Siteyi açmaya çalıştım ve bir uyarı ile karşılaştım.Uyarı şöyle:

Posseseth tarafından korunuyorsunuz

!!! sitenizde açık oldugundan dolayı siteyı kapatmıs bulunmaktayız lutfen açıklarınızı kapatınız...
not: webmaster ; joomla nın index.php dosyasını kökdizine atarsan site düzelir ama bilinki site açıkları kapatılmadığı surece siteniz hack için açık adres olur...

Bu nedir?Lütfen yardım....

siteni hacklemişler evet. sitenin yedeklerini yükle sitene. joomla 1.5.15 kullan. eklediğin 3. parti eklentilerin son sürümlerini kullan. açığı olan eklentileri kaldır. sunucunun tüm dizinlerini manuel kontrol et, veya host sağlayıcına söyle kontrol etsinler ;)

siteni hacklemişler evet. sitenin yedeklerini yükle sitene. joomla 1.5.15 kullan. eklediğin 3. parti eklentilerin son sürümlerini kullan. açığı olan eklentileri kaldır. sunucunun tüm dizinlerini manuel kontrol et, veya host sağlayıcına söyle kontrol etsinler ;)
Yedekleri host sağlayıcıdan mı almalıyım.Kendim yedekleme yapmamıştım.Daha yeni yaptığım bir siteydi..Okul sitesini hacklemek kime ne yarar getirir anlamadım gitti...Kendileriyle iletişime geçsem sonuç alabilir miyim?Çünkü mail adresini verdi.Bana ulaşın diye...Bir yararı olur mu iletişime geçsem?

"Bana ulaş" diyen siteni bozan şahıssa onunla niye muhatap olacaksın onu anlamadım? Eğer faydalı bir insan olsa heralde siteyi bozmadan sana maille sitenin açık olan yerini söylerdi. Muhatap olunacak adam değilmiş demekki ;)

Sen joomlanın ana dizindeki index.php dosyasını elindekiyle değiştir. Yani yenisini gönder. Eğer 1.5.15 ten eski sürüm kullanıyorsan güncelleme yap. Eklentilerini kontrol et, son sürüm olsunlar ve açığı bulunup yeni sürümü çıkmayan bileşen, modül vs. kullanma ;)

"Bana ulaş" diyen siteni bozan şahıssa onunla niye muhatap olacaksın onu anlamadım? Eğer faydalı bir insan olsa heralde siteyi bozmadan sana maille sitenin açık olan yerini söylerdi. Muhatap olunacak adam değilmiş demekki ;)

Sen joomlanın ana dizindeki index.php dosyasını elindekiyle değiştir. Yani yenisini gönder. Eğer 1.5.15 ten eski sürüm kullanıyorsan güncelleme yap. Eklentilerini kontrol et, son sürüm olsunlar ve açığı bulunup yeni sürümü çıkmayan bileşen, modül vs. kullanma ;)

İlginiz için çok teşekkürler...index.php dosyasını attım ve site açıldı.Herhangi bir kayıp yok sitede.Yalnız bu güvenlik açığını nasıl bulabilirim?Ben expose4 bileşeninden şüpheleniyorum.Kaldıracağım bu bileşeni.Joomla1.5.15 kullanıyorum zaten.Fakat eski sürüm bazı bileşen ve modül kullanıyorum.Hepsini güncellemem gerekecek sanırım..Neyse ucuz atlattık herhalde...

Sitenin son erişim kayıtları vardır. Cpanelden erişebileceğin gibi host sağlayıcından da isteyebilirsin. O dosyaya bakarak nereden siteye girdiklerini bulabilirsin. Genelde dosyanın boyutu büyüktür ve biraz karmaşıktır, anlayabilirsen ve merak ediyorsan tabi ki ;)

Kullandığın eklentiler üzerinden girmedilerse o zaman sunucu taraflı bir açık var demektir ki bunu yapanlar o sunucu üzerindeki tüm sitelere de bunu yapabilirler. Dolayısıyla "her ihtimale karşı" host sağlayıcını da uyarmanda fayda var ;) Eğer gerçekten ilgilenen birileriyse onlar da kendilerini kontrol ederler ;)

Bu tür durumlarda önce sakin olmalı, ardından ftp ya da cPanel kayıtlarından deosya tarihlerine bakarak son değişimler tesbit edilmeli. Bu en basit tanılama yöntemidir. Bir dosya sizin müdahaleniz sonrasındaki bir tarihte değiştirilmiş gözüküyorsa, bu doğrudur; o dosyaya müdahale edilmiş demektir. Dolayısıyla orayla ilgili bir zafiyet olduğunu anlayabiliriz. cache dizinleri ve günlük girdi yapılan dizinler ayrı tabii.

Bir tesbit yaptıktan sonra sistemi düzeltebilir, güncelleyeceksek güncelleyebiliriz. Örneğin burada size saldıran kendini bilmez index.php dosyasını değiştirerek yayına dönebilirsiniz demiş. index.php dosyasını değiştirip başka hiç bir şey yapmadan dediğim tarama işlemini yapabilirdiniz.

Güncelleme yaptıktan sonra iz takip edemezsiniz. Sunucu ya da cPanel kayıtlarında iz bulmak neredeyse imkansızdır. Ancak çok büyük bir siteniz ya da yasal süreç olursa sunucu yöneticileriniz bu işe cidden eğilip bir şeyler çıkartabilirler.

Bunun dışında, asla böyle bir durumda not bırakan kimse ile muhattab olmayın. Unutmayın, o sadece ezik biri. Okul sitesiyle bile "açıklarınızı kapatın" gibi çoluk çocuk muhabbeti yapacak kadar ezik. Ondan hiç bir halt olmaz. Yapacağı şey sadece sizde güven sağlayabilirse dizine yerleştiremediği sürekli takip amaçlı bir dosyayı yerleştirmek, gizli yönetici erişimi oluşturmak ya da sizden güvenlik bahanesiyle para veya reklam sızdırmak olur. Ayrıca paylaşım aldıkları hesabınızı her türlü diğer benzer işleri için bir araç olarak da kullanabilirler.

Hatta diyorum ki; en dandik, en güveensiz sistemi kullanın, yine de bu eziklere yüz vermeyin. Her gün saldırı alın, her gün kendi yedeğinizi yeniden kurun. Hiç umursamayın.

Son olarak tabii pisdoktorun dediği gibi kullandığınız Joomla! sürümüne, eklentilerinize, barındığınız yere dikkat etmelisiniz. Okul sitesi diye sponsor arayıp ilk atlayanlarla anlaşmak gibi bir şeyi asla tercih etmeyin. Muhakkak parasını vererek güvenilir bir yerden hizmet alın. Joomla sürümünüzü her zaman son sürüm olmalı. Eklentilerinizi muhakkak üreticisinden takip etmelisiniz. Her eklenti için bültenlerine abona olun ya da ana sayfalarından rss ile haberleri takip edin. Muhakkak yeni bir sürümleri ya da yamaları çıktığında haberiniz olması lazım. Ayrıca arada bir şu adresi inceleyin: Güvenli olmayan eklentiler - CMSTURK.NET İYS (CMS) Forumları (http://www.cmsturk.net/forum/showthread.php?t=36553) Burada güvenlik sorunu olan eklentiler yer alır. Sayfanın nasıl okunacağını konuda açıkladım. Buna göre güvenlik sorunu olup da yaması ya da yeni sürümü çıkmamış eklentileri muhakkak sisteminizden tamamen kaldırın. Kapamak diye bir şey yok, menüye bağlamazsam çalışma demeyin. Kaldırın. Yama ya da yeni sürümü varsa onu kurun.

Genel güvenlik tedbirlerine dikkat edin.

Paylaşımlı bilgisayarlardan sitenize yetkili (site önyüz, yönetim merkezi, ftp erişimi, cpanel veya phpmyadmin erişimi gibi) erişim sağlamayın. Sadece zyaretçi olarak girin. Kişisel bilgisayarınız parola korumalı olmalı ve başında olmadığınızda parola arkasında kalmalı. Muhakkak ücretli ya da ücretsiz olsun, son sürümde bir antivirüs (kesinlikle yasal olmalı) yazılıma sahip olmalı, bu antivirüz yazılımının yapılandırması doğru ayarlanmalı. FTP aracınız ücretli ya da ücretsiz olsun, lisansli bir yazılım olmalı. MSN, e-posta vesair elektronik ortamlarda paylaşılması gereken özel bilgiler olursa bunlar açık olarak değil, bir txt dosyası şeklinde paylaşılmalı. Tanımadığınız ve anlam veremediğiniz postalar açılmamalı, programlar çalıştırılmamalı, msn davetleri kabul edilmemeli ve bağlantılar tıklanmamalı. Daha da uzayabilir. En önemlileri ve alışkanlık olmuş olanlar bunlar. Kısaca genel güvenlik tedbirleri...çok önemli.

lamerların ardıarkası kesilmiyorki bir tane programla açık buluyorlar sonra hack sitelerinden adlığı 2 satırlık kodu yazıyorlar.Senin o kadar emegeni harcıyorlar.Kimin umrundaki....Geçmiş olsun korkmaz53 arkadaş.

Arkadaşlar ilgilendiğiniz için çok teşekkürler..Özellikle Akar kardeşimizin verdiği bilgiler gerçekten süper.Fakat ben güvenlik konusunda özellikle çok deneyimsizim.Sitem ilk hacklandiğinde(iki gün önce) index.php dosyasını yeniden ftp ile attım ve düzeldi.Çok şükür derken bu sabah baktım sitem yine hacklanmiş..Bu kez Yönetim paneli(administrator) bölümüne de giremiyorum.index.php dosyasını attım düzelmiyor.Bula bula beni mi buldular.Okul sitesine saldırmakla neyi kanıtlamış olacaklar anlamıyorum.Şimdi şöyle bir hata kodu veriyor:
Fatal error: Call to a member function mark() on a non-object in /var/www/vhosts/gmk.k12.tr/httpdocs/index.php on line 24 Durumu ben kendim düzeltebilir miyim acaba?Ne yapmam gerekiyor?

Tam bir dizin güncellemesi yaparak bakar mısınız ? Yalnız bundan önce sizin son çalışmanızı müteakip hangi dizinlerde değişiklik yapıldığına bakmak için ftp aracınızdan dosya ve dizin tarihlerini kontrol edin. Nereye müdahale edildiğini bu şekilde tesbit edebilirsiniz.

Sitenin tekrar yayına dönmesi sorunun giderildiğini göstermez. Zira sorun bir güvenlik sorunu. Sitenin yayınında gördüğünüz değişiklik ise sadece bunun neticesi. DOlayısıyla, çözüm için sorunun giderilmesi gerektiğini düşünerek buna göre hareket etmekte fayda var.

Tam bir dizin güncellemesi yaparak bakar mısınız ? Yalnız bundan önce sizin son çalışmanızı müteakip hangi dizinlerde değişiklik yapıldığına bakmak için ftp aracınızdan dosya ve dizin tarihlerini kontrol edin. Nereye müdahale edildiğini bu şekilde tesbit edebilirsiniz.

Sitenin tekrar yayına dönmesi sorunun giderildiğini göstermez. Zira sorun bir güvenlik sorunu. Sitenin yayınında gördüğünüz değişiklik ise sadece bunun neticesi. DOlayısıyla, çözüm için sorunun giderilmesi gerektiğini düşünerek buna göre hareket etmekte fayda var.

Evet o dosyaları tespit ettim.Benim dışımda müdahale var.Hatta test adı altında bir de klasör mevcut.Bunları tespit ettim ama nasıl düzelteceğimi bilmiyorum.Dosya ve klasörleri tamamen kaldırayım mı?Müdahele edilen dosyalar şunlar: css,img,picture_library,plesk stat,test,htacces,favicon.ico

test muhtemelen plask'e ait bir dizin. plesk_stats da öyle. Onlar sürekli güncellenebilir. Sİstem tarafından kullanılıyor. img dizini de pleske ait olabilir. Bunları plesk kullanıcıları daha iyi bilir, ben pek emin değilim. Ancak htaccess ve css dosyalarının değişmesi şüpheli.

Tam bir dizin güncellemesi yapmanızı öneririm. Ayrıca genel güvenlik tedbirlerinde ve bu konu içinde belrtilen önlemlerden hangilerine uyduğunuzu da kontrol etmelisiniz.

test muhtemelen plask'e ait bir dizin. plesk_stats da öyle. Onlar sürekli güncellenebilir. Sİstem tarafından kullanılıyor. img dizini de pleske ait olabilir. Bunları plesk kullanıcıları daha iyi bilir, ben pek emin değilim. Ancak htaccess ve css dosyalarının değişmesi şüpheli.

Tam bir dizin güncellemesi yapmanızı öneririm. Ayrıca genel güvenlik tedbirlerinde ve bu konu içinde belrtilen önlemlerden hangilerine uyduğunuzu da kontrol etmelisiniz.

Doğrusunu söylemek gerekirse güvenlik önlemlerinin hiç birini uygulamadım.Çünkü bu konu bana çok uzak.Yeniyim bu konularda.Hatta dosya izinlerini bile değiştirmedim.Bazı klasörler hala 777.Bunların 777 olması güvenlik açığı mıdır?Hepsini 755 mi yapayım?Akar kardeşim sen bu konularda ileri düzeylerdesin.Ne yapayım sence?Siteyi sürekli yedeklemeleri yüklemekle yürütemeyeceğim.Saldırı da devam edecek belli.Hackleyen kişi bir de not düşmüş."Güvenlik açıklarını kapatmanı söylemiştim öğretmenim." diye...Bu arada test dizini yedeklemeden sonra kayboldu.Şu anda bu dizin yok..Anlamadım gitti..

Doğrusunu söylemek gerekirse güvenlik önlemlerinin hiç birini uygulamadım.Çünkü bu konu bana çok uzak.Yeniyim bu konularda.Hatta dosya izinlerini bile değiştirmedim.Bazı klasörler hala 777.Bunların 777 olması güvenlik açığı mıdır?Hepsini 755 mi yapayım?Akar kardeşim sen bu konularda ileri düzeylerdesin.Ne yapayım sence?Siteyi sürekli yedeklemeleri yüklemekle yürütemeyeceğim.Saldırı da devam edecek belli.Hackleyen kişi bir de not düşmüş."Güvenlik açıklarını kapatmanı söylemiştim öğretmenim." diye...Bu arada test dizini yedeklemeden sonra kayboldu.Şu anda bu dizin yok..Anlamadım gitti..Belirttiğimiz güvenlik önlemlerinde ne varsa güvenliğiniz için gereklidir. Buna dosya ve dizin izinleri de dahil. Dosya ve dizin izinlerini düzenleyemiyorsanız sunucu taraflı bir izin sorunu olabilir. Bu konulara uzağım diye düşünmenize gerek yok. Zira anlattıklarımızın tamamı açık ve kolayca uygulanabilir yöntemler içerir. Bu yöntemleri uygularken sorun yaşıyorsanız sorunu belirterek yardım istemeniz halinde ne yapmanız gerektiğini söyleyebiliriz. Genel güvenlik önlemlerine uymadığınız sürece bu sorunu mütemadiyen yaşayacaksınız demektir.

Belirttiğimiz güvenlik önlemlerinde ne varsa güvenliğiniz için gereklidir. Buna dosya ve dizin izinleri de dahil. Dosya ve dizin izinlerini düzenleyemiyorsanız sunucu taraflı bir izin sorunu olabilir. Bu konulara uzağım diye düşünmenize gerek yok. Zira anlattıklarımızın tamamı açık ve kolayca uygulanabilir yöntemler içerir. Bu yöntemleri uygularken sorun yaşıyorsanız sorunu belirterek yardım istemeniz halinde ne yapmanız gerektiğini söyleyebiliriz. Genel güvenlik önlemlerine uymadığınız sürece bu sorunu mütemadiyen yaşayacaksınız demektir.

Host sağlayıcım index.php dosyasında tam yazma izni verilmiş olduğundan dolayı eklentilerden birinde açık bulup index attıklarını söyledi.Yedeğini yükledik.Ben o dosyaları 644 olarak izin verdim umarım doğrudur.Klasörleri de 755 olarak izinlerini verdim.Bakalım zaman neyi gösterecek.Bundan sonra güvenlik konularına daha fazla ilgileneceğim.Sizden de çok şeyler öğrendim ve daha da çok şey öğreneceğim.Her şey için teşekkürler..