Kali linux üzerinde openvas ile bazı taramalar yapıyorum ve genelde admin şifresini unutup sürekli çözüm yolları aradığım için çözümü buraya eklemeye karar verdim.
Terminal i açınız.
Openvas i durduralım.
openvas-stop
Admin şifresini güncelleyelim.
openvasmd –user=admin –new-password=yenişifreniz
Openvas i başlatalım.
openvas-start
Şimdi browserdan tekrar erişip yeni şifre ile giriş yapabilirsiniz.
Ayhan ARDA
https://www.ayhanarda.com/blog/2016/11/rarcrack-ile-rar-uzantili-arsiv-dosyasi-sifrelerini-kirma/ adresinde yöntemin esasına değinmiştim , bu sefer fcrackzip isimli tool u kullanacağız , bu tool kali linux te kurulu geliyor , dolayısı ile kurmakla uğraşmıyoruz.
Elimde .zip olarak şifrelenmiş bir dosya var , yine hızlı bulması için 3 karakterli büyük küçük harf ve sayı içeren bir şifre verdim test için. Komut aşağıdaki gibi.
[email protected]:~# fcrackzip -l3 -u upload.zip
PASSWORD FOUND!!!!: pw == a7B
Burda bulması 1 sn bile sürmedi , sanıyorum sadece 3 karakterli olanları dene dediğimiz ve şifremizin a harfi ile başlamasından dolayı bu kadar hızlı oldu.
Gördüğünüz üzere biz bir şifre dosyası belirtmedik , kendi türetip denedi , ancak elinizde bir password list var ise onuda kullandırabiirsiniz.
Bu kez komutumuz aşağıdaki gibi olacaktı.
[email protected]:~# fcrackzip -D -p ayhanarda-sifrelistesi.txt -u upload.zip
Ayhan ARDA
Yöntem esasen bruteforce a dayanıyor , test için bir klasörü .rar olarak şifreledim , çabuk bulabilmesi için 3 haneli içinde büyük küçük harf olan bir şifre verdim. Bu rar dosyasını kali linux e yükledim. Kali linux te rarcrack default olarak kurulu gelmiyor , o yüzden önce kurmalıyız , aşağıdaki komut ile kurabilirsiniz , bildiğiniz debian , ubuntu tarzı..
[email protected]:~# apt-get install rarcrack
Reading package lists… Done
Building dependency tree
Reading state information… Done
The following NEW packages will be installed:
rarcrack
0 upgraded, 1 newly installed, 0 to remove and 18 not upgraded.
Need to get 17.0 kB of archives.
After this operation, 65.5 kB of additional disk space will be used.
Get:1 http://http.kali.org/kali/ sana/main rarcrack amd64 0.2-1 [17.0 kB]
Fetched 17.0 kB in 1s (15.5 kB/s)
Selecting previously unselected package rarcrack.
(Reading database … 323141 files and directories currently installed.)
Preparing to unpack …/rarcrack_0.2-1_amd64.deb …
Unpacking rarcrack (0.2-1) …
Setting up rarcrack (0.2-1) …
Kuruldu , rarcrack yazıp doğrulayabilirsiniz.
[email protected]:~# rarcrack
RarCrack! 0.2 by David Zoltan Kedves ([email protected])
USAGE: rarcrack encrypted_archive.ext [–threads NUM] [–type rar|zip|7z]
For more information please run “rarcrack –help”
Şimdi dosyamız ile aynı dizinde olduğumuzu varsayıyorum , dosyamın adı upload.rar şeklinde , komutum aşağıdaki gibi.
[email protected]:~# rarcrack upload.rar –type rar
tabi burda extra thread verebilirsiniz , benim kali bir sanal makina , saniyede 80-90 şifre deneyebiliyor , buna 4 thread verince 140-150 ye kadar hızlanıyor. Sonuç olarak uzun bir şifreniz var ise bir kaç gün sürebilir 🙂
[email protected]:~# rarcrack upload.rar –type rar –threads 4
RarCrack! 0.2 by David Zoltan Kedves ([email protected])
INFO: the specified archive type: rar
INFO: cracking upload.rar, status file: upload.rar.xml
Probing: ‘6S’ [161 pwds/sec]
Probing: ‘eG’ [161 pwds/sec]
Probing: ‘ml’ [158 pwds/sec]
..
.
Probing: ‘2Nu’ [142 pwds/sec]
Probing: ‘2Ut’ [144 pwds/sec]
Probing: ’31z’ [146 pwds/sec]
..
.
Probing: ‘9SZ’ [145 pwds/sec]
Probing: ‘a04’ [146 pwds/sec]
Probing: ‘a7a’ [146 pwds/sec]
GOOD: password cracked: ‘a7B‘
Evet , şifremiz a7B imiş.
Ayhan ARDA
MSSQL Server Güvenliği
*Herşeyin başı Patch ve Update
Öncelikle mssql server çalışan sunucumuzu en güncel hali ile tutmalı ve güvenlik güncellemelerini aksatmadan yapmalıyız , kaçırdığımız bir update olması ihtimaline karşı Microsoft’un Baseline Security Analyzer ı ile periyodik olarak taramalıyız. Ayrıca bu sonuç Size sadece eksik güncellemeleri değil , şifresi uzun süredir değiştirilmemiş kullanıcılardan tutunda sunucudaki açık paylaşımlara kadar geniş bir güvenlik raporu verecektir.
Download : Microsoft Baseline Security Analyzer
*Kullanmadığımız Servisleri Kapatalım
Standart bir mssql server kurulumunda aşağıdaki 4 servis kurulur,
MSSQLSERVER
SQLSERVERAGENT
MSSQLServerADHelper
Microsoft Search
Eğer biz, sadece veritabanımız çalışsın , benim active directory entegrem yok , full text search kullanmıyorum , şu sorguyu şu zaman çalıştır ve sonucunu şuna mail gönder gibi bir tanımlamam da yok , sadece veritabanım çalışsın ve erişebileyim istiyorum diyor iseniz MSSQLSERVER servisi haricindeki diğer servisleri gönül rahatlığı ile kapatabilirsiniz ki hatta servisi durdurmak ile yetinmeyip sunucu reboot olduktan sonra da çalışmaması için disabled duruma getirebilirsiniz.)
Bu işlemi servislerde ilgili servisin üzerine sağ tıklayıp startup type kısmında Disabled seçerek tamamlayabilirsiniz.
*Fazla Protokol Göz Çıkarır
Eğer mssql veritabanınızı sadece tcp/ip protokolü ile kullanıyorsanız Shared Memory, Named Pipes, VIA protokollerine ihtiyacınız yok demektir , bunları Sql Server Configuration Manager dan disabled duruma getirebilirsiniz.
Ayrıca sunucunuzda birden fazla ip var ise bunlardan hangisinin 1433 e cevap vermesi gerektiğini yine Sql Server Configuration Manager üzerinden ayarlayabilirsiniz ya da sql server erişimi için 1433 yerine custom bir port belirtmek isterseniz yine buradan yapabilirsiniz , portu değiştirmeniz faydalı olacaktır , böylece standart olarak bu portlara gelen bruteforce lardan kurtulmuş olacaksınız.
*Hesaplar
Sql server Servisini çalıştıracak kullanıcı olarak Local service account değilde sunucuda yeni oluşturacağınız bir kullanıcı çalıştıracak şekilde konfigure etmelisiniz. Hatta bu user ı Users grubundan da çıkartın.
Sonrasında sa ile oturum açmayı engellemek için aşağıdaki sorguyu execute edebilirsiniz.
ALTER LOGIN [sa] DISABLE
GO
Kullanılmayan hesapları da silmeliyiz , örneğin server kurulumu sırasında Sql Debugger kullanıcısı oluşur ancak production ortamında bu gereksizdir , sadece visual studio .net in debug için kullandığı bir hesaptır ve kullanılmıyor ise silinmesi gerekir.
Bir diğer konu ise windows üzerindeki Guest hesabının disable edilmesidir.
Bir adım daha ileriye gidersek önerim windows üzerindeki administrator kullanıcısının da adını farklı bir isim yapmanız olmalıdır , Sql iniz güvenli olabilir ama windows a erişildikten sonra gizlilik/bütünlük/erişilebilirlik ilkelerinden birinin bile zarar görmesi ciddi bir kayba yol açabilir.
Ayrıca şifre seçiminizde dikkatli olmalısınız , güçlü ve komplex şifreler kullanmalı , bu şifreler için bir expire zamanı belirlemelisiniz, böylece o dönem sonunda sizden şifrenizi güncellemeniz istenecektir.
Bu zorlamayı local security policy üzerindeki Account policy den yapabilirsiniz.
Null session ları registry üzerinden kapayalım. Key yolu aşağıdaki gibi , değerini 1 yapınız.
HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous
*Paylaşımlar
Sunucuda administrative shares dediğimiz ön tanımlı gelen paylaşımlar açık olabilir (c$ , d$ gibi) , bunları kapatmalısınız.
Eğer bir paylaşıma ihtiyaç duyuyorsanız bu spesifik bir klasör ve spesifik bir user olmalı , everyone için bir paylaşım açmamalısınız.
*Portlar
1433 nolu porta erişebilecek ip aralığını sunucu üzerindeki firewall a tanımlayabilirsiniz , böylece belirlediğiniz ipler haricinde erişim mümkün olmayacaktır.
Devamını bugün yarın yazmaya çalışacağım.
Ayhan ARDA
Security Update for Microsoft Windows DNS to Address Remote Code Execution (3100465)
CVE-2015-6125
Windows 2008 ve üzeri işletim sistemi kullanıcıları sunucularında microsoft dns kullanıyor ise bu açıktan etkileneceklerdir. Açık Microsoft tarafından Kritik derecesinde etiketlenmiştir. 8 Kasımda yayınlanan bu açık ile ilgili detaylı bilgiyi ve işletim sisteminize göre patch i https://technet.microsoft.com/en-us/library/security/ms15-127.aspx adresinden edinebilirsiniz. Update için windows update üzerinden işletim sistemlerinizi güncelleyebilirsiniz , wsus kullanıcıları wsus otomatik senkronize olmuyor ise senkronize etmeli , gelen patch leri allow etmeliler.
Ayhan ARDA
Msfconsole için portresql ve metasploiti başlatalım.
[email protected]:~# service postgresql start
Starting PostgreSQL 9.1 database server: main.
[email protected]:~# service metasploit start
Starting Metasploit rpc server: prosvc.
Starting Metasploit web server: thin.
Starting Metasploit worker: worker.
Şimdi msfconsole u açalım.
[email protected]:~# msfconsole
Şimdi ilgili auxiliary modülümüze geçelim.
msf > use auxiliary/scanner/portscan/tcp
Ip adresimizi set edip taramayı run komutu ile başlatalım.
msf auxiliary(tcp) > set RHOSTS ip-address
RHOSTS => ip-address
msf auxiliary(tcp) > run
[*] ip-address:135 – TCP OPEN
[*] ip-address:139 – TCP OPEN
[*] ip-address:445 – TCP OPEN
[*] ip-address:5793 – TCP OPEN
[*] ip-address:5985 – TCP OPEN
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
—
Nmap ile taramak için ise aşağıdaki komutu kullanabilirsiniz , dilerseniz port aralığını küçültebilir ya da versiyon bilgisi istemeyebilirsiniz, böylece işlem daha kısa sürecektir.
[email protected]:~# nmap -sS -p1-65535 -Pn -sV ip-address
Ayhan ARDA
Setoolkit i genellikle phishing sayfaları için mi kullanıyorsunuz , setoolkit ile mssql şifresi bulmaya ne dersiniz? Yine bu işlem için setoolkit in hazır kurulu geldiği kali linux dağıtımını kullanıyorum , setoolkit i açmak ile başlayalım.
[email protected]:/# setoolkit
Karşımıza bir menü gelecek.
1) Social-Engineering Attacks
2) Fast-Track Penetration Testing
3) Third Party Modules
4) Update the Social-Engineer Toolkit
5) Update SET configuration
6) Help, Credits, and About
99) Exit the Social-Engineer Toolkit
Mssql şifre denemeleri yapması için 2 numaralı seçenek ile devam ediyoruz ve aşağıdaki menüye ulaşıyoruz.
1) Microsoft SQL Bruter
2) Custom Exploits
3) SCCM Attack Vector
4) Dell DRAC/Chassis Default Checker
5) RID_ENUM – User Enumeration Attack
6) PSEXEC Powershell Injection
99) Return to Main Menu
Yukarıda açılan menüde 1 nolu seçenek ile devam edelim ve aşağıdaki menüye ulaşalım.
1) Scan and Attack MSSQL
2) Connect directly to MSSQL
99) Return to Main Menu
Yukarıdaki menüde 1 nolu seçenek ile devam edelim ve aşağıdaki menüye ulaşalım.
1. Scan IP address or CIDR
2. Import file that contains SQL Server IP addresses
Şimdi yukarıda diyor ki , ben network teki ip adreslerini mi tarayıp sql kurulu sunucu bulayım yoksa sen mi deneme yapmak istediğin sql server ip adresini bir dosyaya yazıp bana söylemek istersin , ben burada 2 nolu seçenek ile devam edeceğim. Mssql server ip adresinin 192.168.1.15 olduğunu varsayalım ve mssql portu 1433 olsun , oluşturacağımız dosya içeriği aşağıdaki gibi olmalı.
[email protected]:~# cat /root/sql.txt
192.168.1.15:1433
Dosyamız hazır ise 2 nolu seçeneği seçtikten sonra aşağıdaki bölüm açılacak ve bizden dosyanın yolunu isteyecek.Örnekteki gibi yazabilirsiniz.
set:fasttrack:mssql:scan> Enter filename for SQL servers (ex. /root/sql.txt – note can be in format of ipaddr:port):/root/sql.txt
Dosya yolunu yazdıktan sonra denemek için bir şifre listemiz olup olmadığını soracaktır , eğer var ise yolunu belirtebilirsiniz , yok ise kendisi içinde tanımlı şifreleri sırası ile deneyecektir , ben daha kolay bulabilmesi için bir sqlsifre.txt dosyası hazırladım ve içine doğru olmayan şifrelerin yanında bir de doğrusunu koydum.
Şifre dosyası yolu belirttikten sonra k.adlarını içeren dosya yolunu soracaktır , yukarıdaki paragrafı tekrar inceleyebilirsiniz , eğer dosya belirtmez iseniz sa kullanıcı adı ile deneyecektir. Bu işlemden sonra enter a bastığınızda hemen çalışmaya başlayacak ve aşağıdaki gibi sonuç üretecektir.
set:fasttrack:mssql:scan> Enter filename for SQL servers (ex. /root/sql.txt – note can be in format of ipaddr:port):/root/sql.txt
set:fasttrack:mssql:scan> Enter path to a wordlist file [use default wordlist]:/root/sqlsifre.txt
set:fasttrack:mssql:scan> Enter the username to brute force or specify username file (/root/users.txt) [sa]:/root/user.lst
Attempting to brute force with username of admin and password of password
Attempting to brute force with username of admin and password of deneme
Attempting to brute force with username of admin and password of selambensifre
[!] Unable to guess the SQL password for 192.168.1.15 with username of admin
Attempting to brute force with username of root and password of password
Attempting to brute force with username of root and password of deneme
Attempting to brute force with username of root and password of selambensifre
[!] Unable to guess the SQL password for 192.168.1.15 with username of root
Attempting to brute force with username of selambenkullaniciadi and password of password
Attempting to brute force with username of selambenkullaniciadi and password of deneme
Attempting to brute force with username of selambenkullaniciadi and password of selambensifre
[*]
Successful login with username selambenkullaniciadi and password: selambensifre
Attempting to brute force with username of ayhan_user and password of password
Attempting to brute force with username of ayhan_user and password of deneme
Attempting to brute force with username of ayhan_user and password of selambensifre
[!] Unable to guess the SQL password for 192.168.1.15 with username of ayhan_user
[*] Select the compromise SQL server you want to interact with:
1. 192.168.1.15 username: selambenkullaniciadi | password: selambensifre SQLPort: 1433
99. Return back to the main menu.
Görüldüğü üzere şifre yukarıda belirtilmiştir.
Ayhan ARDA
Metasploit te exploit çalıştırırken Auxiliary failed: Msf::OptionValidateError The following options failed to validate: SMBDirect hatası alabilirsiniz , show options ta bu özellik çıkmadığı için çözüm olarak SMBDirect true değerini set etmeniz yeterlidir. Örnek aşağıdaki gibidir.
msf auxiliary(smb_version) > exploit
[-] Auxiliary failed: Msf::OptionValidateError The following options failed to validate: SMBDirect.
msf auxiliary(smb_version) > set SMBDirect true
SMBDirect => true
msf auxiliary(smb_version) > run
[*] 10.30.1.39:445 is running Windows 8.1 Enterprise (build:9600) (name:ayhanarda.com1) (domain:OFFICE)
[*] 10.30.1.47:445 is running Windows 8.1 Enterprise (build:9600) (name:ayhanarda.com1) (domain:OFFICE)
[*] 10.30.1.21:445 is running Windows 8.1 Enterprise (build:9600) (name:ayhanarda.com1) (domain:OFFICE)
[*] 10.30.1.25:445 is running Windows 8.1 Enterprise (build:9600) (name:look2linux.com1) (domain:OFFICE)
[*] 10.30.1.29:445 is running Windows 8.1 Enterprise (build:9600) (name:look2linux.com2) (domain:OFFICE)
Ayhan ARDA
Bir sisteme saldırmadan önce (güvenlik testi diyelim 🙂 ) hedefin önünde ne çeşit bir firewall olduğunu bilmek işimizi kolaylaştıracaktır ki buna göre yöntemler ile içeriye girmeye çalışalım ya da hiç arkamıza bakmadan kaçalım. Bu tespiti kolaylaştırmak için Wafw00f isimli bir araç var ve bu araç Kali Linux içinde öntanımlı olarak kurulu geliyor , Diğer distro lara da ayrıca kurabilirsiniz. Açık kaynak kodlu bir uygulamadır ve kodları incelemek ister iseniz https://github.com/sandrogauci/wafw00f adresini de ziyaret edebilirsiniz.
Peki wafw00f aslında ne yapıyor. Önce normal http istekleri gönderiyor , analiz ediyor , sonra sıradışı tabir edebileceğimiz örneğin bilindik injection metodları gibi anormal istekler göndererek yine cevapları analiz ediyor , eğer önde bilindik bir waf var ise gelen cevap içinde bunun imzasına bakıyor ve aşağıdaki cihazları tanıyabiliyor.
Applicure dotDefender
Art of Defence HyperGuard
Aqtronix WebKnight
Barracuda Aplication Firewall
BinarySec
Cisco ACE XML Gateway
Citrix NetScaler
CloudFlare
DenyALL WAF
eEye Digital Security - SecureIIS
F5 FirePass
F5 TrafficShield
F5 BIG-IP (LTM, APM, ASM)
IBM Web Application Security
IBM DataPower
Imperva SecureSphere
InfoGuard Airlock
Incapsula WAF
Juniper WebApp Secure
Microsoft ISA Server
Microsoft UrlScan
NetContinuum
Profense
TrustWave ModSecurity
Teros WAF
USP Secure Entry Server
Kullanımı oldukça basit, aşağıdaki örnekleri inceleyebiliriz.
Önce ayhanarda.com u test edelim
root@ayhanarda.com:~# wafw00f ayhanarda.com
^ ^
_ __ _ ____ _ __ _ _ ____
///7/ /.' \ / __////7/ /,' \ ,' \ / __/
| V V // o // _/ | V V // 0 // 0 // _/
|_n_,'/_n_//_/ |_n_,' \_,' \_,'/_/
<
...'
WAFW00F - Web Application Firewall Detection Tool
By Sandro Gauci && Wendel G. Henrique
Checking http://ayhanarda.com
Generic Detection results:
The site http://ayhanarda.com seems to be behind a WAF
Reason: The server returned a different response code when a string trigged the blacklist.
Normal response code is "404", while the response code to an attack is "406"
Number of requests: 11Yukarıdaki analizde diyor ki , ne çeşit bir firewall olduğunu analiz edemedim ama 11. gönderdiğim istekte aldığım yanıt değişti bu da demek oluyor ki bir güvenlik koruması altında ama ne olduğunu bilemedim , şimdi farklı bir örneğe bakalım.
root@ayhanarda.com:~# wafw00f hostgator.com
^ ^
_ __ _ ____ _ __ _ _ ____
///7/ /.' \ / __////7/ /,' \ ,' \ / __/
| V V // o // _/ | V V // 0 // 0 // _/
|_n_,'/_n_//_/ |_n_,' \_,' \_,'/_/
<
...'
WAFW00F - Web Application Firewall Detection Tool
By Sandro Gauci && Wendel G. Henrique
Checking http://hostgator.com
The site http://hostgator.com is behind a Imperva
Number of requests: 9Yukarıdaki örneğe bakacak olursak 6. istekte cihazı tanımlamış ve hostgator.com un Imperva isimli bir web application firewall arkasında olduğunu belirtmiş.
Örnekleri çoğaltabilirsiniz , mesela amazon.com a bakar iseniz Citrix Netscaler arkasında olduğunu görebilirsiniz.
Ayhan ARDA
CryptoPHP malware i , komut ve kontrol sunucuları ile public key şifrelemesi kullanarak iletişime geçen bir zararlıdır ve bilindik içerik kontrol sistemleri olan wordpress , joomla , drupal gibi sistemler ile kolaylıkla entegre olabilir. Yasadışı arama motoru optimizasyonu yapanlar tarafından kullanılır. Bu script genellikle kendini güncelleyecek şekilde yapılandırılır ve sahibi diler ise onu uzaktan güncelleyebilir ya da yeni özellikler ekleyebilir.
Fox it , bununla ilgili detaylı bir analiz yapmıştır ve https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf adresinden inceleyebilirsiniz.
Tespiti için yine fox it in hazırladığı phyton scriptini kullanabiliriz. Sırasıyla önce scripti indiriyoruz , çalışma hakkı tanıyoruz ve /home dizinimizin altındaki dosyaları taramasını istiyoruz.
root@ayhanarda.com:~# wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py
root@ayhanarda.com:~# chmod +x check_filesystem.py
root@ayhanarda.com:~# ./check_filesystem.py /home
Sonuçlara göz atmak gerekirse çıktı aşağıdakine benzer olacaktır.
File matching patterns: ['*.png', '*.gif', '*.jpg', '*.bmp']
Recursively scanning directory: /home
/home/guvenlikgeregigizlenmistir1.com/httpdocs/wp-content/themes/VideoThemeRes/images/social.png: CRYPTOPHP DETECTED! (version: 0.2)
/home/guvenlikgeregizlenmistir2.com/httpdocs/wp-content/plugins/_revslider/images/social.png: CRYPTOPHP DETECTED! (version: 0.2)Tespit ettikten sonra silmek için aşağıdaki silme komutunu kullanabilirsiniz.
root@ayhanarda.com:~# rm -rf /home/guvenlikgeregigizlenmistir1.com/httpdocs/wp-content/themes/VideoThemeRes/images/social.pngBu phyton scriptini kullanmak istemiyor iseniz aşağıda belirttiğim betiği de kullanabilirsiniz.
root@ayhanarda.com:~# find /home/ -name "social*.png" -exec grep -E -o 'php.{0,80}' {} \; -printSunucunuza ücretli tarama ve temizleme yaptırmak için bu gibi işlemleri yapan Cpanel Güvenlik sitesi ile iletişime geçebilirsiniz.
Ayhan ARDA
Nmap taraması sonuçlarında farklı stateler ile karşılaşacaksınız.
Bunlar Open , filtered ya da closed olabilir , Peki Closed ile filtered arasındaki fark nedir ?
PORT STATE SERVICE
21/tcp open ftp
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp open smtp
80/tcp open http
110/tcp open pop3
Closed Port; Eğer kapalı bir porta SYN gönderirseniz ve RST cevabı alırsanız , bu durumda port kapalıdır.
Filtered Port; Muhtemelen bir firewall arkasındadır ve hiç bir cevap almazsınız , bu durumda state filtered dönecektir.
Open Port; Eğer SYN gönderir ve yanıt olarak SYN/ACK alır iseniz bu port açık demektir ve 3 yollu el sıkışmanın ilk 2 adımını tamamlamışsınız demektir.
Ayhan ARDA
Bazı durumlarda güvenlik amacıyla oluşturduğumuz soruların cevaplarını unutabiliyoruz ,bu gibi durumlarda whm e erişemez oluyoruz , çözüm için sunucunuza ssh ile erişin.
Kullandığınız text editör ile aşağıdaki dosyayı açınız.
nano /var/cpanel/cpanel.config
Açılan dosyada aşağıdaki satırı bulun.
SecurityPolicy::SourceIPCheck=1
Yukarıdaki satırı aşağıdaki gibi değiştirin.
SecurityPolicy::SourceIPCheck=0
Şimdi tweak settings i güncellememiz gerekiyor. Aşağıdaki komutu kullanabilirsiniz.
/usr/local/cpanel/whostmgr/bin/whostmgr2 –updatetweaksettings
Artık whm panelinize sorular olmadan erişebilirsiniz.
Ayhan ARDA
Linux sistemleri etkileyen , heartbleed ten daha tehlikeli gözüken yeni bir açık bulundu , en kısa sürede bash i güncellemelisiniz ,açıktan etkilenip etkilenmediğinizi anlamak için terminal de aşağıdaki komutu çalıştırınız.
env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
eğer çıktısı aşağıdaki gibi ise acilen yama yapmalısınız.
vulnerable
this is a test
Eğer komutu çalıştırdığınızda aşağıdaki sonucu görüyor iseniz Sizin korkacak bir şeyinizi yok demektir.
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
this is a test
Ayhan ARDA
Cpanel sunucunuzun spam göndericilerinin hedefi olmasını engellemek için makinamızı relay e kapatmamız gerekir , aksi durumda sunucunuz bir spam fabrikasına dönüşebilir.
Cpanel kurulu sunucunuza ssh ile giriş yapıp aşağıdaki komutları çalıştırmanız yeterlidir.
Öncesinde ve sonrasında http://www.mailradar.com/openrelay/ adresinden test edip sonucu görebilirsiniz.
/scripts/fixrelayd
/etc/init.d/exim restart
Ayhan ARDA
Sunucunuza ssh ile eriştikten sonra nano /etc/named.conf komutu ile named.conf dosyanızı açıp içerisine aşağıdaki bölümü Sizin ip adresleriniz ile eklemelisiniz. İlgili satırları controls bölümü ile options bölümü arasına kopyalayınız , sonrasında mevcut var olan options bölümünü siliniz ve kaydedip hata olasılığına karşı named-checkconf /etc/named.conf komutu ile kontrol ediniz, rndc reload komutu ile yeniden yükleme yapınız ve /etc/init.d/named restart ile dns servisinizi restart ediniz, değişiklik öncesi dosyayı her ihtimale karşılık cp /etc/named.conf /etc/named-yedek.conf komutu ile yedekleyiniz.
acl “trusted” {
127.0.0.1;
IP ADRESINIZ-1;
IP ADRESINIZ-2;
IP ADRESINIZ-3;
DAHA VARSA EKLEYINIZ;
};
options {
directory “/var/named”;
version “not currently available”;
allow-recursion { trusted; };
allow-notify { trusted; };
allow-transfer { trusted; };
dump-file “data/cache_dump.db”;
pid-file “/var/run/named/named.pid”;
statistics-file “data/named_stats.txt”;
memstatistics-file “data/named_mem_stats.txt”;
};
Ayhan ARDA
WordPress güvenliği ile ilgili çok fazla soru gelmekte , Tek tek cevap vermek zorlaşınca bir derleme haline getirmeye karar verdim , umarım faydalı olur.
WordPress 3.0 sürümünden sonra bu ismi değiştirme opsiyonunu artık sunmakta , öncelikle bunu değiştirmenizi öneriyorum , tahmin edersiniz ki bir sitenin wordpress olduğunu öğrendikten sonra ilk yaptığımız şey “admin” kullanıcısı için şifre denemektir. Bunu değiştirmemiz, bu denemelerin başarıya ulaşmasını kesmek için etkili bir başlangıç olacaktır.
Eğer WordPress 3.0 dan önceki versiyonu kullanıyor iseniz ki ben asla tavsiye etmiyorum , bu durumda muhtemelen hosting kontrol paneliniz üzerinden PhpMyadmin e erişebiliyorsunuz , phpmyadmin üzerinden veritabanınızda aşağıdaki sql sorgusunu çalıştırmanız “admin” k.adınızı değiştirecektir , phpmyadmin üzerinde bilgili olanlar ise direkt olarak wp_users tablosundan admin ismini bulup editleyebilirler.
UPDATE wp_users SET user_login = 'yeni_belirleyeceğiniz_isim' WHERE user_login = 'admin';Çoğu kullanıcı çok basit şifreler kullanmakta ve basit bir brute-force tekniği ile yönetici panellerine ulaşılabilmekte , bu sebeple güçlü ve komplex şifreler kullanmanızı öneriyorum.
Güçlü şifreleri kolayca oluşturmak için aşağıdaki bağlantıyı kullanabilirsiniz.
WordPress 2.6 dan sonra gelen bir özellik , wp-config dosyanıza tanımladığınız anahtarlar ile cookilerinizi şifrelemektedir. Burada çok uzun bir anahtar girebilirsiniz , akılda tutmanıza da gerek yoktur. Dilerseniz her refresh te rastgelen atanan keylerin olduğu http://api.wordpress.org/secret-key/1.1/ adresindeki anahtarları, olduğu hali ile wp-config dosyanızda kullanabilirsiniz.
Parallels firmasının Plesk ürünü için 2012 şubat ayında yayınladığı bildiriyi uygulamayan sunucu yöneticileri vhosts klasörü altındaki sitelere ait bir çok .js uzantılı dosyanın en altına uzun bir kod eklendiğini farketti ve bu siteler kısa süre içinde google tarafından da tespit edilip , ziyaretçilerine uyarılar yapılmakta. Şubat ayında yayınlanan ilgili bildiri için burayı inceleyebilirsiniz.
Etkilenen Plesk sürüm listesi aşağıdaki gibidir.
Plesk 7.5.x Reloaded
Plesk 7.1.x Reloaded
Plesk 7.0.x
Parallels Plesk Panel 9.x for Linux/Unix
Parallels Plesk Panel 8.x for Linux/Unix
Plesk 7.x for Windows
Parallels Plesk Panel 9.x for Windows
Parallels Plesk Panel 8.x for Windows
Parallels Plesk Panel 10.3 for Windows
Parallels Plesk Panel 10.2 for Windows
Parallels Plesk Panel 10.1 for Windows
Parallels Plesk Panel 10.0.x for Windows
Parallels Plesk Panel 10.3 for Linux/Unix
Parallels Plesk Panel 10.2 for Linux/Unix
Parallels Plesk Panel 10.1 for Linux/Unix
Parallels Plesk Panel 10.0.x for Linux/Unix
Detay için burayı inceleyebilirsiniz.
Zararlı kod /*km0ae9gr6m*/ ile başlayıp /*qhk6sa6g1c*/ ile bitmektedir.
Eğer Plesk in ilgili patch ini uygular iseniz açık kapatılmış olacaktır.Açığı tam olarak kapamak için farklı bir yol izlemek isteyebilirsiniz , bunlardan biri de filemanager ı devre dışı bırakmak olacaktır , aşağıdaki komutları çalıştırarak bu işlemi yapabilirsiniz.
cd /usr/local/psa/admin/htdocs/filemanager/
mv filemanager.php filemanager_yedek.php
cd /usr/local/psa/admin/bin/
mv filemng filemng.bak
Peki diyelim ki açıktan etkilendik ve yüzlerce dosya arasında tek tek nasıl bu uzun ve zararlı kodu temizleyeceğiz , cevabı için aşağıdaki komutu kullanabilirsiniz.
find /var/www/vhosts/*/httpdocs/ -type f -name ‘*.js’ -print0 | xargs -0 perl -i -0777pe ‘s|/\*km0ae9gr6m\*/.*?/\*qhk6sa6g1c\*/||gs’
Eğer sadece etkilenen dosyaları listeyip bir dosyaya yazdırmak isterseniz aşağıdaki komutu kullanabilirsiniz , sonrasında etkilenenler.txt isimli dosyayı inceleyebilirsiniz.
grep -ir km0ae9gr6m /var/www/vhosts/* > etkilenenler.txt
Ayhan ARDA
Hosting alanınızda public_html ya da www dizini içinde bir .htaccess dosyası oluşturunuz ve içine aşağıdaki şekilde komut giriniz.
order allow,deny
deny from 10.91
deny from 85.78.12
allow from all
Bu şekilde iken sitenize 10.91.x.x ve 85.78.12.x ile başlayan ip blogu erişemez,eğer tek bir ip engellemek istiyor iseniz aşağıdaki şekilde kullanabilirsiniz.
order allow,deny
deny from 50.116.75.139
allow from all
Bu şekilde iken sitenize sadece 50.116.75.139 ip adresi erişemez.
Ayhan ARDA
Sunucumuza SSH ile giriş yaptıktan sonra aşağıdaki komutları sıra ile çalıştırınız.
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar zxvf maldetect-current.tar.gz
cd maldet*
sh install.sh
Kurulum bittikten sonra tarama yapmak için aşağıdaki komut dizilimini uygulayabilirsiniz,
maldet -a /home/?/public_html
Uzun bir süre gerektirebilir , beklemek istemez ve rapora sonra bakmak ister iseniz alttaki komutu kullanarak raporu inceleyebilirsiniz.
maldet -e
Komutları sırası ile ssh tan çalıştırmak yeterli olacaktır.
cd /usr/src/
wget -c http://www.webhostingsitesi.com/tools/security/rkhunter-1.4.0.tar.gz
tar -xvzf rkhunter-1.4.0.tar.gz
cd rkhunter-1.4.0
sh installer.sh –install –layout default
Çalıştırmak için ise ; rkhunter -c
Ayhan ARDA