NOT: Eğer webailesi ekibi sunuculara zarar vermek isteseydi tüm k. bilgileri, panel dosyaları ve tüm gizli tutulan bilgileri kopyalayabilirdi ancak amacımız sunucuları daha güzel hale getirmek ve webailesi.com adresinin 1.6 da olduğu gibi cs:go dada söz sahibi olduğunu kabul etmenizdir. Türkiyede tek eklenti geliştiren platform webailesi.com adresidir diğerlerinin bilgisi editten yukarıya çıkamazdır.
Erişim ve açıklar hakkında detaylı bilgilendirme;
1. Açık( Dosya listeleme );
Sunuculardaki "ReadDirEntry" kodunun açık ve izinlerin tam olmasından kaynaklı sunucudaki verilen dizindeki tüm dosyaları okuma ve listeleme ortaya çıkmakta bu komudu alt yapıdan direkt olarak .smx dahil engellemenizdir.
Mevcut durumda nasıl bir güvenlik yolu geliştirebilirim sorusuna şöyle cevap verebilirim sunucularınızı kurduğunuz dizinlere her sunucu için ayrı bir klasör oluşturun örnek veriyorum sunucu-1 ve bu sunucu altının tüm chmod izinleri en üst düzeyde tutarak sunucuların kurulu olduğu alandaki tüm chmod izinlerini en üstün bi altında tutun ve panel ip ve sunucu ip adresi dışındaki tüm ip adreslerini orada blacklist durumuna getirin.
Ancak bu yol sadece acemi yazılımcıları durduracaktır kod yazmayı bilen birisi sourcemod da olan saçma kod olan dosya ch mod düzenleme koduyla mevcut dizindeki kendi eklentisinin chmod iznini en üst düzeye getirip tekrar root olabilir bu durumda tekrar açık doğmuş olur.
Peki bu durum nasıl engellenir sorusuna cevap olarak verebileceğim konu şudur .smx yükleme izinlerini derhal kapatıp 1.6 sistemindede kullanıldığı gibi kendi compiler sisteminize geçmeniz gerekmekte bunun sonucunda kapalı kaynak kodlu pluginler kapatılması gerekecektir. Bunları göze alıp compiler sisteminden sadece .sp izni verip kendinizin derlemesi gerekmekte ve bu compilerde size vereceğimiz kodları kesinlikle engellemelisiniz. Bu zamana kadar böyle olaylar yaşanmamasının tek nedeni işini bilmeyen csgo plugin geliştiricilerinin olmasından kaynaklıdır bu compiler sistemine geçerek insanlar .inc dosyalarını ticket/destek sistemi üzerinden manuel kontrol yaparak kurulum gerçekleştirip .sp dosyasını kesinlikle derleyeciden geçirtmeniz gerekmektedir. Eğer bu olayı yapmak istemiyorsanızda etc ve ana dc makine dosyalarının barındığı tüm erişimleri dışa kapalı duruma geçirmeniz gerekmektedir ve her makinede 1 server barındırmanız gerekmektedir.
NOT: Kapalı kaynaklı kod asla kullanmayın!
2. Açık( toplu işlemler ve spam );
Sourcemod yapısı daha 1 gündür inceliyoruz ve birçok olmaması gereken kodlar var örnek dosya silme bunu uzun uzun anlatmak yerine yukarıdada anlattığım gibi bunun tek yolu kapalı kaynak ve .inc yüklenme izninin kaldırılarak kendi derleyecelerinizden geçirip sizin .smx çevirip onaylayıp sunucunuza root etmekten geçmektedir.
3. Açık( CH Mod ve dizin yetkilendirme );
Sourcemod yapısında dizinlere yektilendirme ve yetkilerini alma ch mod izinlerini ayarlama kodları mevcut durumda bu kodlar sayesinde siz ne kadar kısıtlarsanız kısıtlayın ancak bir eklenti full yetki iznine sahip edilebilir ve dosyalarınız çalınabilir. Bunun için dediğimiz gibi şuanda cs 1.6 server satıcıların yaptığı gibi derleyeceğinizi yapmanızdan geçmektedir yoksa ne engelleme olursa olsun bu kod sayesinde sunucunuzdaki eklentilere root izni verilebilir ve tüm makine dosyalarınıza erişim yapılabilir.
4. Açık ( Geri gitme );
Sunucular lin. windows tabanlı olduğu için sizin sourcemod dışı tüm komutları kısıtlamanızda hayati önem bulunmaktadır örmek "../" bu komut sayesinde sunucuzda dosya taraması koduyla geri gidip tüm dosyalarınız listenelebilir veyatta içleri okunup istendiği gibi editlenip, silinebilir bunun içinde önerimiz kendi derleyeceğinizden geçmektedir.
Daha birçok hata mevcut durumdadır eğer merak eden sunucular olursa özel mesaj yoluyla iletişim kurabilir veyatta yorum üzerinden destek isteyebilir.
Açığın denendiği ve güvensiz olarak belirlenen firmalar;
- Oyunyöneticisi [Güvenlik testinden tam puan aldı]
- [Kaldırıldı] [Sunucusunda herhangi bir koruma bulunmuyor]~[Firmayla iletişim kurulmuştur ancak sunucumuzda herhangi bir bug yok denmiştir, ancak hiçbir koruma bulunmuyor]
- [Kaldırıldı] [Sunucusunda herhangi bir koruma bulunmuyor]
- [Kaldırıldı] [Sunucusunda herhangi bir koruma bulunmuyor]~[Firmaya iletişim kurularak buglar bildirilmiştir]
Teşekkürler ve iyi forumlar.
Bu testleri yapmamız lütfen yanlış anlaşılmasın hiçbir sunucudan bir veri çalınmamıştır veyatta kopyalanmamıştır ancak dediğimiz gibi türkiyede cs 1.6 ve cs:go platformu üzerinde tek gerçek geliştiriciler ve pluginciler kesinlikle webailesi.com adresidir diğer kişiler ve kuruluşlar edit üzerine çıkamamaktadır.
webailesi.com #WA
)

