Kırıldığınızı nasıl anlarsınız, sonrasında ne yaparsınız? Onur BEKTAŞ TÜBİTAK - ULAKBİM 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM Kırılmak? Yetkisi olmayan kişinin sistem yetkilerini kullanması,ele geçirmesi. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM Kimler ? Suç amaçlı. Büyük çapta DOS saldırıları için konak, yahoo,microsoft vb. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM Kimler ? l Meraklı kullanıcılar. Kendini ispat. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM Nasıl Anlarız? Sistem logları. Checksum programları. Ağ trafiğinin izlenmesi. Açık Port kontrolü. Rootkit kontrolü. Merak + Dikkat. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Şanslı Sistem Yöneticisi Date: Thu, 17 Apr 2003 20:50:35 +0300 (EEST) From: root <root@curie.chem.metu.edu.tr> To: "2f@n" <rootk@curie.chem.metu.edu.tr>, 3n9ur <roon@curie.chem.metu.edu.tr>, "0zk@n" <roos@curie.chem.metu.edu.tr>, Tufan Karadere <tufan@curie.chem.metu.edu.tr> Cc: R. Engur Pisirici <engur@curie.chem.metu.edu.tr>, Onur BEKTAS <onur@curie.chem.metu.edu.tr> Subject: mod utils update mud utilsin su anda sistemde yuklu olan versiyonunda local root veren bug bulunmaktadir,cozum icin mod utilsin en son versiyonunu update edilmesi gerekiyor..saygilarimla Kerem Delikara 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM Sistem Logları Logları güvenilir ortak bir makinde tutun !!!!! (loghost) Syslog-ng (http://www.balabit.com/products/syslog_ng/) Sistemin log seviyesini en üst noktada tutun. /etc/syslog.conf wtmp Login kayıtları messages Her türlü sistem bilgisi sulog Su komutu log dosyası auth.log Doğrulama (Auth.) dosyası xferlog Ftp kayıtları 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Veri Doğrulama(Checksum) Programları Sisteminizde hangi dosyaların değişikliğe uğradığını düzenli olarak kontol edin. Tripwire http://www.tripwire.org Aide http://www.cs.tut.fi/~rammer/aide.html Md5, diff komutları ile basit bir checksum programı kullanın. Kritik sistem dosyalarınızı ağa bağlı olmayan bir medyada tutup, değişiklik olduğunu farkettiğiniz anda orjinaliyle karşılaştırın. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM Sum.sh #!/bin/bash NEWDB="/tmp/check1" OLDDB="/tmp/check2" INITDB="/tmp/initdb" DIRLIST="/etc /root /etc/rc.d /bin /usr/bin /usr/local/bin /usr/lib /usr/local/etc /usr/local/lib /usr/local/squid/etc /usr/local/s amba/private" DIFF="/usr/bin/diff" if [ ! -f "$INITDB" ] then echo "Program running firs time!!" echo "Creating first database $INITDB" for i in $DIRLIST do cd $i md5 * >> $INITDB ls -al >> $INITDB done else echo "Removing old file $NEWDB" echo "Creating Database...." rm -f $NEWDB md5 * >> $NEWDB ls -al >> $NEWDB echo "Comparing Files..." $DIFF $INITDB $NEWDB --side-by-side --suppress-common-lines fi 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM Ağ trafiğini izleyin Mrtg Snmp datası alabileceginiz switch veya yönlendiricilerden trafiği izleyin. IDS (Intrusion Detection Systems) Snort Sniffer algılayıcı Hunt http://lin.fsid.cvut.cz/~kra/index.html 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Açık Portları Kontrol Edin Nmap Nmap –sTU –p1-65535 <İP> [root@tulumba root]# nmap -sTU -p1-65535 wwwcache.ulak.net.tr Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Interesting ports on wwwcache.ulak.net.tr (193.140.100.2): (The 131062 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 80/tcp open http 514/udp open syslog 1581/udp open unknown 1998/tcp open x25-svc-port 3128/tcp open squid-http 3130/udp open squid-ipc 3401/udp open unknown 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM Rootkit Kontrolü Sisteme saldıran kişi admin yetkisini ele geçirdikten sonra muhtemelen sisteminize farkedilmemesini ve tekrar sisteme girmesini sağlayacak rootkit kurcaktır.Rootkit’ler Sistem log dosyalarını değiştirip izleri siler. Sitem komutlarını değiştirip sistemi kıran kişinin farkedilmesini güçleştirir. df, su, telnet , ps ... Ağ trafiğini ve şifreleri ele geçirmeye yönelik sniffer ve bastığınız tuşları loglayan programlar yerleştirirler. Diğer sistemlere DOS saldırısı yapmak için gerekli programları içerir. Chkrootkit www.chkrootkit.org 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM Merak + Dikkat Potansiyel kullanıcıları gözleyin. *.c Wrapper kullanın. Sistemde anormallik var mı diye kontrol edin. Kullanıcılarınızı eğitin. Log dosyalarına göz gezdirin. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM Sonrasında Ne Yaparız? Panik yapmayın. Diğer sorumlu kişilere haber verin. Kontrolü ele alın. Sistme yerleştirilmiş yabancı programları arayın. Nerden kırıldığınızı anlayın. Makineyi tekrar kurun !!! 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM Kontrolü Ele Alın Sistemi ağdan çekin. Tek kullanıcı moda geçin (Single User Mod). Sistemi cdrom’dan orjinal kernelle açın. Sistemin birebir kopyasını alın. dd if=/dev/hda1 of=/dev/hdb1 Tüm yetkili sistem şifrelerini değiştirin. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Sisteme Yerleştirilmiş Yabancı Programları Arayın Sistem dosyalarındaki değişiklikleri tarayın. Tripwire, aide, /etc/passwd /etc/inetd.conf /etc/rc.d Kernel Çalıştırılabilir dosyaları (binary file) md5 cheksumlarını alarak orjinal cdrom ile karşılaştırın. Eğer rlogin rsh gibi uzaktan (remote) erişim servisleriniz açıksa. ~/.rhost /etc/hosts.eqiv dosyalarını kontrol edin SUID veya SGID biti set edilmiş dosyaları bulup kontrol edin. find / \( -perm -004000 -o -perm -002000 \) -type f -print 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Sisteme Yerleştirilmiş Yabancı Programları Arayın Ağ dinleyicileri (Network sniffers) cpm - UNIX ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/cpm/ ifstatus – UNIX ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/ifstatus/ Truva Atı Programları (Trojan Horse) Dosyaların md5 sumlarını orjinal sistem dosyalarıyla karşılaştırın telnet, in.telnetd, login, su, ftp, ls, ps, netstat, ifconfig, find, du, df, libc, sync, inetd, and syslogd Chkrootkit /etc/inetd.conf Açık portlar , nmap Nessus, Saint benzeri programlarla bilinen açıklar için tarayın. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Nereden ve Kim Tarfından Kırıldığınızı Anlayın Sistemde kullandığınız programların açıklarını kontrol edin. Log dosyalarını kontrol edin. Tuzak kurup bağlanmasını bekleyin. 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Makineyi Yeniden kurun!! Makineninizin tamamen temizlendiğinden emin olmanın tek yolu sistemi tekrar kurmaktır!! 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM

Onur BEKTAŞ TÜBİTAK-ULAKBİM SORULAR? 4/10/2003 Cumartesi Onur BEKTAŞ TÜBİTAK-ULAKBİM