Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Kırıldığınızı nasıl anlarsınız, sonrasında ne yaparsınız?

YayınlayanBaki Tayfur Değiştirilmiş 9 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "Kırıldığınızı nasıl anlarsınız, sonrasında ne yaparsınız?"— Sunum transkripti:

1 Kırıldığınızı nasıl anlarsınız, sonrasında ne yaparsınız?
Onur BEKTAŞ TÜBİTAK - ULAKBİM 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

2 Onur BEKTAŞ TÜBİTAK-ULAKBİM
Kırılmak? Yetkisi olmayan kişinin sistem yetkilerini kullanması,ele geçirmesi. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

3 Onur BEKTAŞ TÜBİTAK-ULAKBİM
Kimler ? Suç amaçlı. Büyük çapta DOS saldırıları için konak, yahoo,microsoft vb. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

4 Onur BEKTAŞ TÜBİTAK-ULAKBİM
Kimler ? l Meraklı kullanıcılar. Kendini ispat. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

5 Onur BEKTAŞ TÜBİTAK-ULAKBİM
Nasıl Anlarız? Sistem logları. Checksum programları. Ağ trafiğinin izlenmesi. Açık Port kontrolü. Rootkit kontrolü. Merak + Dikkat. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

6 Şanslı Sistem Yöneticisi
Date: Thu, 17 Apr :50: (EEST) From: root To: 3n9ur Tufan Karadere Cc: R. Engur Pisirici Onur BEKTAS Subject: mod utils update mud utilsin su anda sistemde yuklu olan versiyonunda local root veren bug bulunmaktadir,cozum icin mod utilsin en son versiyonunu update edilmesi gerekiyor..saygilarimla Kerem Delikara 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

7 Onur BEKTAŞ TÜBİTAK-ULAKBİM
Sistem Logları Logları güvenilir ortak bir makinde tutun !!!!! (loghost) Syslog-ng ( Sistemin log seviyesini en üst noktada tutun. /etc/syslog.conf wtmp Login kayıtları messages Her türlü sistem bilgisi sulog Su komutu log dosyası auth.log Doğrulama (Auth.) dosyası xferlog Ftp kayıtları 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

8 Veri Doğrulama(Checksum) Programları
Sisteminizde hangi dosyaların değişikliğe uğradığını düzenli olarak kontol edin. Tripwire Aide Md5, diff komutları ile basit bir checksum programı kullanın. Kritik sistem dosyalarınızı ağa bağlı olmayan bir medyada tutup, değişiklik olduğunu farkettiğiniz anda orjinaliyle karşılaştırın. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

9 Onur BEKTAŞ TÜBİTAK-ULAKBİM
Sum.sh #!/bin/bash NEWDB="/tmp/check1" OLDDB="/tmp/check2" INITDB="/tmp/initdb" DIRLIST="/etc /root /etc/rc.d /bin /usr/bin /usr/local/bin /usr/lib /usr/local/etc /usr/local/lib /usr/local/squid/etc /usr/local/s amba/private" DIFF="/usr/bin/diff" if [ ! -f "$INITDB" ] then echo "Program running firs time!!" echo "Creating first database $INITDB" for i in $DIRLIST do cd $i md5 * >> $INITDB ls -al >> $INITDB done else echo "Removing old file $NEWDB" echo "Creating Database...." rm -f $NEWDB md5 * >> $NEWDB ls -al >> $NEWDB echo "Comparing Files..." $DIFF $INITDB $NEWDB --side-by-side --suppress-common-lines fi 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

10 Onur BEKTAŞ TÜBİTAK-ULAKBİM
Ağ trafiğini izleyin Mrtg Snmp datası alabileceginiz switch veya yönlendiricilerden trafiği izleyin. IDS (Intrusion Detection Systems) Snort Sniffer algılayıcı Hunt 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

11 Açık Portları Kontrol Edin
Nmap Nmap –sTU –p <İP> root]# nmap -sTU -p wwwcache.ulak.net.tr Starting nmap V ( ) Interesting ports on wwwcache.ulak.net.tr ( ): (The ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 80/tcp open http 514/udp open syslog 1581/udp open unknown 1998/tcp open x25-svc-port 3128/tcp open squid-http 3130/udp open squid-ipc 3401/udp open unknown 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

12 Onur BEKTAŞ TÜBİTAK-ULAKBİM
Rootkit Kontrolü Sisteme saldıran kişi admin yetkisini ele geçirdikten sonra muhtemelen sisteminize farkedilmemesini ve tekrar sisteme girmesini sağlayacak rootkit kurcaktır.Rootkit’ler Sistem log dosyalarını değiştirip izleri siler. Sitem komutlarını değiştirip sistemi kıran kişinin farkedilmesini güçleştirir. df, su, telnet , ps ... Ağ trafiğini ve şifreleri ele geçirmeye yönelik sniffer ve bastığınız tuşları loglayan programlar yerleştirirler. Diğer sistemlere DOS saldırısı yapmak için gerekli programları içerir. Chkrootkit 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

13 Onur BEKTAŞ TÜBİTAK-ULAKBİM
Merak + Dikkat Potansiyel kullanıcıları gözleyin. *.c Wrapper kullanın. Sistemde anormallik var mı diye kontrol edin. Kullanıcılarınızı eğitin. Log dosyalarına göz gezdirin. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

14 Onur BEKTAŞ TÜBİTAK-ULAKBİM
Sonrasında Ne Yaparız? Panik yapmayın. Diğer sorumlu kişilere haber verin. Kontrolü ele alın. Sistme yerleştirilmiş yabancı programları arayın. Nerden kırıldığınızı anlayın. Makineyi tekrar kurun !!! 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

15 Onur BEKTAŞ TÜBİTAK-ULAKBİM
Kontrolü Ele Alın Sistemi ağdan çekin. Tek kullanıcı moda geçin (Single User Mod). Sistemi cdrom’dan orjinal kernelle açın. Sistemin birebir kopyasını alın. dd if=/dev/hda1 of=/dev/hdb1 Tüm yetkili sistem şifrelerini değiştirin. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

16 Sisteme Yerleştirilmiş Yabancı Programları Arayın
Sistem dosyalarındaki değişiklikleri tarayın. Tripwire, aide, /etc/passwd /etc/inetd.conf /etc/rc.d Kernel Çalıştırılabilir dosyaları (binary file) md5 cheksumlarını alarak orjinal cdrom ile karşılaştırın. Eğer rlogin rsh gibi uzaktan (remote) erişim servisleriniz açıksa. ~/.rhost /etc/hosts.eqiv dosyalarını kontrol edin SUID veya SGID biti set edilmiş dosyaları bulup kontrol edin. find / \( -perm o -perm \) -type f -print 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

17 Sisteme Yerleştirilmiş Yabancı Programları Arayın
Ağ dinleyicileri (Network sniffers) cpm - UNIX ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/cpm/ ifstatus – UNIX ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/ifstatus/ Truva Atı Programları (Trojan Horse) Dosyaların md5 sumlarını orjinal sistem dosyalarıyla karşılaştırın telnet, in.telnetd, login, su, ftp, ls, ps, netstat, ifconfig, find, du, df, libc, sync, inetd, and syslogd Chkrootkit /etc/inetd.conf Açık portlar , nmap Nessus, Saint benzeri programlarla bilinen açıklar için tarayın. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

18 Nereden ve Kim Tarfından Kırıldığınızı Anlayın
Sistemde kullandığınız programların açıklarını kontrol edin. Log dosyalarını kontrol edin. Tuzak kurup bağlanmasını bekleyin. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

19 Makineyi Yeniden kurun!!
Makineninizin tamamen temizlendiğinden emin olmanın tek yolu sistemi tekrar kurmaktır!! 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

20 Onur BEKTAŞ TÜBİTAK-ULAKBİM
SORULAR? 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

"Kırıldığınızı nasıl anlarsınız, sonrasında ne yaparsınız?" indir ppt

Benzer bir sunumlar

Kullanıcılar için EGEE ve TR-Grid araçları

Kullanıcılar için EGEE ve TR-Grid araçları
Bilgisayar Ağları Son Hafta

Bilgisayar Ağları Son Hafta
LİNUX DİZİN YAPISI Öğr. Gör. Mustafa SARIÖZ

LİNUX DİZİN YAPISI Öğr. Gör. Mustafa SARIÖZ
WEB SUNUCU AYARLARI.

WEB SUNUCU AYARLARI.
Ahmet DERVİŞ Ahmet DERVİŞ LKD Seminerleri Linux Kullanıcıları Derneği

Ahmet DERVİŞ Ahmet DERVİŞ LKD Seminerleri Linux Kullanıcıları Derneği
BİLGİSAYAR AĞLARI İŞLETİM SİSTEMLERİ

BİLGİSAYAR AĞLARI İŞLETİM SİSTEMLERİ
T sql-diğer komutlar Metin Akbulut.

T sql-diğer komutlar Metin Akbulut.
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.

IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
Hazırlayan: Cihan UĞUR

Hazırlayan: Cihan UĞUR
TEMEL AĞ TANIMLARI.

TEMEL AĞ TANIMLARI.
FreeRADIUS ile Kimlik Denetimi

FreeRADIUS ile Kimlik Denetimi
gLite Grid Servisleri ve Güvenlik Aslı Zengin – Onur Temizsoylu –

gLite Grid Servisleri ve Güvenlik Aslı Zengin – Onur Temizsoylu –
Ethical Hacking 1. Bölüm Eyüp ÇELİK

Ethical Hacking 1. Bölüm Eyüp ÇELİK
Mysql, PhpMyAdmin, PHP, Dinamik Web Sayfası, PHPNuke Kullanımı

Mysql, PhpMyAdmin, PHP, Dinamik Web Sayfası, PHPNuke Kullanımı
HTTP’yi (istemci tarafı) kendi kendinize deneyin

HTTP’yi (istemci tarafı) kendi kendinize deneyin
Web Host Manager (WHM) Nedir Ne İşe Yarar ?

Web Host Manager (WHM) Nedir Ne İşe Yarar ?
BİR WORM’UN ANATOMİSİ Gökhan AKIN Asım GÜNEŞ

BİR WORM’UN ANATOMİSİ Gökhan AKIN Asım GÜNEŞ
Afyon Kocatepe Üniversitesi Bilgi İşlem Daire Başkanlığı

Afyon Kocatepe Üniversitesi Bilgi İşlem Daire Başkanlığı
APACHE, PHP VE LINUX İLE MAKSİMUM PERFORMANS

APACHE, PHP VE LINUX İLE MAKSİMUM PERFORMANS
Temel Linux Sunucusu Kurulumu

Temel Linux Sunucusu Kurulumu

Benzer bir sunumlar

Google Reklamları