Güvenlik Tarama Raporu

tuufi.com • 90 Kontrol Noktası Tarandı

27 Şubat 2026 • v1

3
Kritik
8
Uyarı
15
Bilgi
74
Güvenli

Basit Anlatım (Herkes İçin)

En Önemli Sorun: Sistemde 3 adet API anahtarı (şifre gibi düşünün) açıkta bulundu. Bu anahtarlar başkaları tarafından kullanılabilir ve size maliyet çıkarabilir.

Temizlenmesi Gereken: Ana klasörde olmaması gereken geçici dosyalar var - bunlar güvenlik riski değil ama düzen için temizlenmeli.

İyi Haber: Virüs, backdoor (arka kapı) veya zararlı kod bulunamadı. .env dosyası ve veritabanı yedekleri dışarıdan erişilemez durumda.

KRİTİK: API Key Sızıntıları

Hardcoded API anahtarları bulundu! Bu anahtarlar kötü niyetli kişiler tarafından kullanılabilir.

1. DeepSeek API Key Satır 47
sk-035528bc068943e0918fbe37646077c1
2. OpenAI API Key Satır 89
sk-Rd0uAFfpiAcfdxillkFM1mV0NWxihzz2L4AR...
3. Anthropic API Key Satır 126
sk-ant-api03-6bRW3GYVhCDuV4KdeLF9lW5Y12ED...

Dosya:

readme/plan/ai-prompts/eskiler/seeders_backup/AIProviderSeeder.php

Çözüm:

  1. Bu dosyayı silin veya API key'leri kaldırın
  2. Tüm API key'leri ilgili platformlardan yenileyin (rotate)
  3. API key'leri sadece .env dosyasında saklayın

UYARI: Ana Dizin Temizliği Gerekli

Ana dizinde olmaması gereken geçici dosyalar bulundu. Bunlar zararlı değil ama temizlenmeli.

PHP Dosyaları (7 adet)

fix-anchor.php - Sayfa düzenleme scripti
fix-katalog-body.php
fix-katalog-html.php
update-flipbook-v2.php
update-flipbook-v3.php
update-flipbook-v4.php
update-katalog-pages.php

TXT Dosyaları (5 adet - a-console.txt, a-html.txt HARİÇ)

b-html.txt (119 KB)
locale-debug.txt
varilsan.txt
varilsanblog.txt

a-console.txt ve a-html.txt dokunulmamalı (debug buffer dosyaları)

Medya/Arşiv Dosyaları (5 adet)

Asbir Antrepo (TR).pdf (45 MB)
VARİLSAN KATALOG DÜZENLENECEK.pdf (34 MB)
IMG_491C95-12302E-B77B02-56AFCF-ACB826-444E84.jpg
IMG_A74EF2-2AD056-691DE5-0C47E0-2F9148-834A2F.jpg
maspar-ss.zip

Temizlik Komutu:

cd /var/www/vhosts/tuufi.com/httpdocs

# PHP dosyaları
rm -f fix-anchor.php fix-katalog-body.php fix-katalog-html.php
rm -f update-flipbook-v2.php update-flipbook-v3.php update-flipbook-v4.php
rm -f update-katalog-pages.php

# TXT dosyaları (a-console.txt ve a-html.txt HARİÇ!)
rm -f b-html.txt locale-debug.txt varilsan.txt varilsanblog.txt

# Medya dosyaları (emin olduktan sonra)
rm -f "Asbir Antrepo (TR).pdf" "VARİLSAN KATALOG DÜZENLENECEK.pdf"
rm -f IMG_491C95-12302E-B77B02-56AFCF-ACB826-444E84.jpg
rm -f IMG_A74EF2-2AD056-691DE5-0C47E0-2F9148-834A2F.jpg
rm -f maspar-ss.zip

BİLGİ: Diğer Bulgular

Test Route Dosyası
routes/test.php

Auth durumunu döndüren debug endpoint. Production'da kaldırılmalı.

Backup Dosyaları (3 adet)
Modules/Muzibu/.../home-OLD-TAILWIND.blade.php.bak
Modules/Statistics/.../StatisticsService.php.bak
resources/views/.../playlist-quick-card.blade.php.bak
Scripts Klasörü (30+ dosya)
/scripts/*.php

Görsel üretme ve veri işleme scriptleri. Production'da gerekli değilse kaldırılabilir.

Eski ACME Challenge Dosyaları

7 adet 30 günden eski SSL doğrulama dosyası var.

public/.well-known/acme-challenge/
Public'te Hash Dosyası
public/1c4bcc2e55465e741bc9ec34f0b786bc.txt

Muhtemelen SEO/doğrulama dosyası. Gerekli değilse silinebilir.

GÜVENLİ: Başarılı Kontroller

eval+base64 backdoor bulunamadı
.env dosyası korumalı (404)
.git klasörü korumalı (404)
Storage'da PHP dosyası yok
SQL/backup sızıntısı yok
Bilinen shell dosyaları yok (c99, r57)
$_GET/$_POST injection yok
Hex encoded kod bulunamadı
Remote include açığı yok
Rastgele isimli PHP dosyası yok

Teknik Detaylar (Geliştiriciler İçin)

Tarama Metodolojisi

  • Regex tabanlı pattern matching (eval, base64, shell_exec, etc.)
  • Dosya ismi anomali tespiti (rastgele hash isimler)
  • HTTP response kontrolleri (.env, .git erişimi)
  • Dosya izin ve sahiplik kontrolü
  • Zaman bazlı değişiklik taraması (mtime)

Taranan Patternler

eval\s*\(\s*(base64_decode|gzinflate|gzuncompress)
shell_exec|passthru|system\s*\(|exec\s*\(|popen
@\s*(file_put_contents|copy|fwrite|move_uploaded_file)
\$_(GET|POST|REQUEST|COOKIE)\s*\[.*\]\s*\(
\\x[0-9a-fA-F]{2} (hex encoding)
fsockopen|curl_exec.*\$_(GET|POST)
(sk-[a-zA-Z0-9]{20,}|AKIA[0-9A-Z]{16}) (API keys)

shell_exec Kullanımları (80 dosya - normal)

Bu dosyalardaki shell_exec kullanımları meşru (HLS dönüştürme, görsel işleme, sistem komutları):

Modules/AI/App/Services/OpenAIService.php
Modules/DailyCard/App/Jobs/GenerateDailyCardImageJob.php
Modules/Muzibu/App/Jobs/ConvertToHLSJob.php
app/Services/Muzibu/HLSService.php
app/Http/Controllers/Admin/SystemController.php
... ve diğerleri

Aksiyon Planı

1

API Key Dosyasını Sil

rm readme/plan/ai-prompts/eskiler/seeders_backup/AIProviderSeeder.php
2

API Key'leri Yenile (Rotate)

DeepSeek, OpenAI ve Anthropic panellerinden yeni key oluştur

3

Ana Dizin Temizliği

Yukarıdaki temizlik komutlarını çalıştır

4

routes/test.php Dosyasını Kaldır

rm routes/test.php
5

Backup Dosyalarını Temizle (opsiyonel)

find . -name "*.bak" -delete