Merhabalar kıvılcım bey,
sunucu yönetimi, güvenliği, web programlama üzerine çalışmalar yapıyorum. verilerinizde veya dosyalarınız herhangi bir değişiklik yok. hata virtualhost
larda php_admin_value open_basedir parametresini tanımlamamanızdan kaynaklanıyor.Bu maila cevap olarak da şöyle bir şey yazdım:
http://www.cocuklarabilgisayar.org/falanfilan --> burdan veritabanı şifrelerini alındı açılan html in kaynağına göz atabilirsiniz.
http://www.fazlamesai.net/phpmyadmin adresinden sisteme girip veritabanına ulaşılabiliyor.
vs. vs.
sorunu düzeltmek için acilen virtualhostlarınızda php_admin_value open_basedir parametresini kullanmanızı öneriyorum. her türlü öneri görüş ve sorularınız için bu mail adresimi kullanabilirsiniz yine telefon numaram 05******* görüşmek üzere iyi çalışmalar
xxxxx
Merhaba,
İlgin ve bizi haberdar ettiğin için çok teşekkürler.
Konu ile ilgileniyoruz.
Görüşmek üzere
Kıvılcım
Bunun akabinde hemen incelemelere başladık.
Öncelikle loglara bakıldı. Directory traversal patterni kulllanılarak loglar ayıklandı ve isteklerin yapıldığı zaman belirlendi. Ardından foruma yapılan bir sql injection saldırıları tespit edildi, bunlardan iki IP numarası bulundu. Bunlar son 60 günlük loglarda taratıldı, girilen URL
ler incelendi. Bunun üzerine phpmyadminden veritabanı dumpının alındığı tespit edildi.
Bu noktada bizi aramış olan arkadaşı aradık. Kendisine bunu neden yaptığını sorduğumuzda Kötü amaçlı yapmadım, düşünmeden bir anda oldu. Ama iyi niyetimden şüphe etmeyin, bir kötü amacım yokdedi.
Bundan yaklaşık yarım saat sonra da aslında bizi arayan bu arkadaşların GriŞapka.orga (bize durumu haber vermeden dört saat kadar önce) haber yaptıklarını ve veritabanını upload ettiklerini öğrendik.
Bunun üzerine tekrar aradık. Telefona çıkan arkadaş, bu işi iki kişi yaptıklarını ve diğer arkadaşının sözkonusu upload işlemini gerçekleştirdiğini söyledi. Biz de kendilerine bunun ne kadar can sıkıcı olduğunu, eğer sözkonusu veritabanı yayınlanırsa, dörtbine yakın üyenin şifrelerinin ve e-posta adreslerinin ortaya çıkacağını ve bunun da insanlarda ciddi bir rahatsızlık yaratacağını, kendilerininse bu işte kısa süreli bir şöhret dışında bir şey elde edemeyeceklerini anlattık. Hele ki bilgi güvenliği alanında kariyer yapmayı düşünüyorlarsa, bu tür bir işi yapmış olmanın illa ki bir yerde kendilerini bulacağını ve ilerlemelerini engelleyeceğini de belirttik. Ne yapıp edip bu veritabanının yayınlanmasını engellemelerinin ne kadar önemli olduğunu anlattık.
Bunun üzerine ellerinden geleni yapacaklarını söylediler.
Bu sırada FM ekibi, normal mesailerini bir yana bırakmış sitedeki durumu incelemekteydi.
Öncelikle şifreler değiştirildi. Kullanıcıların şifrelerinin ilk loginde değiştirilmesi için gerekli altyapı hazırlandı.
SQL injection ve directory traversal saldırısının devamında makinaya bir login olup olmadığını kontrol ettik. Bunun akabinde bir rootkit olup olmadığına bakıldı, bunun için kullanılmakta olan AIDE veritabanında dosyaların fingerprintleri kullanıldı. Kritik dosyalarda bir değişiklik bulunmadı.
Veritabanının ele geçmesi sebebiyle (yayınlansın yayınlanmasın) kullanıcıların mağduriyetinin minimuma indirilmesi için bir uyarı haberi yazıp siteyi offline hale getirmeye karar verildi.
Yan siteler de benzer şekilde kapatıldı.
Site kodları detaylı olarak incelenmeye başlandı. Bu çalışma pazar erken saatlere kadar sürdü.
Apache konfigürasyonu değiştirildi, htaccessler düzenlendi.
IDS ve diğer network araçları ile bazı önlemler alındı.
Kullanıcıların hepsinin şifreleri değiştirildi ve kendilerine login olmaları için unique birer urlle mail atıldı ve site yayına açıldı. Geri dönen maillar incelendi.
Bütün bu çalışmalar sırasında fırsattan istifade şansını denemek isteyen yüzlerce SQL meraklısı arkadaş loglardan izlendi, IPleri nolur nolmaz diye not edildi (başkasının e-postasına bakmaya beş yıla kadar ceza verilebileceğini biliyor muydunuz? Veritabanına bakmanın cezası nedir acaba?)
Bütün bu çalışmalardan sonra, FMe destek mailı atan yüzlerce arkadaşımıza cevap verdik, yardım önerileri için teşekkür ettik.
Bu çalışmaların sona ermesinin akabinde pazartesi akşamüzeri gibi grisapkada veritabanı ve kodlar yayınlandı.
Kısaca vakanın özeti budur.
Sonuç:
Sözkonusu açıklar, malesef ki basit ve gözden kaçmış şeyler. Olmamaları çok iyi olurdu ama oldu bir kere.
Bu noktada FMin bütün altyapısının sıfırdan yazılmış olmasının (Phpnukeden geçişin kolay olması için veritabanının aynı tutulması dışında) ne kadar da çetrefilli bir iş olduğunu ve bütün bu çalışmayı yapan bir tek kişinin üstünde ne kadar da büyük bir yük olduğunu düşünmenizi isterim. Böyle bir çalışma sırasında mutlaka gözden kaçan şeyler olmuştur, olacaktır.
Öte yandan spekülasyon yapılan ve cevap verilmesi elzem olan bir başka konu da kodların kamuya açılmamış olması. Vay efendim, o kadar open source de, sonra kodun kapalı olsun. çok fazla düşünülmeden özellikle de bugüne kadar kamuya kod açmamış insanların ilk aklına gelen şey. Bu kadar basit değil. Yazdım ben bu kodu, kamuya açık, hayırlı olsun demek de iş değil. O kodu makul anlaşılır bir hale getirmeniz, belli bir şekilde paketlemeniz, kurulumunu anlatmanız ve daha birsürü iş yapmanız gerekiyor. Hal böyleyken bu ciddi mesai harcanması, adam gibi yapılması gereken bir iş. Bizim de malesef FMdeki çalışmalarımız ve gündelik işlerimizden bu tür bir ekstra vakit ayırmaya zamanımız olmadı. Bunun tek sebebi budur.
Sözkonusu saldırıyı yapan arkadaşlara gelince. Keşke hareket etmeden önce biraz düşünselerdi, keşke önce şu telefon konuşmasını yapsaydık, vs. vs. Doğru başlanmış bir işi (bir sitede bulunan bir açığın site sahiplerine uygun şekilde haber verilmesi ve önlem almaları için zaman tanınmasını) çok yanlış bir şekilde bitirdiler ve başta bu sitenin okurları olmak üzere birçok kişiye rahatsızlık verdiler.
Asıl problem şu ki birsürü arkadaş bu şekilde hareket etmekte ve yaptıklarının ne kadar büyük suç olduğunun, çok ciddi sonuçlar doğurabileceğinin farkında olmamaktalar. TurkTelekomdan isimlerine kayıtlı IPlerle saldırı yapmaktan, burda edinilen bilgileri sitesinde yayınlamaya kadar bu işlerin hepsinin çok ciddi cezaları var. Bunlar herne kadar şaka gibi gelse de, öyle değil. Özellikle de bu alanda kariyer yapmayı düşünen, bir gün ben Türkiyenin en önde gelen güvenlik uzmanı olacağım diye hayalleri olanlar varsa,inanın bana yolu bu değil. Herkesin izi takip edilebiliyor, herkes bulunabiliyor, hele ki Türkiye gibi Telekomun tekel olduğu hala bir ucunun devlete bağlı olduğu bir ortamda. Böyle bir tek hareketle sicilinizi lekelemekten hapse girmeye kadar binbir türlü şey gelebilir başınıza, bu iş şaka değil.
Gelelim tembellik, beceriksizlik iddialarına. Bir çoklarının kıt aklına geldiği gibi biz bu siteyi koyalım bir kenardan yürüsün, aman buna emek harcamayalım, gelene gidene laf sokalım, ego tatmin edelim diye kurmadık. Bu siteyi bizler gibi bu alanlarda çalışan, ilgi duyan insanlarla biraraya gelmek, bilgi paylaşmak için kurduk. Bu doğrultuda da altı yıla yakın süredir bu siteye ciddi bir emek ve para harcadık. Buraya harcanan emeği, bugüne kadar yayınlanan binlerce makaleden (ve bunlar üzerine gayet başarılı tartışmalardan), başlattığımız ve devam etmekte olan projelerden, birçok konuyu arattığınızda Türkiyeden ilk gelen sitelerden biri olmamızdan anlayamayanlara çok da anlatacak bir şey yok diye düşünüyoruz.
Bu kişilerden gösterilen bu çabayı takdir etmelerini bile istemiyoruz. Biz FMe haber giren, yorum yazan ya da en azından bu emeği takdir edip destekleyen bir grup insanla da bu işleri yapmaya devam ederiz.
Geri kalanlar da gölge etmesin başka ihsan istemeyiz.
Son söz:
Bu sıkıntılı haftasonunda, rahatsızlığımızı paylaşan, bize yardım önerilerinde bulunan bütün arkadaşlara özellikle teşekkürler.
