Forum
Bildirimler
Hepsini Temizle
Güvenlik Genel
7
Yazılar
4
Üyeler
0
Likes
398
Görüntüleme
Konu başlatıcı
Merhaba arkadaşlar,
Öncelikle konuyu yanlış yere açtıysam özür dilerim.
Yaklaşık 3 senedir domain & hosting hizmeti veren firmalarda çalışma fırsatım oldu. Son olarak kendi kurduğum web sunucuda hosting hizmeti sunmaya başladık. Kendi projelerimizle birlikte müşterilerin siteleri de bu sunucuda barınıyor. Ancak son zamanlarda sunucuda barınan bazı sitelerin "Satılık Script" konu başlıkları altında listelendiğini görünce şok oldum.
Sunucuda Windows Server 2003 Standart Edition kurulu. DoS saldırılarına karşı DataCenter tarafından 1.seviye firewall arkasında. Buna ek olarak donanımsal bir firewall cihazımız yok. Yazılımsal olarak NetworkShield Firewall kullanıyorum. Web sunucusunun ihtiyaç duyduğu birkaç port açık sadece.
Benim sunucumun özellikleri böyle olsa da, emek hırsızlığı yapan bu kişi büyük hosting firmalarında barınan dosyalara da birşekilde erişebiliyor. Tabi o dosyalara erişmenin onlarca yolu vardır, sistemlerde bir çok açık bulunabilir. Fakat bu aşamada benim yapmam gerekenler nedir acaba? Bu emek hırsızının bir çok sunucudaki siteleri kopyalamasının başlıca sebepleri neler olabilir?
Kodlara erişen kişi sunucudaki tüm dosyalara da erişebiliyor mudur?
Sitenin ASP/Asp.net/PHP ile yazılmış olmasının kodların kopyalanmasına bir etkisi var mıdır?
Veritabanlarına kullanıcı adı ve şifrelerini bilmeden veritabanlarına ulaşma imkanı var mıdır? gibi daha aklıma birçok soru var. Çözüme en hızlı şekilde nasıl ulaşabilirim?
Saygılarımla
Gönderildi : 13/11/2009 03:27
Tabiki sistemlerinizde ve asp/php sitelerinizde kodlanmadan kaynaklı açıklar var ise veri tabanlarına da ulaşılabilir. Admin şifreleri dahi alınıp size index basılabilir. (SQL injeksiyon olayı ile.) siteniz için profesyonel yardım almanızı tavsiye ederim.
Gönderildi : 13/11/2009 14:13
Konu başlatıcı
Mutlaka kodlardan dolayı bir çok şeyi yapabilir, fakat şu andaki durumun sadece kodlardan kaynaklandığını düşünmüyorum. Çünkü siteyi kopyalayıp satan kişi sadece html kodlarından oluşan bir siteyi de indirebiliyor. Ya da içi boş olsa bile sunucudaki diğer domainlere erişebildiğini söylüyor. Yani domain klasörünün altında bulunan bütün dosyalara erişebiliyor. Sistem dosyalarına vs. erişip erişemediğini bilmiyorum.
Sistemde Plesk 8.2 kurulu. Acaba sorun Plesk'in domain klasörlerine atadığı izinlerden mi kaynaklanıyor, ya da FSO açığı mı var. 80 portu dışındaki portlardan mı erişim sağlıyor.. Bir çok ihtimal var ama bunları nasıl tesbit edebileceğimi bilmiyorum. Sorunun nedenini bulabilirsem, çözüme de bir şekilde ulaşabileceğimi tahmin ediyorum.
Gönderildi : 13/11/2009 14:28
Eger sunucunda everyone kullanıcısının izinleri yeterince sınırlı değilse wmi da gerekli securty özelikleri yapılmamışsa ve sunucunda php veya asp ile shell çalıştırılabiliyosa durum çok vahim demektir.
everyone shell ve vmi ı kontrol etmeni tavsiye ederim öncelikle.
birde sunucuna senden başka giriş yetkisi olan birisi varmı? sonuç itibari ile destek ekibinden birisi de alıp scriptleri satış yapabilir.
Gönderildi : 17/11/2009 16:32
işletim sistemi-web server-firewall loglarını incelemekten başlasan iyi edersin.sunucularının ve üzerlerinde çalışan uygulamaların güncelliğinden (google dan plesk i sorgulatınca bulunan 2. sonuç son versiyonun 9.2 olduğunu söylüyor en basitinden ) emin olman lazım.bir yandan da acunetix benzeri bir araçla barındırdığın siteleri taratırsan iyi olur.işin zor dostum, yerinde olsam birşeyler bulsam bile temiz kurulum yapmadan rahat uyumamazdım 😀
İyi çalışmalar
Gönderildi : 17/11/2009 19:24
Konu başlatıcı
@kAyhAn89,
Hayır sunucuya benden başka giriş yetkisi olan yok. Sunucuda Plesk kurulu, sanırım shell çalıştırma izni yok. Ama emin değilim, bunu ve wmi'ı nasıl test edebilirim? İnternette çalışan bir çok FSO açığını denedim, fakat çalışmadı.
@Umut Şimşek ,
Plesk dışında hemen hemen tüm programlarım güncel. Ben de Plesk'den şüpheleneliyorum, ama bunu nasıl anlarım bilmiyorum. İşletim sistemi loglarından kastınız olay görüntüleyicisi mi?
IIS loglarına bakıyorum fakat siteye gelen tüm istekler buraya düşüyor mu? Toplu dosya indirme sözkonusu olduğu için belki bu yoldan birşeyler bulabilirim.
Gönderildi : 18/11/2009 00:53
asp shell olarak cyber_spy5 gibi bişiler vardı sanırım
php içinde c99.php die bir shell var bunları hostuna upload ederek deneyebilirsin
vmı konusunda da vmı yazma izinlerinden evryone kullanıcısını kaldır hatta bence c diskinden everyone tamamen kaldır, alt klasorlere uygulama ama uygularsan sistem çöker.
Regedit te shell die bi bölüm vardı tam hatırlamıyorum burdaki everyone kullanıcısını da kaldırmada fayda var.
Gönderildi : 24/11/2009 19:56
