WordPress Hack

Merhaba arkadaşlar ;

Son zamanlarda wordpress ‘in 2.5 sürümünü kullanan birkaç Blogun hacklendiğini gördüm. Malesef ki nasıl hacklendiklerini tam bilmiyorlar. Bir taneside yakın bir arkadaşım. WP yi ben kurmuştum 2.5 sürümünü 2.6 ya güncellememiş. Malesef ki bazı aradaşlar sistemlerini güncellemiyor.

Bence en büyük hata aslında bu. Hacklenen sistemi kontrol edemedim sadece hatırladığım kadarıyla sistem de hiç eklenti yok ve CHMOD izinleri normaldi.  Sorun şu ki hackleyenlerin yada hack ettiğini söyleyenlerin birçoğu wp-config.php dosyasını okuyabildiklerini idda ediyorlar.

Wp-config dosyası okunamaz. Okunamaz çünkü Wp-Config bir php dosyasıdır ve PHP dosyaları Ana SERVER makinada yani host aldığınız makinada APACHE tarafından okunur ve Explorer’e yani kullanıcıya HTML olarak çıktı gönderir.  PHP dosyası APACHE de işlendikten sonra HTML olarak kullanıcıya sunulduğu için hack işi biraz naş…  Bu işin TEORİĞİ…

Fakat pratikte bu dosya okunabiliyor. Nasıl okunabiliyor ? Eğer APACHE kapalı ise o zaman size direkt olarak PHP dosyası gönderilebilir. Yani APACHE kapanırsa o zaman bu dosya okunabilir. Yada CHMOD izinleri bu izinleri WP kuranlar zaten iyi biliyorlar. Özelliklede wp-config.php dosyasını 644 olarak bırakılır. 777  yada 750 olarak bu dosyayı bırakmazsanız sorun olmayacaktır. Zaten 750 veya 777 olarak bıraksanız bile her önüne gelen bu dosyayı okuyamaz.

Anlamadığım şey şu… WP-Config dosyasını okuyabilen nasıl okuyabiliyor. Eğer apache’yi bir türlü kapatabiliyorsa o zaman HOST firması bunu nasıl fark etmiyor ? Kesinlikle fark edilecek birşeydir. Tamam anladık APACHE ‘yi bir şekilde kapattı ve hacker Wp-config dosyasını okudu. Sonra APACHE’yi nasıl aktif edecek ? Etmezse WP çalışmaz ki böylelikle Apache açılana kadar sistemi hackleyemez ki ..!

Yada varsayalım ki wp-config ‘i okuyabilen birisi yada birileri var. Fakat bunu yapabiliyorsa o zaman tüm PHP dosyalarını okuyabilir.  Şu haberde Orhan TOKER abimiz bununla ilgili bir yazı yazmış ve Wp-Config dosyasını nasıl okunamaz hale getireceğimizi anlatmış. Yinede eğer adam PHP okuyabiliyorsa o zaman wp-config.php yi istediğiniz kadar saklayın sistemi %90 ele geçirmiş demektir.

Eğer birisi yada birileri wp-config dosyasını hack edebiliyorsa o zaman KIYAMET KOPAR dersem yeridir. Ortalıkta bırakın WordPress Sitesini PHP adına hiçbirşey kalmaz..!

SONUÇ ;

1-   Ortalıkta WordPress 2.5 sistemlerini hackleyenler var bu kesin.

2-   Bir şekilde Apache kapatılabilir ihtimal olsa bile wp-config bu sayede okunabilir. Fakat sonrası ? Tekrar aktif edip nasıl hackleyecek ?

3-   Birisi veya birileri wp-config’i okuyabiliyor dünyanın sonu geldi…

“WordPress Hack” üzerine 11 yorum

  1. Hocam, o php dosyasını okuyabiliyorsa neden wordpress’i hacklesin. Onlarca alış-veriş sitesi var. Onlarca insanın bilgilerini ele geçirebilir. Apache iptal edilirse, sitedeki hiçbir şeyi göremez diye tahmin ediyorum. Çünkü, 80 portu açık olmayacak…

    Bu iş bence wordpress açığı da değildir. Bence kullanılan temadan kaynaklı olabilir. Kaç kişi indirdiği temanın kaynak kodlarını inceliyor?

    Bence kullanılan temalarla ilgili bir şey olabilir. Ne bileyim sadece mantık;

    adres satırına;

    index.php?goster=config

    yazar…

    temada da ;

    if($_GET[goster]==”config”){


    }

    gibi bir komut ile rahatça görebilir. Bunun için, temayı o kişinin hazırlaması gerek ki, bence temayı bir incelemek gerek. Tabi bunun yanında, wordpress ‘in kaynak kodları içerisine gömerek de bu işi yapabilir 🙂

    Mesela, kendim wordpress dosyalarını değiştirir. Kendi sunucumda wordpress en yeni sürümü indir derim. Olur biter. Benden indirilen blogları hackleyebilirim.

    Ya da istemeden şifresini bir yerlerde kullanmış olabilir. Eğer senin dediğin gibi hiçbir şifre bilmeden apachi’yi aşıp, bir php dosyasını okuyan kişi bloglarla uğraşmaz. Gider alış-veriş sitesi hackler. Ne bileyim onlarca şey yapabilir diye düşünüyorum.

    Yanıtla
  2. Bunu yapan adamlar hacker falan diğil, sadece bazı lamer ler yapıyor bu işi,internet kafelere keylogger kuran, tahribat.com vs gibi lamer ordularının olduğu yerlerden abuk subuk exploitlere sadıran programcıklar indiren tipler.

    Daha geçengün bir internet kafete gittim ve klasik olarak hemen task manager açmaya çalıştım açtırtmadı, herneyse gpo larını değiştirip registry ile uğraşmaya değmiyeceğini düşünerek vazgeçtim ve çılgın bir lan partisine başladım. ilk yarım saat sonunda internet kafede çalışan elemanın birisi hemen önümdeki pc ye oturdu, tuş kombinasyonları ile bi pencere açıp şifre girdi ve karşısına keylogger geldi. Elemanla orada ayak üstü kavga ettim üstüne bide kafe sahibi ile kavga ettikten sonra direk çıktım. Belediye ye şikayet de ettim e-posta marifetiye ama birşey yapılacağını zannetmiyorum.

    Bir diğer maceram ise zaten herkez tarafından bilinen bir virüsle oldu. Zannedersem nahnu.org veya yine çaykolik dostumuzda da ayrıntılı bilgi vardı bu konu ile ilgili. Hikayeme başlıyim;

    Haftalık rutin olarak güvenlik duvarları, switch hataları, server loglarını incelerken Önce ISA serverda sonrada pix de içeriden dışarıya sürekli veri aktığı için bloklanmış paketler gördüm. Bu trafiği yaratan pcleri tesbit edip hepsinde virüs taraması başlattım fakat hiçbirşey bulmadı(nod32), yeni çıkmış bir virüs olduğundan veri tabanında güncelleme yapmadan virüsleri bulmadı. henüz 18 saat olmasına rağmen kullanıcılar saolsunlar hemen bulaştırmışlar. Herneyse virüsü temizledim vs.vs klasik bir trojan, kendini disklere kopyalayıp şifreleri çalıyor, https tıklamaların 20*40 fotoğrafını çekip yolluyor vs.

    Ağ güvenliği ile ilgilenen bir insan olarak birsürü düşmanım var ve henüz hiç hacklenmiş diğilim, insanüstü bi gücüm veya beni koruyan bir auram falan da yok. Yani bu işte büyücü diye birşey yok, açıklanamıyan bir durum ile ben hiç karşılaşmadım.

    Wp-Config dosyası şifre çalma veya çok basit hatalar yapma haricinde okunabilinseydi bu inanın ki hemen patlardı.Çünkü bunu yapabilen adamlar ün yapmayı çok severler ve hemen açıklarlar. Ki apache ve php nin açıklarını bulabilicek kadar iyi bilgiye sahip olan donanımlı bir hacker böyle dandik işlerle uğraşmaz sadece yamalatır, cracker lar ise zaten hackerların buldukları açıklarla uğraşırlar onları zaten adamdan saymıyorum bile.

    Uzun lafın kısası burada bir insan hatası olması ihtimali çok yüksek. Benim tahminimce arkadaş şifresini çaldırmış yada kaynak kodlarında dikkatinden kaçan bazı satırlar var.

    Yanıtla
  3. Apache yi kapatabiliyorsa karşısına hiçbir dosya gelmez üstteki arkadaşın dediği gibi. Yine üstteki arkadaşın bahsettiği gibi temadan kaynaklanıyor olabilir. sonuçta açık kodlu tüm yazılım.

    Bunun haricinden yazı içinde Orhan Tokerim yazısındaki gibi ayarlamalar yapmak faydalı olabilir yahut wp-config dosyasını siteyi yayınladığınız publi_html klasörünün (klasör adı farklı olabilri aklıma böyle geldi) dışında bir klasöre koyup oradan include ile yapmasını sağlayabilirsiniz. bu sayede ayar dosyanız internet üzerinden direk olarak erişilemeyecek sadece ftp ile bağlanıp anca ulaşılabilecek.

    Yanıtla
  4. açığın wordpress’ten kaynaklandığını sanmıyorum.Kendi bilgisayarlarına bulaşan bir spyware yardımıyla şifreler çalınmış olabilir.Bulunduğunuz servera başka bir sitenin açığından sızıp sizi hacklemiş olabilirler.Hemen suçu wp’ye atmayın bence 🙂

    Yanıtla
  5. Utku Şen ;
    Zaten suçun kimde olduğunu arıyorum. Eğer WP de ise o zaman hemen güvenlik sağlayacağız eğer değilse zaten Wp ye kötü diyen yok çok şükür 🙂

    Ayrıca son hacklenen birkaç WP sitesininde kayıtlarını inceledim. Hala WP den kaynaklandığına dair bir kanıt yok yani şuana kadar zaten WP temiz 🙂

    Yanıtla
  6. bi ara benimde 2,50 mu sitem hacklenmişti
    ——–
    yalnız ben biraz deneme yoluyla açığın sunucumdan kaynaklandığını farkettim sıfır hiçbir eklentisi kurulmamış bir sitenin db şifrelerini anında bana göndermişti lamer kardeş, az uğraşla aynı sistemi başka hosta kurduğumda ise hacklenmemişti, burası ayri bi sacmalik iken neyse.
    birde sizin sunucunuzda herhangibi bir yerden giris yapabildiyse saten o site degil sunucu kötü durumdadır, yani adamlar root olup sunucudaki bütün siteleri hackliyor olabilirler….
    bu konuda benim yaram var nasil yaptiğini hala çok merak ediyorum..
    Adamlar siteden, internetten soğutuyorlar.

    Yanıtla
  7. wp çok basit ve çok boş bir sistem.. kurduktan sonra bir sürü de eklenti gerektiriyor.. hiç gerek yok böyle şeylere.. 3-5 sql kodu ile kendiniz de yazabilirsiniz.. üstelik daha da güzel olabilir.. tek artısı seo’su güzel.. o da basit zaten..

    sitelerinin çalınma nedeni de kesinlikle kendi verdikleri açıklardır.. keylogger benzeri bir araç ile şifrelerini çaldırmışlardır.. başka türlü config dosyasının ya da başka bir dosyanın okunması imkansızdır..

    Yanıtla
  8. Açıkcası Windows kullanmıyorum bu konuda bir sıkıntım yok,
    WP den kaynaklı bir sıkıntı olsa idi zaten şimdiye kadar kırkbin kez kapatılırdı.

    Kullanıcı hatalarından kaynaklıdır.

    Yanıtla
  9. Merhaba. Apache yi kapattığı zaman tekrar nasıl siteye baglanabilirki? Size hic mantıklı geliyormu bu? Apache kapalı olduğunda o sunucudaki hic bir siteye ulaşamazsınız! Ha “peki nasıl yaptı” diye soruyorsanız, bence kullanıcı hatasından kaynaklanan birsey.CHMOD ayarını install yaptıktan sonra tekrar 644 olarak bırakmadıysa ve WordPress + php hakkında bilgisi varsa dışarıdan config.php dosyasına kod eklemiş olabilir. bu sadece bir tahmin..

    Yanıtla
  10. hocam milw0rm de falan gezinmişliğiniz varsa bilirsiniz..Bazen güncel sheller,sql injeztionlarlarla serverda istenilen değişiklikler yapılabiliyor.Yani direk wp-config.php okumak için değil de önce birkaç aşamalı saldırılarla yapılabiliyor..Sadece bu tür güvenlik sitelerinde gezindiğimden biliyorum..Henüz Linux ağları hakkında detaylı bilgi edinemedm=)

    Yanıtla

Yorum yapın