Herkese merhabalar arkadaşlar,
cPanel’i severek kullanan biriyim ve 2 sunucuda aktif olarak kullanıyorum. cPanel’de firewall olarak ConfigServer kullanıyordum. Bilmeyenler için kısaca bir tanıtım yapayım:
ConfigServer Security & Firewall (CSF), Linux sunucular için geliştirilmiş popüler bir güvenlik ve firewall yönetim aracıdır. cPanel, DirectAdmin, Webmin gibi kontrol panelleriyle entegre çalışabilen CSF, iptables tabanlı bir firewall yapılandırması sunarken aynı zamanda LFD (Login Failure Daemon) ile brute-force saldırılarını otomatik olarak tespit edip engelleyebilir, port taraması koruması sağlar, şüpheli IP’leri bloklar ve sunucu güvenliğini artıran çeşitli özellikler (SYN flood koruması, port flood koruması, process tracking) içerir.
CLAUDE AI
cPanel nedir içinde bir açıklama yazdırıp Google’da SEO’ya oynamak vardı ama neyse.
Bildiğiniz üzere, ki bilmeyenlerde vardır, 31 Ağustos 2025 tarihi itibariyle Way to Web Ltd ve ConfigServer tüm servislerini tamamen durdurdu. Haliyle bu durum beni bir araştırma içerisine itiyordu bir kaç zamandır. 1-2 aydır sunucu güvenliği ile ilgili makalelere denk geldikçe okumaya çalıştım ve finalde mükemmel yapıyı oturttum.
Güvenlik için kullandığım servisler şu şekilde:
- Cloudflare
- UFW
- Fail2Ban
Cloudflare, ziyaretçi ile benim aramdaki proxy sunucu, aynı zamanda bir cache katmanı, aynı zamanda güvenlik filtresi. UFW ise benim sunucumda tanımladığım kurallara göre sunucumda giriş çıkışı açan veya kapatan bir firewall uygulaması. iptables’in karmaşasından kurtarıyor. Fail2Ban ise aktif olarak sunucudaki logları tanımlı kurallara göre inceleyip ban atan bir yardımcı uygulama.
Diyagramdan anlaşılacağı üzere gelen ziyaretçiyi logları inceleyip banlamayı otomatikleştiren bir süreç. Sadece bunun içinde değil. auth.log dosyasını aktif olarak izleyebilir ve belirlediğiniz süre içindeki deneme sayısına göre otomatik ban atabilir. Sunucunuzda var olan phpMyAdmin’de hatalı girişleri yakalar ve otomatik olarak banlar (dipnot: phpmyadmin ayarlarında hatalı girişleri loglamayı aktif etmelisiniz).
Ben de tabii bir çok uygulamaya ait bir kaç günlük log’ları inceledim ve istemediğim davranışları tespit ettim.
Bunların başında scrape, crawl, dosya tarama vs. amaçlarla arama motoru olmayan ve doğru düzgün user-agent bilgisi bulunmayan erişimleri bloklamak geldi. Palo Alto Networks, Go-http-client vs. gibi user-agentlar ilk gözüme kestirdiklerim oldu.
Ardından bir çok botun aktif olarak taradığı shell dosyaları var. c99.php, n49.php, chosen.php gibi gibi gibi. Bunlardan en sık karşılaştıklarımı çıkardım.
Ayrıca gizli bilgiler, deployment bilgileri, çevre değişkenleri vs. gibi dosya isimlerine atılan istekleri de bu listeye ekledim. Bu kısım halen geliştirilebilir.
Veee tabii ki WordPress kullanıcısı olarak xmlrpc.php’ye yapılan POST istekleri.. Seni unuttum sanma XML-RPC. WordPress’in kanayan yarası, gelmiş geçmiş en büyük tehlikesi. Buraya POST isteği atanı yakarım.
Tüm bunları bir araya getirince şöyle harika bir filtre çıktı:
Botavcisi.php biraz kişisel bir dosya. Bu benim zararlı botları yemlemek için kullandığım bir dosya kabaca.
Bu dosyayı /etc/fail2ban/filter.d/ dizini içerisine aynı isimle kaydedin. Daha sonra mevcut custom jailinizin içine veyahut /etc/fail2ban/jail.d/ dizinine gidip SazanAvi.local isimli bir jail oluşturun ve aşağıdaki kodu ekleyin:
[suspicious]
enabled = true
filter = suspicious
logpath = /var/log/nginx/domains/domain.tld-ssl_log
/var/log/apache2/domlogs/domain.tld-ssl_log
/home/domain/access_logs/domain.tld-ssl_log
maxretry = 10
findtime = 1d
bantime = 30d
port = http,httpsBu jail şunu yapacak, son 24 saat içerisinde belirtilen log’larda filtreye takılan satır sayısı 10’a ulaşırsa 30 gün banla.
Ben cPanel düzenine göre logpath’ler oluşturdum. Siz tabii ki logpath, maxretry, findtime ve bantime‘ı kendinize göre düzenlemelisiniz. Ayrıca %(apache_access_log)s ve %(nginx_access_log)s değişkenlerini de kullanabilirsiniz. Bunlar otomatik olarak neredeyse tüm access logları izlemeye başlayacaktır.
DİKKAT! Benim kendi kurallarım biraz daha katı. Filtre’deki katı kurallar dolayısıyla yanlış geri bildirim alma durumunuz olabilir. Bu durumda kendinize göre düzenlemeniz büyük önem arz ediyor.
AbuseIPDB.com‘da paylaştığım IP adreslerinin bazıları da bu kuraldan gidiyorlar usta.
Spamsız, saldırgansız, zararsız bir internet ortamı dileğiyle. Eğer bu yazıya tam 15.000 yorum gelirse Fail2Ban ile WordPress’inizi nasıl koruyabilirsiniz, detaylıca bir çalışma ile sizlerle birlikte olurum.
