Güvenlik

Hack lendiniz mi ? Hacklendikten sonra uygulanacak senaryolar

Hack – Saldırganlar tarafından hack lendiniz mi ?

Siteleriniz sunucu açığından veya yazılım kaynaklı hackleniyor bir anda anasayfaya veya alt dizinlerde bir dosya görüyorsunuz içini açmışsınız hacked yazıyor. Bu gördüğünüzde hemen gerilmeye başlıyorsunuz acaba verilerim çalındı mı siteme zarar verdiler mi diye tabi birde yedek almadıysanız vay halinize 🙂 Bu size ders olsun ama yapacak birşey yok bazı şeyleri yaşadığınızda daha iyi anlayacağınız için bazı şeylerin başımıza gelmesi gerekiyor. Şimdi lafı uzatmadan gelelim uygulanacak senaryolarımıza.

Hosting veya reseller kullanıyorsak;

Eğer paylaşımlı hosting kullanıyor ve uzman firmadan hizmet alıyorsanız işiniz kolay firma size logları iletecektir. Hosting firmanızı arayıp veya destek talebi oluşturun hemen logları isteyin. Açıkcası logları istemek pek çözüm olmayacaktır. Çünki saldırgan o kadar salak olmayacağına göre illaki vpn veya prox kullanmıştır. Ama her ihtimale karşı siz yine isteyin.

Sunucu kullanıyorsak;

Sunucu kullanmak ve yönetmek herkesin işi değildir. Herkes sunucu alır ama herkes sunucu yönetemez. Hele ki sunucuda 50 – 100’den fazla site olunca bu iş biraz daha sıkılaşır. Sunucuda bir site hacklense hemen tedirgin olursunuz acaba sunucuda açık varmı diğer siteler hacklendi mi diye telaş yapıp virüs taramasından geçirirsiniz. Bu tarz loglarda hangi dizinden shell ile işlem yapılmış hepsini tespit edeceğiz.

Sunucuda ki servis loglamalar.

Linux sunucuda tüm loglar,

/var/log
dizininde bulunur.

/var/log dizinine giriş yaptığımızda bir sürü klasör ve loglar karşımıza çıkacaktır.

Sunucuda kim neye giriş yapmış ne zaman giriş yapmış

secure adındaki dosyada login olaranların loglamalarını görebilirsiniz.

Örnek olarak bizim web sunucumuza 2 kere başarısız giriş yapılmış buda loglarda gözükmektedir.

Jul 16 14:44:41 microturk sshd[14325]: Failed password for root from 58.218.198.146 port 28859 ssh2
Jul 16 14:44:41 microturk sshd[14323]: Failed password for root from 58.218.198.146 port 27023 ssh2

maillog adlı dosyada webmail üzerinden giriş yapan kişileri görebilirsiniz.

/var/log/httpd/error_log shell ile ilgili hatalı satırlar genelde burada çıkmaktadır. Shell ile komut uygulandığında bu satırları dikkatlice kontrol etmenizi öneririz. Eğer bu kodlardan anlamıyorsanız uzman birinden yardım almanızı öneririz. Eğer belirttiğimiz dosyalar yoksa sunucunuz rootlanmış veya kişi logları silmiştir. Bunun yerine 2. parti yazılımlar ile loglama yazılımlarını kullanabilirsiniz.

 

Sunucuda hacklenmemesi için neler öneririz ?

 

Sunucu ve hosting hesaplarınızda her zaman kullandığınız şifreleri kullanmayın.

Sunucu kullanırken gereksiz portlarınızı ve ssh, ftp portlarınızı kapatın ve web üzerinden dosyalarınızı upload edin yada firewall ayarlarından sadece ip adresinize izin verin.

Mod_Security Comodo ModSecurity (abonelik) özelliğini kullanarak xss, sql injection, upload gibi açıkları fixler.

Önemli kurumsal siteleriniz varsa paylaşımlı hosting ve reseller almamanızı öneririz.

3. Parti yazılımları olarak CSF(Config server Firewall), CXS)ConfigServer eXploit Scanner) gibi profesyonel güvenlik yazılımları almanızı öneririz.

Loglama çözümleri ve yazılımları

 

1. Log360

Log360 tüm günlük yönetimi ve ağ güvenliği sorunlarınız için tek çözümdür. Bu sıkı entegre çözüm, ADAudit Plus, EventLog Analyzer, O365 Manager Plus, Exchange Reporter Plus ve Cloud Security Plus’ın özelliklerini bir araya getirir. Bunun gibi çok yönlü bir kombinasyonla, ağınız üzerinde tam kontrol elde edersiniz; Active Directory değişiklikleri, ağ aygıtı günlükleri, Microsoft Exchange Sunucular, Microsoft Exchange Online, Azure Active Directory ve genel bulut altyapınızı tek bir konsoldan denetleyebileceksiniz.

2- syslog-ng

syslog-ng açık kaynaklı loglama yönetimi sunan bir yazılımdır. Bir çok işletim sistemine uyumludur.

 

Hiçbir sistem %100 güvenli değildir.

Bir Sistemin Nasıl Çalıstıgını Bilmiyorsan o Sisteme giremezsin yada koruyamazsın..

Exploit, Kodlama ve Sistem Zayıflıkları

Tags

Kaan GİRGİN

Ben Kaan GİRGİN, 1996 Balıkesir doğumluyum 2013 yılından beri kendimi sanal Dünyada geliştiriyorum. Sürekli olarak yeni bilgiler edinip deneyimlerimi bu site üzerinden sizler ile paylaşıyorum.

İlgili Makaleler

Kimler Neler Demiş?

avatar
  Subscribe  
Bildir

Bu yazımızada bakın

Kapat
Kapat