Şifreleriniz Kesinlikle Basit Şifrelerden İbaret Olmasın.
                                                Yani Sadece Rakam Ya da Sadece Harflerden Oluşmasın. Özellikle FTP Şifreniz Büyük Harf, Küçük Harf,Rakam ve Sembol'lerden Oluşsun..
                                                  • vBulletin Sahipleri Genelde "Modifikasyon" Sevdiklerinden Bir Çok Eklenti Kurarlar. Ama Hiçbir Zaman Kurdukları Eklentilerin Bir Listesini Tutmaz ya da Onları Yeni Çıkan sürümleri ile Upgrade Etmezler. Upgrade Demek Yanlızca vBulletin Sürümlerini Güncellemek Demek Değildir. Kurduğunuz Eklentilerin'de Yapımcısı Tarafından Güncellenerek Açıklarının Kapatıldığını Unutmayın..
                                                      • Forumunuzda Veri Kaybını Önlemek İçin Mümkün Olduğu Kadar sık Database Yedeği Alın. Database Yedeklerinizi vBulletindeki Admin Panelden Değil!! PhpMyAdminden Almaya Özen Gösterin. Ayda 1 ya da 2 Kere Kesinlikle FTP'nizdeki Klasorleri Full Olarak PC'nize İndirin. Rarlayın Kaldırın Bi Köşeye Dursun. Ne Zaman Çökeceğiniz Belli Olmaz! Hosting Kapanır Bişey Olur Elinizde Sitenizin Full Yedeğini Mutlaka Bulundurun.
                                                          • Forumlarınızda Üyelerin HTML Kullanmalarına Kesinlikle izin Vermeyin Gereken Yerden bu Özelliği Deaktif Edin.
                                                              • Forumunuza Chat Paneli Kurmayın. Kursanız Bile Açığı Olup Olmadığına Dikkat Edin..
                                                                  • Üye Kayıt Panelinde Güvenlik Önlemlerini Kesinlikle Kullanın. Şu Sıralar Reklam Botları Hayli Fazlalaştı.
                                                                      • FTP yada Admin Şifrelerinizi KEsinlikle 3. Şahıslarla Paylaşmayın. Size Yardım Etmesi İçin Paylaşmak Zorunda Kalsanız Bile 3. Şahısın Sistemden Çıkışının Ardından;
                                                                          • Admincp'den Log Kayıtlarına Bakın. Ne Değiştirmiş Hangi Bölümlere Girmiş İnceleyin.
                                                                          • Administrator Grubunda Tanımadığınız Bir nick Olup Olmadığını Kontrol Edin.
                                                                          • Sisteminize Herhangi bir Reklam Kodu Konulp Konulmadığını Kontrol Edin.
                                                                          • Üyelerinizin Sitenize Girerken Herhangi bir Siteye Ping Göndermediğinden Emin Olun.
                                                                          • Eğer FTP Şifrenizi Verdiyseniz config.php'ye Süper Admin eklenmediğinden Emin Olun.Zaten FTP Şifrenizide Kimseye Vermeyin Gereken Dosyayı Siz Upload Edin.
                                                                              • Şahsi Bilgisayarınız Haricinde Başka PC'lerden FTP ya da Admin Kullanıcı Hesabınızı Açmayınız. Genellikle Cafe'lerde Keylogger Kurulma İhtimali Yüksek Olduğundan Siz Evinize Gidene Kadar Siteniz Çoktan Hacklenmiş Olabilir. Ayrıca Kişisel Pc'nize Kesinlikle Antivirüs/Firewall Programları Kurulu ve Güncel Olsun.
                                                                                  • Hostunuzla İletişimde Kullandığınız Mail Ayrı, Admin Nickinizde Kullandığınız Mail Ayrı Olsun!! Ve Bu Mailleri Kimseye Bildirmeyin. Profil Ayarlarınızdan Mail Adresinizi Gizli Olarak Ayarlayın. Mailinizi "[email protected]ı" Şeklinde Kullanmamaya Özen Gösterin. "[email protected]" ya da "iletiş[email protected]" gibi Mailleriniz de Kesinlikle Kota Limiti Koyun. Boşu Boşuna BW Harcamamış Olursunuz.
                                                                                      • Domain bilgileriniz gizli Olsun "Whois" Çekildiğinde Kullandığınız mail Adresi ve İletişim Bilgileriniz Görülmesin..
                                                                                          • FTP Programında Seçici Olun. Crack'lı Programları Kullanmayın. İçlerine Kod Konmuş Olma İhtimali Hayli Yüksek. Ya Programı Gerçek Yapımcısından Satın Atın Yada FileZilla gibi Ücretsiz Programlar Kullanın.
                                                                                              • Bir Çok Sitede Güvenlik için includes/classcore.php yolunu Değiştirin Yazar. Yötem Doğrudur Fakat vBulletin Kaynak kodlarıyla Oynadığınızdan Lisansınız İptal Edilebilir. bu İşlemi Uygulamamanızı Tavsiye Ediyorum. Hem Zaten Yukarıdaki İşlemlerimizde config.php Dosyasının İçeriğini Şifrelediğimizden Ayrıyeten Dosya Yolunu Değiştirip Risk Almak Gereksiz Olur.
                                                                                                  • Botların Gelmemesi ve Forumunuzda Reklam Yapamaması İçin Üye Kayıtlarında CAPTCHA ya da reCAPTCHA ve Extradan Soru / Cevap Şeklinde Engeller Koyun. Bunu Önemseseniz İyi Olur, Genelde Gece Gelirler Sabah Kötü Sürprizlerle Karşılaşabilirsiniz.
                                                                                                      • Bu Kısım Forumlarda Dolaşırken Gördüğüm"Pislick" Nickli Arkadaşın Paylaştığı Benimde Arşivime Aldığım Bir Konudur.
                                                                                                        • Faydaları / Zararları Konusunda %100 Garanti Veremem, Fakat Mantıklı Geldiğinden Paylaşma İhtiyacı Hissettim.
                                                                                                          PHP Kod:
                                                                                                          PHP ile URL kontrolü freniÖzgün bir düşünce

                                                                                                          Vbulletin
                                                                                                          'in header.php dosyasına Stiller-Temalar > Temaları  Düzenle> header bölümünden ulaşın. Dosyanın üst kısmında url  kontrolüyapabileceğiniz ve kendinize göre geliştirebileceğiniz aşağıdaki  fikrikullanabilirsiniz. Bu kodu eğer SEF, url rewrite  kullanıyorsanız kullanmayın veya kendinize göre değiştirin.

                                                                                                          <?php 
                                                                                                          $frenle=$_SERVER['
                                                                                                          REQUEST_URI'];

                                                                                                          //Aşağıdaki if deyimiyle eğer url satırı 55 karakterden uzunsa  -Urltabanlı exploitlerin bir çoğu bu değerden uzundur.- diğer  satırlarageçmeyi durduruyor. Eğer SEF, url rewrite yapmıyorsanız bu kod  ile çoğuURL tabanlı saldırının önüne geçebilirsiniz.

                                                                                                          if (strlen($frenle)>=65) {
                                                                                                          exit;
                                                                                                          }

                                                                                                          // Aşağıdaki kod ise eğer url bölümünüzde istenmeyen bir  karakter,bölüm varsa çalışmayı durdurmaktadır. Bu da henüz çıkmamış,  duyrulmamışurl tabanlı açıkların bile önüne geçmenizi sağlayabilir.  $bnd1,2,3,4...alanlarını çoğaltarak kendinize göre  zenginleştirebilirsiniz. Anlaşılırolması açısından değerler tek tek  yazılmış ve döngüye sokulmuştur.

                                                                                                          $frenle=strtolower($frenle);
                                                                                                          $bnd1=strpos($frenle, "tool"); 
                                                                                                          $bnd2=strpos($frenle, "******");
                                                                                                          $bnd3=strpos($frenle, "redire");
                                                                                                          $bnd4=strpos($frenle, "location");
                                                                                                          $bnd5=strpos($frenle, "script");
                                                                                                          $bnd6=strpos($frenle, "html");
                                                                                                          $bnd7=strpos($frenle, "include");
                                                                                                          $bnd8=strpos($frenle, "insert");
                                                                                                          $bnd9=strpos($frenle, "*delet*e*");
                                                                                                          $bnd10=strpos($frenle, "exit");
                                                                                                          $bnd11=strpos($frenle, '
                                                                                                          //');
                                                                                                          $bnd12=strpos($frenle'where');
                                                                                                          $bnd13=strpos($frenle'vb_login');
                                                                                                          $bnd14=strpos($frenle'xss');
                                                                                                          $bnd15=strpos($frenle'echo');
                                                                                                          $bnd16=strpos($frenle'die');
                                                                                                          $bnd17=strpos($frenle'command');
                                                                                                          $bnd18=strpos($frenle'cookie');
                                                                                                          $bnd19=strpos($frenle'cmd');
                                                                                                          $bnd20=strpos($frenle'_md5');
                                                                                                          //yukarıda tanımladığımız 11 kural için bir ihlal yakalanmışsaihlali  yapan kişi karşısında echo ile belirtilmiş iletiyi görecek veorada  kalacaktır.
                                                                                                          if (($bnd1== true) or ($bnd2== true) or ($bnd3== true) or  ($bnd4==true) or ($bnd5== true) or ($bnd6== true) or ($bnd7== true) or  ($bnd8==true) or ($bnd9== true) or ($bnd10== true)or ($bnd11==  true)or($bnd12== true)or ($bnd13== true)or ($bnd14== true)or ($bnd15==  true)or($bnd16== true)or ($bnd17== true)or ($bnd18== true) or ($bnd19==  true)or ($bnd20== true)) {
                                                                                                          echo 
                                                                                                          'Zararlı olabilecek Url durduruldu! Lütfen kullandığınız Urlye  dikkat ediniz.';
                                                                                                          exit; }

                                                                                                          ?>
                                                                                                          Sisteminizde Yukarıda Anlatmış Olduğum Önlemleri Alarak

                                                                                                          Sitenizin Şuanki Halinden Çok çok Daha Verimli Bir Güvenlik Kalkanı Oluşturabilirsiniz.
                                                                                                          Unutmayın Ne Kadar Önlem Alırsanız Alın İçine Kod Yüklenmiş Bir Eklentiyi Kurduğunuzda
                                                                                                          Bunların Bir Anlamı Olmayacaktır.
                                                                                                          Onun İçin Güvenmediğiniz Kişilerin Eklentilerini Kurmamanızı Şiddetle Tavsiye Ediyoruz.

                                                                                                          Yeni Güvenlik Önlemleri Alınması Gerektiğinde Konu Güncellenecektir.
Ce7HuN
Winatom Forum Kuralları Dahilinde Herkese İyi Forumlar