Merhaba
phpbb forum dosyalarının yerleri ve isimleri aynı bu bir güvenlik açığı oluştururmu? En büyük açığıda config.php dosyası sağlıyor burda kullanıcı kodumuz ve şifremiz var.Bunu farklı bir klasöre taşıyarak common.php'dede bu yolu göstererek saklarsak(dahada maceraya atılıp common.php'de saklarsak ve onu bağlı olan index.php gibi dosyalarda common.php yolunu gösterirsek:) ) bir güvenlik oluştururmuyuz? yoksa bir anlamı yok mudur?
Güvenlik ile ilgili bir soru
Şhsi fikrim olarak config.php yi public_html veya www klasörlerinde sürece webden erişime açıktır. Gerçi erişime açık olması birşeyi değiştir mi bilemem. Zira webden php dosyalarını download edebilecek bir sistem sanıyorum geliştirilmedi 
config.php yi saklamak için şöyle bir yok var. Biryerlerden temin etmiştim bu yolu ancak kaynağını şuan hatırlayamadım.
config.php'yi web erişimine açık olan klasörün bir üst klasörüne taşıyın. ve common.php'de şu değişikliği yapın;
Bu sayede config.php'yi webden erişilecek bir klasörde tutmamış olduk. Çok büyük bir etkisi olcağını sanmıyorum ancak bir önlem olarak denenebilir...
Kolay Gelsin;
config.php yi saklamak için şöyle bir yok var. Biryerlerden temin etmiştim bu yolu ancak kaynağını şuan hatırlayamadım.
config.php'yi web erişimine açık olan klasörün bir üst klasörüne taşıyın. ve common.php'de şu değişikliği yapın;
Kod: Tümünü seç
--------------[BUL]--------------------
include($phpbb_root_path . 'config.'.$phpEx);
------------[BUNUNLA DEĞİŞTİR]---------------
include($phpbb_root_path . '../config.'.$phpEx);Kolay Gelsin;
Öncelikle şunun söylemeliyim ki ben pekte rastlamıyorum phpbb forum hack.
bilmeden kapatayım derken acmayın satırları. zaten web üzerinden ulaşabileceği bilgi yok. tek ulaşabilmesine sebep exploit - ddos - yada injeksion saldırılar olabilir diğer şekilde hiç sanmıyorum.
zaten exploit ddos yada injeksion la girebilirse sitenize host makinesine de girmis demektir.
tek yapmanız gereken güvenli bir host bulmak yada phpbb güvenlik modlarından birini kurmak.
Not : Son Günlerde php forumlar yüzünden hacklenen host makineleri sayesinde yeni güvenlik yazılımları geliştirildi ve artık hostlara exploit ddos yada diğer yöntemlerle zarar vermek zorlaştı... çalışmalar devam ediyor. yakında lamerlerin nesli tükecenek. hackerleri bilemem...
şunuda söyliim. Her zaman korkularınızla yüzleşmeye hazır olun sizi daha yıkılmaz kılar....
iyi çalışmalar.
bilmeden kapatayım derken acmayın satırları. zaten web üzerinden ulaşabileceği bilgi yok. tek ulaşabilmesine sebep exploit - ddos - yada injeksion saldırılar olabilir diğer şekilde hiç sanmıyorum.
zaten exploit ddos yada injeksion la girebilirse sitenize host makinesine de girmis demektir.
tek yapmanız gereken güvenli bir host bulmak yada phpbb güvenlik modlarından birini kurmak.
Not : Son Günlerde php forumlar yüzünden hacklenen host makineleri sayesinde yeni güvenlik yazılımları geliştirildi ve artık hostlara exploit ddos yada diğer yöntemlerle zarar vermek zorlaştı... çalışmalar devam ediyor. yakında lamerlerin nesli tükecenek. hackerleri bilemem...
şunuda söyliim. Her zaman korkularınızla yüzleşmeye hazır olun sizi daha yıkılmaz kılar....
iyi çalışmalar.
verdiğiniz bilgiler için tşkler netten araştırma yaptım dediğiniz gibi php direkt indirilemiyor ama artık herşeyden şüphe duymaya başladım.Sql injection yöntemi ile dediğiniz gibi sisteme girerler benim merak ettiğim şu benim database şifremi nasıl ele geçirdiler.Sql injection ile database sorguları yapılır.O zaman bana gelen saldırı bu değil.Database şifremde sadece dediğim gibi config.php'de saklı birde ben ücretsiz hostayım (yakında ücretli hosta geçicem daha seçim yapmadım) kullandığım sistem kayyo'ya ait ve güvenlik açığının büyük olduğunu düşünüyorum nedenide şu tüm şifreler (ftp,sql,mail) tek bir şifrede toplanmış yani bir şifreyi ele geçiren herşeyi yapıyor dosyaları çalıyor maillerine bakıyor ve sql datanı alıyor.Funpic bu konuda biraz daha profesyonel bu ayrıntı önemli bir ayrıntı gözden nasıl kaçtı anlamıyorum belkide ücretsiz host oldukları için bununla uğraşmak istemediler.
pettr.com yazdı:Şhsi fikrim olarak config.php yi public_html veya www klasörlerinde sürece webden erişime açıktır. Gerçi erişime açık olması birşeyi değiştir mi bilemem. Zira webden php dosyalarını download edebilecek bir sistem sanıyorum geliştirilmedi
config.php yi saklamak için şöyle bir yok var. Biryerlerden temin etmiştim bu yolu ancak kaynağını şuan hatırlayamadım.
config.php'yi web erişimine açık olan klasörün bir üst klasörüne taşıyın. ve common.php'de şu değişikliği yapın;
Bu sayede config.php'yi webden erişilecek bir klasörde tutmamış olduk. Çok büyük bir etkisi olcağını sanmıyorum ancak bir önlem olarak denenebilir...Kod: Tümünü seç
--------------[BUL]-------------------- include($phpbb_root_path . 'config.'.$phpEx); ------------[BUNUNLA DEĞİŞTİR]--------------- include($phpbb_root_path . '../config.'.$phpEx);
Kolay Gelsin;
tşkler bu arada ben çoktan yaptım bu işi
(sadece config değil common sakladım ve sorunsuz sistemim çalışıyor)sadece aklıma takılan bu yaptığımın bir esprisi olup olmadığı gerçekten işe yararmıydı ama verilen bilgiler ışığında pek bir esprisi yok sanırım eğer php dosyalarını çekmeyi başarırlarsa işe yarayabilir.Kimler çevrimiçi
Bu forumu görüntüleyen kullanıcılar: Hiç bir kayıtlı kullanıcı yok ve 2 misafir
