V-Bulletin Güvenliği....

FrK · #1 (**permalink**) 20.Haziran 2008, 02:24:50

V-Bulletin Güvenliği Sağlamak

Kendi Vbulletin forumumun sabah index yemesinden sonra vbulletin güvenliği konusuna haliyle ilgim arttı.Bu başlık altında da vbulletin forumu nasıl daha güvenli hale getirebileceği hakkında bilgileri bulabilirsiniz.Hepsi tarafımca denenmiştir.

Admincp ve Modcp İsimlerini değiştirmek

Ftp'ye girerek admincp ve modcp dosyalarının adını değiştirin.Ve panele girerken kendiniz yazarak girin.Bazı arkadaşlar şöyle soru sorabilir.Neden config.php'den de panel isimlerini değiştirdiğim klasör isimleriyle aynı yapmıyoruz.Zaten admin paneline girecek kişinin elinde admin şifresinin olması gerekir.Config.php den değiştiği zaman da sağ altta değişen isim yazacaktır yani boşuna olmuş olur.

FrK · #2 (**permalink**) 20.Haziran 2008, 02:27:14

Admincp'ye Şifre Koymak

Bir yerde okumuştum bu aşağıda vereceğim kodda hacklenmeyi %10 olarak engelliyormuş.Bence de mantıklı ve işe yarar bir yöntem.

admincp'ye girin ve index.php'yi açın.Aşağıdaki kodu bulun.En üstte zaten fazla aramazsnız

PHP- Kodu:


			
<?php

Alttaki kodu yukarıdaki kodun altına yapştırın ve dijitalmekan yazan yere admincp'ye girerken kullanacağınız kullanıcı adını yazın.Seoturk yazan yere ise admincp'ye girerken kullanacağınz şifreyi yazın.

PHP- Kodu:


			
$ourLogin = "dijitalmekan";

$ourPassword = "seoturk.com";



session_start();



if ($_SESSION['login']!=$ourLogin && $_SESSION['password']!=$ourPassword) {





if ($_POST['login']==$ourLogin && $_POST['password']==$ourPassword) {





$_SESSION['login'] = $_POST['login'];

$_SESSION['password'] = $_POST['password'];

header("Location: index.php");





}

else {





echo "

<form action=index.php method=post>





Kullanıcı Adı:<br>

<input type=text name=login value=''><br>



Kullanıcı Sifresi:<br>

<input type=password name=password value=''><br>



<input type=submit value=' Tamam '>





</form>

";



exit;



}



}

XiLoNeN · #3 (**permalink**) 20.Haziran 2008, 12:11:13

Güvenli vBulletin
Posted 10-04-2008 at 23:48 by Lizard King
vBulletin'in en sevmediğim özelliği malesef database bilgilerini bir dosya içerisinde tutması. FTP login bilginizi herhangi bir şekilde ele geçiren herkes bu bilgilere ulaşma imkanına sahip. Bu şekilde database içeriğinizi çok kolay çalabilirler. Ayrıca olası saldırı durumlarındaftp de bulunan dosyalarınızın silinmesi çok büyük bir kayıp olmayacakken database'inizin silinmesi tedavi edilemeyecek olgulara yol açabilir. Database bilgilerinizi config.php dosyasından ele geçirecek herkesin database bilgilerinize ulaşma ve databaseinizi kökten silme imkanı olucaktır. Elbette günlük database backup'ı alındığı taktirde böyle bir sorun olmayacaktır. Ancak unutulmaması gereken en önemli olgulardan birisi geniş içerikli forumların database backupının tam bir pain in the ass olmasıdır. Çünkü gzip li formatı bile minumum 100 mb nin üzerinde olduğundan her gün bu kadar büyük dosyayı download etmek bir sorun olucaktır.

vBulletin'in config.php dosyasını sağlama alma imkanı yok mudur peki ? Dedicated server'ı olanlar için çok basit bir yöntem var. Bu yöntem config.php dosyasını includes içerisinden kaldırmaktan geçiyor elbetteki. Bunu nasıl yapıcağınızı öğrenmek istiyorsanız lütfen aşağıdaki adımları takip ediniz.

SSH ile serverınıza bağlandıktan sonra

PHP- Kodu:


			


$ su -

komutu ile root olunuz.
Root olduktan sonra ilk olarak config.php dosyasını taşıyacağımız klasörü oluşturacaksınız

PHP- Kodu:


			
# mkdir /etc/vbulletin

Public erişimine kapalı olan /etc klasörü altında oluşturduğumuz vbulletin klasörüne şimdi includes klasörü içerisindeki config.php dosyasını taşıyacaksınız. ( Komutu kopyalarken forum klasörü kullanmıyorsanız ona göre düzenleme yapmayı unutmayınız )

PHP- Kodu:


			
# mv /var/www/html/forum/includes/config.php /etc/vbulletin/config.php

config.php dosyasını taşıdıktan sonra fizibil olarak bu dosya olmadan vBulletin çalışmayacağı için vBulletin'in çalıştırmak adına includes klasörü altında config.php dosyasına link oluşturuyoruz.

PHP- Kodu:


			
# ln -s /etc/vbulletin/config.php /var/www/html/forum/includes/config.php

Bir sonraki adımımız config dosyasının sahib ve sahip grubunu değiştirmek olucak. Var olduğu şekilde apache root'a ait olan bir dosyayı kullanamayacağından gerekli değişikliği yapıyoruz

PHP- Kodu:


			
# chown -R apache:root /etc/vbulletin

En son olarakta dosya izinlerini değiştiriyoruz

PHP- Kodu:


			
# chmod 0640 /etc/vbulletin/config.php

Herhangi bir sorunuz olursa lütfen belirtmekten çekinmeyin.

Not : Bu uygulamayı benzer şekilde dosya kullanan her türlü web tabanlı program için uygulayabilirsiniz. Yapmanız gereken sadece taşımanız gereken dosya ismini ve klasörleri değiştirmektir.

bende Lizard King ( Atakan Koç (vbulletin guru)) un anlatmış olduğu güvenlik tavsiyelerini yazmak istedim

umarım faydalı olur.

Administrator · #4 (**permalink**) 20.Haziran 2008, 13:11:32

Selam dijitalmekan
Referans Gösterin butonundan orjinal yazının linkini girebilir misin? Gerçekten çok yararlı bir bilgi ancak alıntı yaptığımız için link verip referans göstermemiz doğru olucaktır. Teşekkürler bu arada

XiLoNeN · #5 (**permalink**) 20.Haziran 2008, 14:24:40

bu arada benim yazdığımın alıntısıda [SEO Turk forumlarında bulunan linkleri görebilmek için üyelik gerekmektedir. ]

adresindendir eklemeyi unutmuşum. edit butonu bende çıkmadığından mesajı düzeltemedim ikinci kez. Atakan koç ise vbulletin.org sitesinde üreticlerden sonraki en çok eklentiye sahip bir guru gerçekten bu kişinin türk olması beni gurulandırıyor

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder
Stil
Normal Hybrid Görünümüne Geç Ağaç Görünümüne Geç