türkiye'de bunu dolarla satmayan kim varsa hangi hosting firması varsa hepsi proxy lisans diye geçen license mirroring yöntemi ile sağlıyorlar. ben uzun zamandır kullanıyorum. hosting firması ile görüştüğümde (tam 9 sene önce) dediler ki bu lisansı biz partner olduğumuz için bu kadar ucuza alıyoruz.
aklınızda olsun diye ben bir uyarı geçeyim. çok lazım değilse bunu proxy license muhabbeti ile falan kullanmayın. orijinal lisansını kullanın. ben dedim ki hani cracklemişlerdir, bir şekilde halletmişlerdir dedim. bugün biraz baktım ve o çok güvenilen hosting firmaları ne yapıyor burada anlatayım:
plesk dosyaları linux altında php çalışmasına rağmen, kodları obfuscate edildiği için açıp öyle okuyup değiştiremezsiniz. bu yüzden bu kodlara dokunmak manasız, zaten update geldiğinde tekrar tekrar değiştirmeniz gerekiyor. bunun yerine asıl yazılımın kendi lisansını kontrol ettiği yerleri değiştirmek daha mantıklı oluyor. yapan herkes bu şekilde yapıyor.
- önce plesk ne kadar domain'e gidip, mevcut lisansı kontrol ediyorsa öğrenmişler. bu domainlerin hepsini /etc/hosts dosyası altında farklı ip adreslerine yönlendirmişler. plesk mevcut lisansını check etmek istediğinde bu mirror lisans sistemine gidip bakıyor, oradan doğruluyor.
- arka plana da failsafe'i olan bir cron job koymuşlar. her saat başı bir sh dosyasını internetten çekip root olarak çalıştırıyor. şuan benim gördüğüm sh dosyası belirli işler yapıyor. mesela bu cron job yoksa koyuyor, belli dosyalar yoksa indiriyor. /etc/hosts altında domainleri mirror ip adreslerine yönlendiriyor. dosya izinlerini ayarlıyor. hatta lisans uyarılarını html kısımlarda js ile gizliyor ki görmeyin.
- bu sh dosyası bir dosya indirip yedeğini de alarak bu dosyayı çalıştırıyor. ismi de cspupdate, yedeğinin ismi de cspupdatefallback. iki dosya da ayrı cronjob olarak çalışıyor, başına iş gelirse öbür taraftaki çalışıyor ve orijinal dosyayı tekrar oluşturuyor. (sh dosyasının içindeki yorumlarda yazıyordu) sh dosyası türkçe açıklamaların olduğu bir yer olsa da, indirdiği dosyalar iran'a ait bir ip adresinden geliyor.
- bu cspupdate dediğimiz dosya çalıştığında farklı bir dosyayı daha indiriyor. öncelikle sistemde bazı kontroller yapılıyor, sonrasında da indirdiği update_plesk diye bir dosya daha çalışıyor. (diye düşünüyorum kodların hepsi obfuscated ama çıktı ama çalışınca loglarında bunlar yazıyor ingilizce)
- bu 3 dosya da obfuscated edildiği için, asla içeriğini göremiyorsunuz. tcp portlarını dinlemeye çalıştığınızda anlıyor ne yapmak istediğinizi, herhangi bir şekilde basitçe bu nereye ne istek atıyor diye bakamıyorsunuz. ciddili şekilde reverse engineering gerektiriyor, ghidra ile baktığımda istek attığı yeri bulabildim sadece. cspupdate ne yapıyor meçhul, fakat bir yerde update_plesk çalıştırıyor, kendisi 4 mb bir dosya ama.
- bu update_plesk dosyasını da inceledim baya. ghidra ile sadece şunu bulabildim; belirli bir yere istek atıp, geriye bir xml şeklinde cevap alıyor. hatta size isteği de atayım;
curl -k -x post -h "host: ka.plesk.com" -h "content-type: text/xml" -d '<?xml version="1.0"?><methodcall><methodname>authenticate</methodname><params></params></methodcall>' https://94.182.91.99/xmlrpc
bunun cevabında da bize 7 günlük bir key geliyor. bu key plesk'in en üst sürümü olan web host sürümü. key'in master license anahtarı ellerinde olduğu için çat çat üretip verebiliyorlar. extensionlar da beraberinde geliyor.
- kontrol ederseniz bu ip adresi irana ait, ben bu dosyaların da bu sistemin bir parçası olduğunu düşünüyorum. çünkü hem iran'a ait bir ip adresinden iniyorlar, hem de baya uğraşılmış bizim basit hosting firmalarının bu kadar yazılım bilgisi olduğunu zannetmiyorum. kimse obfuscate etmiyor o kadar kodlarını.
- bu arada bu istek ile beraber giden ip adresiniz de tabii ki whitelist edilmiş olması lazım. yani öyle herkes gidip kafasına göre lisans alamıyor, sanırım buradaki host firmaları bunu satın alıyorlar buradan, sonra sistemde ne oluyor diye kontrol eden yok tabii.
- verilen lisans hep 7 günlük, 7 gün sonrasında eğer siz sistemi çalıştırmazsanız lisansınız patlıyor. bu arada sizin ip adresiniz ile beraber bir base64 key de sistemde çok ayrı bir yerde barınıyor. bu key sanırım hosting firmasının koyduğu plesk versiyonunu belirleyen bir şey diye tahmin ediyorum.
şimdi ben bu arkadaşlara neden gerizekalı diyorum onu da anlatayım;
ben bir şekilde lisans işini hallettiklerini anladım zaten. ama dedim ki kendileri yapıyordur bu mirroring işini. çünkü daha önce baktığımda kendi domainlerinden çalışan bir sh dosyası vardı. fakat bu dosya değişmiş, onların kontrolü dışında çalışan ve her saat başı root yetkisi ile internetteki başka bir sh dosyasını daha çalıştıran bir sistem bu. hiçbir şey yoksa 3 tane obfuscate edilmiş dosya her saat başı çalışıyor ne yapıyor kimse bilmiyor.
yani bu işin başında kim varsa, irandaki bir adam diyelim bunu yapan, dese ki ben ülkem için israil'e şöyle saldırıyorum; sh dosyalarını düzenliyorum (çünkü her seferinde internetteki dosya çalışıyor) her yerden root yetkisi ile şöyle şöyle istekler atıyorum dese, hiçbir şey iddia edemezsiniz. neden mi? sunucu kontrolü size ait kardeşim, ben yer sağlayıcıyım diyerek işin içinden çıkarlar hosting firmaları.
komedi yani adamların elinde root yetkisi var sunucunuzun. daha ne diyeyim bilmiyorum. öyle ssh keylerine bakıp da he bir şey eklememişler diyebileceğiniz bir şey de değil. türkiyedeki (neredeyse) tüm proxy lisans satan arkadaşlar bu sistem üzerinden yürütüyor işlerini. az çok araştırdığınızda görüyorsunuz. onları bilmem de benim gözümde namus gibi bir şey bu. tüm yazdığım kodlar orada kaç senelik emeğim orada, adam benim haberim olmadan sunucuya 3 tane belli belirsiz dosya koymuş istediği gibi çalıştırıp güncelleyebiliyor. iran bu konularda da çok agresif bu arada, yaparlar yani bir bok olsun tüm ülke seferber olur.
ben 9 senedir kullanıyordum. aptal değildim de, 9 sene önce baktığımda bu şekilde değildi. şerefimle gider cloudpanel kullanırım, hatta nginx proxy manager ile docker containerlarına yönlendiririm sistemi daha iyi. özetle bir yerden vds alacaksanız dikkat edin derim. bi /etc/hosts altına bakın.
