Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM1 Kırıldığınızı nasıl anlarsınız, sonrasında ne yaparsınız? Onur BEKTAŞ TÜBİTAK - ULAKBİM.

Benzer bir sunumlar


... konulu sunumlar: "4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM1 Kırıldığınızı nasıl anlarsınız, sonrasında ne yaparsınız? Onur BEKTAŞ TÜBİTAK - ULAKBİM."— Sunum transkripti:

1 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM1 Kırıldığınızı nasıl anlarsınız, sonrasında ne yaparsınız? Onur BEKTAŞ TÜBİTAK - ULAKBİM

2 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM2 Kırılmak? Yetkisi olmayan kişinin sistem yetkilerini kullanması,ele geçirmesi.

3 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM3 Kimler ? Suç amaçlı. Büyük çapta DOS saldırıları için konak, yahoo,microsoft vb.

4 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM4 Kimler ? Meraklı kullanıcılar. Kendini ispat. l

5 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM5 Nasıl Anlarız? 1. Sistem logları. 2. Checksum programları. 3. Ağ trafiğinin izlenmesi. 4. Açık Port kontrolü. 5. Rootkit kontrolü. 6. Merak + Dikkat.

6 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM6 Şanslı Sistem Yöneticisi Date: Thu, 17 Apr :50: (EEST) From: root To: 3n9ur, Tufan Karadere Cc: R. Engur Pisirici, Onur BEKTAS Subject: mod utils update mud utilsin su anda sistemde yuklu olan versiyonunda local root veren bug bulunmaktadir,cozum icin mod utilsin en son versiyonunu update edilmesi gerekiyor..saygilarimla Kerem Delikara

7 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM7 Sistem Logları Logları güvenilir ortak bir makinde tutun !!!!! (loghost) Syslog-ng (http://www.balabit.com/products/syslog_ng/) Sistemin log seviyesini en üst noktada tutun. /etc/syslog.conf wtmp Login kayıtları messages Her türlü sistem bilgisi sulog Su komutu log dosyası auth.log Doğrulama (Auth.) dosyası xferlog Ftp kayıtları

8 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM8 Veri Doğrulama(Checksum) Programları Sisteminizde hangi dosyaların değişikliğe uğradığını düzenli olarak kontol edin. Tripwire Aide Md5, diff komutları ile basit bir checksum programı kullanın. Kritik sistem dosyalarınızı ağa bağlı olmayan bir medyada tutup, değişiklik olduğunu farkettiğiniz anda orjinaliyle karşılaştırın.

9 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM9 #!/bin/bash NEWDB="/tmp/check1" OLDDB="/tmp/check2" INITDB="/tmp/initdb" DIRLIST="/etc /root /etc/rc.d /bin /usr/bin /usr/local/bin /usr/lib /usr/local/etc /usr/local/lib /usr/local/squid/etc /usr/local/s amba/private" DIFF="/usr/bin/diff" if [ ! -f "$INITDB" ] then echo "Program running firs time!!" echo "Creating first database $INITDB" for i in $DIRLIST do cd $i md5 * >> $INITDB ls -al >> $INITDB done else echo "Removing old file $NEWDB" echo "Creating Database...." rm -f $NEWDB for i in $DIRLIST do cd $i md5 * >> $NEWDB ls -al >> $NEWDB done echo "Comparing Files..." $DIFF $INITDB $NEWDB --side-by-side --suppress-common-lines fi Sum.sh

10 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM10 Ağ trafiğini izleyin Mrtg Snmp datası alabileceginiz switch veya yönlendiricilerden trafiği izleyin. IDS (Intrusion Detection Systems) Snort Sniffer algılayıcı Hunt

11 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM11 Açık Portları Kontrol Edin Nmap Nmap –sTU –p [ root]# nmap -sTU -p wwwcache.ulak.net.tr Starting nmap V ( ) Interesting ports on wwwcache.ulak.net.tr ( ): (The ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 80/tcp open http 514/udp open syslog 1581/udp open unknown 1998/tcp open x25-svc-port 3128/tcp open squid-http 3130/udp open squid-ipc 3401/udp open unknown

12 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM12 Rootkit Kontrolü Sisteme saldıran kişi admin yetkisini ele geçirdikten sonra muhtemelen sisteminize farkedilmemesini ve tekrar sisteme girmesini sağlayacak rootkit kurcaktır.Rootkit’ler Sistem log dosyalarını değiştirip izleri siler. Sitem komutlarını değiştirip sistemi kıran kişinin farkedilmesini güçleştirir. df, su, telnet, ps... Ağ trafiğini ve şifreleri ele geçirmeye yönelik sniffer ve bastığınız tuşları loglayan programlar yerleştirirler. Diğer sistemlere DOS saldırısı yapmak için gerekli programları içerir. Chkrootkit

13 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM13 Merak + Dikkat Potansiyel kullanıcıları gözleyin. *.c Wrapper kullanın. Sistemde anormallik var mı diye kontrol edin. Kullanıcılarınızı eğitin. Log dosyalarına göz gezdirin.

14 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM14 Sonrasında Ne Yaparız? 1. Panik yapmayın. 2. Diğer sorumlu kişilere haber verin. 3. Kontrolü ele alın. 4. Sistme yerleştirilmiş yabancı programları arayın. 5. Nerden kırıldığınızı anlayın. 6. Makineyi tekrar kurun !!!

15 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM15 Kontrolü Ele Alın Sistemi ağdan çekin. Tek kullanıcı moda geçin (Single User Mod). Sistemi cdrom’dan orjinal kernelle açın. Sistemin birebir kopyasını alın. dd if=/dev/hda1 of=/dev/hdb1 Tüm yetkili sistem şifrelerini değiştirin.

16 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM16 Sisteme Yerleştirilmiş Yabancı Programları Arayın Sistem dosyalarındaki değişiklikleri tarayın. Tripwire, aide, /etc/passwd /etc/inetd.conf /etc/rc.d Kernel Çalıştırılabilir dosyaları (binary file) md5 cheksumlarını alarak orjinal cdrom ile karşılaştırın. Eğer rlogin rsh gibi uzaktan (remote) erişim servisleriniz açıksa. ~/.rhost /etc/hosts.eqiv dosyalarını kontrol edin SUID veya SGID biti set edilmiş dosyaları bulup kontrol edin. find / \( -perm o -perm \) -type f -print

17 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM17 Sisteme Yerleştirilmiş Yabancı Programları Arayın Ağ dinleyicileri (Network sniffers) cpm - UNIX ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/cpm/ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/cpm/ ifstatus – UNIX ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/ifstatus/ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/ifstatus/ Truva Atı Programları (Trojan Horse) Dosyaların md5 sumlarını orjinal sistem dosyalarıyla karşılaştırın telnet, in.telnetd, login, su, ftp, ls, ps, netstat, ifconfig, find, du, df, libc, sync, inetd, and syslogd Chkrootkit /etc/inetd.conf Açık portlar, nmap Nessus, Saint benzeri programlarla bilinen açıklar için tarayın.

18 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM18 Nereden ve Kim Tarfından Kırıldığınızı Anlayın Sistemde kullandığınız programların açıklarını kontrol edin. Log dosyalarını kontrol edin. Tuzak kurup bağlanmasını bekleyin.

19 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM19 Makineyi Yeniden kurun!! Makineninizin tamamen temizlendiğinden emin olmanın tek yolu sistemi tekrar kurmaktır!!

20 4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM20 SORULAR?


"4/10/2003 CumartesiOnur BEKTAŞ TÜBİTAK-ULAKBİM1 Kırıldığınızı nasıl anlarsınız, sonrasında ne yaparsınız? Onur BEKTAŞ TÜBİTAK - ULAKBİM." indir ppt

Benzer bir sunumlar


Google Reklamları