Acemi Hacker Denemeleri… Kesinlikle Okuyunuz

Akşam saatlerinde sitemin admin panelinde birisi olduğunu fark ettim. Üye alımı açıktı ama üye ol diye bir link yoktu. Kendileri girmişlerdi panele ve bana ardından iletişim sayfasından ulaşarak bir fix açığı olduğunu, kullandığım sistemdeki güvenlik açığının yeni sürümde de olduğunu bildirdi. Daha sonra ben bu kişiyi msn adresime ekledim ve konuşmaya başladık.

(19:17) ‘ 1248.75$(042)~:	orada mısın?
(19:18) xxx |:	geldim kardeşim
(19:19) ‘ 1248.75$(042)~:	Problem nasıl aşılır bilgin var mı?
(19:19) xxx |:	var zaten açığı ben buldum
(19:19) ‘ 1248.75$(042)~:	belli zaten admin panelindesin
(19:19) xxx |:
(19:19) ‘ 1248.75$(042)~:	çözüm nedir?
(19:20) xxx |:	r57 c99 bilirmisin işte sölüyorum r57 c99 bilirmisin diye bak neden peşine düşdüm biliyormusun
(19:20) xxx |:	bu yüzden benim sitemi çökerttiler ben 5 yıldır webmasterlik yapyorum
(19:20) xxx |:	sabahtan beri benim sitemi çökertenlere dedimki size bir daha başka site çökerttirmeyecem sabahtan beride
(19:21) xxx |:	kaç kiide bu açığı buldum her baktığım wordpress blogunda hepsinin açıklarını kapattık
(19:21) xxx |:	senide kapatıccaz inşallah bir sorun çıkmassa r57 ve c99 biliyormusun kardeşim
(19:22) ‘ 1248.75$(042)~:	hayır
(19:23) xxx |:	bak sana vericem dosyaları atıcan ftp adresine ordan kodları değiştiricez bak senin sitenin hitide çok güzel paneldeyim yorumlara felan baktım 382 Yazı 6.214 Yorum 9 Sayfa 6.201 Şu anda 17 Kategori 4 Bekleyen 1.450 Etiket 9 İstenmeyen gördün demi
(19:24) xxx |:	yada dur daha kolay yolunu buldum
(19:25) xxx |:	ordamısın >? ?
(19:25) ‘ 1248.75$(042)~:	evet
(19:25) xxx |:	hıh şimdi
(19:25) xxx |:	verdiğim dosyaları ftp ye at bak bu dosyalar gizli dosyalar söleyim sana ?
(19:26) xxx |:	zaten sende görürsün dosyaları php dosyaları wordpress de bir php dosyası olduğu için
(19:27) xxx |:	ordamısın ? cevap vericekmisin
(19:27) ‘ 1248.75$(042)~:	dinliyorum seni dosyaları bekliyorum
(19:27) xxx |:	tmm kardeşim bir dk bak dosyalar kimseye çıkmasın
(19:28) ‘ 1248.75$(042)~:	ok
(19:28) xxx |:	bir dk kardeşim biriyle tanıştırıcam
(19:28) ‘ 1248.75$(042)~:	ok

İnanmamıştım ama nereye varmak istediğini merak ediyordum. Zira her üye giriş yaptığında bu istatistiklere ulaşabilmekte. Msn adresinden konuşurken bu açığı bir tek kendisinin bildiğini ve kendi yazdıkları kod sayesinde kapanabildiğini söylediği. Anlattığına göre bir çok kiyi bu açıktan kurtarmıştı ve benim blogumu da kurtaracaktı. Ardından seni birisiyle tanıştıracağım diyerekten birisini çağırdı ve konuşmaya başladı. Benden istenilen şey bir iki gizli dosyayı FTP’me atmamdı. Konuşmalar aynen şu şekildeydi;

(19:29) xxx |:	abi dosyayı arkadaşa veriyimi dosyayı isteyen arkadaş
(19:30) ***:	Hmm. Yok verme demiştim kimseye?
(19:30) ***:	Özel kodlandı onlar.
(19:30) xxx |:	abi hacklenir ama o zaman
(19:30) ***:	Hmm. Sen yap. Değiştirsin ftp ‘yi sonra.
(19:31) xxx |:	kardeşim
(19:32) xxx |:	bak *** izin vermiyor cidden emek verip kodladı onları ftp ver ben yapıyım hatta bana güvenmezsen *** yapsın bilmiyorum yapar mı rica et
(19:32) xxx |:	ondan zarar gelmez zaten
(19:32) ***:	şuan yapamam ama yemek yiycem ondan sonra yapabilirim?
(19:33) xxx |:	ordamısın ?
(19:33) ‘ 1248.75$(042)~:	evet
(19:33) ***:	adın ne kardeşim?
(19:33) ‘ 1248.75$(042)~:	Emre
(19:33) ***:	Emre kardeşim. ben şimdi yemek yiycem Yemeği yiyim Yapalım tamam mı ? Ben yapıyım kendi elimle.
(19:34) ***:	Bak sana zarar vericem sanıyorsun Ama ben istesem şuan kaç tane siteye zarar verebilirim
(19:34) ***:	istersen sana göstereyim.
(19:34) xxx |:
(19:34) ***:	xxx iyilik yapmak istemiş. zorla yalvar yakar aldı benden kodları. : )
(19:34) xxx |:	abi zaten sabahtan beri uyarıyorum her kezi : )
(19:35) ***:	afferin afferin. Emre ?
(19:35) ‘ 1248.75$(042)~:	arkadaşlar bir sn. rtelefon
(19:35) ***:	Ben yemek yiycem Ekledim seni kabul et tamam mı. Hadi selametle gelicem birazdan

Böyle bir konuşmanın ardından biraz daha muhabbet ettik ve hosting sağlayıcımla görüştüm. Bu dosyaları yolladım ve bunu onlara geri göndererek saksıya diktirtmemi söyledi. Bana kalsa başka şey de yaptırırdım ama saksı iyi. En azından lazım olduğunda çıkartabilirlerdi. Daha sonrasında “Madem ki iyilik amaçlı yapıyorsunuz, o zaman dokunmayın kalsın böyle” dedim fakat ne fayda. Bu sefer tehditler başladı… Eh anlamışlardı foyalarını ortaya çıkarttığımı. Baksanıza nasıl çelişkili ve yapmacık ifadeler var. Anlamamak mümkün mü?

(20:27) xxx |:	hacı
(20:28) xxx |:	wp-configi şifrelemissin pardon wp-admin güzel ama
(20:28) xxx |:	content var orayada şifre koyamassın
(20:29)	xxx | size bir titreşim gönderdi.
(20:31)	xxx | size bir titreşim gönderdi.
(20:31) xxx |:	ordamısın
(20:31) ‘ 1248.75$(042)~:	telefondaydım derdiniz ne anlamıorum ben madem ki derdiniz yardım etmek ve bir tek siz biliyorsunuz
(20:31) ‘ 1248.75$(042)~:	o zaman dokunmazsınız olur biter
(20:31) xxx |:	bak bize yardımcı olucanmı olursan sanada dokunmayız
(20:32) ‘ 1248.75$(042)~:	ne için bütün serverı gezmen için mi?
(20:32) xxx |:	hayır sadece 1 server 1 site
(20:32) ‘ 1248.75$(042)~:	…..’un sitesi mi
(20:32) xxx |:	hayır kürt sitesi
(20:33) xxx |:	sadece burası
(20:34) xxx |:	hadi kardeşim yardımcı ol bizede görevimiz bu
(20:34)	xxx | size bir titreşim gönderdi.
(20:35) xxx |:	kardeşim yardımcı olacakmısın ??
(20:36)	xxx | size bir titreşim gönderdi.
(20:36) xxx |:	hadi kardeşim zor durumda kaldım bak
(20:36) xxx |:	sadece ordaki site
(20:36) ‘ 1248.75$(042)~:	arkadaşım siteyi hackle de göz göre göre sana sunucuyu bırakamam
(20:36) xxx |:	sen bana bırakma zaten benim bigisayarıma gel izle
(20:37) xxx |:	eğer başka birşey yaparsam dosyaları sil
(20:37) ‘ 1248.75$(042)~:	bu iş yaş sana yardım edemem
(20:37) xxx |:	ama bu lafını unutmassan çok iyi olur kardeşim
(20:38) xxx |:	sitende o indexi göreceksin
(20:38) xxx |:	hadi şimdi görüşrz yani sitende göreceksin indexi biz dediğimizi yapan kişileriz

Böyle bir konuşmadan sonra yine iletişim sayfasından altın yuva Hosting nicki ile bir kişiyle sohbet etmeye başladık. İşte bilmem ne sitesinin hacklenmek istediğini, beni uyarmak için geldiğini falan söyledi. Ben de inanmış gibi yaparak işte bunları bunları yaptılar ben de şunları şunları yaptım dedim. IP adreslerini alamadığımı falan söyledim. Mahkemeye mi verecektin falan dedi. Ben de açık neredeymiş onun için bir ip ucu falan bulurdum gibi inanmış görünümde devam ettim. Ardından CPanel’in şifresini verirsem ona bana ip adresini bulabileceğini söyledi. Ardından ip adresi gitmiştir falan dediğimde bunu bana mı söylüyorsun ded. Kendisi sonuçta koca sunucu hükmediyor. Kendisi panele giremediğini söyledi. İstersem benim panelimden bakabielceğini söyledi. ( Panel şifresi ile FTP şifresinin aynı olduğunu söylememe gerek yok sanırım. FTP’ye girip zararlı dosyaları atarak sunucuda at koşturabilirlerdi. ) Ardından giriyor mu baksana bir diye bana bi link yolladı. Yolladığı link WHM linki olduğu için ben sadece şifre sayfasını gördüm. Bende açılıyor dedm. Şifrenle bir girmeyi dener misin dedi. “Oraya sen girersin. Bunu bana mı söylüyorsun” dedim. Ah be cahil kardeşim bu kadar da pot kırılmaz ki. Daha sonra yanlışlık yaptım dedi CPanel linkini yolladı.

Daha sonra ismini sorduğumda lavaboya gitmem gerekiyor diyerek kaçtı gitti…

Geçtiğimiz saatlerde saat gece yarısını devirince Erhan Burhan adıyla geldi ve eburhan.com sitesindeki php kodlarından falan bahsetti ve bana oradan bir eklenti gösterdi. Girdiğinde de blogumun içeriğinin güzel olduğunu, pr neden almadığımı, sitesini takip edip etmediğimi falan sordu. Bana blog ve uğraştıkları siteyle aynı sunucuda olduğumu öğrendiği bir Erhan Burhan yapımı siteyi gösterdi. bunlar da benim sitem dedi. Şimdi yeni bir PHP kodu yazdığını ama yayınlamadığını söyledi. Salak Hacker!!!

1- Erhan Burhan Alexa değeri 50.000 PR seviyesi 5 olan bir kişi ve binlerce takipçisi var.

2- Bu adamın benim blogumu gezip sitesinin reklamını yapmasına ne gerek var.

3- Eklentisinin reklamını yapmasına ne gerek var.

4- Erhan Burhan kim ben kim. :) Durup duruken bunları yapmasına ne gerek var.

Kendisine de iletişim formundan mesaj gönderdim. Kendisi olup olmadığını onyalamasını istedim. Cevap hala gelmedi. Demek ki o değildi.

( Bu arada bana o programı yükletmelerinin sebebi programdaki bir açık olabilir. Bilmiyorum neden böyle birşey yaptı. Belki de oradan başka bir yere varmak istiyordu. Erhan Bey gerekli açıklamayı yapmış.)

Daha sonra aradığını bulamayınca giden arkadaş daha da uğramadı. Muhtemelen bu yazıdan sonra ben de çeşitli saldırılar alacağım fakat sunucumun en azından bu lamer arkadaşlara dayanabileceğinden eminim.

Uzun bir yazı oldu fakat bu olay herkese ibret olmalı diye buraya yazdım. Kesinlikle eğer üyelik sistemini kullanmıyorsanız blogunuzun ayarlar bölümündeki Genel sekmesinden isteyen üye olabilir işaretini kaldırınız. Mümkünse Admin klasörüne CPnale’den şifre koyunuz. Belki bu şifre kırılabilir ama taş olsun önlerine. Kesinlikle size şifrelerinizi isteyen bir mail falan gelirse vermeyiniz. Host yöneticilerinin sizin şifrenize ihtiyacı yoktur. Sizin bütün bilgilerinizi sizden daha detaylı bir şekilde inceleyebilir. Ayrıca kendisi panele giremiyorsa siz hiç giremezsiniz. Zaten bu kişiler serverları panel kullanarak yönetseler de dosyalara bir bilgisayarda gezer gibi erişirler. Yetkileri sağlamdır. FTP adresinize öyle herkesden aldığınız kodları, dosyaları atmayınız. WordPress’deki bir açık farklı bir dosyayla değil mevcut olan dosyayala değişir her zaman ama bu mevcut dosyanın farklı versiyonunu atmanız gerektiği anlamına gelmez. Açık bırakacak bir kod eklemiş olabilirler. Lütfen bu tür kurallara oldukça dikkat edelim…