Uzun zamandır WordPress’leri hackleyen birini takip ediyorum. Önceleri hacklediği sistemlerin eski sürümler olduğunu düşünüyordum. Sonradan gördüm ki birbirinden farklı sürümleri de al aşağı etmekte…Lavuk, paso WordPress hackliyor ve şimdiden bine yakın WordPress hesabı ele geçirmiş. Yerli, yabancı, eski sürüm, yeni sürüm adam için hiç fark etmiyor.
Bu işi nasıl beceriyor benim için merak konusu oldu. Sonuçta benim sistemim de bir WordPress ve bu adam önüne geleni al aşağı ediyor!
Panik yapmanıza gerek yok.
Olay bir WordPress açıklığı veya eklentilerinden kaynaklanan bir güvenlik açığı değil. Olay tamamen adamın bizlerden farklı bir bakış açısıyla, zekice düşünen bir elemanın WordPress sistemleri kötüye kullanması şeklinde…
Baştan söyleyeyim, adamı tanımıyorum. Sadece hacklediği sistemlere nickini yazması dikkatimi çekti. İletişimim de hiç olmadı. Gerçi Türk olduğundan da şüpheliyim ama neyse…
Her seferinde index atmak yerine, adam WordPress sayfalarının son postlarına girip değişiklikler yapıyor. WP şifrelerini değiştiriyor… Yani bir index.html koymuyor. Bir şekilde database’e erişiyor. WordPress’de database’e erişmek için de Wp-config.php’yi okuyabilmek gerekli. Madem Wp-config.php’yi okuyabiliyor, o zaman neden FTP’ye index atmıyor diye meraklanmıştım.
Bir ara Mysql üzerinde yeni bir açık mı var diye de şüphe etmedim değil, fakat bu sefer de neden Joomla serverlara girmiyor? Şeklinde uzun uzadıya bir sürü soru soruyordum kendi kendime. Sonradan bir şey daha dikkatimi çekti. Adamın girdiği server’lar tamamen WordPress server’larıydı.
Bir ara da bir siteyi hacklemiş, Zone kaydı alırken hacklediği sisteme yazdığı bir cümle dikkatimi çekti…
Wp-config.php’ye dikkat!
Adam aslında WordPress sisteminde bir açık kullanmıyor, databaselere erişim için de bir zafiyetten yararlanmıyor. Yaptığı tek şey, WordPress bir sistemde aşağıdaki artık dosyaları deneme yanılma ile kontrol etmek!
wp-config.php~
wp-config.bak
wp-config.phpBak
wp-config.php-bak
wp-config.save
wp-config.back
wp-config.old
wp-config.html
wp-config.txt
….
Hacklediği tüm sistemlerde bu dosyalar üzerinden giriyor…
Eleman akıllı…
Bir dosyayı değiştireceğimiz zaman ya da bir dosya içerisine yeni bir değer ekleyeceğimiz zaman bu tarz önemli dosyaların yedeklerini alırız. Özellikle de Webmaster arkadaşlar, kodlamacı kardeşlerimiz bunu sıklıkla yapar.
Amaç önemli bir dosya içerisinde bir değer değiştirmeden önce yedeğini almaktır. Sistem değişen değer yüzünden bozulursa, orjinal dosyayı yedeklediğimiz için geriye dönüş çok kolay olacaktır.
Mesela Wp-config.php içinde birkaç satırı silip, yerine yeni değerler yazmak istiyoruz. Doğal olarak sistemdeki orjinal Wp-config.php’nin bir kopyasını Wp-config.YEDEK gibi bir isimle adlandırırız. Sonra işimizi halleder yedek dosyamızı sileriz!
Demek ki yedek dosyasını işimizi bitirdikten sonra silmiyoruz.
En azından 100 kişide 2-3 kişi bu yedekleri silmiyor olabilir. Küçük bir oran olsa dahi milyonlarca WordPress kullanıcısını dikkate alırsak, bu adamın binlerce site hacklemesi normal…
Bu dosyaların oluşma sebebinden biri de, server üzerinde kullanmış olduğumuz nano, pico, wi gibi editörler ya da ftp üzerinden ftp programları ile editleme yaparken oluşan .bak .old gibi dosyalar olabilir. Nano, pico ve wi editörlerde varsayılan olarak böyle bir backup aldığını görmedim. Benzer editörlerden kaynaklanabilir. İncelemek lazım.
Sonuç olarak Wp-config.php’yi bizler bir şekilde düzenlerken ortaya çıkabilecek olan .bak, .save, .back, .old, .yedek, .php~ gibi artık dosyalar ya da yedek dosyalar sizi büyük bir risk altında bırakabilir.
Sunucunuzdaki Apache, .php dosyalarını yorumlarayak okur. Yani birisi Wp-config.php‘yi okumak istediği zaman karşısına bu dosyayı ve şifrelerinizi çıkartmaz. Fakat uzantısı .bak, .txt, .save, .back, .old gibi dosyaları tanımadığı için varsayılan yani text olarak görüntülenmesini ya da download edilmesini sağlar. Yani bir PHP dosyanızın uzantısını .bak, .txt gibi bir formata çevirirseniz bu dosyanın içeriği alelen görüntülenecektir.
Bu sayede saldırgan sizin database user, database name ve database password değerlerini rahatlıkla görebiliyor. Bundan sonrası ise çok kolay, bir sunucuda bu tarz dosyaları gördüğünde Mysql’inize bağlanıp siteniz üzerinde istediği değişikliği yapabilir. Hatta WordPress şifrelerinizi değiştirip, panelinize de erişebilir.
Sonrası malum…
Ftp programları da düzenleme yaptırıyor ama onlarda da bu tarz bir kopya alma görmedim. Şuan acaba nano, pico ya da ftp üzerinde düzenleme sırasında bağlantı koparsa bu tarz bir kopya oluşturuyor mu? Sorularını düşünmeye başladım. Sıklıkla oluşan bir durum olmasa da varsayılan olarak yedek almasalar dahi, bir bağlantı kopma sırasında bu tarz bir dosya oluşturmaları muhtemel…
Ortaya çıkan durum bir açıklık değil, yalnız birçok server üzerinde bu dosyaların olduğu aşikar ve bunun farkına varan bazı akıllı elemanlar çatır çatır WordPress hacking yapıyor.
Bu zeki arkadaş işi tamamen otomatize etmiş olabilir. Bu tarz dosyaları WP sistemler üzerinde arayan otomatik tool da yazılmış olabilir. Ya da en kötüsü Google Hacking yapıyor olabilir. Siz siz olun, WordPress sisteminizdeki dosyalar arasında bu tarz dosyalar varsa sisteminizden silin! Yüzde bir, binde bir gibi bir olasılık dahi, dikkatli olmakta fayda var…
Kaynak : http://www.teakolik.com/wordpress-hack-hem-de-cok-kolay/
Yorumlar