From: Alper KANAT (tunix@raptiye.org)
Date: Wed 27 Oct 2004 - 16:23:04 EEST
Raptiye.Org yayınına Mart ayında başlamıştı, bu süreç içinde PHP Nuke'ün
tüm güncellemelerini yaptım ama saldırıdan kurtulamadım. SQL Injection
saldırısı 3 kez yapıldı, ilkini aynı yöntemle sql injection açığını
kullanarak hallettik. Admin şifresini değiştirdik falan.. Sitede bir
sürü yazı vardı ve onları koyması bile bir problem.. Çünkü HTML
kodlarını sık sık kullanarak paragraflar, resimleri ortalama vb bir sürü
şey kullanıyordum. Tonlarca ler falan vardı. Ilk saldırıdan
yarasız kurtulduk, 2.de tam admin kullanıcı oluşturulmuşken farkedip
müdahele ettim ama 3.de yapacak fazla birşey kalmamıştı. Bu açıktan yara
almamak için admin.php 'nin adını değiştiriyordum ulaşılamasın diye ama
bu da nereye kadar..?
Bu insanlar emek verdiğimiz, birilerine faydalı olabilmek için
hazırladığımız içeriğimize zarar vermekten zevk alır durumdalar.. Ben o
siteyi o haline getirebilmek için 1 aydan fazla süren çabalar
sarfetmiştim. Programlama olsun, diğer konularda olsun yazılar yazacak
arkadaşlarla görüşmeler yapmıştım falan.. Ama tüm uğraşın sonu bu oldu.
Kendi PHP Portalımız aslında iyi bir durumda ama eksiklikleri fazla..
Mesela tasarımı yeterince esnek olmadığı için ana sayfa falan yazılara
göre şekil alamıyordu falan.. (tabii bu benim 1 tasarımda diretmem
nedeniyle de oluyordu)
Sitenin gelişimi sırasında yeni bir PHP portal yazımı söz konusu
olabilir tekrar.. Benim Türkçe programlama direnişim mazoşistlik
durumunda zaten; değişkenlerin bile türkçe olmasına özen göstermeye
çalışıyorduk falan :)
Neyse uzun lafın kısası, Mambo'ya falan göz atacağım. Başka önerisi olan
varsa lütfen yazsın..
Alper KANAT
http://raptiye.org
Cem =?ıso-8859-9?b?R9xMRVI=?= wrote:
>Davut bey kesinlikle haklisiniz ama dediginiz islem her yazilim gelistirme
>konseptinde oldugu gibi uzun, yorucu ve maliyetli olmaktadir. En azindan benim
>gibi agir calisan birisi olarak bunun yapilmasi en azindan bence tekerlegin
>tekrardan icadidir. Bir cozum de var olan sistemin aciklarinin kapatilmasidir
>ki bu da ayri bir zaman problemidir. Burada [bence] var olani yamamak yeniden
>olusturmaktan daha da problemli bir is cunku orjinal kodun akisini, isleyisini
>ve diyagramlarini, algoritmalarini cok iyi bilmeniz gerekmekte.
>
>silverspell.net acildiktan itibaren 5 gunde 3 saldiriya maruz kaldi ve hosting
>firmamizin esnek ve isini bilen bir firma olmasi sebebi ile uptimedaki
>duzensizlik pek kimseye yansimadi. Ama ben PHP nuke den 5 gunde biktim. Yeni
>arayislardayim. Ayni sekilde DCP portal icin iyi diyorlar ama google dedemiz :)
>dcp portalin aciklarindan bahsetmekte. Yine de dusunuyorum acaba kendim mi
>yazsam diye?
>
>En azindan bu konudaki cevaplar silverspell.net in gelecegini de ekleyecektir.
>Kullanilan sistem php+mysql sonucta ve hostingcilerimiz musterilerine
>postgresql hesabi vermemekte inatcilar.
>
>Cem GULER
>
>Alıntı yapılıyor Davut Topcan <davut@dtclife.com>:
>
>
>
>>Erkan BALABAN wrote:
>>
>>
>>
>>>Dcp-portal veya ttcms'I kullanabilirsiniz.
>>>
>>>Dcp-portal --> www.dcp-portal.org
>>>TTCms --> www.ttcms.com
>>>
>>>-----Original Message-----
>>>From: linux-sohbet-bounces@liste.linux.org.tr
>>>[mailto:linux-sohbet-bounces@liste.linux.org.tr] On Behalf Of Alper KANAT
>>>Sent: Wednesday, October 27, 2004 1:47 AM
>>>To: linux-sohbet@liste.linux.org.tr
>>>Subject: [Linux-sohbet] PHP Portal Onerisi Yapar Misiniz ?
>>>
>>>Merhaba,
>>>
>>>Raptiye.Org'u aranızda bilenleriniz vardır diye umuyorum. Siteyi daha
>>>çok Linux üzerinde son kullanıcının anlayabileceği, bol ekran
>>>görüntüsüne sahip yazılara sahip bir şekilde geliştirmeye çalışıyordum.
>>>Bir de uzun vaadeli amaç olarak site üzerinden ziyaretçilerle birlikte
>>>CVS gibi bir sistemle açık kaynak program geliştirme yapmayı
>>>planlıyordum. Linux'a yönelik olsun ya da olmasın.. (ki daha çok Linux'a
>>>yönelmeyi düşünüyordum)
>>>
>>>Programlama öğrendikçe (Bilg Müh 2. sınıf öğrencisiyim) siteye birşeyler
>>>daha katmayı planlıyordum. Site yaklaşık 6 ay önce bir grup "lamer"
>>>tarafından (ki bunların da kim olduklarını tespit etmiştik) PHP
>>>Nuke'teki mysql açıkları kullanılarak bozulmuştu. Ben sitenin yedeğini
>>>alıyordum ve PHP Nuke'ün yeni bir sürümü çıkar çıkmaz da güncelliyordum.
>>>Ancak yine de nasıl becerdilerse gene yapacaklarını yapmışlardı.
>>>
>>>Bu olayı fırsat bilerek siteyi tamamen kapatıp kendi PHP Portal'ımızı
>>>(tamamen Türkçe) geliştirmeye karar verdik (Raptiye.Org v0.1) ve belli
>>>bir yere kadar getirdik. Ancak bu süreç 4 ay sürdü ve 2 aydır hiçbir
>>>geliştirme yapılmadığı için projeye son verip, siteyi başka bir PHP
>>>Portal üzerinde açmayı düşünür oldum.
>>>
>>>Bana PHP Nuke dışında; mümkünse yazılar arasında JavaScript
>>>yazabileceğim, üyelik sistemi olmayan, yalnızca yazı ekleme konusunda
>>>kolaylıklar sağlayan, mysql tabanlı ve son olarak güzel, kolay anlaşılır
>>>bir portal önerebilir misiniz ? Siteyi bir an önce eskisi gibi açabilmek
>>>istiyorum. Paylaşacağım çok şey var ;-)
>>>
>>>Birileri şu yazımı okuyup da önerilerde bulunursa çok memnun kalacağım.
>>>Görüşmek dileğiyle..
>>>
>>>
>>>
>>>
>>DCP-portal vb. çözümler bence çok sağlıklı değil, burada çözüm arayışı,
>>kodlarına hakim olunamayan portalların güvenlik açıklarından dolayıdır,
>>bu noktada _bence_ hazır portal dan ziyade, yavaş yavaş da olsa
>>portal'ınızı kendiniz kodlamanız çok daha iyi bir çözümdür.
>>
>>Ayrıca öğrenciyim demişsiniz, bu sizin için aynı zaman da iyi bir
>>öğrenim yolu da olabilir!
>>
>>DT.
>>_______________________________________________
>>Linux-sohbet mailing list
>>Linux-sohbet@liste.linux.org.tr
>>http://liste.linux.org.tr/mailman/listinfo/linux-sohbet
>>
>>
>>
>
>
>Cem GÜLER
>
>----------------------------------------------------------------
>This message was sent using IMP, the Internet Messaging Program.
>
>_______________________________________________
>Linux-sohbet mailing list
>Linux-sohbet@liste.linux.org.tr
>http://liste.linux.org.tr/mailman/listinfo/linux-sohbet
>
>
>
_______________________________________________
Linux-sohbet mailing list
Linux-sohbet@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sohbet