settings.php dosya adını değiştirmek

Started by mcfurkan, January 05, 2010, 01:33:54 PM

Previous topic - Next topic

mcfurkan

merhaba.

az önce siteme meta kod ile hack edilerek reflesh atıldı.
elemana açığımı sorduğumda settings.php dosyasının adını ve dizinini değiştir dedi. bu konu için çözülmüş konu veya çözümü bilen birisi var mı acaba?

teşekkürler.
elektronik imza alacağım, bu dertten kurtulacağım.

Yağız...

Dosya ismini değiştirmek için çok fazla dosyada değişiklik yapmalısınız.
http://www.simplemachines.org/community/index.php?topic=161267.0
Bu konuyu inceleyin.

mcfurkan

#2
teşekkürler ama orada chmod güvenliği var sadece. istediğim cevabı anlatan hiç türkçe ingilizce kaynak yok mu acaba, ingilizce de olsa farketmez, çevirip türkçe anlatmaya da yardımcı olmaya çalışırım.
elektronik imza alacağım, bu dertten kurtulacağım.

mcfurkan

elektronik imza alacağım, bu dertten kurtulacağım.

grafitus

Quote from: Yağız... on January 05, 2010, 01:58:27 PM
Dosya ismini değiştirmek için çok fazla dosyada değişiklik yapmalısınız.
Settings.php sadece ./index.php ve ./SSI.php'de çekiliyor?


Öncelikle ./Settings.php dosyanızın adını istediğiniz bir isimde değiştirin.

./index.php ve ./SSI.php'de
Code (Bulun ve kendinize göre düzenleyin) Select
require_once(dirname(__FILE__) . '/YENİ İSMİ BURAYA YAZIN.php');

Yağız...

Sadece orayla bitmiyor. Tüm Sources dosyalarını Notepad++ vb. bir dosyayla açıp tüm dosyalarda Settings.php olarak arama yap.

grafitus

Quote from: Yağız... on January 09, 2010, 05:05:23 PM
Sadece orayla bitmiyor. Tüm Sources dosyalarını Notepad++ vb. bir dosyayla açıp tüm dosyalarda Settings.php olarak arama yap.

QuoteAranan "Settings.php"
  SMF 2.0 RC2\Sources\index.php (3 kayıt)
   Satır 5: // Look for Settings.php....
   Satır 6: if (file_exists(dirname(dirname(__FILE__)) . '/Settings.php'))
   Satır 9:    require(dirname(dirname(__FILE__)) . '/Settings.php');
  SMF 2.0 RC2\Sources\ManageMaintenance.php (1 kayıt)
   Satır 722:    // Store it in Settings.php too because it's needed before db connection.
  SMF 2.0 RC2\Sources\ManageServer.php (17 kayıt)
   Satır 36:       - shows an interface for the settings in Settings.php to be changed.
   Satır 40:       - contains the actual array of settings to show from Settings.php.
   Satır 44:       - shows an interface for the settings in Settings.php to be changed.
   Satır 48:       - contains the actual array of settings to show from Settings.php.
   Satır 92:         Settings.php file and the database.
   Satır 94:       - contains arrays of the types of data to save into Settings.php.
   Satır 186:    // Warn the user if there's any relevant information regarding Settings.php.
   Satır 189:       // Warn the user if the backup of Settings.php failed.
   Satır 190:       $settings_not_writable = !is_writable($boarddir . '/Settings.php');
   Satır 191:       $settings_backup_fail = !@is_writable($boarddir . '/Settings_bak.php') || !@copy($boarddir . '/Settings.php', $boarddir . '/Settings_bak.php');
   Satır 989:             'value' => '<input type="submit" name="set_default" value="' . $txt['save'] . '"' . (is_writable($boarddir . '/Settings.php') ? '' : ' disabled="disabled"') . ' class="button_submit" />',
   Satır 1014:    if (!is_writable($boarddir . '/Settings.php'))
   Satır 1106:    // Warn the user if the backup of Settings.php failed.
   Satır 1107:    $settings_not_writable = !is_writable($boarddir . '/Settings.php');
   Satır 1108:    $settings_backup_fail = !@is_writable($boarddir . '/Settings_bak.php') || !@copy($boarddir . '/Settings.php', $boarddir . '/Settings_bak.php');
   Satır 1913: // Helper function. Saves settings by putting them in Settings.php or saving them in the settings table.
   Satır 1983:    // Save the relevant settings in the Settings.php file.
  SMF 2.0 RC2\Sources\Packages.php (1 kayıt)
   Satır 1569:             'Settings.php' => array(
  SMF 2.0 RC2\Sources\Subs.php (3 kayıt)
   Satır 3271:          $securityFiles = array('install.php', 'webinstall.php', 'upgrade.php', 'convert.php', 'repair_paths.php', 'repair_settings.php', 'Settings.php~', 'Settings_bak.php~');
   Satır 3291:                if ($securityFile == 'Settings.php~' || $securityFile == 'Settings_bak.php~')
   Satır 3428:    // Add to Settings.php if you want to show the debugging information.
  SMF 2.0 RC2\Sources\Subs-Admin.php (6 kayıt)
   Satır 43:       - updates the Settings.php file with the changes in config_vars.
   Satır 45:         variable names in Settings.php, and the values the varaible values.
   Satır 249: // Update the Settings.php file.
   Satır 255:    $settingsArray = trim(file_get_contents($boarddir . '/Settings.php'));
   Satır 329:    $fp = @fopen($boarddir . '/Settings.php', 'w');
   Satır 336:       $fp = fopen($boarddir . '/Settings.php', 'r+');
  SMF 2.0 RC2\Sources\Subs-Auth.php (1 kayıt)
   Satır 396:          // Avoid writing to the Settings.php file if at all possible; use shared memory instead.
  SMF 2.0 RC2\Sources\Subs-Package.php (4 kayıt)
   Satır 2060:             // No, no, not Settings.php!
   Satır 2061:             if (basename($working_file) == 'Settings.php')
   Satır 2208:                if (basename($working_file) == 'Settings.php')
   Satır 2370:          if (basename($working_file) == 'Settings.php')

mcfurkan

#7
teşekkürler, halloldu.
belki inanmayacaksınız ama konuyu açtığım gün çok uğraşmıştım, dosya adlarını ve içerikleri yeni ada göre düzenlemiştim ama çalıştıramamıştım. fakat ozaman cpanel kullanmıştım ve dosyayıda sources dizinine atmıştım. sürekli index.php 54. satırda hata alıyordum. kontrol ettiğimde source dir şeklinde kodlar vardı. hatada dizini kontrol ettiğimde /sources/sources/QueryString.php şeklinde gösteriyordu. yani dizinde sources dizini 2 kere path gösteriyordu.

şimdi dosya ana dizinde kalmak şartı ile ftp ve Advanced Find and Replace programı yardımıyla "settings.php" yerine "ornek.php" , (gerekli mi bilmiyorum) "settings_bak.php" yerine de "ornek_bak.php" yazdım.
sonra  "settings.php" diye arama yaptığım zaman "16" dosyada "settings.php" buluyor. bunların hepsini "ornek.php" ile değiştirdim.
"settings_bak.php" diye arama yapınca da "5" dosyada çıkan sonuçları "ornek_bak.php" ile değiştirdim.

yeni kodları ve dosyaları siteye ftp ile eski dosyaların üstüne attım. sonuç çalışıyor. @grafitus ve @Yağız... sizlere teşekkür ederim.

ayrıca konu bence yeni başlıkta ve yeni anlatımla ipuçları bölümüne alınmalıdır. güvenlik açısından önemli bir konu olduğunu düşünüyorum. ayrıca ismini değiştirdiğimiz settings.php dosyasını farklı dizine atarsak nasıl çalıştırırız, bunuda çözebilen olurda paylaşırsa çok sevinirim.
elektronik imza alacağım, bu dertten kurtulacağım.

grafitus

Bence pek gerekli bir önlem değil. Her zaman dediğim gibi, sitenizde en çok açık veren sizsinizdir. Bir hacker gibi düşünün. Onun yapacaklarını önceden tahmin edip, önlemler alın. Ama gene de ÖM ile biraz daha ayrıntılı anlatırsan, yazarım. ;)

Başka bir klasöre eklemek içinde dosya şekli şöyle olmalı:
Code (Bulun ve kendinize göre düzenleyin) Select
require_once(dirname(__FILE__) . '/yeni klasör/YENİ İSMİ BURAYA YAZIN.php');
Ama anadizinde olması sağlıklıdır. ;)

BuGRa528


mcfurkan

Quote from: grafitus... on January 10, 2010, 04:44:00 AM
Bence pek gerekli bir önlem değil. Her zaman dediğim gibi, sitenizde en çok açık veren sizsinizdir. Bir hacker gibi düşünün. Onun yapacaklarını önceden tahmin edip, önlemler alın. Ama gene de ÖM ile biraz daha ayrıntılı anlatırsan, yazarım. ;)

Başka bir klasöre eklemek içinde dosya şekli şöyle olmalı:
Code (Bulun ve kendinize göre düzenleyin) Select
require_once(dirname(__FILE__) . '/yeni klasör/YENİ İSMİ BURAYA YAZIN.php');
Ama anadizinde olması sağlıklıdır. ;)

joomla ve wordpress siteleri default dosyalar olsa bile genelde bu yüzden yani config dosyaları yüzünden hackleniyor ya da meta kod ile reflesh yiyor. smf in hacklenmemesi için bence farklı bir özelliği yok. farklı dizin denemesini de yapıp konu anlatımını size özel mesajla göndereceğim. teşekkürler ilginiz için.
elektronik imza alacağım, bu dertten kurtulacağım.

Alpay

Eğer izinleri iyi ayarlamazsanız ( server ayarlarıda gerekir )
xx123123.php de koysanız settings.php yi yinede hacklenirseniz :)

index.php lerin ismini kopkoptop.php de yapın o zaman :) tabi ki bu url olarak hoş durmaz friendurl kullanmanız gerekir bu yüzden :)

mcfurkan

ne yani anlayamıyorum, gereksiz bir konu mu bu alpay bey? aynı şekilde grafitüs de demiş kullanıcıya bağlı falan diye.

benim amacım bir çeşit dosya ve dizin güvenliğini farklı şekilde almaktı ve hallettim. bence tabi ki chmod ta yapsınlar, index adını da değiştirsinler, filist da kullansınlar, herşeyi yapsınlar :)
elektronik imza alacağım, bu dertten kurtulacağım.

Alpay

#13
Demek istedigim" Lamer" diye tabir edilen kişilerin saldırılarından, başka şeyin önüne geçemezsiniz .
Daha profesyonel haraket etmek istiyorsanız. Websiteleri yönergelerini okumanız gerekiyor. Webmaster sitelerinde bizim dökümanlarımız da.

-Yani server güvenlikleri misal.
-Kişisel olarak CHMOD ayarları.

mcfurkan

bende lamerlerden kurtulmak istiyorum işte. siteyi yine hacklemek isteyen illa ki hack eder. ama lamer ler en azından uzaklaşmış olur.
elektronik imza alacağım, bu dertten kurtulacağım.

mcfurkan

konu anlatımını dökümantasyon bölümünde yaptım. moderatör onay verirse yayınlanır. merak edenler oradan da devam edebilir.
http://www.simplemachines.org/community/index.php?topic=359065.0
elektronik imza alacağım, bu dertten kurtulacağım.

Alpay

İpucu mu dökümanlık olarak mı olduguna karar veremedim düşüneyim(lim) onaylarız :)

mcfurkan

elektronik imza alacağım, bu dertten kurtulacağım.

Advertisement: