Yazar: | Kategori: WebmasteRz
Yorum: 3

Merhabalar,

Genel olarak, her üye olan kullanıcıların mesaj yazabildiği, genelde forumlarda bulunan bir açıktan bahsetmek istiyorum. Çoğunlukla forumlar’da bu olayla karşılaşıldığından, başlığı vBulletin htaccess Açığı olarak belirledim.

İşin Ayrıntıları;

Olay aslında uzun süredir olan birşey. Linux ve apache’nin varlığından beri mevcutta diyebiliriz. Açık (tam olarak açık denmese de farklı biçimlerde kullanınca bu hali alıyor). Yapılan iş çok basit.

htaccess dosyası ile FTP’de bulunan bir klasörü şifrelenmiş hale getirebiliyorsunuz. Örnek vermek gerekirse şöyle bir pencere den şifre girmeniz isteniyor. Girilen şifre, kötü niyetli hacker tarafından istenildiğinde kayıt altına alınabiliyor.

htaccess alert1 Yeni vBulletin htaccess Açığı

Ama Nasıl Sizin Sitenizde Pencere Açtıracak?

İşte bu dahada basit bir işlem. Yapması uğraşması gereken hiçte birşey yok.

Hacker bu işlemi sizin sitenize uygularken, saadece bir jpg,gif v.b bir resim dosyası kullanması yeterli oluyor. Resimin bulunduğu her sayfa da bu uyarı penceresi açılıyor ve sizden sifre girmeniz isteniyor…

Senaryo;

Olayı şöyle kurgulayalım. Forum sitenize bir üyeniz geldi. Siteyi gezerken bir konu dikkatıni çekti ve girdi.

Konuya girdiğinde sayfadaki tüm resimler önbelleğe yüklenir. Kötü niyetli hacker,  bir .jpg dosyasına htaccess koruması veriyor. Üyeniz de bu sayfaya girdiğinde pencere sanki sizin siteniz tarafından açılmış gibi bir izlenim veriyor. Hatta hackerlar dahada inandırıcı olsun diye, bu uyarı penceresine şöyle bir ibare’de ekliyorlar;

“Siteye girişte veritabanında problemler oluştu. Lütfen tekrar giriş yapınız.”

Bunu gören kullanıcıda uyarı sizin sitenizde açıldığından, habersizce girebiliyor… Hesapları elden gidebiliyor.

Hacker tabiiki bu şifreleri bi dosya yazdırabiliyor.

Örnek bir resim;

sifre kayit Yeni vBulletin htaccess Açığı

##

Forumlarda ki Bu açıktan Korunmak!

İşin kötü yanıda bunu. Bu açığı engelleyemezsiniz. Yapabileceğiniz pekte fazla birşey yok.

  • Üyelerinizin Resim eklemesini engellemek ( inanılmaz saçma bir çözüm olurdu.)
  • Sitenizde ki tüm mesajları takip ederek, bu açığı kullanan kişileri banlamak. (Belki de en idal yol şu anlık bu)

http://www.hell-world.org/ownz/yeni-vbulletin-htaccess-acigiyeni-vbulletin-htaccess-acigi/

05 Ağustos 2008
Yazar: | Kategori: LinuX
Yorum: 0

Webhosting firmalarının en büyük problemlerinden birisi rasgele kaynaklı saldırılardır. Dos ve dDos şu anda web hosting firmalarının olduğu gibi internetin de çok büyük bir sorunu bu aralar. Soruna kesin çözüm getirmeyen ama en azından “lamer” tabir edilen saldırganlara karşı geçici bir çözüm olabilecek yazılımlardan birisi de mod_qos dir. Unutmayın, daha iyi korunma daha profesyonel çözümler gerektirir. Bu yazılım şimdilik çok yeni ve daha çok yol kat edecek ancak işe yaradığı kanaatine vardık yapıtığımız testlerde. Daha detaylı testler ile perfomansını ölçeceğiz ve sizinle paylaşacağız Eğer siz de kurup denemek isterseniz işte size kısaca bir “howto” icon smile apache Ddos koruma Sakın test sonuçlarınızı bize de yazmayı unutmayın. Bu kurulum Centos5 , WHM 11.23.2 ve Apache 2.2.8 kurulu bir sunucuda test edilmiştir.

Öncelikler cPanel sunucularda genelde bulunmayan ve bu yazılımın ihtiyaç duyduğu pcre paketlerini kuruyoruz.

yum -y install pcre pcre-devel

Kaynak kodumuzu indiriyoruz, arşivi açıp dizine giriyoruz

wget http://garr.dl.sourceforge.net/sourceforge/mod-qos/mod_qos-7.4-src.tar.gz
tar zxvf mod_qos-7.4-src.tar.gz
cd mod_qos-7.4/apache2/

Modülleri apxs ile derleyip Apache konfigürasyonuna ekliyoruz.

/usr/local/apache/bin/apxs -I/usr/include/pcre/ -iac mod_qos.c
/usr/local/apache/bin/apxs -I/usr/include/pcre/ -iac mod_qos_control.c

Şimdi mod_qos in kullandığı araçların derlenmesine geldi. Bunlardan birisi qslog, diğeri qsfilter2. Qslog , apache access_log ları inceleyerek istatistik oluşturuyor. Kullanmadım ama ilgilenenler için linki . Qsfilter2 ise yine access loglarını iceleyip , şüpheli istekleri engelleyecek kuralları oluşturan bir yazılım. cPanel de loglar her virtualhost için ayrı tutulduğu için sanırım bunu sunucu genelinde kullanmak için log ayarlarını değiştirmek gerekebilir. Umarım bu araçları ileride test edebilir ve sizi bilgilendirebiliriz. Şimdi kaldığımız yerden devam edelim.

cd ../tools/
make
cp qslog /usr/local/bin/
cd qsfilter/
nano Makefile

Bu kısımda Makefile içeriğinde değişklik yapmamız gerekmekte. Varsayılan apache kaynak kodları yolu cPanel sunculardaklinden farklı. O nedenle Makefile içinde geçen tüm “../../httpd” yollarını “/home/cpeasyapache/src/httpd-2.2.8/”  olacak şekilde değiştiriyoruz. Bu sizin kurulumunuza göre değişiklik gösterebilir.

make
cp qsfilter2 /usr/local/bin
cd /usr/local/apache/conf
nano qos.conf

Oluşturduğumuz qos.conf dosyası mod_qos ayarlarının yapıldığı dosya olacak. Çokça ayar seçeneği var ancak biz en basitçe bu ayarları kullanacağız. Kısaca bir kaynak ip adresinden en fazla 10 bağlantı kabul edeceğiz ve toplam istek limitini virtual host başına 100 ile sınırlıyoruz. Unutmayın, her sunucunun konfigürasyonu hit profiline göre değişecektir. En iyi ayarları kendini bulabilirsiniz.

QSC_WorkingDirectory    /var/tmp/qosc
QSC_Filter2Binary       /usr/local/bin/qsfilter2
QS_SrvMaxConnPerIP      10
QS_LocRequestLimitDefault       100
<Location /qos>
SetHandler qos-viewer
</Location>

Kaydedip çıkıyoruz ve mod_qos geçici dosyalarının kaydedileceği klasörü oluşturuyoruz.

mkdir -p /var/tmp/qosc
chown nobody:nobody /var/tmp/qosc



Son olarak qos.conf u ayar dosyamıza Include ile ekliyoruz ve servisi yeniden başlatıyoruz.

nano httpd.conf

Şu satırı Include direktiflerinden birinin olduğu kısman yazın


Include "/usr/local/apache/conf/qos.conf"
service httpd restart

http://ip_adresiniz/qos linki ile mod_qos çalışması ile ilgili bilgi alabileceğiniz bir sayfaya ulaşabilirsiniz. Bunu sadece test ortamında açık tutmanızı öneririm. İşiniz bitince qos.conf içindeki <Location /qos> direktiflerini kaldırın.

Umarım işinizi görecektir. Bu en basit ayarları ile kurulmuş halidir. Daha ayrıntılı ayarları http://mod-qos.sourceforge.net/ dan bulabilirsiniz.

03 Aralık 2007
Yazar: | Kategori: Genel
Yorum: 0

image menu wamp wampserver 2.0
wampserver 2.0

güçlü ve kolay kullanımlı, Php apache ve mysql için toplu kurulum yönetim aracı wampserver, wamp5 serisini 1.7.4 sürümünde bırakarak, wampserver 2.0 serisini duyurdu. ilk sürüm Apache 2.2.6, MySQL 5.0.45, Php 5.2.5 versiyonları ile geliyor. bu sürüm için henüz herhangi bir eklenti oluşturulmamış. forumlarda yazıldığı kadarıyla bu sürüm bazı sorunlara neden oluyor. sürümün kararlı versiyonuna ulaşmasını beklemekte fayda var ancak test etme şansınız varsa, hataların tespit edilmesine yardım edebilirsiniz.wampserver bu sürümü ile farklı Php versiyonlarını çalıştırma imkanı sunuyor.

image change version wampserver 2.0
Php versiyonu değiştirme

ayrıca başlangıç sayfasının tasarımı da değiştirilmiş.

image accueil wamp wampserver 2.0
wampserver açılış sayfası

21 Ekim 2007
Yazar: | Kategori: Genel
Yorum: 0

appservnetwork AppServ 2.5.9

AppServ 2.5.9 un içinde barındırığı dosyalar şöyle: * Apache 2.2.4 * Php 5.2.3 * MySQL 5.0.45 * phpMyAdmin-2.10.2

Tek pakette yukarıdaki 4 dosyayı bilgisayarınıza kurabileceğiniz appserv bence Php ile localhostta çalışanlar için en kolay ve pratik sistem. eski sürümlerine ulaşmak için ise bu bağlantıyı kullanabilirsiniz.

Etiketler: appserv, Php, mysql, phpmyadmin, localhost, appservnetwork, apache 

Yazar: | Kategori: Genel
Yorum: 1

We generally become WordPress users to create a blog for everyone to see. This can involve the purchasing of a domain name and web hosting. These we treat as black boxes on which the WordPress software is installed, and everything magically works. This is exactly how it should be.

Although WordPress provides a comprehensive management interface, there are times when it would be better to have our own local copy, running on our own machine. There are several reasons we would want to do this:

  • A working backup of our online site
  • A development site to develop plugins and themes without affecting our online site
  • A testing area to try out hacks and new versions of WordPress without fear of corrupting the live site
  • A staging area to create and verify posts, before releasing them live

Just like in a commercial environment, it helps separate our blog into two parts: production and development, or live and test. Our production blog is the one that is visible to everyone. It might not contain the latest information or the most up-to-date software, but it is fully working and error free. Contrast this to a development blog where we have the very latest software and information, but possibly not fully working.

Separating our site gives us the freedom to experiment without fear of destroying the working version. At the very worse, if the development blog is corrupted we simply re-install the software, and the only loss is our own time. If we corrupt the production site then no one can access our information and we lose visitors.

In writing a set of articles dissecting a WordPress theme, I realised that a lot of people are directly editing their live site. There are many reasons for this, but a good one is probably due to the difficulty in setting up a local system. This is a short guide to try and explain how to do just that.

Installing the server software

WordPress requires several pieces of software:

  • A webserver
  • Php configured to work through the webserver
  • A MySQL database

None of these are particularly simple pieces of software, and all require configuration to work together. Fortunately there is a lovely software suite called WAMP that packages these together and adds a nice front-end. This is definitely the fastest and easiest way to get it working.

Consequently, the first task here is to Download the latest WAMP. Note that this only works on Windows 2000/XP, so I’m afraid you are out of luck if you have anything earlier.

Installing WAMP

Once the software is downloaded we can begin to install it:

install1 Installing WordPress on your own Windows computerThe installation process is very straightforward. First we choose a destination directory. The default is ideal.

install2 Installing WordPress on your own Windows computerNext we choose whether to automatically start WAMP. You can tick this if you want, but Apache and MySQL make heavy use of system resources and we don’t always need them running. It is much better to start the software on demand, and so leave this option unchecked.

install3 Installing WordPress on your own Windows computerThe software will now install.

install4 Installing WordPress on your own Windows computerAfter all the files are extracted we are asked for the DocumentRoot directory. This is the root directory for your website and will contain WordPress and any other files you want accessible through the webserver. Unless you have a specific reason, go with the default.

install5 Installing WordPress on your own Windows computerNext we are asked for the default browser. Your choice here is not really important, so pick whichever browser you prefer.

install6 Installing WordPress on your own Windows computerAnd that’s it! We now have a fully working webserver on our computer. This same software is used in hundreds of thousands of websites across the world. We also have MySQL to provide our database, and Php to run WordPress.

Yukarı
Yazilar iin RSS aboneligi