1) vBulletin kurulum bittikten sonra install klasörünü ve validator.php,faq.php,calendar.php,album.php tamamen FTP den silin.
2) Config Editleyerek Kendinizi güvenliğe alın ..
FTP den config.php yi indirin ve notepad yardımı ile açın.
Burada kullanıcı id numaranızı yazın.
$config[SpecialUsers][undeletableusers] = id numaranı yaz ;
Eğer bunu yapariseniz şifreniz çalındıgında kullanıcı adınız bile değişmez
3) Admin & Moderatör panellerini saklayın.
FTP den admincp modcp isimlerini değiştirin.
www.siteadi.com/forum/adminpanelim
www.siteadi.com/forum/modpanelim
Gibi değiştirin..
Değişiklikleri yaptık config.php yi notepad yardımı ile açıyoruz.
$config[Misc][admincpdir] = admincp;
$config[Misc][modcpdir] = modcp;
Bunun yerine şöyle yazıyoruz.,
$config[Misc][admincpdir] = adminpanelim;
$config[Misc][modcpdir] = modpanelim;
Buda tamamdır. Devam edelim.
4) Şimdi panellere şifre koyucaz. Panelleri sakladık. neden şifre koyucaz ? diyelimki admin şifreniz çalındı napıcaksınız ? adam şifrenizi çaldı giricek admin paneline index atıcak dimi kanında var çünki..
Cpanelden şifre koyucazki içimiz rahat etsin çünkü onu bulamaz.
Cpanele giriyoruz.
cPanel Redirect
böyle olur genelde..
Cpanelde Password Protect Directories bunu bulun. klasör resmi var üzerinde kilit resmi var. buna tıklayınz.
Şifrelemek istediğimiz klasörün yazısına tıklıyoruz.
FTP de adını değiştirdiğiniz : adminpanelim klasörünü görün ve onun üzerine tıklayınz.
Password protect this directory: Bu seçeneği onaylayın
Name the protected directory : bu panele giriş de, panel girişinde karşınıza çıkacak olan not kendiniz yazıcaksınız. onuda yazdıkdan sonra save (kaydet) diyin.
Create User: bu kısma geliyoruz.
Username: herhangi bi isim yazın
Password: şifrenizi girin(admin şifresinden apayrı bi şifre girinz)
Password (Again): şifreyi tekrarlayın..
yeni user yani yeni kullanıcı oluştur diyin. ve admin paneliniz şifrelenmiş olucak
5) Admin panelinden pdf eklentisini kaldır..
Admincp=> Eklentileriniz => Eklenti Yönetimi
bu kısımdan pdf yi kaldırınız hatta bana kalırsa hepsini kaldırın
%100 güvenlik diye birşey yoktur. Biz burada daha güvenlisini yapmaya çalışıyoruz.
"Bir kaç genel bilgi"
1) Forumunuzu daima en yüksek sürümlere upgrade edin.
2) Tools.php dosyasının (vB3) websitenizde bulunmadığından emin olun. Bu dosya kesinlikle upload edilmemelidir. İşi bittikten sonra silinmelidir.
3) phpMyAdmin kullanıyorsanız, giriş kısmının şifrelendiğinden emin olun. Aksi taktirde herkes ulaşabilir.
4) Herhangi bir saldırıdan sonra tüm cpanel, FTP ve admin şifrelerinizi değiştirin.
5) Admin ve mod şifrelerinin en az 9-10 karakter olmasına, bu karakterlerin sayı ve harflerden oluşmasına dikkat edin. Şifreleriniz MD5 şeklinde şifrelendiği için hem harf hemde rakamla oluşan 10 karakterli bir şifrenin çözülmesi imkasız bile olabilir.
6) FORUMUNUZDA ASLA HTML KULLANIMINA İZİN VERMEYİN.
7) Sitenizi sağlam hostlara kurun. Forumunuz ne kadar güvenli olursa olsun hostunuz saldırı yediği zaman sizde etkileneceksiniz.
8) Sık sık DATABASE yedeği alın. Bazı Hosting firmaları her gün yedek alım işlemlerini gerçekleştirmektedir. Ben ayda 3-4 kez yedek alıyorum. Böylece saldırı yiyip, tablolara ve foruma herhangi bir zarar gelirse 1-2 günlik zararlıkları atlatıyorum.
Plugin eklenti falan yüklemeyin diyorlar bence yanlış
Eklentilerde sadece php dosyası olan eklentilere dikkat ediniz.
Bazıları o php dosyalarına değişik kodlar ekleyebilir bilginize. sağlam yerlerden alır iseniz sorun yok.
Sıfır bi vBulletin hacklemek oldukça zordur. Ama serverınızda açık var ise istediği kadar zor olsun Serverınıza dikkat edin.
Kendinizede dikkat edin. fake ile şifrenizi alırlar. Keylogger ile şifrelerinizi çalabilirler. Böyle şeylerede dikkat ediniz.
aha sonra config yolunuzu değiştiriniz :
Öncelikle ftp den bir klasör açmanızı öneririm /imagez /klasoradasz1zq vb gibi..
Daha sonra /includes/config.php config.php dosyanızı açtıgınız klasörün içine atınız.
/includes klasöründe config.php dosyası bulunmıcak.
/includes klasörü içinde bulunan class_core.php yi notepad vb uygulama ile açıp düzenliyoruz.
includes/config.php yazan yeri bulup yeni açtıgınız klasör örnekeki gibi /images/config.php olarak yada /klasoradasz1zq/config.php
olarak düzenliyip kaydediyorsunuz.
Ayrı bir Husus config.php dosyanızı şifreleyebilirsiniz. Base64 ile bu işlemi gerçeklestirebilirsiniz.
Vbseo Kullanan için arkadaslar ise vbseo kurulumunu tamamladıktan sonra vbseo_config.php dosyasının izinlerini 644 yapmalarınız.
ulletin ne kadar güvenli bir script olsa da güvenliğinizi ön planda tutmanız gerekir.Öncelikle kurulumdan sonra yapmamız gerekenlerden başlayalım.
~Vbulletin dosyalarını resmi sitesinden temin edin.İnternette yaygın olan nullscriptleri kullanmayın.
~vBulletin kurulum bittikten sonra install klasörünü tamamen FTP den silin.
~ Tools.php dosyasını işiniz bittikten sonra siliniz.
Config.php Dosyası
~ Config.php açarak
$config['SpecialUsers']['undeletableusers'] = ' id numaranı yaz ';
id numara yaz kısmına kullanıcı id yazın.
~ Config.php açarak
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
kısımlarındaki admin cp ve mod cp yerine başka bişeyler yazınız.Admin ve mod paneline girerken admincp ve modcp yerine yazdığınız kelime ile gireceksiniz.
~ Cpanel e giriyoruz.Cpanelden Password Protect Directories giriyoruz.Şifrelemek istediğimiz klasörün yazısına tıklıyoruz.
Password protect this directory: Bu seçeneği onaylayın
Name the protected directory :
Username: herhangi bi isim yazın
Password: şifrenizi girin(admin şifresinden apayrı bi şifre girinz)
Password (Again): şifreyi tekrarlayın. New user diyelim ve istediğiniz klasör şifrelenmiş olacaktır.
~ Adminc => Eklentileriniz => Eklenti Yönetimi kısmından pdf yi kaldırınız.
~ Admincp-->vBulletin Seçenekler-->Sansürleme Seçenekleri-->
Censorship Enabled = Evet diyoruz
Sansürlü Kelimelere Mutlaka Kare (#) ekliyoruz (Nedeni: Admin adında üyelik almayı engellemek)
Character to Replace Censored Words = Yazılan kod yerine yazılacak cümle bende ( Kod koruması devrede) yazıyor
Censored Words bölümüne sansürleme yapmak istediğiniz tüm kodları yazabilirsiniz.
Şimdi sırada sistem üzerindeki açıklarda;
» Admin CP ve Mod CP adlarını değiştirme.
Config.php üzerinde 87 - 88. satırları bulup şu şekilde düzenliyoruz;
####################################
$config[Misc][admincpdir] = yeniacpismi;
$config[Misc][modcpdir] = yenimcpismi;
####################################
#343AdA434# gibi isimler ile değiştirilmesi sizin için daha iyi olur. Bu işlemden sonra klasör isimlerinide değiştirmelisiniz.
» Temanın Alt Kısmında MOD CP ve Admin CP Yollarını Kaldırma.
Altta vereceğim satırlarda 1 yazan yerlere kendi id nizi yazınız. Şifre yi kaptırsanız bile bazı fonksiyonlar devre dışı kalır.
-----------------------------------------------------------------------------------------------
config.php de 117. Satırda
$config[SpecialUsers][canviewadminlog] = 1;
» 122. Satırda
» $config[SpecialUsers][canpruneadminlog] = 1;
» 129. Satırda
» $config[SpecialUsers][canrunqueries] = 1;
» 134. Satırda
» $config[SpecialUsers][undeletableusers] = 1;
» 139. Satırda
» $config[SpecialUsers][superadministrators] = 1;
-----------------------------------------------------------------------------------------------
değiştirdikten sonra config.php nin yolunu değiştiriyoruz.
» config.php ismini değiştirme
FTP üzerinde bir klasör açıyoruz. İsmi karmaşık birşey oslun
// Örneğin " jhmxs4lf "
/includes klasörünün içindeki config.php dosyasını yeni klasörümüzün içine atıyoruz.
/includes klaösrünün içindeki class_core.php dosyasını açıyoruz. İçinde includes/config.php bulup klasorumuzunismi/config.php şeklinde değiştiriyoruz. Bu işlemde tamamdır.
» Config Şifreleme
İoncube,ZenGuard Tarzı Bir Şifreleme İle Configdeki Önemli Yerleri Ve class_core.php Deki Config Belirten Yerleri Şifreleyiniz.
» vB SEO Açıkları
vB SEO kurulumundan sonra vbseo_configin izinlerini 664 yapınız.
Aynı şekilde vbsepcp.php panelinizin ismini değiştiriniz (örn: #vbseocp.php#). vbsepcp.php dosyasının 2.satırını yukarıda önerdiğim şekilde şifreleyiniz.
» CPanel / PleskPanel Şifreleme
Cpanel / Plesk Panel gibi panellerden Modcp ve Admincp, config klasörü gibi klasörleri şifreleyin. Olası bir şifre çalma olayında bu panellere ulaşmak istenirse + şifre isteyecektir.
» Forumunuzda ki eklentileri kendiniz türkçeleştiriniz. vBullettin.org gibi yerlerden tema ve eklenti indirmeyiniz.
» Sunucuda c99, r57 tarzı shellleri engelleyin. Güncel bir antivirüs ile taratın.
» Ufak Çaplı Önlemler
- Kategori oluşturuken HTML kodlarını kapatın.
- **** kelimesini sansüre tutun.
- NULL kullanmayın.
- modcp de Announcement.php dosyasını silin. HTML izin verdiği için tehdittir.
- /archive/ klasörünü komple silin.
- &# i sansüre tabi tuttuğunuzda admin iel aynı kullanıcı adını alamayackatır.
İlk göze çarpan ve genel olarak göz önünde bulundurulan açıkalr bunlardır. Sizin için tek tek derleyip toparladım. Umarım faydası olmuştur.
2) Config Editleyerek Kendinizi güvenliğe alın ..
FTP den config.php yi indirin ve notepad yardımı ile açın.
Burada kullanıcı id numaranızı yazın.
$config[SpecialUsers][undeletableusers] = id numaranı yaz ;
Eğer bunu yapariseniz şifreniz çalındıgında kullanıcı adınız bile değişmez
3) Admin & Moderatör panellerini saklayın.
FTP den admincp modcp isimlerini değiştirin.
www.siteadi.com/forum/adminpanelim
www.siteadi.com/forum/modpanelim
Gibi değiştirin..
Değişiklikleri yaptık config.php yi notepad yardımı ile açıyoruz.
$config[Misc][admincpdir] = admincp;
$config[Misc][modcpdir] = modcp;
Bunun yerine şöyle yazıyoruz.,
$config[Misc][admincpdir] = adminpanelim;
$config[Misc][modcpdir] = modpanelim;
Buda tamamdır. Devam edelim.
4) Şimdi panellere şifre koyucaz. Panelleri sakladık. neden şifre koyucaz ? diyelimki admin şifreniz çalındı napıcaksınız ? adam şifrenizi çaldı giricek admin paneline index atıcak dimi kanında var çünki..
Cpanelden şifre koyucazki içimiz rahat etsin çünkü onu bulamaz.
Cpanele giriyoruz.
cPanel Redirect
böyle olur genelde..
Cpanelde Password Protect Directories bunu bulun. klasör resmi var üzerinde kilit resmi var. buna tıklayınz.
Şifrelemek istediğimiz klasörün yazısına tıklıyoruz.
FTP de adını değiştirdiğiniz : adminpanelim klasörünü görün ve onun üzerine tıklayınz.
Password protect this directory: Bu seçeneği onaylayın
Name the protected directory : bu panele giriş de, panel girişinde karşınıza çıkacak olan not kendiniz yazıcaksınız. onuda yazdıkdan sonra save (kaydet) diyin.
Create User: bu kısma geliyoruz.
Username: herhangi bi isim yazın
Password: şifrenizi girin(admin şifresinden apayrı bi şifre girinz)
Password (Again): şifreyi tekrarlayın..
yeni user yani yeni kullanıcı oluştur diyin. ve admin paneliniz şifrelenmiş olucak
5) Admin panelinden pdf eklentisini kaldır..
Admincp=> Eklentileriniz => Eklenti Yönetimi
bu kısımdan pdf yi kaldırınız hatta bana kalırsa hepsini kaldırın
%100 güvenlik diye birşey yoktur. Biz burada daha güvenlisini yapmaya çalışıyoruz.
"Bir kaç genel bilgi"
1) Forumunuzu daima en yüksek sürümlere upgrade edin.
2) Tools.php dosyasının (vB3) websitenizde bulunmadığından emin olun. Bu dosya kesinlikle upload edilmemelidir. İşi bittikten sonra silinmelidir.
3) phpMyAdmin kullanıyorsanız, giriş kısmının şifrelendiğinden emin olun. Aksi taktirde herkes ulaşabilir.
4) Herhangi bir saldırıdan sonra tüm cpanel, FTP ve admin şifrelerinizi değiştirin.
5) Admin ve mod şifrelerinin en az 9-10 karakter olmasına, bu karakterlerin sayı ve harflerden oluşmasına dikkat edin. Şifreleriniz MD5 şeklinde şifrelendiği için hem harf hemde rakamla oluşan 10 karakterli bir şifrenin çözülmesi imkasız bile olabilir.
6) FORUMUNUZDA ASLA HTML KULLANIMINA İZİN VERMEYİN.
7) Sitenizi sağlam hostlara kurun. Forumunuz ne kadar güvenli olursa olsun hostunuz saldırı yediği zaman sizde etkileneceksiniz.
8) Sık sık DATABASE yedeği alın. Bazı Hosting firmaları her gün yedek alım işlemlerini gerçekleştirmektedir. Ben ayda 3-4 kez yedek alıyorum. Böylece saldırı yiyip, tablolara ve foruma herhangi bir zarar gelirse 1-2 günlik zararlıkları atlatıyorum.
Plugin eklenti falan yüklemeyin diyorlar bence yanlış
Eklentilerde sadece php dosyası olan eklentilere dikkat ediniz.
Bazıları o php dosyalarına değişik kodlar ekleyebilir bilginize. sağlam yerlerden alır iseniz sorun yok.
Sıfır bi vBulletin hacklemek oldukça zordur. Ama serverınızda açık var ise istediği kadar zor olsun Serverınıza dikkat edin.
Kendinizede dikkat edin. fake ile şifrenizi alırlar. Keylogger ile şifrelerinizi çalabilirler. Böyle şeylerede dikkat ediniz.
aha sonra config yolunuzu değiştiriniz :
Öncelikle ftp den bir klasör açmanızı öneririm /imagez /klasoradasz1zq vb gibi..
Daha sonra /includes/config.php config.php dosyanızı açtıgınız klasörün içine atınız.
/includes klasöründe config.php dosyası bulunmıcak.
/includes klasörü içinde bulunan class_core.php yi notepad vb uygulama ile açıp düzenliyoruz.
includes/config.php yazan yeri bulup yeni açtıgınız klasör örnekeki gibi /images/config.php olarak yada /klasoradasz1zq/config.php
olarak düzenliyip kaydediyorsunuz.
Ayrı bir Husus config.php dosyanızı şifreleyebilirsiniz. Base64 ile bu işlemi gerçeklestirebilirsiniz.
Vbseo Kullanan için arkadaslar ise vbseo kurulumunu tamamladıktan sonra vbseo_config.php dosyasının izinlerini 644 yapmalarınız.
ulletin ne kadar güvenli bir script olsa da güvenliğinizi ön planda tutmanız gerekir.Öncelikle kurulumdan sonra yapmamız gerekenlerden başlayalım.
~Vbulletin dosyalarını resmi sitesinden temin edin.İnternette yaygın olan nullscriptleri kullanmayın.
~vBulletin kurulum bittikten sonra install klasörünü tamamen FTP den silin.
~ Tools.php dosyasını işiniz bittikten sonra siliniz.
Config.php Dosyası
~ Config.php açarak
$config['SpecialUsers']['undeletableusers'] = ' id numaranı yaz ';
id numara yaz kısmına kullanıcı id yazın.
~ Config.php açarak
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
kısımlarındaki admin cp ve mod cp yerine başka bişeyler yazınız.Admin ve mod paneline girerken admincp ve modcp yerine yazdığınız kelime ile gireceksiniz.
~ Cpanel e giriyoruz.Cpanelden Password Protect Directories giriyoruz.Şifrelemek istediğimiz klasörün yazısına tıklıyoruz.
Password protect this directory: Bu seçeneği onaylayın
Name the protected directory :
Username: herhangi bi isim yazın
Password: şifrenizi girin(admin şifresinden apayrı bi şifre girinz)
Password (Again): şifreyi tekrarlayın. New user diyelim ve istediğiniz klasör şifrelenmiş olacaktır.
~ Adminc => Eklentileriniz => Eklenti Yönetimi kısmından pdf yi kaldırınız.
~ Admincp-->vBulletin Seçenekler-->Sansürleme Seçenekleri-->
Censorship Enabled = Evet diyoruz
Sansürlü Kelimelere Mutlaka Kare (#) ekliyoruz (Nedeni: Admin adında üyelik almayı engellemek)
Character to Replace Censored Words = Yazılan kod yerine yazılacak cümle bende ( Kod koruması devrede) yazıyor
Censored Words bölümüne sansürleme yapmak istediğiniz tüm kodları yazabilirsiniz.
Şimdi sırada sistem üzerindeki açıklarda;
» Admin CP ve Mod CP adlarını değiştirme.
Config.php üzerinde 87 - 88. satırları bulup şu şekilde düzenliyoruz;
####################################
$config[Misc][admincpdir] = yeniacpismi;
$config[Misc][modcpdir] = yenimcpismi;
####################################
#343AdA434# gibi isimler ile değiştirilmesi sizin için daha iyi olur. Bu işlemden sonra klasör isimlerinide değiştirmelisiniz.
» Temanın Alt Kısmında MOD CP ve Admin CP Yollarını Kaldırma.
Altta vereceğim satırlarda 1 yazan yerlere kendi id nizi yazınız. Şifre yi kaptırsanız bile bazı fonksiyonlar devre dışı kalır.
-----------------------------------------------------------------------------------------------
config.php de 117. Satırda
$config[SpecialUsers][canviewadminlog] = 1;
» 122. Satırda
» $config[SpecialUsers][canpruneadminlog] = 1;
» 129. Satırda
» $config[SpecialUsers][canrunqueries] = 1;
» 134. Satırda
» $config[SpecialUsers][undeletableusers] = 1;
» 139. Satırda
» $config[SpecialUsers][superadministrators] = 1;
-----------------------------------------------------------------------------------------------
değiştirdikten sonra config.php nin yolunu değiştiriyoruz.
» config.php ismini değiştirme
FTP üzerinde bir klasör açıyoruz. İsmi karmaşık birşey oslun
// Örneğin " jhmxs4lf "
/includes klasörünün içindeki config.php dosyasını yeni klasörümüzün içine atıyoruz.
/includes klaösrünün içindeki class_core.php dosyasını açıyoruz. İçinde includes/config.php bulup klasorumuzunismi/config.php şeklinde değiştiriyoruz. Bu işlemde tamamdır.
» Config Şifreleme
İoncube,ZenGuard Tarzı Bir Şifreleme İle Configdeki Önemli Yerleri Ve class_core.php Deki Config Belirten Yerleri Şifreleyiniz.
» vB SEO Açıkları
vB SEO kurulumundan sonra vbseo_configin izinlerini 664 yapınız.
Aynı şekilde vbsepcp.php panelinizin ismini değiştiriniz (örn: #vbseocp.php#). vbsepcp.php dosyasının 2.satırını yukarıda önerdiğim şekilde şifreleyiniz.
» CPanel / PleskPanel Şifreleme
Cpanel / Plesk Panel gibi panellerden Modcp ve Admincp, config klasörü gibi klasörleri şifreleyin. Olası bir şifre çalma olayında bu panellere ulaşmak istenirse + şifre isteyecektir.
» Forumunuzda ki eklentileri kendiniz türkçeleştiriniz. vBullettin.org gibi yerlerden tema ve eklenti indirmeyiniz.
» Sunucuda c99, r57 tarzı shellleri engelleyin. Güncel bir antivirüs ile taratın.
» Ufak Çaplı Önlemler
- Kategori oluşturuken HTML kodlarını kapatın.
- **** kelimesini sansüre tutun.
- NULL kullanmayın.
- modcp de Announcement.php dosyasını silin. HTML izin verdiği için tehdittir.
- /archive/ klasörünü komple silin.
- &# i sansüre tabi tuttuğunuzda admin iel aynı kullanıcı adını alamayackatır.
İlk göze çarpan ve genel olarak göz önünde bulundurulan açıkalr bunlardır. Sizin için tek tek derleyip toparladım. Umarım faydası olmuştur.
