Çözülmüş
Dostlar merhabalar yanlış duymadınız az daha TEAkolik.com adresimi hackliyorlardı. Kendini akıllı sanan bir lamer kalkmış sistemi alt üst edecek…
Bilmiyor ki 7 /24 sistemi kontrol ettiğimi… Şimdi sizlere dakika dakika neler olduğunu anlatayım…
Sistemimde üyelik zorunlu değil hepiniz biliyorsunuzdur. Ayrıca Üyelik linkini sayfanın en altına sıkıştırdım. Yinede okuyucularım sağolsunlar sürekli üye oluyorlar. Bugün itibariyle toplam 800 den fazla üye sistemimde kayıtlı ve birçoğu sağolsun aktif olarak yorum yapmaktalar. Zaten yorum sayısı olarak 12.985 e kadar yükseldim. Açıkcası diğer blog sahiplerini bilmem ama benim için büyük bir rakam… 788 yazıma toplamda 13.000 e yakın yorum…
Üyelerimi sürekli takip etmekteyim. Özelliklede birisi üye olduğu anda bana otomatik olarak mail gelmekte. Bugünde öğlen saatlerinde birisi üye oldu sistemime maili görünce şöyle bir göz gezdirdim. Fakat ne göreyim..!
Gelen mailde :
Bilgi - işlem, bilişim ve teknoloji üzerine… blogunuz için yeni kullanıcı kaydı:
Kullanıcı adı: admin
E-posta: ************@hotmail.com
Nasıl olur diye düşünmeye başladım ? Bende zaten “admin” olarak kayıtlı bir kullanıcı var. Wordpress’in varsayılan kullanıcısı peki nasıl olurda Admin olarak üye olunur ?
Bekledim birkaç saniye sonra bir mail daha aldım …
Gelen 2. mailde :
Aşağıdaki site ve kullanıcı adı için parola sıfırlanma isteğinde bulunuldu.
Kullanıcı adı: admin
Gördüğüm kadarıyla admin kullanıcısı şifremi unuttum yaptı ve şifreyi ele geçirdi.
Gelen 3. mailde :
Şu kullanıcı için kayıp parola yenisiyle değiştirildi: admin
Yok canım daha neler Wordpress kullanıcılarını kontrol ettim.
Admin sistemde 1. id ye sahip bir kullanıcı zaten ben sistemin güvenliği için admin kullanıcısının tüm yetkilerini almıştım. Ama sistemde 2 tane admin var…! Nasıl oluyor bu ?
Peki sonra ?
Tabiki lamer arkadaş admin olarak sisteme login oldu ve yönetici yetkisi olmadığını gördü. Fakat vazgeçmedi. Akabinde bir mail daha aldım. Tabi bu sırada sistemdeki admin kullanıcısını uçurdum.
Gelen 4. mailde :
Bilgi - işlem, bilişim ve teknoloji üzerine… blogunuz için yeni kullanıcı kaydı:
Kullanıcı adı: TEAkolik
E-posta: ************@hotmail.com
Nasıl olabilir ? Zaten sistemde 1 tane TEAkolik var 2. si nasıl olabilir ? Hemen PHPMYADMIN den Wp_users tablosuna gittim. Tabloda gerçektende 2 tane TEAkolik vardı.
PhpMyAdmin
Wp_Users tablosu :
DATABASE :
ID USER_LOGIN USERPASS USER_NICK_NAME USER URL USER URL
2 TEAkolik $P$BnQobXXX teakolik ************@teakolik.com http://
USER REGISTER USER_ACTIVATION_KEY user_status DISPLAYNAME
2006-10-25 20:30:42 activekeyXXXXX 0 TEAkolik
ID USER_LOGIN USERPASS USER_NICK_NAME USER URL USER URL
850 TEAkolik $P$BXK6vXX teakolik-x ***********@hotmail.com http://
USER REGISTER USER_ACTIVATION_KEY user_status DISPLAYNAME
2008-09-08 10:49:55 activekeyXXXXXX 0 TEAkolik
Açıkcası şaşırdım ki öyle bir şaşırdım …. Sistemde 2 tane admin olduğu gibi 2 tane TEAkolik oldu.
2. ID de kayıtlı olan tabloda TEAkolik benim kullandığım. 850. ID de kayıtlı olanda bu lamerin yaptığı…
İlk önce bir karakter farkı vardır diye düşündüm ama yoktu. İkiside aynıydı. Peki nasıl olabilir ?
Ben bunlara bakarken bizim lamer…
Gelen 5. mailde :
Aşağıdaki site ve kullanıcı adı için parola sıfırlanma isteğinde bulunuldu.
Kullanıcı adı: TEAkolik
Bizim lamer iyi tahmin etmiş. TEAkolik.com da TEAkolik yönetici yetkisine sahiptir. İyi güzel sonra bir güzel şifreyi değiştirdi. Tabiki buna izin veremezdim.
Diğer yönetici yetkisine sahip user ile sistemdeydim zaten TEAkolik kullanıcısının tüm yetkilerini aldım. Lamer çekti gitti..
Gelen 6. mailde :
Şu kullanıcı için kayıp parola yenisiyle değiştirildi: TEAkolik
Az daha tüm sistemi lamerin birinin eline verecektik. Sistemi sürekli takip ettiğim için şükürler olsun ki müdahaleyi tam zamanında hallettim ve hiçbir şekilde zarara uğramadan sistemi korudum.
Gördüğüm kadarıyla yeni üye kaydını kullanarak artık hangi açığı kulllanıyorsa üye olarak bunu yapmaktaydı. Sistemindeki üyeliği kaldırdım ve hiçkimse üye olamaz bir şekilde ayarlardım. Diğer internet sayfalarım TEAkolik.info ve Driveristek.com domainleriminde üye olma işlevlerini devre dışı bıraktım.
Yönetim paneli > Ayarlar > Genel :
İsteyen herkez üye olabilir. Kutucuğunu kaldırdım.
Son anda yırtmıştım. Gerçi sorun değil sonuçta hergün Databasemin yedeğini alıyorum en fazla birkaç dakika sistemi hackliyebilirdi. Tabi bütün karizma mafiş internet aleminede hafiften rezil olurdum.
Benim gibi güvenliğe önem veren herkez sürekli yedek alır ve sistemlerini 7/24 kontrol ederler..!
Evet peki sonra ?
İlk yaptığım iş DB yedeğini almak oldu. Sonrada hemencik bugünün tarihindeki Logları bilgisayarıma kayıt ettim.
Bugün lamerin bağlandığı saatlerde bağlanan linkere baktığımda dikkatimi çeken tek link ..
/wp-admin/admin-ajax.php 690 154 Bytes 7
diğer bir log kayıdında ise…
62 Sep/ 6/08 9:24 PM /wp-admin/index-extra.php
16 Sep/ 6/08 9:24 PM /wp-admin/index-extra.php?jax=devnews
16 Sep/ 6/08 9:24 PM /wp-admin/index-extra.php?jax=incominglinks
16 Sep/ 6/08 9:24 PM /wp-admin/index-extra.php?jax=planetnews
14 Sep/ 6/08 9:24 PM /wp-admin/index-extra.php?jax=plugins
88.238.130.XXX - - [08/Sep/2008:04:14:46 -0400] “GET /wp-login.php?action=register HTTP/1.0″ 200 1955 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16″
88.238.130.192 - - [08/Sep/2008:04:14:48 -0400] “GET /wp-admin/css/colors-fresh.css?ver=2.6.1 HTTP/1.0″ 200 13843 “http://www.teakolik.com/wp-login.php?action=register” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16″
88.238.130.192 - - [08/Sep/2008:04:14:57 -0400] “POST /wp-login.php?action=register HTTP/1.0″ 200 2112 “http://www.teakolik.com/wp-login.php?action=register” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16″
88.238.130.192 - - [08/Sep/2008:04:15:14 -0400] “GET /wp-login.php?action=lostpassword HTTP/1.0″ 200 1798 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16″
88.238.130.192 - - [08/Sep/2008:04:15:56 -0400] “POST /wp-login.php?action=lostpassword HTTP/1.0″ 200 1928 “http://www.teakolik.com/wp-login.php?action=lostpassword” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16″
88.244.244.10 - - [08/Sep/2008:04:55:59 -0400] “GET /wp-login.php?redirect_to=http%3A%2F%2Fwww.teakolik.com%2Fwp-admin%2Fupload.php%3Fstyle%3Dinline%26tab%3Dbrowse%26post_id%3D636%26_wpnonce%3D21d201a5f5%26ID%3D637%26action%3Dview%26paged HTTP/1.0″ 200 2226 “http://www.teakolik.com/orite-rn-3500-3100-3000-webcam-vista-suruculeri/?cp=all” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)”
78.187.16.172 - - [08/Sep/2008:06:40:05 -0400] “GET /wp-login.php?action=register HTTP/1.0″ 200 1955 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
78.187.16.172 - - [08/Sep/2008:06:40:09 -0400] “GET /wp-admin/css/login.css?ver=2.6.1 HTTP/1.0″ 200 1436 “http://www.teakolik.com/wp-login.php?action=register” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
78.187.16.172 - - [08/Sep/2008:06:40:55 -0400] “POST /wp-login.php?action=register HTTP/1.0″ 302 - “http://www.teakolik.com/wp-login.php?action=register” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
Açıkcası bu loglarda hiçbir gariplik göremedim diğer satırlarda da birşey yok. Bu arkadaş bu lamer arkadaş sistemi üye kaydı ile hacklemeye çalıştı. Üyeliği kapatınca çekti gitti. Fakat nasıl oluyorda 2 tane admin kaydı yada 2 tane TEAkolik kaydı olabiliyor ?
Açıkcası merak ettiğim buydu. Zaten yukarıda da söylediğim gibi Database içerisinde de kontrol ettim. İşin ilginç tarafı üye kaydında bulduğu açık ile sisteme üye olurken kendi e-mailini veriyor ve TEAkolik’in 2. kopyası farklı e-mail ile sisteme üye oluyor. Sonra şifremi unuttum yaparak şifremi mi çalacaktı yoksa kendi şifresini tekrardan mı alacaktı ? Bu gerçektende çok merak ettiğim bir durum..!
SİSTEM VE ALTYAPISI :
Wordpress Sürüm :
2.6.1
Sisteme üyelik açıktı.
Eklentiler :
Adsense-Deluxe 0.8
Akismet 2.1.8
Google XML Sitemaps 3.1.0.1
Clean Options Beta 0.9.7
WordPress Database Backup 2.2.1
Paged Comments 2.8 (2008-08-19)
CHMOD ayarlarım normal :
WP-upload ve theme dosyalarım hariç 666
Htaccess :
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
RewriteCond %{THE_REQUEST} \?(ref=.*)?\ HTTP [NC]
RewriteRule .? http://www.teakolik.com%{REQUEST_URI}? [R=301,L]
</IfModule>
Peki nasıl oluyorda bu lamer sistemi az daha hackleyebiliyordu !
NOT: Sisteminizdeki ÜYE kaydını hemen kaldırın… Hiçkimse üye olamasın..!
NOT : Araştırmak isteyen olursa Logların tamamını ve DB yi mail atabilirim. Şuan hala 2 tane TEAkolik DB de duruyor..!
