Az daha hackleniyordum ..!

Dostlar merhabalar yanlış duymadınız az daha TEAkolik.com adresimi hackliyorlardı. Kendini akıllı sanan bir lamer kalkmış sistemi alt üst edecek…

Bilmiyor ki 7 /24 sistemi kontrol ettiğimi… Şimdi sizlere dakika dakika neler olduğunu anlatayım…

Sistemimde üyelik zorunlu değil hepiniz biliyorsunuzdur. Ayrıca Üyelik linkini sayfanın en altına sıkıştırdım. Yinede okuyucularım sağolsunlar sürekli üye oluyorlar. Bugün itibariyle toplam 800 den fazla üye sistemimde kayıtlı ve birçoğu sağolsun aktif olarak yorum yapmaktalar. Zaten yorum sayısı olarak 12.985 e kadar yükseldim. Açıkcası diğer blog sahiplerini bilmem ama benim için büyük bir rakam… 788 yazıma toplamda 13.000 e yakın yorum…

Üyelerimi sürekli takip etmekteyim. Özelliklede birisi üye olduğu anda bana otomatik olarak mail gelmekte. Bugünde öğlen saatlerinde birisi üye oldu sistemime maili görünce şöyle bir göz gezdirdim. Fakat ne göreyim..!

Gelen mailde  :

Bilgi – işlem, bilişim  ve teknoloji üzerine… blogunuz için yeni kullanıcı kaydı:

Kullanıcı adı: admin

E-posta: [email protected]

Nasıl olur diye düşünmeye başladım ?  Bende zaten “admin” olarak kayıtlı bir kullanıcı var. WordPress’in varsayılan kullanıcısı peki nasıl olurda Admin olarak üye olunur ?

Bekledim birkaç saniye sonra bir mail daha aldım …

Gelen 2. mailde :

Aşağıdaki site ve kullanıcı adı için parola sıfırlanma isteğinde bulunuldu.

http://www.teakolik.com

Kullanıcı adı: admin

Gördüğüm kadarıyla admin kullanıcısı şifremi unuttum yaptı ve şifreyi ele geçirdi.

Gelen 3. mailde :

Şu kullanıcı için kayıp parola yenisiyle değiştirildi: admin

Yok canım daha neler WordPress kullanıcılarını kontrol ettim.

Admin sistemde 1. id ye sahip bir kullanıcı zaten ben sistemin güvenliği için admin kullanıcısının tüm yetkilerini almıştım. Ama sistemde 2 tane admin var…! Nasıl oluyor bu ?

Peki sonra ?

Tabiki lamer arkadaş admin olarak sisteme login oldu ve yönetici yetkisi olmadığını gördü. Fakat vazgeçmedi. Akabinde bir mail daha aldım.  Tabi bu sırada sistemdeki admin kullanıcısını uçurdum.

Gelen 4. mailde :

Bilgi – işlem, bilişim  ve teknoloji üzerine… blogunuz için yeni kullanıcı kaydı:

Kullanıcı adı: TEAkolik

E-posta: [email protected]

Nasıl olabilir ?  Zaten sistemde 1 tane TEAkolik var 2. si nasıl olabilir ?  Hemen PHPMYADMIN den Wp_users tablosuna gittim. Tabloda gerçektende 2 tane TEAkolik vardı.

PhpMyAdmin

Wp_Users  tablosu :

DATABASE :

ID       USER_LOGIN        USERPASS             USER_NICK_NAME       USER URL                     USER URL
2           TEAkolik       $P$BnQobXXX                 teakolik          [email protected]     http://

USER REGISTER                 USER_ACTIVATION_KEY  user_status    DISPLAYNAME
2006-10-25 20:30:42          activekeyXXXXX                 0               TEAkolik

ID       USER_LOGIN        USERPASS             USER_NICK_NAME       USER URL                            USER URL
850      TEAkolik         $P$BXK6vXX              teakolik-x       [email protected]     http://

USER REGISTER                 USER_ACTIVATION_KEY  user_status    DISPLAYNAME
2008-09-08 10:49:55      activekeyXXXXXX                    0              TEAkolik

Açıkcası şaşırdım ki öyle bir şaşırdım …. Sistemde 2 tane admin olduğu gibi 2 tane TEAkolik oldu.

2. ID de kayıtlı olan tabloda TEAkolik benim kullandığım.   850. ID de kayıtlı olanda bu lamerin yaptığı…

İlk önce bir karakter farkı vardır diye düşündüm ama yoktu. İkiside aynıydı. Peki nasıl olabilir ?

Ben bunlara bakarken bizim lamer…

Gelen 5. mailde :

Aşağıdaki site ve kullanıcı adı için parola sıfırlanma isteğinde bulunuldu.

http://www.teakolik.com

Kullanıcı adı: TEAkolik

Bizim lamer iyi tahmin etmiş. TEAkolik.com da TEAkolik yönetici yetkisine sahiptir. İyi güzel sonra bir güzel şifreyi değiştirdi. Tabiki buna izin veremezdim.

Diğer yönetici yetkisine sahip user ile sistemdeydim zaten TEAkolik kullanıcısının tüm yetkilerini aldım. Lamer çekti gitti..

Gelen 6. mailde :

Şu kullanıcı için kayıp parola yenisiyle değiştirildi: TEAkolik

Az daha tüm sistemi lamerin birinin eline verecektik. Sistemi sürekli takip ettiğim için şükürler olsun ki müdahaleyi tam zamanında hallettim ve hiçbir şekilde zarara uğramadan sistemi korudum.

Gördüğüm kadarıyla yeni üye kaydını kullanarak artık hangi açığı kulllanıyorsa üye olarak bunu yapmaktaydı. Sistemindeki üyeliği kaldırdım ve hiçkimse üye olamaz bir şekilde ayarlardım. Diğer internet sayfalarım TEAkolik.info domainiminde üye olma işlevlerini devre dışı bıraktım.

Yönetim paneli > Ayarlar > Genel :

İsteyen herkes üye olabilir.   Kutucuğunu kaldırdım.

Son anda yırtmıştım. Gerçi sorun değil sonuçta hergün Databasemin yedeğini alıyorum en fazla birkaç dakika sistemi hackliyebilirdi. Tabi bütün karizma mafiş internet aleminede  hafiften rezil olurdum.

Benim gibi güvenliğe önem veren herkes sürekli yedek alır ve sistemlerini 7/24 kontrol ederler..!

Evet peki sonra ?

İlk yaptığım iş  DB yedeğini almak oldu. Sonrada hemencik bugünün tarihindeki Logları bilgisayarıma kayıt ettim.

Bugün lamerin bağlandığı saatlerde bağlanan linkere baktığımda dikkatimi çeken tek link ..

/wp-admin/admin-ajax.php    690    154 Bytes         7

diğer bir log kayıdında ise…

62         Sep/ 6/08 9:24 PM    /wp-admin/index-extra.php
16         Sep/ 6/08 9:24 PM      /wp-admin/index-extra.php?jax=devnews
16         Sep/ 6/08 9:24 PM      /wp-admin/index-extra.php?jax=incominglinks
16         Sep/ 6/08 9:24 PM      /wp-admin/index-extra.php?jax=planetnews
14         Sep/ 6/08 9:24 PM      /wp-admin/index-extra.php?jax=plugins

88.238.130.XXX – – [08/Sep/2008:04:14:46 -0400] “GET /wp-login.php?action=register HTTP/1.0” 200 1955 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16”
88.238.130.192 – – [08/Sep/2008:04:14:48 -0400] “GET /wp-admin/css/colors-fresh.css?ver=2.6.1 HTTP/1.0” 200 13843 “http://www.teakolik.com/wp-login.php?action=register” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16”
88.238.130.192 – – [08/Sep/2008:04:14:57 -0400] “POST /wp-login.php?action=register HTTP/1.0” 200 2112 “http://www.teakolik.com/wp-login.php?action=register” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16”
88.238.130.192 – – [08/Sep/2008:04:15:14 -0400] “GET /wp-login.php?action=lostpassword HTTP/1.0” 200 1798 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16”
88.238.130.192 – – [08/Sep/2008:04:15:56 -0400] “POST /wp-login.php?action=lostpassword HTTP/1.0” 200 1928 “http://www.teakolik.com/wp-login.php?action=lostpassword” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16”
88.244.244.10 – – [08/Sep/2008:04:55:59 -0400] “GET /wp-login.php?redirect_to=http%3A%2F%2Fwww.teakolik.com%2Fwp-admin%2Fupload.php%3Fstyle%3Dinline%26tab%3Dbrowse%26post_id%3D636%26_wpnonce%3D21d201a5f5%26ID%3D637%26action%3Dview%26paged HTTP/1.0” 200 2226 “http://www.teakolik.com/orite-rn-3500-3100-3000-webcam-vista-suruculeri/?cp=all” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)”
78.187.16.172 – – [08/Sep/2008:06:40:05 -0400] “GET /wp-login.php?action=register HTTP/1.0” 200 1955 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
78.187.16.172 – – [08/Sep/2008:06:40:09 -0400] “GET /wp-admin/css/login.css?ver=2.6.1 HTTP/1.0” 200 1436 “http://www.teakolik.com/wp-login.php?action=register” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
78.187.16.172 – – [08/Sep/2008:06:40:55 -0400] “POST /wp-login.php?action=register HTTP/1.0” 302 – “http://www.teakolik.com/wp-login.php?action=register” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”

Açıkcası bu loglarda hiçbir gariplik göremedim diğer satırlarda da birşey yok. Bu arkadaş bu lamer arkadaş sistemi üye kaydı ile hacklemeye çalıştı. Üyeliği kapatınca çekti gitti. Fakat nasıl oluyorda 2 tane admin kaydı yada 2 tane TEAkolik kaydı olabiliyor ?

Açıkcası merak ettiğim buydu. Zaten yukarıda da söylediğim gibi Database içerisinde de kontrol ettim. İşin ilginç tarafı üye kaydında bulduğu açık ile sisteme üye olurken kendi e-mailini veriyor ve TEAkolik’in 2. kopyası farklı e-mail ile sisteme üye oluyor. Sonra şifremi unuttum yaparak şifremi mi çalacaktı yoksa kendi şifresini tekrardan mı alacaktı ? Bu gerçektende çok merak ettiğim bir durum..!

SİSTEM VE ALTYAPISI :

WordPress  Sürüm :

2.6.1

Sisteme üyelik açıktı.

Eklentiler :

Adsense-Deluxe      0.8
Akismet     2.1.8
Google XML Sitemaps     3.1.0.1
Clean Options      Beta 0.9.7
WordPress Database Backup     2.2.1
Paged Comments      2.8 (2008-08-19)

CHMOD ayarlarım normal :

WP-upload ve theme dosyalarım hariç 666

Htaccess  :

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
RewriteCond %{THE_REQUEST} \?(ref=.*)?\ HTTP [NC]
RewriteRule .? http://www.teakolik.com%{REQUEST_URI}? [R=301,L]
</IfModule>

Peki nasıl oluyorda bu lamer sistemi az daha hackleyebiliyordu !

NOT: Sisteminizdeki ÜYE kaydını hemen kaldırın… Hiçkimse üye olamasın..!

“Az daha hackleniyordum ..!” üzerine 26 yorum

  1. WordPress 2.6.1’de isteyenin üye olabilmesinin yarattığı bir açık bu. 2.6.2’ye güncelleme yapmanızı öneririm.

    Yanıtla
  2. Geçmiş olsun.
    Ucuz kurtulmuşsun,maalesef ülkemizde yıkmayı seven çok fazla gereksiz web kullanıcısı var!

    Yanıtla
  3. Hasan Yılmaz ;

    Teşekkür ederim sistemi az önce 2.6.2 ye güncelledim ve sistemimdeki 800 kullanıcıyı tek tek sildim.

    JunkChorn:

    Malesef ki öyle…

    Tesbi ;

    Açıkcası sürekli sistemi kontrol ediyorum. Daha doğrusu işim bu zaten 🙂 Tam bir kovalama oldu ve kovalama bitmedi.. 🙂

    Yanıtla
  4. HC ;

    Hakkı hocam sistemi biraz önce 2.6.2 ye güncelledim. Sistemde bir anormallik de yok açıkcası 9450 satırlık 1 günlük log kaydını tek tek satır satır inceledim. Onda da bir garipliğe rastlamadım. Üyelik sistemimi kapattım tüm üyelerimi sildim ( 850 üye 🙁 ) son olarak sistemi baştan aşağıya kontrol etiim. İlginiz için teşekkür ederim hocam…

    Yanıtla
  5. Biz ara sıra yorum olarak katılsak da sitenizi rss den sürekli takip ediyoruz.
    Bu yazdıklarınızı okuyunca kendi başımıza gelmesi durumunda ne yaparız diye korktuk açıkcası.

    Yanıtla
  6. Tabii ki olur, üye id’ler farklı. Hatta benim Php-nuke sistemdede oluyordu, bakıyorsun yeni üyelere: xxyy, xxyy, xxyy, sadece id’sinin farklı olması yeterli. Girişte ise ilk bulduğu veriyi değerlendiriyor dersek:
    1 admin pass1
    2 admin pass2

    Eleman 2. id’e ait admin kullanıcısı oluşturmuş ama yetki atayamaz bu durumda. Parola sıfırlamada 1 idli kullanıcıya mail gider, yani sana.
    Hımm şifre sıfırlamada kullanıcı id’si dikkate alınmıyor mu? o zaman vay halimize.

    Yanıtla
  7. Cocuklacocuk ;

    Açıkcası bende sitenize yeni yeni takılmaya başladım. Benim Çocuk yolda da 🙂

    Sisteminizi hemen güncelleyin ve üye kaldını iptal edin yeterli. Korkmanıza gerek yok. Ayrıca ilgi ve alakanız için teşekkür ederim…

    Yanıtla
  8. Mim ;

    Üye kaydı olurken id kontrolu username kontrolü ve e-mail kontrolü sistemde zaten var. İşte bu lamer arkadaş bu kontrollerin önüne geçerek sistemde bir user oluşturdu. Şifremi unuttum kısmındada bir kotrol varmı yokmu bilmiyorum ama çattttt etti şifre gitti…

    Yanıtla
  9. Bu işlerden o kadar ahım şahım anlamam ama sanırım anlayamadığım bir şey var. Sistemde admin diye bir kullanıcı/yönetici var diyelim. Üye kaydı olurken birisi tekrar “admin” kullanıcı adını almak istese sistem kendini kontrol edip “zaten bu kullanıcı adı kullanılıyor” demesi gerekmez mi?

    Hadi bu aynı kullanıcı adlarının aynı anda kullanılması WordPress sisteminin bir güzelliği diyelim, e bunlar @Mim’in belirttiği gibi “id” özelliğine göre sıralanmıyormu. Yani Esas admin 1. id ise yeni admin 850. id ise, o şifre hatırlatmasından yeni şifre isteyen 850. admin nasıl oluyorda 1. id de ki adminin şifresini isteyebiliyor? Sistem işleyişi benzersiz ve tek olan “id” numaralarına göre değil mi?

    Yani 850 id numaralı biri şifre istiyorsa nasıl oluyorda 1. id numaralı kişinin şifresini alabilir? Kullanıcı adı aynı olsa bile sonuçta esas kriter id değil mi?

    Çok merak ettim şimdi 🙂 Aslında kendi sisteminizde kendiniz bir “admin” adı alıp bunun gerçekleşme ihtimalini denemeliydiniz 🙂

    Yanıtla
  10. Uğur ;

    Normal şartlar altında zaten aynı isimle kayıt olunamaz. Aynı e-mail ilede üye olunamaz. Ama bu lamer bir açık sayesinde bunu yapabiliyor. Ayrıca yine bu açık sayesinde şifreyi alabiliyor. Yani Şifreyi değiştirmeside sisteme aynı user ile kayıt yapabilmesi normal şartlar altında olanaksız sistem uyarmakta. Fakat sistemin bir açığını bulmuşlar işte…

    Yanıtla
  11. cocuklacocuk:

    Teşekkür ederim sağolun henüz 3 aylık hayırlısı bakalım. İnsan çocuğu olunca sörf zevki keyfi bile değişiyormuş bunuda gördük 🙂

    Yanıtla
  12. Koray AL ;

    Şuan bunu exploit i yazıyorum malesef ki yazan pek fazla kişi yok. Exploit ortada herkes biliyor bir biz bilmiyoruz 🙂

    Sonunda nasıl sistemin hacklendiğini buldum. Zaten bu akşam yazacağım sağolasın keşkem daha önce haber verseydin …

    Yanıtla
  13. Benim başıma böyle birşey gelse,çözebilecek bilgi bende yok 🙂

    Windows Live Writer kullanmaya başladım dünden beri,ya msnim hacklenir de blog şifrelerimi alırlarsa diye ödüm kopuyor 🙁

    Yanıtla
  14. Gelen bağlantılar ve parolalar gerçeği yansıtmıyor ve giriş yapmanız mümkün değil.Kendiniz sağlamasını kendi blogunuzda yapabilirsiniz.

    Yanıtla
  15. gzl bir blogun var oldugu gibi hazır acık kullanan lamerlarımzda cok
    bu blogu ancak securty sitelerini takip ederek ve çeşitli acıkları update ederek korumanızı oneririm
    koaly gelsn…

    Yanıtla
  16. İşitme kaybı ;

    Sadece üyelere sistemini kapat. Yani hiçkimse üye olamasın yeter… Korkmanıza gerek kalmaz.

    Yanıtla
  17. Hakan Yamanoğlu ;

    Açık yinede açıktır. Aynen katılıyorum… Malesef açık ortada öyyyllee baktığı sürecek her zaman bir güvenlik zaafiyeti olarak kalacaktır.

    Vehbikilic.net:

    Versiyon farklılığıda malesef fark ediyor.

    crackerteam:

    Teşekkür ederim. Elimden geldiğince korumaya çalışıyorum.

    Yanıtla
  18. 😀 çok bas
    it ir açık 😀 ama 3 sürümümnden sonra giderildi 😀
    açık mysql ile alakalı olduğu için “sql injection” olarak adlandırılıyor.
    uyguklaması şöyle. yeni kullanıcı kaydı diyor. ve kullanıcı adına
    admin (50-60 tane boşluk) xxx aynen bu şelik yazıyor. phpmyadmin bu akdar uzun kabul etmediği için ve xxx’den önce boşluk olduğu için admin adında yeni kullanıcı oluşturuyor 🙂

    Yanıtla
  19. plugins lerden kaynaklı.
    etkinleştirdiğiniz her plugins i öncesinde localhostta denemelerden geçiriniz. Açık varmı yokmu diye.
    aha bir açık daha ?fdx_switcher=mobile wp-config.php yi gösterir. Bir plugin ne zararlara sebep oluyor.
    themes/mTheme-Unus/css/css.php?files=../../../../wp-config.php
    hack yada benzeri işleri bıraktığım için örnek siteye hiç bir şekilde müdahele etmeyeceğim. Dili dini ırkı farketmeksizin.

    Yanıtla

Yorum yapın