k r ld n z nas l anlars n z sonras nda ne yapars n z
Download
Skip this Video
Download Presentation
K ı r ı ld ığı n ı z ı nas ı l anlars ı n ı z, sonras ı nda ne yapars ı n ı z?

Loading in 2 Seconds...

play fullscreen
1 / 20

K ı r ı ld ığı n ı z ı nas ı l anlars ı n ı z, sonras ı nda ne yapars ı n ı z? - PowerPoint PPT Presentation


  • 133 Views
  • Uploaded on

K ı r ı ld ığı n ı z ı nas ı l anlars ı n ı z, sonras ı nda ne yapars ı n ı z?. Onur BEKTAŞ TÜBİTAK - ULAKBİM. Kırılmak?. Yetk i si olmayan kişinin sistem yetkilerini kullanması,ele geçirmesi. Kimler ?. Suç amaçlı. Büyük çapta DOS saldırıları için konak, yahoo,microsoft vb. Kimler ?. l.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'K ı r ı ld ığı n ı z ı nas ı l anlars ı n ı z, sonras ı nda ne yapars ı n ı z?' - dinah


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
k r ld n z nas l anlars n z sonras nda ne yapars n z

Kırıldığınızı nasıl anlarsınız, sonrasında ne yaparsınız?

Onur BEKTAŞ

TÜBİTAK - ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM

k r lmak
Kırılmak?
  • Yetkisi olmayan kişinin sistem yetkilerini kullanması,ele geçirmesi.

Onur BEKTAŞ TÜBİTAK-ULAKBİM

kimler
Kimler ?
  • Suç amaçlı.
  • Büyük çapta DOS saldırıları için konak, yahoo,microsoft vb.

Onur BEKTAŞ TÜBİTAK-ULAKBİM

kimler1
Kimler ?

l

  • Meraklı kullanıcılar.
  • Kendini ispat.

Onur BEKTAŞ TÜBİTAK-ULAKBİM

nas l anlar z
Nasıl Anlarız?
  • Sistem logları.
  • Checksum programları.
  • Ağ trafiğinin izlenmesi.
  • Açık Port kontrolü.
  • Rootkit kontrolü.
  • Merak + Dikkat.

Onur BEKTAŞ TÜBİTAK-ULAKBİM

ansl sistem y neticisi
Şanslı Sistem Yöneticisi

Date: Thu, 17 Apr 2003 20:50:35 +0300 (EEST)

From: root

To: "[email protected]" , 3n9ur ,

"[email protected]" , Tufan Karadere

Cc: R. Engur Pisirici , Onur BEKTAS

Subject: mod utils update

mud utilsin su anda sistemde yuklu olan versiyonunda local root veren bug bulunmaktadir,cozum icin mod utilsin en son versiyonunu updateedilmesi gerekiyor..saygilarimla

Kerem Delikara

Onur BEKTAŞ TÜBİTAK-ULAKBİM

sistem loglar
Sistem Logları
  • Logları güvenilir ortak bir makinde tutun !!!!! (loghost)
    • Syslog-ng (http://www.balabit.com/products/syslog_ng/)
  • Sistemin log seviyesini en üst noktada tutun.
    • /etc/syslog.conf
  • wtmp Login kayıtları

messages Her türlü sistem bilgisi

sulog Su komutu log dosyası

auth.log Doğrulama (Auth.) dosyası

xferlog Ftp kayıtları

Onur BEKTAŞ TÜBİTAK-ULAKBİM

veri do rulama checksum programlar
Veri Doğrulama(Checksum) Programları
  • Sisteminizde hangi dosyaların değişikliğe uğradığını düzenli olarak kontol edin.
    • Tripwire http://www.tripwire.org
    • Aide http://www.cs.tut.fi/~rammer/aide.html
  • Md5, diff komutları ile basit bir checksum programı kullanın.
  • Kritik sistem dosyalarınızı ağa bağlı olmayan bir medyada tutup, değişiklik olduğunu farkettiğiniz anda orjinaliyle karşılaştırın.

Onur BEKTAŞ TÜBİTAK-ULAKBİM

slide9
Sum.sh

#!/bin/bash

NEWDB="/tmp/check1"

OLDDB="/tmp/check2"

INITDB="/tmp/initdb"

DIRLIST="/etc /root /etc/rc.d /bin /usr/bin /usr/local/bin /usr/lib /usr/local/etc /usr/local/lib /usr/local/squid/etc /usr/local/s

amba/private"

DIFF="/usr/bin/diff"

if [ ! -f "$INITDB" ]

then

echo "Program running firs time!!"

echo "Creating first database $INITDB"

for i in $DIRLIST

do

cd $i

md5 * >> $INITDB

ls -al >> $INITDB

done

else

echo "Removing old file $NEWDB"

echo "Creating Database...."

rm -f $NEWDB

for i in $DIRLIST

do

cd $i

md5 * >> $NEWDB

ls -al >> $NEWDB

done

echo "Comparing Files..."

$DIFF $INITDB $NEWDB --side-by-side --suppress-common-lines

fi

Onur BEKTAŞ TÜBİTAK-ULAKBİM

a trafi ini izleyin
Ağ trafiğini izleyin
  • Mrtg
    • Snmp datası alabileceginiz switch veya yönlendiricilerden trafiği izleyin.
  • IDS (Intrusion Detection Systems)
    • Snort
  • Sniffer algılayıcı
    • Hunt http://lin.fsid.cvut.cz/~kra/index.html

Onur BEKTAŞ TÜBİTAK-ULAKBİM

a k portlar kontrol edin
Açık Portları Kontrol Edin
  • Nmap
    • Nmap –sTU –p1-65535 <İP>

[[email protected] root]# nmap -sTU -p1-65535 wwwcache.ulak.net.tr

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )

Interesting ports on wwwcache.ulak.net.tr (193.140.100.2):

(The 131062 ports scanned but not shown below are in state: closed)

Port State Service

22/tcp open ssh

80/tcp open http

514/udp open syslog

1581/udp open unknown

1998/tcp open x25-svc-port

3128/tcp open squid-http

3130/udp open squid-ipc

3401/udp open unknown

Onur BEKTAŞ TÜBİTAK-ULAKBİM

rootkit kontrol
Rootkit Kontrolü
  • Sisteme saldıran kişi admin yetkisini ele geçirdikten sonra muhtemelen sisteminize farkedilmemesini ve tekrar sisteme girmesini sağlayacak rootkit kurcaktır.Rootkit’ler
    • Sistem log dosyalarını değiştirip izleri siler.
    • Sitem komutlarını değiştirip sistemi kıran kişinin farkedilmesini güçleştirir.
      • df, su, telnet , ps ...
    • Ağ trafiğini ve şifreleri ele geçirmeye yönelik sniffer ve bastığınız tuşları loglayan

programlar yerleştirirler.

    • Diğer sistemlere DOS saldırısı yapmak için gerekli programları içerir.
  • Chkrootkit www.chkrootkit.org

Onur BEKTAŞ TÜBİTAK-ULAKBİM

merak dikkat
Merak + Dikkat
  • Potansiyel kullanıcıları gözleyin.
    • *.c
  • Wrapper kullanın.
  • Sistemde anormallik var mı diye kontrol edin.
  • Kullanıcılarınızı eğitin.
  • Log dosyalarına göz gezdirin.

Onur BEKTAŞ TÜBİTAK-ULAKBİM

sonras nda ne yapar z

Sonrasında Ne Yaparız?

Panik yapmayın.

Diğer sorumlu kişilere haber verin.

Kontrolü ele alın.

Sistme yerleştirilmiş yabancı programları arayın.

Nerden kırıldığınızı anlayın.

Makineyi tekrar kurun !!!

Onur BEKTAŞ TÜBİTAK-ULAKBİM

kontrol ele al n
Kontrolü Ele Alın
  • Sistemi ağdan çekin.
  • Tek kullanıcı moda geçin (Single User Mod).
  • Sistemi cdrom’dan orjinal kernelle açın.
  • Sistemin birebir kopyasını alın.
    • dd if=/dev/hda1 of=/dev/hdb1
  • Tüm yetkili sistem şifrelerini değiştirin.

Onur BEKTAŞ TÜBİTAK-ULAKBİM

sisteme yerle tirilmi yabanc programlar aray n
Sisteme Yerleştirilmiş Yabancı Programları Arayın
  • Sistem dosyalarındaki değişiklikleri tarayın.
    • Tripwire, aide,
    • /etc/passwd
    • /etc/inetd.conf
    • /etc/rc.d
    • Kernel
    • Çalıştırılabilir dosyaları (binary file) md5 cheksumlarını alarak orjinal cdrom ile karşılaştırın.
  • Eğer rlogin rsh gibi uzaktan (remote) erişim servisleriniz açıksa.
    • ~/.rhost
    • /etc/hosts.eqiv dosyalarını kontrol edin
  • SUID veya SGID biti set edilmiş dosyaları bulup kontrol edin.
    • find / \( -perm -004000 -o -perm -002000 \) -type f -print

Onur BEKTAŞ TÜBİTAK-ULAKBİM

sisteme yerle tirilmi yabanc programlar aray n1
Sisteme Yerleştirilmiş Yabancı Programları Arayın
  • Ağ dinleyicileri (Network sniffers)
    • cpm - UNIX ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/cpm/
    • ifstatus – UNIXftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/ifstatus/
  • Truva Atı Programları (Trojan Horse)
    • Dosyaların md5 sumlarını orjinal sistem dosyalarıyla karşılaştırın
      • telnet, in.telnetd, login, su, ftp, ls, ps, netstat, ifconfig, find, du, df, libc, sync, inetd, and syslogd
  • Chkrootkit
      • /etc/inetd.conf
      • Açık portlar , nmap
  • Nessus, Saint benzeri programlarla bilinen açıklar için tarayın.

Onur BEKTAŞ TÜBİTAK-ULAKBİM

nereden ve kim tarf ndan k r ld n z anlay n
Nereden ve Kim Tarfından Kırıldığınızı Anlayın
  • Sistemde kullandığınız programların açıklarını kontrol edin.
  • Log dosyalarını kontrol edin.
  • Tuzak kurup bağlanmasını bekleyin.

Onur BEKTAŞ TÜBİTAK-ULAKBİM

makineyi yeniden kurun
Makineyi Yeniden kurun!!

Makineninizin tamamen

temizlendiğinden emin

olmanın tek yolu sistemi

tekrar kurmaktır!!

Onur BEKTAŞ TÜBİTAK-ULAKBİM

sorular

SORULAR?

Onur BEKTAŞ TÜBİTAK-ULAKBİM

ad