K r ld n z nas l anlars n z sonras nda ne yapars n z
This presentation is the property of its rightful owner.
Sponsored Links
1 / 20

K ı r ı ld ığı n ı z ı nas ı l anlars ı n ı z, sonras ı nda ne yapars ı n ı z? PowerPoint PPT Presentation


  • 85 Views
  • Uploaded on
  • Presentation posted in: General

K ı r ı ld ığı n ı z ı nas ı l anlars ı n ı z, sonras ı nda ne yapars ı n ı z?. Onur BEKTAŞ TÜBİTAK - ULAKBİM. Kırılmak?. Yetk i si olmayan kişinin sistem yetkilerini kullanması,ele geçirmesi. Kimler ?. Suç amaçlı. Büyük çapta DOS saldırıları için konak, yahoo,microsoft vb. Kimler ?. l.

Download Presentation

K ı r ı ld ığı n ı z ı nas ı l anlars ı n ı z, sonras ı nda ne yapars ı n ı z?

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


K r ld n z nas l anlars n z sonras nda ne yapars n z

Kırıldığınızı nasıl anlarsınız, sonrasında ne yaparsınız?

Onur BEKTAŞ

TÜBİTAK - ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM


K r lmak

Kırılmak?

  • Yetkisi olmayan kişinin sistem yetkilerini kullanması,ele geçirmesi.

Onur BEKTAŞ TÜBİTAK-ULAKBİM


Kimler

Kimler ?

  • Suç amaçlı.

  • Büyük çapta DOS saldırıları için konak, yahoo,microsoft vb.

Onur BEKTAŞ TÜBİTAK-ULAKBİM


Kimler1

Kimler ?

l

  • Meraklı kullanıcılar.

  • Kendini ispat.

Onur BEKTAŞ TÜBİTAK-ULAKBİM


Nas l anlar z

Nasıl Anlarız?

  • Sistem logları.

  • Checksum programları.

  • Ağ trafiğinin izlenmesi.

  • Açık Port kontrolü.

  • Rootkit kontrolü.

  • Merak + Dikkat.

Onur BEKTAŞ TÜBİTAK-ULAKBİM


Ansl sistem y neticisi

Şanslı Sistem Yöneticisi

Date: Thu, 17 Apr 2003 20:50:35 +0300 (EEST)

From: root <[email protected]>

To: "[email protected]" <[email protected]>, 3n9ur <[email protected]>,

"[email protected]" <[email protected]>, Tufan Karadere <[email protected]>

Cc: R. Engur Pisirici <[email protected]>, Onur BEKTAS <[email protected]>

Subject: mod utils update

mud utilsin su anda sistemde yuklu olan versiyonunda local root veren bug bulunmaktadir,cozum icin mod utilsin en son versiyonunu updateedilmesi gerekiyor..saygilarimla

Kerem Delikara

Onur BEKTAŞ TÜBİTAK-ULAKBİM


Sistem loglar

Sistem Logları

  • Logları güvenilir ortak bir makinde tutun !!!!! (loghost)

    • Syslog-ng (http://www.balabit.com/products/syslog_ng/)

  • Sistemin log seviyesini en üst noktada tutun.

    • /etc/syslog.conf

  • wtmp Login kayıtları

    messages Her türlü sistem bilgisi

    sulog Su komutu log dosyası

    auth.log Doğrulama (Auth.) dosyası

    xferlog Ftp kayıtları

Onur BEKTAŞ TÜBİTAK-ULAKBİM


Veri do rulama checksum programlar

Veri Doğrulama(Checksum) Programları

  • Sisteminizde hangi dosyaların değişikliğe uğradığını düzenli olarak kontol edin.

    • Tripwire http://www.tripwire.org

    • Aide http://www.cs.tut.fi/~rammer/aide.html

  • Md5, diff komutları ile basit bir checksum programı kullanın.

  • Kritik sistem dosyalarınızı ağa bağlı olmayan bir medyada tutup, değişiklik olduğunu farkettiğiniz anda orjinaliyle karşılaştırın.

Onur BEKTAŞ TÜBİTAK-ULAKBİM


K r ld n z nas l anlars n z sonras nda ne yapars n z

Sum.sh

#!/bin/bash

NEWDB="/tmp/check1"

OLDDB="/tmp/check2"

INITDB="/tmp/initdb"

DIRLIST="/etc /root /etc/rc.d /bin /usr/bin /usr/local/bin /usr/lib /usr/local/etc /usr/local/lib /usr/local/squid/etc /usr/local/s

amba/private"

DIFF="/usr/bin/diff"

if [ ! -f "$INITDB" ]

then

echo "Program running firs time!!"

echo "Creating first database $INITDB"

for i in $DIRLIST

do

cd $i

md5 * >> $INITDB

ls -al >> $INITDB

done

else

echo "Removing old file $NEWDB"

echo "Creating Database...."

rm -f $NEWDB

for i in $DIRLIST

do

cd $i

md5 * >> $NEWDB

ls -al >> $NEWDB

done

echo "Comparing Files..."

$DIFF $INITDB $NEWDB --side-by-side --suppress-common-lines

fi

Onur BEKTAŞ TÜBİTAK-ULAKBİM


A trafi ini izleyin

Ağ trafiğini izleyin

  • Mrtg

    • Snmp datası alabileceginiz switch veya yönlendiricilerden trafiği izleyin.

  • IDS (Intrusion Detection Systems)

    • Snort

  • Sniffer algılayıcı

    • Hunt http://lin.fsid.cvut.cz/~kra/index.html

Onur BEKTAŞ TÜBİTAK-ULAKBİM


A k portlar kontrol edin

Açık Portları Kontrol Edin

  • Nmap

    • Nmap –sTU –p1-65535 <İP>

[[email protected] root]# nmap -sTU -p1-65535 wwwcache.ulak.net.tr

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )

Interesting ports on wwwcache.ulak.net.tr (193.140.100.2):

(The 131062 ports scanned but not shown below are in state: closed)

Port State Service

22/tcp open ssh

80/tcp open http

514/udp open syslog

1581/udp open unknown

1998/tcp open x25-svc-port

3128/tcp open squid-http

3130/udp open squid-ipc

3401/udp open unknown

Onur BEKTAŞ TÜBİTAK-ULAKBİM


Rootkit kontrol

Rootkit Kontrolü

  • Sisteme saldıran kişi admin yetkisini ele geçirdikten sonra muhtemelen sisteminize farkedilmemesini ve tekrar sisteme girmesini sağlayacak rootkit kurcaktır.Rootkit’ler

    • Sistem log dosyalarını değiştirip izleri siler.

    • Sitem komutlarını değiştirip sistemi kıran kişinin farkedilmesini güçleştirir.

      • df, su, telnet , ps ...

    • Ağ trafiğini ve şifreleri ele geçirmeye yönelik sniffer ve bastığınız tuşları loglayan

      programlar yerleştirirler.

    • Diğer sistemlere DOS saldırısı yapmak için gerekli programları içerir.

  • Chkrootkit www.chkrootkit.org

Onur BEKTAŞ TÜBİTAK-ULAKBİM


Merak dikkat

Merak + Dikkat

  • Potansiyel kullanıcıları gözleyin.

    • *.c

  • Wrapper kullanın.

  • Sistemde anormallik var mı diye kontrol edin.

  • Kullanıcılarınızı eğitin.

  • Log dosyalarına göz gezdirin.

Onur BEKTAŞ TÜBİTAK-ULAKBİM


Sonras nda ne yapar z

Sonrasında Ne Yaparız?

Panik yapmayın.

Diğer sorumlu kişilere haber verin.

Kontrolü ele alın.

Sistme yerleştirilmiş yabancı programları arayın.

Nerden kırıldığınızı anlayın.

Makineyi tekrar kurun !!!

Onur BEKTAŞ TÜBİTAK-ULAKBİM


Kontrol ele al n

Kontrolü Ele Alın

  • Sistemi ağdan çekin.

  • Tek kullanıcı moda geçin (Single User Mod).

  • Sistemi cdrom’dan orjinal kernelle açın.

  • Sistemin birebir kopyasını alın.

    • dd if=/dev/hda1 of=/dev/hdb1

  • Tüm yetkili sistem şifrelerini değiştirin.

Onur BEKTAŞ TÜBİTAK-ULAKBİM


Sisteme yerle tirilmi yabanc programlar aray n

Sisteme Yerleştirilmiş Yabancı Programları Arayın

  • Sistem dosyalarındaki değişiklikleri tarayın.

    • Tripwire, aide,

    • /etc/passwd

    • /etc/inetd.conf

    • /etc/rc.d

    • Kernel

    • Çalıştırılabilir dosyaları (binary file) md5 cheksumlarını alarak orjinal cdrom ile karşılaştırın.

  • Eğer rlogin rsh gibi uzaktan (remote) erişim servisleriniz açıksa.

    • ~/.rhost

    • /etc/hosts.eqiv dosyalarını kontrol edin

  • SUID veya SGID biti set edilmiş dosyaları bulup kontrol edin.

    • find / \( -perm -004000 -o -perm -002000 \) -type f -print

Onur BEKTAŞ TÜBİTAK-ULAKBİM


Sisteme yerle tirilmi yabanc programlar aray n1

Sisteme Yerleştirilmiş Yabancı Programları Arayın

  • Ağ dinleyicileri (Network sniffers)

    • cpm - UNIX ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/cpm/

    • ifstatus – UNIXftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/ifstatus/

  • Truva Atı Programları (Trojan Horse)

    • Dosyaların md5 sumlarını orjinal sistem dosyalarıyla karşılaştırın

      • telnet, in.telnetd, login, su, ftp, ls, ps, netstat, ifconfig, find, du, df, libc, sync, inetd, and syslogd

  • Chkrootkit

    • /etc/inetd.conf

    • Açık portlar , nmap

  • Nessus, Saint benzeri programlarla bilinen açıklar için tarayın.

  • Onur BEKTAŞ TÜBİTAK-ULAKBİM


    Nereden ve kim tarf ndan k r ld n z anlay n

    Nereden ve Kim Tarfından Kırıldığınızı Anlayın

    • Sistemde kullandığınız programların açıklarını kontrol edin.

    • Log dosyalarını kontrol edin.

    • Tuzak kurup bağlanmasını bekleyin.

    Onur BEKTAŞ TÜBİTAK-ULAKBİM


    Makineyi yeniden kurun

    Makineyi Yeniden kurun!!

    Makineninizin tamamen

    temizlendiğinden emin

    olmanın tek yolu sistemi

    tekrar kurmaktır!!

    Onur BEKTAŞ TÜBİTAK-ULAKBİM


    Sorular

    SORULAR?

    Onur BEKTAŞ TÜBİTAK-ULAKBİM


  • Login