meb.k12.tr hacklendi mi?

Not: Bu olay dün akşam oldu şimdi baktım düzeltilmiş.

Baştan söyleyeyim ben meb.k12.tr kesinlikle hacklendi demiyorum.

Arkadaşlar şimdi meb.k12.tr hacklendimi sizden yorumunuzu istiyorum.

Şimdi biliyorsunuz bütün okul siteleri meb.k12.tr ye bağlı çünkü bir okul sitesinin ismi.

Okulismi.meb.k12.tr yani okul siteleri meb.k12.tr ye subdomain açılarak açılıyor ve meb.k12.tr sitesinin dosyalarında okulismi.meb.k12.tr adında klasör oluşuyor ve o klasör okulun sitesi aslında.

Şimdi konumuza gelelim.

T.C. MİLLÎ EĞİTİM BAKANLIĞI İSTANBUL / AVCILAR / Şehit Hacı Mehmet Sırma İmam Hatip Ortaokulu bu okulun sitesine girmeye çalıştığınızda "lüttfen dikkat, http://sehithacimehmetsirmaiho.meb.k12.trd adresi sunucularımız üzerinde barındırılmamaktadır!" diyor ve şöyle bir site var https://illegalplatform.meb.k12.tr bu siteye girdiğinizde bu az önceki girilmeyen sitenin adı yazıyor ve en alta inince sitelerinin reklamını yapmışlar yani hackleyen kişi meb.k12.trnin dosyalarına erişip sehithacimehmetsirmaiho.meb.k12.tr klasörünün adını illegalplatform.meb.k12.tr olarak değiştirmiş başka türlü okulun sitesinin ismini değiştiremezler çünkü bu okul siteleri meb.k12.tr sitesine bağlı subdomainler.
Ben kesin hacklenmiştir demiyorum sizin yorumunuzu istiyorum ben buraya sizi bilgilendirmek amaçlı yazdım ve kesinlikle hacklendi demiyorum.



Arkadaşlar bu olay dün akşam oldu şimdi baktım düzeltilmiş.

Böyle MEB'in sitelerini vurmak çok kolay ki hacklenme falan da değil XSS açığından metin değişiliyor.

Konunun XSS ile uzaktan yakından alakası yok. DNS ile ilgili bir müdahale gibi gözüküyor. Düzeltildiği için sadece varsayım yapabiliyorum. Detaylı inceleme vaktimiz kalmamış maalesef.

Olay sadece metin değiştirme ya da folder değiştirme ile olacak bir şey değil çünkü subdomain oluşturulmuş. Bütün sistemin hacklendiğini sanmıyorum. Bu sitelerin yönetimi MEBBİS üzerinden yapılıyor araştırmalarımdan gördüğüm kadarıyla. Eğer bir hackleme durumu olduysa bunun MEBBIS dahil edilerek yapılması gerekir. Okul sitelerinin yönetim panelleri bile MEBBİS girişi üzerinden açılıyor. Okulun sitesindeki yazılar değişti deseydik XSS saldırısı olası görülebilirdi lakin subdomain ile bir site daha kurulmuş. Belki de bir okul müdürü ya da subdomain oluşturmaya yetkili birisi fishing saldırısına maruz kaldı ve onun paneli üzerinden bir site açıldı bunu buradan öngörmek zor. Ben açıkçası bu büyüklükteki bir sağlayıcı sisteme girilip sadece bir okulun değiştirilmesini olağan bulmuyorum büyük ihtimal ufak bir saldırı yapıldı ve birinin MEBBIS şifresi ele geçirildi. Şu an operasyonel olarak siteler çalıştığından ve diğer site kapandığından yorum yapmak çok zor.

SmartFace dedi:

Olay sadece metin değiştirme ya da folder değiştirme ile olacak bir şey değil çünkü subdomain oluşturulmuş. Bütün sistemin hacklendiğini sanmıyorum. Bu sitelerin yönetimi mebbis üzerinden yapılıyor araştırmalarımdan gördüğüm kadarıyla. Eğer bir hackleme durumu olduysa bunun mebbıs dahil edilerek yapılması gerekir. Okul sitelerinin yönetim panelleri bile mebbis girişi üzerinden açılıyor. Okulun sitesindeki yazılar değişti deseydik XSS saldırısı olası görülebilirdi lakin subdomain ile bir site daha kurulmuş. Belki de bir okul müdürü ya da subdomain oluşturmaya yetkili birisi fishing saldırısına maruz kaldı ve onun paneli üzerinden bir site açıldı bunu buradan öngörmek zor. Ben açıkçası bu büyüklükteki bir sağlayıcı sisteme girilip sadece bir okulun değiştirilmesini olağan bulmuyorum büyük ihtimal ufak bir saldırı yapıldı ve birinin mebbıs şifresi ele geçirildi. Şu an operasyonel olarak siteler çalıştığından ve diğer site kapandığından yorum yapmak çok zor.

Genişletmek için tıkla...

Sitenin ismini ancak meb.k12.trnin dosyalarından değiştirebilirler.

Kağan Kabadayı dedi:

Sitenin ismini ancak meb.k12.trnin dosyalarından değiştirebilirler.

Genişletmek için tıkla...

Subdomain açılması farklı bir işlem folder değiştirmek farklı. Kos koca MEB gidipte dosya değiştirerek subdomain açtıracak kadar basit bir sistem yapmamıştır.