SevenPanel kullananların dikkatine

[osmanx]

Selamlar,
Bu akşam bir kaç server çok ufak bir hatanın mağduru olarak çok büyük zararlar altına girmiştir.
SevenPanel'in Administrator klasöründe bulunan Includes alt klasöründeki paypalyonetim.php dosyasında, gelen sorguların kontrolü yapılmamakta buda özgürce SQL kodu girilmesine sebep olmaktadır. Bu klasörde sadece bu dosyada açık bulunmaktadır.
Dosyanın düzeltilmiş halinin kodlarını buradan alabilirsiniz. Ayrıca dosyanın include edilip edilmediği kontrolüde yapılmamaktaydı, buda direkt olarak sayfayı load etmemize sebep oluyordu.
HATALI KOD:

<div class="block">
			
				<div class="block_head">
					<div class="bheadl"></div>
					<div class="bheadr"></div>
					
					<h2>PAYPAL HESABI DUZENLE</h2>
					
				</div>		<!-- .block_head ends -->
				
				
				
				<div class="block_content tab_content">
				
				
						<?php 
						include('../../config/config.inc.php');
$conn = @odbc_connect("".$db['db_name']."","".$db['db_user']."","".$db['db_pass']."");
						if(isset($_POST['save'])) {
              $paypaladresi = $_POST['paypaladresi'];
              
                if($paypaladresi == '') {
                  echo '<div class="message warning"><p>Bos Alan Birakmayiniz.</p></div>';
                }else{
                  $websqlquery = odbc_exec($conn, "UPDATE _PANELSETTINGS SET paypal='$paypaladresi'");
                  if($websqlquery) {
                  echo '<div class="message success"><p>"'.$paypaladresi.'" basari ile kaydedildi.</p></div>';
                  }else{
                  echo '<div class="message errormsg"><p>"'.$paypaladresi.'" kaydedilemedi.</p></div>';
                  }
                }
              }
						?>
						<form action="<?php $_SERVER['PHP_SELF'];?>" method="post">
						<p>
							<label>Paypal Adresi:</label><br />
							<textarea name="paypaladresi"></textarea>
							<span class="note"></span>
						</p>
						
						<p>
							<input type="submit" class="submit small" name="save" value="Kaydet" />
						</p>
				</form>
					
				</div>		<!-- .block_content ends -->
				
				

				
				<div class="bendl"></div>
				<div class="bendr"></div>

				
			</div>		<!-- .block ends -->

DÜZELTİLMİŞ KOD

<?php if(!defined('SEVENPANEL')) {header("HTTP/1.1 403 Forbidden")&die('403.14 - Directory listing denied.'); } ?>
<div class="block">
			
				<div class="block_head">
					<div class="bheadl"></div>
					<div class="bheadr"></div>
					
					<h2>PAYPAL HESABI DUZENLE</h2>
					
				</div>		<!-- .block_head ends -->
				
				
				
				<div class="block_content tab_content">
				
				
						<?php 
						include('../../config/config.inc.php');
$conn = @odbc_connect("".$db['db_name']."","".$db['db_user']."","".$db['db_pass']."");
						if(isset($_POST['save'])) {
              $paypaladresi = v4guvenlik($_POST['paypaladresi']);
              
                if($paypaladresi == '') {
                  echo '<div class="message warning"><p>Bos Alan Birakmayiniz.</p></div>';
                }else{
                  $websqlquery = odbc_exec($conn, "UPDATE _PANELSETTINGS SET paypal='$paypaladresi'");
                  if($websqlquery) {
                  echo '<div class="message success"><p>"'.$paypaladresi.'" basari ile kaydedildi.</p></div>';
                  }else{
                  echo '<div class="message errormsg"><p>"'.$paypaladresi.'" kaydedilemedi.</p></div>';
                  }
                }
              }
						?>
						<form action="<?php $_SERVER['PHP_SELF'];?>" method="post">
						<p>
							<label>Paypal Adresi:</label><br />
							<textarea name="paypaladresi"></textarea>
							<span class="note"></span>
						</p>
						
						<p>
							<input type="submit" class="submit small" name="save" value="Kaydet" />
						</p>
				</form>
					
				</div>		<!-- .block_content ends -->
				
				

				
				<div class="bendl"></div>
				<div class="bendr"></div>

				
			</div>		<!-- .block ends -->

Daha bir çok dosyada bu tehlike olabilir bütün dosyaları inceleyip bir gelişme olursa buradan bildireceğim. Bu yukarıdaki kodu belirttiğim gibi SEVENPANEL/administrator/include/paypalyonetim.php dosyasının içindeki kod ile değiştiriniz.
Saygılar

 

[aydin.dingil]

Cevap: SevenPanel kullananların dikkatine

Hocam yaktı bizi bu acık.. userdata dosyasını sildiler **** ları.

baska acık varmı.. sızden haberler bekliyoruz.

 

[panter7171]

Cevap: SevenPanel kullananların dikkatine

Can abi bakıyor sağolsun ilgileniyor adamın dibi dibi ..

 

[osmanx]

Cevap: SevenPanel kullananların dikkatine

Hocam yaktı bizi bu acık.. userdata dosyasını sildiler **** ları.

baska acık varmı.. sızden haberler bekliyoruz.

Şuan görebildiğim yok, ama şu kodun eklenmesi olası bu tarz özel dosyaların direkt olarak açılmasını engeller.
SEVENPANEL/includes/config.inc.php dosyası
ESKI HALİ

<?PHP

/**
 *	@author		: 	SEVENSTYLE
 * 	@copyright	:	2021
 **/

YENİ HALİ

<?PHP
 if( !defined('SEVENPANEL') ) {
    die("Erisim Engellendi! - <b>SEVENSTYLE</b>");
 }
 
/**
 *	@author		: 	SEVENSTYLE
 * 	@copyright	:	2021
 **/

Böylelikle config.inc.php sadece direkt olarak sevenpanelin kendinden gelen isteklere yanıt verecektir. Birde aujard loglarından userdatanın restore edilmesini yapıyoruz şuan, zor serverlar için ne yazık ki itemleri kurtarmak şuanlık mümkün değil, ancak pk serverlar için kaybolan değerlerin geri getirilmesini yapıcak inşallah.

 

[Kerem.Orta]

Cevap: SevenPanel kullananların dikkatine

Teşekkürler.

 

[s7eve7n]

Re: Cevap: SevenPanel kullananların dikkatine

Şuan görebildiğim yok, ama şu kodun eklenmesi olası bu tarz özel dosyaların direkt olarak açılmasını engeller.
SEVENPANEL/includes/config.inc.php dosyası
ESKI HALİ

<?PHP

/**
 *	@author		: 	SEVENSTYLE
 * 	@copyright	:	2021
 **/

YENİ HALİ

<?PHP
 if( !defined('SEVENPANEL') ) {
    die("Erisim Engellendi! - <b>SEVENSTYLE</b>");
 }
 
/**
 *	@author		: 	SEVENSTYLE
 * 	@copyright	:	2021
 **/

Böylelikle config.inc.php sadece direkt olarak sevenpanelin kendinden gelen isteklere yanıt verecektir. Birde aujard loglarından userdatanın restore edilmesini yapıyoruz şuan, zor serverlar için ne yazık ki itemleri kurtarmak şuanlık mümkün değil, ancak pk serverlar için kaybolan değerlerin geri getirilmesini yapıcak inşallah.

Aujard desteği süper bir düşünce olur..

Seven panelin heryerinde açıklar var malesef en güzeli direk silip atmak yada OSMANX gibi işin ehli kişilerce derlenmesi

 

[myhot]

Cevap: SevenPanel kullananların dikkatine

bu kodu uyguladıktan sonra invertory açılmıyor panelde erişimi engelliyor sanırım bunu uygulamazsak eğer bir sıkıntı çıkarmı ? Bu arada büyük dertten kurtardın bizi Can Sağolasın

 

[panter7171]

Cevap: SevenPanel kullananların dikkatine

Config Ayarlarından invertory kullanımına izin verin Düzelecektir.
İzin verilmediğinden Bağlantıyı kesiyor.

 

[Rig]

Cevap: SevenPanel kullananların dikkatine

Dikkate alınması gereken bir konu.Teşekkürler.

 

[PrancuLa]

Cevap: SevenPanel kullananların dikkatine

Bilgilendirme ve düzeltme için teşekkürler.

 

[Shutup]

Cevap: SevenPanel kullananların dikkatine

Önemli bir konu, büyük harflerle bilgilendirme yapayım ben de forumun üst kısmından...

 

[HayratLıx]

Cevap: SevenPanel kullananların dikkatine

Teşekürler bilgilendirme İçin Dikkate Alıyoruz ve takip Ediyoruz

 

[emresamson]

Cevap: SevenPanel kullananların dikkatine

+++++++++++++++++++++++++++++++++ karsıyaka!!

 

[TheSiLiCi3]

Cevap: SevenPanel kullananların dikkatine

Açıklar Lisanssız alanlar içindir Lisanslı Can'dan alanlardan bir sıkıntı goremıyorum suan :^^:ff:

 

[bahrikasap]

Cevap: SevenPanel kullananların dikkatine

Bu acık yuzunden tam 3 kez serverimi patlattılar. Poyraz bilisim pcnizde virus var diyip herkezi kndırmıstır..

Bende lisanslı vardı farkeden hic bir şey yoktu.

 

[PoyrazBilişim]

Cevap: SevenPanel kullananların dikkatine

Lisanslı panellerin hepside hack yedi sadece Lisansızlarda degil seven v9 sadece Firma olarak bizde vardı ama herkes nerdeyse hack yedi ALLAH tan erken uyandık...

 

[trakonya42]

Cevap: SevenPanel kullananların dikkatine

Açığı düzeltseniz ne olur . Sizden bi cacık olmaz . Geçen ay 60 liralık hizmet satın aldım BDW , JR , 1VS1 ile Birlikte SevenPanelv9
Makina Formatlandı lisans bilgilerini tekrar aktifleştirirmisiniz dedim bana verdikleri cevap 1 kere kurulum yapıyoruz.Alalı 1 hafta oldu bu nasıl iş ?
Aklı olan poyrazbilişim ile iş yapmasın 3 senedir bu işin icindeyim 2 sene önce felan 250 lira verip makına almıstım onuda 2 hafta doğru duzgun kullanabildim . Keyiflerine göre hareket ederler ; telefonda ana bacı söverler , o ona yönlendırır o ona ama ortada halledilmiş birşey yoktur.
2 Sene geçti belki düzeltmişlerdir diye aldık ama sonuç aynı. POYRAZBİLİŞİM ile İş YAPILMAZ . Alıcagı paraya bakar HİZMET 0

21 minutes dakika sonra eklenen:

Kanıt isteyenler için dekont bilgilerinide koyabilirim buraya. 70 Liraya Herşey dahil makına satıyorlar 60 liralık sadece Lisans hizmeti alıyorum ilgilenmıyorlar neymiş kendi müşterimiz değilsiniz. Agzımı bozdurtcaklar bana illa babanın hayrına mı satıyosun sanki ?

 

[Nevzat Can]

Cevap: SevenPanel kullananların dikkatine

Çok güzel bir konuya deginmişsin Mustafa Abi Sende olmasan Bizi yakacak sevenpanel

 

[mamet123]

Cevap: SevenPanel kullananların dikkatine

KARDEŞ ŞİMDİ SW Mde 2-3 düzeltme yapmak için panele giriş yaparken böle bir sorunla
karşılaştım

örnek: 88.123.123.88/giris
yaptkdan sonra bu hata qeliyor neden acaba ?
Erisim Engellendi! - SEVENSTYLE

 

[osmanx]

Cevap: SevenPanel kullananların dikkatine

KARDEŞ ŞİMDİ SW Mde 2-3 düzeltme yapmak için panele giriş yaparken böle bir sorunla
karşılaştım

örnek: 88.123.123.88/giris
yaptkdan sonra bu hata qeliyor neden acaba ?
Erisim Engellendi! - SEVENSTYLE

admin paneline girerken mi oluyor bu?