http://uye.lkd.org.tr/ adresinde bulunan LKD Üye Veritabanının, üyelerinin parolalarını açık halde tutmak gibi harika bir özelliği olduğunu bugün Gökmen'in kullanıcısı ile Pardus sunucularından birine izinsiz girişi tespit ettiğimizde anladık.
Sunucuda yaptığımız ilk incelemelerden sonra ciddi bir problemin olmadığını sadece izinsiz giriş yapan kişinin web root'umuzu (yaklaşık 2gb) indirdiğini gördük. Bu web root içinde bulunan domainlerden bir kaçı içinde bulunan ayar dosyalarının içinde sadece yerelden erişilebilen MySQL sunucusuna erişim için birkaç farklı kullanıcı/parolanın yazılı olduğunu saptandıktan sonra (evet lanet PHP uygulamaları) bu veritabanlarına uzaktan erişilemeyecek de olsa bu kullanıcıların parolaları değiştirildi. Daha sonraki analizler izinsiz giriş yapan kişinin Gökmen'in kullanıcısından daha üst bir yetki elde edemediği ve sadece 2 GB'a yaklaşan ve tamamı svn.pardus.org.tr'de de bulunan içeriği (www.pardus.org.tr/sanat.pardus.org.tr/pardon.pardus.org.tr v.s) indirmekten başka bir atak girişiminin olmadığı tespit edildi.
İzinsiz giriş yapan kişinin Adı/Adresi/o sırada kullandığı IP ve bağlı olduğu yer bulundu, ve yarın TÜBİTAK/UEKAE yetkililerine gerekli yasal işlemleri yapmaları için bildirilecek.
Gökmen'in başka bir yerde kullandığı parolasını tekrar kullanması evet ciddi bir sorun ama iki gram PHP kodu yazmayarak parolaları açık halde veritabanında saklayan/saklamaktan çekinmeyen LKD Üye Veritabanı için ne demeli?
Hamiş 1: Olası yanlış anlamalara önceden (bir kısmı anlamış bile) önlem olması açısından bu girdinin amacı LKD yapmış kötü yapmış demek falan değildir. Bu girdinin tek amacı kötü yazılmış/dizayn edilmiş PHP kodunu/veritabanı yapısını (yazanı, kullananı, yazdıranı __değil__) eleştirmek ve bir izinsiz giriş vakasından sonra sunucularımızın durumu ile ilgili güncel bilgi vermektir.
Hamiş 2: Açığın nasıl tekrarlanabildiği ile ilgili bilgi hali hazırda LKD Üye Veritabanı'nın bakımını gönüllü olarak üstlenen Arman Aksoy'a iletilmiştir.
Hamiş 3: Saldırı bazı sayfalara "SQL sorgusu ekleme (injection)" yöntemi ile yapılmıştır. Parolalar açık halde tutulmuyor olsa idi saldırgan en fazla üye veritabanında parola değiştirme/kayıt ekleme/silme gibi işlemler yapabilecekken saldırının bir ayağı da Gökmen'in zayıf parola seçimi ve parolaların açık halde tutuluyor olması yüzünden Pardus sunucularından birine yansımıştır.
Hamiş 4: PHP kullanmayınız, kullandırmayınız, kullananı uyarınız...
Tags: Gezegen
Comments
Eminim daha birçok yer benzeri saldırılardan etkileniyor. Bir zamanlar UEKAE, uyandırma servisi lezzetinde bir çalışma yapacaktı diye biliyorum. Bu çalışma ne alemde haberiniz var mı? Sonuçta bu tip uyarıların yapılması yararlı olur.
Uyarın için teşekkürler Çağlar, Necdet Bey'in sarılması bittikten sonra bir konuşalım. :)
Türker
Öncelikle geçmiş olsun.
Sadece merak ettiğim için soruyorum: Şifrenin LKD'nin üye veritabanından temin edildiğini nasıl anlayabildiniz?
Türker abicim yorumunda kinaye aramalı mıyım bilmiyorum ama "duyurarak yanlış yaptın" dediğini varsayıyorum. Oysa bence bu durumda yapılan tek yanlış "duyurmayarak sorunları çözmeyi beklemek".
Sunucudaki durumu farkettiğimizde saat 19:00 civarlarıydı ve 19:30'da Üye Veritabanı ile ilgilenenlere haber verilmesini sağladığımızı zannediyorum oysa ben girdiyi saat 23:39'da yazmışım ve dün sabaha karşı 6:27'ye kadar da site hizmet vermeye/SQL açığı aynı şekilde tetiklenmeye devam etti, apache loglarından her yarım saatte bir denediğimi kolayca görebilirsiniz. Mutlaka böyle sorunlar olacaktır/teknik olarak olmaması mümkün değil ama burada ayırıcı faktör hemen/yerinde/düzgün şekilde müdahele etmek sanırım, en azından ben senelerce senden böyle öğrendim :)
Bence eğer birine kızacaksan bana değil sabah 6'ya kadar sistem çalışmaya devam ettiği için sistem yönetimine, kod kötü yazıldığı/veritabanı kötü tasarlandığı için üye veritabanını ilk yazana/lara (yamulmuyorsam Tolga olmalı), böyle bir açık bulmuş olmasına rağmen yetkililere haber verip kapatılmasını sağlamak yerine sağa sola çıldırmış gibi saldırmaya çalışan saldırgana kızmalısın, ben mesela dün akşamdan beri Gökmen'e kızmaya devam ediyorum :)
Çağlar'ım.. Tombiğim... Hoş artık tombiklik bir yanın da kalmadı. Ben
senden daha tombik durumdayım ama neyse.. İnan kinaye filan yok.
"Duyurarak yanlış yaptın" diyecek olsam zaten öyle yazardım :) Hatta
yazmakla kalmaz, kalayı basmak için saatten bağımsız olarak telefona
sarılırdım. Sana kızmış değilim. Zaten haber vermeye çalışmışsın. 4
saat kadar da sonra yazmışsın. Bir şey demiyorum ben bu konuda. Sadece
sarılma seansından sonra konuşalım demiştim :) Çünkü kolay kolay
"abi/kardeş" olunmaz ve kolay kolay da silinmez. En azından kendi
açımdan her Türkçe'yi iyi konuşan kardeşim değildir ama kardeşimin
Türkçe'yi iyi konuşması beni gururlandırır. ;)
Zamanında ve düzgün biçimde konu çözülmediyse sorumlusu tabii ki
biziz. Bu durumda "makul süre" kavramı devreye giriyor. Fark
edildikten sonra en kısa sürede üye veritabanını erişime kapatmak
doğru bir hareket olurmuş. "muş" diyorum çünkü açık kapatılana kadar
da sitenin hizmet vermeye devam ettiğini öğrendim. Buna acemilik
diyorum. En üst düzeyde bunun sorumluluğunu da üzerime alıyorum. Demek
ki sana öğrettiklerimi başkalarına anlatmamışım :( Hata benimdir,
sitenin hizmet vermeye devam etmesine izin veren ve gönüllü olarak bu
işi üstlenen arkadaşımızın hatası yok.
İşin beter tarafı belki de sevgili Tolga'nın hazırladığı bu sitedeki
açıktan yararlanarak bilgilerin daha önce çekilmiş olabileceği. Tatsız
bir durum tabi ki.
Tolga'ya ulaşsam esas onu kalaylayacağım, böyle bir hata yaptığı için.
Ama olan olmuş. Bence makul bir sürede de kapatılmış. Umarım sizin
sunucularınızda izinsiz giriş yapılarak zarar verilmemiştir.
... devamı 2. yorumda
... önceki yorumun devamı
LKD üye veritabanına kayıtlı kullanıcıların parolalarının
değiştirilmesi ve aynı ve/veya benzer parolaları kullandıkları başka
yerlerde değiştirilmesi gerektiği konusunda uyarıyı yapmak tabii ki
YK'ya ait bir sorumluluktu. Bu da yapıldı biraz gecikmeyle. Ama
reaksiyon zamanı konusunda tatmin edemediğimiz ve fakat kendilerinin
sorumluluklarıyla ilgili olarak aylardır reaksiyon veremediği ama bu
konuları ortalığa ifşa etmediğimiz kişiler varsa bile yapılan duyuru
onları tatmin etmek için değil, gerektiği için yapılmıştır. (Hoş neden
yazdıysam bunu buraya - yeri değildi)
Filmdeki bir karede işlerin yürümesin konusunda yeteri kadar destek
bulunamaması görünüyor. Bu da bazı hataları su üzerine çıkartıyor.
"Destek destek" diye yırtılan organlarımızın olduğunu da düşünürsek ve
yeterli destek gelmediğini gözönüne alırsak filmdeki görüntü parlak
değil tabi ki.
Şimdi bu filmdeki başka bir kareye baktığımızda da gönüllü olarak
yapılan bir işte sorun olduğunda kimden hesap sorulacağı gibi bir
durum ortaya çıkıyor. Sorumlusu YKdır ama bazı işlerin belki de
gönüllü yapılmamasının zamanı geldiği halde, STK yapısı bozulacak diye
diretmek mi yoksa doğru kararlar alındığında bile haksız eleştirilere
karşı "kol kırılır yen içinde kalır" diyip susmak mı gerekli?
Bilemiyorum kararsızım... Ama beni bilirsin, zarar gelmesin diye hep
yen içinde bırakırım kırıkları. Belki de bırakmamak gerekiyor değil
mi? Ne dersin?
Bu arada mal bulmuş gibi ortalığa saldırana, salyalarını saklamaya
çalışan ve timsah gözyaşları dökenlere ve bilcümle desteğini esirgeyip
de iş yapmak yerine laf olsun diye ortalıkta konuşanlara da eski
Cumhurbaşkanımız Sayın Süleyman Demirel'in her cümlenin sonunda
kullanığı sözcüğü aynen kullanıyorum ve "binaenaleyh!!!" demek
istiyorum.
Bu ara ilk yazdığım yorumdaki UEKAE'nin projesi hakkında cidden merak etmiştim. Kamuya bu bilgilerin açılması ve olası açıkların ilgililere duyurulması gibi bir çalışma var mı?
"PHP kullanmayınız, kullandırmayınız, kullananı uyarınız" nedir yani ? laf olsun torba dolsun mu ?
Türkçe üzerine ahkam kestikten sonra "binaenaleyh!!!" diye bitirmek gerçekten çok komik olmuş. Süleymen Demirel bu kelimeyi cümlelerin sonunda değil başında kullanırdı çünkü anlamı: "Bundan dolayı, bundan ötürü, bunun için, bunun üzerine" demek.
Buyrun öğrenin: http://www.tdk.gov.tr
>Sayın Necdet Yücel'i güldürebildiğime sevindim ancak ne anlattığımı anlamadığına göre boşuna "ahkam kesmiş" oldu.
Ne demek istediğimi birgün biri size anlatırsa daha çok gülme şansınız olacak, Sayın Yücel.
""PHP kullanmayınız, kullandırmayınız, kullananı uyarınız" -> saka gibi...
Tamam abi, kullanmayalim.
"PHP kullanmayınız, kullandırmayınız, kullananı uyarınız".
Yapmayın lütfen, biraz abartmıyor musunuz? Siz de biliyorsunuz ki kullanıcıdan gelen bilgileri kontrol etmeden kullanmamak gerekiyor.
Aynı cümle içinde parola ve şifreyi düzgün kullanan birilerini görünce 'kardeşim' diyerek sarılmak istiyorum.