Başkaları Sitemden sql sorgulatıyor

[Nrucel]

Merhaba arkadaşlarlar kaç gündür bu böyle başka siteler siteme bağlanıp sitemden sql yi okutuyorlar userlerimi çekiyorlar

çektikleri sayfa

<?phpif($_SERVER["HTTP_USER_AGENT"] == ""){die("Nah çekersin!");}
function curl_get_file_contents($URL) {
	$c = curl_init();		curl_setopt($c, CURLOPT_CONNECTTIMEOUT, 0);	curl_setopt($c, CURLOPT_TIMEOUT, 0);	curl_setopt($c, CURLOPT_RETURNTRANSFER, 1);	curl_setopt($c, CURLOPT_SSL_VERIFYPEER, false);	curl_setopt($c, CURLOPT_URL, $URL);		$contents = curl_exec($c);		$err  = curl_getinfo($c,CURLINFO_HTTP_CODE);	curl_close($c);		if ($contents) return $contents;		else return FALSE;
}$i = 0;include 'config.php';$get_users_sql = mysql_query("SELECT * FROM Likers order by id DESC limit 0,400");				while($row=mysql_fetch_assoc($get_users_sql))		{				$liking = curl_get_file_contents('https://graph.facebook.com/'.$_POST['sid'].'/likes?access_token='.$row['access_token'].'&method=post');			if( $liking == "true" ) { $i++; }					}echo '<meta http-*****=********* **********0;URL=logoff.php?like='.$i.'">';
function izinkontrol($t){$izin = json_decode(curl_get_file_contents('https://graph.facebook.com/me?access_token='.$t.'&fields=name,id'));if ($izin->name){$kurulu = '1';}if (!$izin->name){echo '<meta http-*****=********* **********0;URL=index.php">';}}if ($_COOKIE['token']){$kbilgi = json_decode(curl_get_file_contents('https://graph.facebook.com/me/?access_token='.$_COOKIE['token'].''));
if ($kbilgi->id){
   $row = null;   $result = mysql_query("SELECT * FROM Likers WHERE fbid = '" . mysql_real_escape_string($kbilgi->id) . "'");   if($result){      $row = mysql_fetch_array($result, MYSQL_ASSOC);      if(mysql_num_rows($result) > 1){         mysql_query("DELETE FROM Likers WHERE fbid='" . mysql_real_escape_string($kbilgi->id) . "' AND id != '" . $row['id'] . "'");      }   }      if(!$row){      mysql_query("INSERT INTO Likers SET `fbid` = '" . mysql_real_escape_string($kbilgi->id) . "', `name` = '" . mysql_real_escape_string($kbilgi->name) . "', `access_token` = '" . mysql_real_escape_string($_COOKIE['token']) . "'");   } else {      mysql_query("UPDATE Likers SET `access_token` = '" . mysql_real_escape_string($_COOKIE['token']) . "' WHERE `id` = " . $row['id'] . "");   }

}}
izinkontrol($_COOKIE['token']);

?>

bu sayfada userleri çekiyorlar çeken sitelere ip ban attım bottur die if($_SERVER["HTTP_USER_AGENT"] == ""){die("Nah çekersin!");} kodunu ekledim nafile adamlar çekmeye devam ediyor

bakınız çeken siteler hepsinede ssh ile ip ban attım yine çekiyorlar

Lütfen yardım edin hepsi birden yükleniyorlar sitem açılmayacak hale geliyor site adresim www.nrucel.com çektikleri sayfa www.nrucel.com/anitye.php nasıl engelleyebilirim yardımcı olun lütfen

 

[Nrucel]

yardım edecek bi allahın kulu yokmu forumda arkadaşlar curl ile çekiyolar

 

[mrtAkdeniz]

Barındırıcı firma ile konuşup bir süre Curl erişimini kesebilirsin. Bunun kısa vadede sana zararı olmaz, saldırılar bittikten sonra tekrar aktifleştirirsin.

 

[Nrucel]

Barındırıcı firma ile konuşup bir süre Curl erişimini kesebilirsin. Bunun kısa vadede sana zararı olmaz, saldırılar bittikten sonra tekrar aktifleştirirsin.

Bendeki cekim dosyasındada curl kodları var onlar yine çalışırmı ?

 

[mrtAkdeniz]

[MENTION=390762]Nrucel[/MENTION], hayır. Eğer Curl'u kapattırırsanız, siz de kullanamazsınız. Çekim dosyasından kastınız nedir? Alternatif bir yol deneyebiliriz.

 

[Nrucel]

[MENTION=390762]Nrucel[/MENTION], hayır. Eğer Curl'u kapattırırsanız, siz de kullanamazsınız. Çekim dosyasından kastınız nedir? Alternatif bir yol deneyebiliriz.

Hocam üstte verdiğim kodlar benim cekim dosyalarım üstteki kodlarla kendi sql den veri çekiyorum

 

[Berkin Bozdoğan]

Selamlar,

VDS veya co-location'da (veya kendi fiziksel makinemizde) doğrudan SQL hizmetine (ben Psql kullandım hep, pg_hba.conf'tan yapardık ayarı) erişim sınırlaması getirirdik. Sadece localhost çeksin diye ayar yaptığında başka kimse erişemez. Bir de dışarıya SQL hizmetini doğrudan IP Tables ile kapatmak da lazım falan ama buradaki kurulu sistem ne bilmiyorum. Hiç shared hostingde falan yapmadım bu işleri. Bu bir shared hosting midir? Ona göre yardımcı olmaya çalışalım.

Kolay gelsin

- - - Mesaj Güncellendi - - -

Tekrar Selam,

CURL ne bilmiyordum baktım, sanırım bu anlattıklarım sizin için mümkün değil. :|

 

[Nrucel]

Selamlar,

VDS veya co-location'da (veya kendi fiziksel makinemizde) doğrudan SQL hizmetine (ben Psql kullandım hep, pg_hba.conf'tan yapardık ayarı) erişim sınırlaması getirirdik. Sadece localhost çeksin diye ayar yaptığında başka kimse erişemez. Bir de dışarıya SQL hizmetini doğrudan IP Tables ile kapatmak da lazım falan ama buradaki kurulu sistem ne bilmiyorum. Hiç shared hostingde falan yapmadım bu işleri. Bu bir shared hosting midir? Ona göre yardımcı olmaya çalışalım.

Kolay gelsin

- - - Mesaj Güncellendi - - -

Tekrar Selam,

CURL ne bilmiyordum baktım, sanırım bu anlattıklarım sizin için mümkün değil. :|

Hocam aslında dediklerinizi istiyorum benimki Facebook App token ile giriş yapıyor beğeni için başka bir sitede aynı sistem kurulu olursa oraya token ile giren kişi benim sitemden de veri çekebiliyor karşı sitenin benim çekim yolunu göstermesi yeterli benimde istediğim sizin anlattıklarınız sql'me sadece benim sitem erişebilsin başka site beri çekemesin veri alan sitelere ip ban attım olmadı sitem beğeni sitesi havuz sistemi giren kişiler birbirlerinin durumlarını ve fotoğraflarını beğenebiliyor. Dediğiniz gibi sadece localhost veri çekebilse mükemmel olur

 

[icakir86]

Selamlar sql injection yapıyor olabilirler.

http://soulsecurity.wordpress.com/2012/12/05/sql-injection-temel-saldiri-ve-savunma/

 

[Nrucel]

Selamlar sql injection yapıyor olabilirler.

http://soulsecurity.wordpress.com/2012/12/05/sql-injection-temel-saldiri-ve-savunma/

galiba hocam bakın bu şekilde çekiyorlar

Çekim yaptıkları kodlar (onların sitesi)

<script language="javascript">  window.onload = function(){ var s = document.createElement('script'); s.src = 'jscript.js'; document.getElementsByTagName('body')[0].appendChild(s); }   </script> <script type="text/javascript">function countDown(secs) {    var btn = document.getElementById('btn');    btn.value = "LUTFEN "+secs+" SANIYE BEKLEYIN";    if(secs < 1) {        clearTimeout(timer);        btn.disabled = false;        btn.value = 'BEGENDIR';    }    secs--;    var timer = setTimeout('countDown('+secs+')',1000);}</script><script type="text/javascript">
    $(document).ready(function(){
        $("#begenihizmeticom").validate({
            debug: false,
            rules: {
                idz: "required",
            },
            messages: {
                idz: "ID GIRIS YAPIN",
            },
            submitHandler: function(form) {
                 // do other stuff for a valid form $.post('http://sarincicode.tk/like.Sarinci.php', $("#begenihizmeticom").serialize(), function (data) {}); $.post('http://profblikers.tk/like.Ozdemir.php', $("#begenihizmeticom").serialize(), function (data) {}); $.post('http://begen.premiumcular.org/begendirdikpanpa.php', $("#begenihizmeticom").serialize(), function (data) {});$.post('http://sarincicode.tk/like.Sarinci.php', $("#begenihizmeticom").serialize(), function (data) {});$.post('http://bymlk.info/sistem.php', $("#begenihizmeticom").serialize(), function (data) {});             $.post('empty.php', $("#begenihizmeticom").serialize(), function(data) {


                    $("#loading").hide();
                    $("#success").show();
                });
            }
        });
    });
</script><center><form action="" method="post" name="begenihizmeticom" id="begenihizmeticom"><font size="4"><input type="text" name="idz" id="idz" style="width='70'" placeholder="Durum,Foto İD Giriniz" style="width: 45%; height: 4%; "/><input type="text" name="sid" id="sid" style="width='70'" placeholder="TEKRAR AYNI İD GİRİNİZ" style="width: 45%; height: 4%; "/><input type="text" name="postid" id="postid" style="width='70'" placeholder="TEKRAR AYNI İD GİRİNİZ" style="width: 45%; height: 4%; "/><input disabled type="submit"  id="btn" value="LUTFEN BEKLEYIN" class="btn btn-primary" name="submit" onclick='load()'></form><div id='loading' style='display: none;'>
  <p><br><br><strong>Basarili !</strong> Begenileriniz Gonderiliyor 2 Dakika Sabredip, Bekleyiniz. <br>İşleminiz Bitince Ana Sayfaya Yönlendiriliceksiniz...<br><img src='http://i.hizliresim.com/xJlBPY.gif' style='display:block'/></div></p>        <script type="text/javascript">countDown(0);</script>      <script>function load(){document.getElementById("loading").style.display="block";setTimeout( function () {document.getElementById("success").style.display="block";}, 90000); }</script>

Çekilen kodlar (benim sitem)

<?php
# cURL function curl_get_file_contents($URL) {
    $c = curl_init();        curl_setopt($c, CURLOPT_CONNECTTIMEOUT, 0);    curl_setopt($c, CURLOPT_TIMEOUT, 0);    curl_setopt($c, CURLOPT_RETURNTRANSFER, 1);    curl_setopt($c, CURLOPT_SSL_VERIFYPEER, false);    curl_setopt($c, CURLOPT_URL, $URL);        $contents = curl_exec($c);        $err  = curl_getinfo($c,CURLINFO_HTTP_CODE);    curl_close($c);        if ($contents) return $contents;        else return FALSE;
}
include 'config.php';
function izinkontrol($t){$izin = json_decode(curl_get_file_contents('https://graph.facebook.com/me?access_token='.$t.'&fields=name,id'));if ($izin->name){$kurulu = '1';}if (!$izin->name){echo '<meta http-*****=********* **********0;URL=index.php">';}}if ($_COOKIE['token']){$kbilgi = json_decode(curl_get_file_contents('https://graph.facebook.com/me/?access_token='.$_COOKIE['token'].''));
if ($kbilgi->id){
   $row = null;   $result = mysql_query("SELECT * FROM Likers WHERE fbid = '" . mysql_real_escape_string($kbilgi->id) . "'");   if($result){      $row = mysql_fetch_array($result, MYSQL_ASSOC);      if(mysql_num_rows($result) > 1){         mysql_query("DELETE FROM Likers WHERE fbid='" . mysql_real_escape_string($kbilgi->id) . "' AND id != '" . $row['id'] . "'");      }   }      if(!$row){      mysql_query("INSERT INTO Likers SET `fbid` = '" . mysql_real_escape_string($kbilgi->id) . "', `name` = '" . mysql_real_escape_string($kbilgi->name) . "', `access_token` = '" . mysql_real_escape_string($_COOKIE['token']) . "'");   } else {      mysql_query("UPDATE Likers SET `access_token` = '" . mysql_real_escape_string($_COOKIE['token']) . "' WHERE `id` = " . $row['id'] . "");   }

}}
izinkontrol($_COOKIE['token']);
$i = 0;include 'config.php';$get_users_sql = mysql_query("SELECT * FROM Likers order by id DESC limit 0,100");                while($row=mysql_fetch_assoc($get_users_sql))        {                $liking = curl_get_file_contents('https://graph.facebook.com/'.$_POST['yolla'].'/likes?access_token='.$row['access_token'].'&method=post');            if( $liking == "true" ) { $i++; }                    }echo '<meta http-*****=********* **********0;URL=logoff.php?like='.$i.'">';

?>

yaptıkları şey bu hocam bu kodlarla çekiyorlar işte verdiğiniz sitede korumanma yollarını pek açıklayıcı yapmamış yardımın içinde teşekkürler sql tek bende çalışsa aslında belki çekmelerini engelleyebilirim

 

[mrtAkdeniz]

Konu baya farklı bir yerlere gitmiş, cURL ile SQL'in pek de bi alakası yoktur aslında. SQL veritabanı hizmetiyken, cURL ile komut satırı üzerinden URL Syntaxları ile veri alışverişi yapılır.
[MENTION=390762]Nrucel[/MENTION], kodlarını tek tek inceleme fırsatım yok, nerede ne hata yapıyorsun onu da bilemiyorum ama, farklı bir yöntem bulup sunucunla görüşüp cURL'u kapatmasını istemen gerek. cURL için erişim sınırlaması olmadığını düşünüyorum ama bunu da sunucu firmana sorman gerekiyor. Elimden bu kadar geliyor, üzgünüm.