Evet Ne zamandır uğraşıp durduğum SpySh3L malesef hatalar üstüne hatalar verdi.
Herşey tamam güzel fakat verilen komutları nedense göndermiyor.Hiçbir buton çalışmıyor ve hiç bir şekilde düzeltemedim.
Umarım düzeltirim Yoksa Spysh3LL yalan olacak.
SpySh3LL Hayallerim Sona Eriyor
Güvenlik Terimleri
Access Control :
Network üzerindeki herhangi bir bilgi kaynagina erisim konusunda yetkilendirilmis kisiler, programlar, islemler veya network içindeki diger sistemler için konulan sinirlamadir.
Attack Signature :
Network üzerinden gelen bilgi paketlerini bazi modellere göre dikkatlice inceleyerek kötü niyetli aktiviteleri haber veren bir sistemdir.
Authentication, authorization and accounting ( AAA ) :
Kaynaklara güvenli erisimi saglayici güvenlik unsurlaridir.
Authentication :
Server, switch ya da router kullanimlarinda cihaz ya da kullanicinin kimliginin onaylanmasidir.
Authorization :
Kullanici ya da kullanicilara sisteme, programa ve network erisim hakkinin verilmesidir.
Accounting :
Herhangi bir kullanicinin ne yaptigi, kullanici hareketleri kullanici data baglantilari ve kullanici sistem kayitlarinin izlenebilmesi amaciyla yapilan islemdir.
Authentication header :
Paketin içeriginin aktarim sirasinda degismedigini dogrulamak amaciyla kullanilan IPSec basligidir.
CBAC ( Context-Based Access Control ) :
Cisco IOS yazilimi içinde bulunan bu özellik sayesinde tüm yönlendirilebilir data akisi denetlenip kontrol edilmis paketler halinde yapilabilir. ACL tarafindan kontrol edilen data akisindaki paketlerin ilerlemesine izin verilebilir ya da yasaklanabilir.
Certificate :
Güvenilir bir otorite tarafindan özel açiklama ile belirli bir kalip ve isim altinda belirlenen özelliklere sahip olundugunu bildirir.
Certificate authority ( CA ) :
Bagimsiz çalisarak dijital sertifikalari onaylar ve bu nedenle yetkilendirilmis diger kullanicilari da tanir.
Compromise :
Network’e yapilan saldiri ve güvenligi asma olaylarinda güvenlik sisteminin kullandigi prosedürlerdir.
Computer Emergency Response Team ( CERT ) :
Bilgisayar ve network güvenligi konularinda öncelikli olarak servis saglayan, sistem yöneticilerinden olusan resmi bir organizasyondur.
Cryptographic Key :
Sifreleme, sifre çözümü ve bilgi onaylamak için kullanilan dijital bir sifredir.
Cryptography :
Mesajlari sifreleme ve sifreli mesajlari okuma bilimidir.
Data Confidentiality :
Sadece bilgi paketlerine ulasma yetkisi olanlarin bunlari kolayca ulasilabilir formatta görmelerinin garanti edilmesidir.
Data Encryption Standard ( DES ) :
National Institute of Standards and Technology tarafindan gelistirilmis gizli ve kilit sifreleme standardidir.
Data Integrity :
Verinin network içindeki aktarimi sirasinda degisiklige ugramadigi ve zarar görmedigini garanti etme islemidir.
Data privacy :
Network verilerinin gizlice elde edilmesi ya da kurcalanmasina karsi olusturulmus korunma islemidir. Bazi durumlarda GRE veya Layer 2 Tunneling Protocol (L2TP)de oldugu gibi tunneling teknolojisi kullanilarak data ayrilir, bu da etkili veri gizliligini saglar. Bazen, özellikle VPN yürürlüge girdigi an, geleneksel gizlilik gereklilikleri dijital sifreleme teknolojisi ve protokollerini IPSec’’e oldugu gibi kullanmak için istekte bulunur.
Denial-of-service ( DoS ) attack :
Network tasarlanmis servisleri yerine getirmesine engel olmayi amaçlayan her türlü kötü niyetli faaliyettir. Bir insanin sürekli telefon hatlarini mesgul etmesine benzemektedir.
Diffie Hellman :
Sifreleme tabanli yönetim sistemlerinde, izin verilen iki kullanici ya da network cihazinin güvensiz bir ortamda yine bu sifreleri kullanarak güvenli bir sekilde data alis-verisi yapmasidir.
Digital Signature :
Elektronik mesajlarda dogrulama ve güvenligi saglayan, mesaja eklenen(baglanan) bir dizi veridir.
Digital Signature Standard ( DSS ) :
National Security Agency tarafindan gelistirilmis dijital imza standardidir.
Encryption :
Verinin, iletim sirasinda bilinçli olarak sifrelendirilmesi ve kimse tarafindan okunmadan müsteriye ulastirilmasi ve daha sonra da yeniden sifrenin çözülmesi islemidir.
Firewall :
Özel network kaynaklarini, kimligi bilinmeyen ve kötü niyetli olmasi olasi kullanicilarindan korumak için kurulan, yazilim veya donanim tabanli geçit sistemine verilen addir. Kurumlarin iç network’lerini, Internet’dn gelebilecek tehlikelere karsi koruyan ilk engel Firewall’dur.
Generic Routing Encapsulation ( GRE ) :
Cisco tarafindan gelistirilen Tunneling Protocol, IP Tunnels içindeki çok çesitli türlerde protokol paket tiplerini enkapsüle eder. Bunun yaninda Cisco routerlar kullanilarak IP network üzerinde noktadan noktaya sanal baglanti yaratilir.
Hack :
Network’e izin alinmadan yalnizca kendi çikarlari için uygun olmayan yollarla girme ve gizli belgelere ulasarak illegal kazanç saglama islemidir.
[color=green[Identity : [/color]
Network’teki kullanicilarin, uygulamalarin, servis ve kaynaklarin olumlu kesin tanimlanmasidir. Dijital sertifikalar, kartlar ve dizin servisleri gibi yeni teknolojilerin de bu kimlik çözümlerinde önemleri hizla artmaktadir.
Integrity :
Verinin özellikle tanimlanan kisiler disinda degistirilmedigini garanti etmek anlamindadir. “Network Bütünlügü” seklinde kullanildigi zaman, network’ün amaçlarina aykiri bir tarzda kullanimina izin verilmeyecegi anlatilmaktadir.
Internet Engineering Task Force ( IETF ) :
Internet kullanimi konusunda protokoller hazirlayan bir orgnizasyondur. Yayimlari Request for Comments ( RFCs ) olarak adlandirilmaktadir.
Internet Security Association and Key Management Protocol ( ISAKMP ) :
IPSec’e yönelik asil yönetim protokolüdür; ayni zamanda Internet Key Management Protocol (IKE) olarak da adlandirilmaktadir.
Intrusion Detection System ( IDS ) :
Hareketli algilayici seklinde olan, network çevresini ve hassasiyeti giderek artan internal network’ü korumaya yönelik güvenlik sistemidir. Bu sistem, data akisi içerisinde gerçeklesen yetki disi faaliyetleri analiz eder ve bunlari uyararak tepkisini gösterir.
Internet Protocol ( IP ) :
Bilgisayar networkleri arasinda veri alis-verisini saglayan paket tabanli bir protokoldür.
IPSec :
Internet Protokol katmaninda gizlilik ve dogruluk saglamaya yönelik güvenlik standartlari grubudur.
Layer-2 Forwarding Protocol ( L2F ) :
Internet’te sanal güvenlige sahip dialup networkler yaratilmasini saglayan bir protokoldür.
Layer-2 Tunneling Protocol ( L2TP ) :
VPN’lerin yürütülmesi amaciyla Cisco Layer-2 Forwarding ( L2F ) protokolü ile Microsoft’un point-to-point Tunneling protokolünü IETF açisindan birlestiren bir standarttir.
Kerberos :
Massachussetts Institute of Technology tarafindan gelistirilmis, anahtar network dogrulama(onaylama) protokolüdür,bunu saglamakiçin DES sifreleme algoritmasi ve merkezilestirilmis database kullanilir.
National Institute of Standards and Technology ( NIST ) :
Amerika Birlesik Devletleri’nin teknik standartlarini belirleyen hükümet aracisidir.
National Security Agency (NSA) :
Amerika Birlesik Devletleri’nin güvenligini ilgilendiren sifrelenmis tüm yabanci baglantilari bildirme yükümlülügü olan hükümet aracisidir.
Network Address Translation (NAT) :
Bir IP adresini baska bir IP adresine çevirme metodudur. Öncelikli olarak Internet gibi baska bir standartta bulunan IP adresi ile iç network’te kullanilan IP adresi arasindaki baglantiyi kurmakta kullanilir.
Nonrepudation :
Kisinin gönderdigi mesaji ya da yapmis oldugu faaliyeti inkar etmesini önleyen bir sifreleme özelligidir.
Packet Filtering :
Tüm yönlendirilebilir data akisinin paket paket denetlenmesidir.
Ping :
Baska bir aygitin varligini ve operasyon kabiliyetini saptamaya yönelik komuttur.
Ping of death :
Atak yapan kisiler büyük miktarlarda ping paketleri gördüklerinde, alici makine bu büyük boyuttaki paketlere cevap vermeye çalisir fakat bu sirada çöker.
Point-to-point Tunneling Protocol (PPTP) :
Windows 95 ve 98 isletim sistemlerinden VPN hizmetine geçmek için kullanilan Microsoft temelli standarttir.
Private key :
Sifrelenen verinin, dijital imzanin sifresinin çözülmesi ve dogrulanmasi için kullanilan koddur. Gizli tutulur ve sadece sahibi tarafindan bilinir.
Proxy :
Baska bir sistem adina islem yapan bir alettir. Firewall ile ilgili oldugunda; proxy, gelen data akisini yavaslatarak, paketlerin kontrolünü yapar.
Public key :
Sifrelenen verinin sifresinin çözülmesi ve dogrulanmasi için kullanilan koddur, genis kitleler tarafindan kullanilabilir.
Public key infrastructure :
Güvenilir, ayni zamanda etkili sertifika yönetim sistemidir.
Remote Access Dial-in-Service (RADIUS) :
Livinston Enterprise Inc. Tarafindan gelistirilmis, erisim sunucularini dogrulayan bir network protokolüdür.
Risk analysis :
Güvenlik risklerini teshis eden, etkilerini belirleyen ve önlem alinmasi gereken bölgeleri belirleyen bir islemdir.
RSA (Rivest, Shamir, Adelman):
Verileri sifreleyen, dijital imzalari dogrulayan ve gelistiricilerinin adiyla anilan anahtar sifreleme yöntemidir.
Scanner :
Girisimci sinif program inceleme uygulamasidir, kullanicinin network güvenlik açiklarini hacker’dan önce saptamasini saglar.
Security monitoring :
Düzenli testler ve Security Posture Assessments’lar ile network’ün güvenlik altinda tutulmasidir.
Security perimeter :
Mevcut network’ün güvenligini saglamak amaciyla konulan güvenlik kontrolleridir.
Security policy :
Network hizmetlerinin yayilmasini ve güvenlik politikalarini sürekli olarak kontrol eden yüksek seviyeli talimatlardir.
Shunning :
ACL bir atak denemesini fark ettiginde saldiran kisinin IP adresinden gelen paketlerin bir süre için router’a iletimini durdurur. Daha sonra Cisco router dinamik olarak kendini tekrar konfigüre eder.
SMURF Attack :
Hacker tarafindan kötü amaçla gönderilen çok sayida IP numarasi belli olmayan ping paketleri broadcast adreslerine gönderildiginde bu paketler büyütülüp gelen adreslere gönderilir. Bu büyütme islemi kaç kisinin cevap verdigine baglidir.
Spoofing :
Yetkili bir kullaniciymis gibi bir aygita erisim denemesidir.
Terminal Access Control System Plus (TACACS+) :
AAA protokolü öncelikli olarak dialup baglanti yönetimi için kullanilir.
Triple DES :
Bilgi paketlerinin sifreleme/sifre çözme/sifreleme/’sini yapan DES algoritmasidir.
Tunnel :
Iki nokta ya da üçüncü sahis konumundaki network arasindaki sifreli baglantidir.
Virtual Private Network (VPN) :
Bir network ile digeri arasindaki tüm data akisini sifreleyerek, IP data akisina genel TCP/IP network’ü üzerinde güvenli baglanti saglar.
Vulnerability :
Güvenlik prosedürlerinde, network dizayni ya da uygulamalarin ortak güvenlik politikasini bozucu sekilde istismar edilebilecegini gösteren zayifliktir.
Web server(Apache) için mod_dosevasive kurulumu (DOS Saldırılarını engelleyin)
Modülü kurmadan önce şunu belirtelim bu mod serverda yüklü olan frontpage extensios'ların doğru olarak çalışamamasına sebep olabilmektedir.
MOD_DOSEVASIVE(Apache DoS Evasive Maneuvers Module):
Mod_dosevasive apache için DoS , DDoS ve brute force saldırılarını engellemek için yazılmış bir modüldür.Firewall ların genellikle etkisiz kaldıkları get,post tipi saldırılarda özellikle yeteneklerini göstermektedir.Böylece sunucunuza aşırı yük binmeden kendini toparlıyabilmesini sağlamaktadır.Kolayca firewall ,router,ipchain,iptables ile anlaşabilecek şekilde modülü ayarlıyabilirsiniz böylece saldırganların sunucudan firewall seviyesinde yada router seviyesinde atılmasını sağlayabilirsiniz.Genel olarak yaptığı işi inceliyelim kullanıcı sunucudaki bir siteye devamlı get,post,put gibi istekler gönderiyorsa mod_dosevasive tarafından kara listeye alınıyor sizin belirlediğinz süre boyunce kara listeye alınan kişi sunucuya istek göndermeye devam edebilir ama alacağı http 403 forbidden(yasak) cevabını alır.Bu istekelr devam etse bile sunucunuz yorulmayacaktır.Kendi deneyimlerimi yazının en sonunda paylaşacağım.Eğer firewall yada router ile anlaşabielcek şekilde ayarlarsanız mod_dosevasive yı kara listeye alınan kullanıcı bekletilmeden direk sunucudan uzaklaştırılıcaktır.
Teknik Detaylar:
Tarama işlemi oluşturulan bir dinamik hash tablosunun kontrolu ile yapılır.Bu tablodaki ipler aşağıdaki standart kurulum değerlerini gösteriyorsa kara listeye alınır.
*Saniyede aynı sayfayı birden fazla istek yapılmışsa.
*Aynı çocuk süreç üzerinden 50 istek yapıldı ise.
*Kara listeye alındığı halde istek yapılıyorsa.
bu genellikle bu aralar çok yaygın olarka yapılan http flood scriptlerinden sunucuyu korumaktadır.Hem cpu kullanımını minimal de tutarken hemde sunucuyu bandwith türü yapılan saldırıladan korur.Belirlenen süre içinde engellenen kullanıcılar süre bittiğinde sunucuya takrar istek gönderebilir tabi firewall yada router ile sunucudan atılmadı ise.Sunucudan yaskalı olan ip listesi /tmp dizininde saklanmaktadır ve mod_dosevasive tarafından kontrol edilmektedir
Kurulum İşlemleri
Apache 1.3.x için kurulum detayları.
1.) /usr/local/src dizinine geçiyoruz.
[syntax="php"]cd /usr/local/src[/syntax]
2.)Dosyayı sunucuya indiriyoruz.
[syntax="php"]wget http://www.nuclearelephant.com/projects ... .10.tar.gz [/syntax]
3.)Sıkıştırılmış arşiv dosyasını açıyoruz.
[syntax="php"]tar -zxvf mod_dosevasive_1.10.tar.gz [/syntax]
4.)Mod_dosevasive nin klasörüne giriyoruz
[syntax="php"]cd mod_dosevasive [/syntax]
5.)DSO desteği ile yüklüyoruz.
[syntax="php"]/etc/httpd/bin/apxs -cia mod_dosevasive.c [/syntax]
Apache 2 için kurulum adımları
1.)httpd devel paketini kurarak başlıyoruz.
[syntax="php"]up2date -i httpd-devel [/syntax]
2.) /usr/local/src dizinie geçiyoruz
[syntax="php"]cd /usr/local/src [/syntax]
3.)Dosyası sunucuya indiriyoruz.
[syntax="php"]wget http://www.nuclearelephant.com/projects ... .10.tar.gz [/syntax]
4.)Arşiv dosyasını açıyoruz
[syntax="php"]tar -zxf mod_dosevasive_1.10.tar.gz [/syntax]
5.)Mod_dosevasive klasörüne giriyoruz
[syntax="php"]cd mod_dosevasive [/syntax]
6.)DSO modülü olarak kuruyoruz
[syntax="php"]/usr/sbin/apxs -cia mod_dosevasive20.c [/syntax]
Ayarların Yapılması
Apache 1.3.x için
1.)Apache nin ayar dosyası olan httpd.conf dosyasını açıyoruz.
[syntax="php"]pico -w /usr/local/apache/etc/httpd.conf[/syntax]
2.)Ctrl+w tuşlarına basarak gelen arama ekranına AddModule mod_dosevasive.c yazıyoruz.Bu kısmın hemen altına aşağıda vereceğim değerleri yazıyorsunuz.
[syntax="php"]
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
3.)Tekrar ctrl+w tuşlarına basın gelen arama ekranına MaxRequestsPerChild MaxRequestsPerChild = 0 değerini görüceksiniz o değeri MaxRequestsPerChild 10000 olacak şekilde değiştirin.Bu sayede mod_dosevasive süresi dolan hash leri temizleyecektir.Ayrıca gene httpd.conf ta keepalive yazan kısım on olarak kalsın off yaparsanız çalışmayacaktır.
4.)Ctrl+x tuş kombinasyonunu kullanarak dosyayı kaydedip çıkın.
5.)Apache yi yeniden başlatın.
[syntax="php"]/etc/init.d/apache restart [/syntax]
Apache 2.x için ayarların yapılması
1.)Apache ayar dosyası olan httpd.conf dosyasını açın
2.)LoadModule mod_dosevasive.c yazan yeri bulun altına aşağıdakileri ekleyin.
[syntax="php"]
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSBlockingPeriod 600
3.)Tekrar ctrl+w tuşlarına basın gelen arama ekranına MaxRequestsPerChild MaxRequestsPerChild = 0 değerini görüceksiniz o değeri MaxRequestsPerChild 10000 olacak şekilde değiştirin.Bu sayede mod_dosevasive süresi dolan hash leri temizleyecektir.Ayrıca gene httpd.conf ta keepalive yazan kısım on olarak kalsın off yaparsanız çalışmayacaktır.
4.)Dosyayı kaydedip apache yi yeniden başlatın.
Eklenen Değerlerin anlamları
DOSHashTableSize:
Her çocuk süreçteki en üst seviye nodlarının büyüklüğünü belirtir.Bu değeri yükseltmek performans artışını sağlayacaktır fakat aynı zamanda kayıtların kontrolu daha seyrek yapılıcaktır.Eğer yoğun bir sunucunuz varsa bu değeri yükseltin .
DOSPageCount:
Aynı sayfaya gelebilecek belirli bir süredeki istek sayısıdır.Belirli bir süre değeri DOSPageINterval değeri ile ayarlanır.Eğer bu istek sayısı aşılırsa ip kara listeye alınır sunucuya ulaşmaya çalıştığında 403 forbidden yanıtını alır.
DOSSiteCount
DOSSiteInterval değerinde belirtilen sürede siteden çekilebilecek obje,nesne sayısıdır.Resimler, style sheets, javascripts, SSI
DOSPageInterval
DOSPageCount değeri için ayarlanıcak saniyedir.
DOSSiteInterval
DOSSiteCount değeri için ayarlanıcak saniyedir.
DOSBlockingPeriod:
Kara listeye alınan iplerin 403 forbidden yanıtını alacağı saniye cinsinden süredir bunu yüksek tutmaya çalışın 10 dakika gibi yani 600
DOSEmailNotify
Herhangi bir saldırı olduğunda maillerin gideceği e-posta adresi.
DOSSystemCommand:
Sistem tarafından icra edilebilecek komutlar.
Kişisel Deneyim:
Daha önce http flood scriptlerini engellemek için bir çok firewall,apache için eklenti kurdum denedim ve çoğu gerçekten bir işe yaramıyordu kanatimce yada beklediğim şekilde etki etmiyordu örneğin mod_throotle dosevasive varken bunu kesinlikle kurmayın derim modu deneme platformum p4 2.4 1024 ram yaklaşık 80 siteyi barındıran orta yoğunlukta bir server modülü önce firewall ile iletişim kurmayacak şekilde kurdum böylece kara listeye alınan bir ip hemen serverdan uzaklaştırılmayacak 403 mesajları gönderilicekti.İlk denemememi 1024 k adsl ile yaptım %0.5 seviyesinde seyreden server load ve %30 seviyesinde seyreden ram saldırının birinci dakikasında yük yoğunluğu 60 a ram kullanımı 70 civarına çıktı modülün logları incelemeye başlaması ile 60 a çıkan yük yoğunluğu saldırıya devam etmeme rağmen 10 dakika içinde 1.3 seviyesine indi buda bu kadar ağır bir saldırı için çok normal hehrangi bir önlem alınmamış bir serverda böye bir saldırı yani dinamik php sayfalarına devamlı get isteği gelmesi önce apache yi failler sonra mysql u ve sunucunun kendine gelemiyeceğine garanti veririm.Yaklaşık 1.30 saat kadar saldırıyı sürdürdüm bu sürede ortama process sayısı
167.23 requests/sec dır görüldüğü gibi aşırı fazla bir sayı saldırı sırasında 30-40 arası olan ram kullanımı 80 e çıktı buda gayet doğal bir olay çünkü linux un işleyişi windows gibi değildir elindkei bütün işlemleri olabildiğince ram e yazar yeterli bellek kalmadığında ise bunları boşaltır ama benim görüşürüz 2gb ram li bir sunucuda bu tür ağır bir http flood un mod_dosevasive ile hiç bir etkisi olmayacaktır.APF firewall u mod_dosevasive ile iletişim kuracak şekilde ayarladığımda ise saldırı yaptığım ip 3 dakika içinde sistemden uzaklaştırıldı.
Benim kullandığım kurallar biraz daha agrasif olmasına karşın serverda çok yoğun siteler olmadığı için çok iyi sonuç verdiğini düşünüyorum.Agrasif kural zinciri
[syntax="php"]
DOSHashTableSize 3097
DOSPageCount 1
DOSSiteCount 25
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 600
mod_dosevasive nın Firewall ile yardımıyla kara listeye alınanları sunucudan uzaklaştırması
1.)Konsolda root iken visudo yazın.Dosyanın en altına girip şunu ekleyin
[syntax="php"]nobody HOSTNAME = NOPASSWD: /usr/local/sbin/apf -d * [/syntax]
Burada hostname kısmına kendi hostname inizi yazın bunu öğrenmek için konsolda hostname komutunu kukkanabilirsiniz.Benim hostname im root.abcd.com diyelim oraya
[syntax="php"]nobody root. = NOPASSWD: /usr/local/sbin/apf -d * [/syntax]
yazıyorum. Kaydetmek için ESC tuşuna basın ve ardından qw tuşlarına basıp enter deyin.
2.)Apache ayar dosyası olan httpd conf dosyasını gene açıyoruz
[syntax="php"]pico -w /usr/local/apache/conf/httpd.conf [/syntax]
3.)Daha önce eklediğimiz kısımı buluyoruz
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
hemen altına şu 2 satırı ekliyoruz
[syntax="php"]DOSEmailNotify email@adresiniz.com
DOSSystemCommand "sudo /usr/local/sbin/apf -d %s" [/syntax]
kendi mail adresinizi değiştirmeyi unutmayın.
4.)Dosyayı kaydedip çıkıyoruz ve apache yi yeniden başlatıyoruz
[syntax="php"]/etc/init.d/apache restart [/syntax]
5.)Artık kara listeye alınan ipler firewall tarafından sistemden uzaklaştırılıcaktır
Genel Server Güvenliği
Genel Server Güvenliği
%100 server güvenliğini sağlamanın tek yolu o serverın fişinden geçmektedir. En güvenli server fişi çekik serverdır.
Bunun dışındaki tüm methotlar sadece server güvenliğini arttırmak içindir. Aşağıda server güvenliği ile ilgili verilmiş
bilgiler genel bilgiler olup kullanıcıya göre değişebilmektedir.
vi, pico vb editorler kullanılarak aşağıdaki satırlar /etc/sysctl.conf içine eklenmelidir
# disable packet forwarding net.ipv4.ip_forward = 0 # enable source route verification
net.ipv4.conf.all.rp_filter = 1 # ignore broadcast pings
net.ipv4.icmp_echo_ignore_broadcasts = 1 # enable syn cookies
net.ipv4.tcp_syncookies = 1 # size of syn backlog
net.ipv4.tcp_max_syn_backlog = 512 # disable automatic defragmentation #
set max files fs.file-max = 32768 # Enable IP spoofing protection, turn on
Source Address Verification net.ipv4.conf.all.rp_filter = 1
# Enable TCP SYN Cookie Protection net.ipv4.tcp_syncookies = 1
# Enable ignoring ping request net.ipv4.icmp_echo_ignore_all = 1
Bu ne yapar?
Bu kodlar linux işletim sisteminin kendisi tarafından kullanılmaktadır. Bu kodlar sisteme ping, icmp, isteklerini
redetmesini ve SYN korumasını devreye alınmasını, network forwarding in engellenmesini sağlar. Ancak bu değişiklik
yapıldıktan sonra server reboot edilmelidir.
/etc/rc.local, içine aşağıdaki kod eklenmelidir
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > done
echo 1 > /proc/sys/net/ipv4/tcp_syncookies for f in /proc/sys/net/ipv4/conf/*/accept_source_route;
do echo 0 > done echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Bu kısım bir önceki kısımla aynıdır ve bu isteklerin rededilmesi işlemini tekrar, başka bir guvenlik katmanıdır.
/etc/host.conf, içine aşağıdaki kodlar eklenmelidir , tabi içinde yoksa
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
/etc/hosts.deny içine aşağıdaki kod eklenmelidir
ALL: PARANOID
Burada bir önceki işlemde yapılan spoofing korumasını arttırılması sağlanır.
Firewall linux server için en önemli ihtiyaçtır. Firewall olmaksızın linux server tamamı ile tehlike altındadır
denilebilir , firewall ile server güvenlik altındadır ve korunabilir diyebiliriz ancak unutlmamalıdır ki hiç bir
firewall %100 güvenlik sağlamaz.
Kernel bilgilerini aramalı ve bulmalısnız. Hatta kişisel kernel derlemeside yapabilirsiniz, (eğer linuxde çok iyi
bir kullanıcı değilseniz kesinlikle bu işlem önerilmez) veya RPM kullanabilrsiniz
Kernel derlemesi local olmayan makinalarda kesinlikle önerilmeyen bir işlemdir. Sebebi ise , eğer bir şeyler ters
giderse sizin power düğmesine basıp kapatacak şansınız olmayacak ve tek kullanıcı modunda serverı başlatamayaaksınız.
Data Center ı beklemeli bir destek isteğinde bulunmalı ve onların yanıt vermesini beklemek zorunda kalacaksınız.
Buda hem büyük zaman kaybı, hem oldukça yavaş hem de çok maliyetli bir işlemdir.
Diğer uygulamalar yapılan konfigurasyon değişiklikleri sistem aşırı yükünü vb sorunları engelleyecektir.
Örnek
proftpd:
/etc/proftpd.conf, içine aşağıdaki kod eklenebilir
TimeoutIdle 600 TimeoutNoTransfer 600 TimeoutLogin 300 MaxInstances 30 MaxClientsPerHost 2
mysql için:
/etc/my.cnf
[mysqld] port = 3306 skip-locking
set-variable = max_connections=100
set-variable = max_user_connections=20
set-variable = key_buffer=16M
set-variable = join_buffer=4M
set-variable = record_buffer=4M
set-variable = sort_buffer=6M
set-variable = table_cache=1024
set-variable = myisam_sort_buffer_size=32M
set-variable = interactive_timeout=100
set-variable = wait_timeout=100
set-variable = connect_timeout=10
set-variable = thread_cache_size=128
ve son olarak, /etc/rc.local, içine aşağıdaki kod eklenebilir.
TMOUT=180 export TMOUT
Bu kısım serverda 3 dk hareketsiz duran herkesle bağlantısını kesecektir.Bu rakamı değiştirerek zamanı da
değiştirilebilir, örnek 300 yapıldığında bu 5 dk olacaktır
Güvenliğin bir seviye daha artırılması için aşağıdaki gibi bir uygulama yapılabilir
ssh erişimi kısıtlaması
in /etc/hosts.deny
sshd: ALL
in /etc/hosts.allow
Code:
sshd: host.ip.number.1,host.ip.number.2,etc
Tweak Security WHM Güvenliği
Evet whm den Server Setup Bölümünden tweak security bölümüne giriyoruz
http://members.lycos.co.uk/anlatim/res/server5.jpg
Php open_basedir Tweak
Php's open_basedir protection prevents users from opening files outside of their home directory with php
ile başlıyoruz açıklamasındada dediği gibi biliyorsunuz php kullanılarak shell e ihtiyacınız olmadan aynı shell deymiş gibi bütün komutları filan istetebilirsiniz tabi php safe modda değil ise php open_basedir protection ın altındaki configure tuşuna basıyoruz ve yeni aaçılan menuden
Enable php open_basedir Protection.
bu şıkkı işaretliyoruz herhangi bir siteyi bu korumanın dışına almak için sitenin adının yanındaki kutuya işaret koyuyoruz
2. seçeneğimiz
mod_userdir Tweak
Apache's mod_userdir allows users to view their sites by entering a tilde(~) and their username as the uri on a specific host. For example http://test.cpanel.net/~fred will bring up the user fred's domain. The disadvantage of this feature is that any bandwidth usage used by this site will be put on the domain it is accessed under (in this case test.cpanel.net). mod_userdir protection prevents this from happening. You may however want to disable it on specific virtual hosts (generally shared ssl hosts.) yazan kısım çoğu host sahibi bunun ne olduğunu bilmez ama çok önemli bir olay ben bunla yalan olmasın hosttan 600 gb bw yemiştim bunun olayı şu eğer bu korumayı açmadı iseniz ve ana serverınızın ipsi 10.0.0.2 diyelim adamın adamında www.denem.com diye bir sitesi var ve kullanıcıadıda deneme
http://10.0.0.2/~deneme yazarak kendi sitesine girer bu korumayı açarsanız ve kendi bw sinden yiyor gözükmez :)
evet bu seçeneğin altındaki
Enable mod_userdir Protection.e basıyoruz ve korumayı aktif ediyoruz hehrangi bir sitenin bu korumadan yararlanmamasını istiyorsanız sitenin adresinin yanındaki kutuya işaret koyuyorsunuz
3. olayımız
This tweak will disable the system's c and c++ compilers for unprivileged. Many canned exploits require a working c on the system. You can also choose to allow some users to use the compilers while they remain disabled by default. bu gerçekten çok önemli derleyicileri izini olmayan kullanıcılar için kapatıyorsunuz yani sizin sisteminize ezzploit indirip bu sistemde derliyemezler tabi yani çok aman aman bir koruma değil işini bilen her şekilde yapar ben kendi makinamda derler buraya yükler burda çalıştırırım gene ama genelde bu işlerle uğraşanlar script kiddie dediklerimiz oldukları için derinlemesine bu konulardan anlamazlar
gene configuder ye basarak disable compliers ı seçiyoruz
4. olayımız
Traceroute Tweak
This tweak will disable the system's traceroute utility. traceroute seçeneğini cpaneldeki menulerden kaldırır bence sistem stabili,tesi için kaldırılmalı buraya kasan birisi gerçekten sistemi yavaşlatabilir
5. olayımız
This SMTP tweak will prevent users from bypassing the mail server to send mail (This is a common practice used by spammers). It will only allow the MTA (mail transport agent), mailman, and root to connect to remote SMTP servers. çoğu serverda sisteme login olabilmeden bile temel komutlarla o sistemden mail gönderilebilmektedir bu olay ise bu dediğimiz şeyi önlemektedir
configureye basıyoruz
Allow connections to localhost on port 25. seçeneğini seçiyoruz
Online Md5 Hash Kırıcılar
http://www.hashfind.info
http://md5decrypter.com
http://gdataonline.com
http://md5.hashcracking.com
http://milw0rm.com
http://md5search.org
Bu adresler alanında en kalitelerinden.Md5 hashları kırmada bunları bunları kullanmanızı öneririm.
Saldırı Yapan IP yi Banlamak ~ Güvenlik ~
Bazı arkadaşlarımızın D-Dos gibi saldırılara maruz kaldığını bunu nasıl önleyebilirim gibi sorular sorduğunu her zaman görmekteyiz.Ya da belli bir ipden bağlantı yapılmamasını istemektedirler.Forum sa site daha kolay bir şekilde ip ban yapabilirsiniz fakat özellkle kişisel sitelerde ip banlamakta sıkıntıları olacaktır.O yüzden size bir kod vereceğim bunu uygulayacaksınız.
Öncelikle Serverınız Php tabanlı olmalı ya da php desteklemelidir.
Code :
$handle = fopen("BlackList.txt", "r");
$tmp = fread($handle, filesize("BlackList.txt"));
fclose($handle);
$list = explode("\\n", $tmp);
for ($i=0; $i <> $_SERVER[’REMOTE_ADDR’]) {
header(’Location: http://kendisiten.com’);
}else{
echo ("IP Adresiniz yasaklanmıştır.Tekrardan Girmeye Çalışmanız Dahilinde Yasal İşlemler Uygulanacaktır.");
header("HTTP/1.1 403 Forbidden");
exit;
}
}
?>
Code Download : http://rapidshare.com/files/178705064/ip.rar
Rar Şifresi : THE_MILLER
Koddanda anlaşılacağı gibi BlackList.txt adı altında bir txt oluşturacaksınız.
Oluşturdğunuz txt ye banlamak istediğiniz ip leri alt alta gelecek şekilde yazacaksınız misal ;
85.11.156.2
275.11.175.1
gibi.
Bu şekilde yazarsanız o ipden giriş yapacak kişi siteye giremez ve "IP Adresiniz yasaklanmıştır.Tekrardan Girmeye Çalışmanız Dahilinde Yasal İşlemler Uygulanacaktır."Uyarısı ile karşı karşıya kalır.Göz korkutmak amaçlı gerçekten işe yarayabilir bu uyarı.
Saygılar THE_MILLER
LFI Local File İnclude (Kaliteli Döküman)
Giriş :
Local File İnclude Rfi kadar işlevselliği olmayan ama her Hacker adayı için bilmesi gereken bir açık türü olan LFI yi anlatacağım.
THE_MILLER
LFI Nedir Peki ?
Lfı uzaktan servera dosya ekleme dahil etme anlamına gelir.
THE_MILLER
Lfi Rfi Kadar Etkilimidir Acaba?
Rfi kadar etkili olamasada yeterlidir.
Bunları anladık Peki miller Bunun Kullanımı Nasıl ?
include (’data/$miller/function.php’);
?>
THE_MILLER
burda gördünüz gibi rfi olarak düşünürsen miller
tanımlanmamış .
fakat bu lfi de shell olarak kullanılamaz tanımlanmayan degişken (miller)kullanılarak dosya okunabilir yukarıdaki kodu Cyber.php olarak kaydedin
THE_MILLER
Daha sonra
http://www.herhangisite.com/Cyber.php?miller=../../../Cyber-Warrior
dosyası okunabilir izin varsa okunur bu
açıkla neler yapılır ?
etc/passwd , config okuruz ya da ftp alırız ...
LFI açığını Nasıl Kapatıcağız Miller ?
THE_MILLER
$miller=’sdwd’
include (’data/$miller/function.php’);
?>
bu kod sayesinde açık kapaır çünkü miller ’i burda tanımladık
http://www.herhangisite.com/Cyber.php?miller=../../../Cyber-Warrior
THE_MILLER
yaptığınız an LFI çalışmaz
THE_MILLER
Örnek LFI :
b http://charlotte-wilson.net/view.php?list=..%2F..%2F..%20%2F..%2F..%2F..%2F..% 2F..%2F..%2F..%2Fetc%2Fpasswd/b
Not: Lfi açığı olan sisteme kod enjekte edilmiş bir jpg dosya atılarak server üzerinde işlem yapılabilir.
ÖrnEk bir LFI açığı ve Kullanımınıda Vereyim :
Mini File Host = 1.2 LFI Vulnerability
THE_MILLER
AUTHOR : Scary-Boys
Download : color=#0000cc http://galaxyscripts.com/forum/downloads.php?do=file&id=1
DorKs : "Powered By Mini File Host V1.2"
EXPLOIT : * http://site.com/Path/pages/upload.php?language=[-LFI-]
Powered By Mini File Host V1.2 googlede arayın sonra buldugunuz sitenin sonuna
pages/upload.php?language=[LFI] benim bildigim tek LFI kod : ../../../../etc/passwd [LFI] yazan yeri silip bu kod yapıştırın
THE_MILLER
Bu döküman THE_MILLER ’e aittir izinsiz kullanımı yasaktır!
Konu ile ilgili daha fazla bilgi ve örnek lazımsa belirtin.
Umarım faydalı bir döküman olmuştur
Saygılar // THE_MILLER
Lfi (Local File include) Kullanım ~Video~
LFI ( LocaL File Include ) Kullanım :
Lfi nin Kullanılmasını, Bazı döngülerin ne işe yaradığını ,Bazı kodların işlevselliğini,Bunlarla neler yapabileceğinizi uygulamalı olarak hedef sitede göstermiş bulundum.
Video Download: http://rapidshare.de/files/41277270/Lfi.rar.html
Alternatif : http://www.2shared.com/file/4581159/2cf80f5/Lfi.html
Rar Şifresi : THE_MILLER
Videoyu izleyemeyenler BURADAN codec indirip izleyebilirler.
Vermiş olduğumuz Videolar Sadece Güvenlik amaçlı bilinçlenmeniz amacıyla verilmektedir.
SaygıLar THE_MILLER
Paket Gönderici
100 mbit lik yerel ağda ağın gerçek hızını tespit edebilmek için bir uygulama geliştirmeye çalışıyorum.
Mantık şu: 1500 byte büyüklüğündeki paketlerden 1 sn. de 10 tane göndersek 15.000 byte=120.000 bit=~117 mbit.
Bu arada birim zamanda gönderilen paketlerin kaç tanesinin alındığını kayıt ederek, 1 dakikalık test sonunda alınan paket / alınması gereken paket ile ağın pratikteki hızını tespit etmeye çalıştım.
Önce, çok kısa beklemeler ile (normalde 10 ms. de bir paket göndermem gerekirken) 1 ms. civarında bekleyerek veri gönderip almayı denedim. Bilgisayarı bırakıp dışarı çıktım. 3 saati aşkın bir süre sonunda baktığımda şu sonuçla karşılaştım:
Resimdeki gönderilen paket değerine baktığınızda 3 saat 19 dakikada 12 milyar 884 milyon değeri görünüyor ki, ne teoride ne de pratikte bu kadar paket göndermek mümkün değil. Kullandığım Switch Cisco Catalyst, her iki pc deki ethernet kartı Intel, yani ağ donanımında sorun olmamalı idi.
Anladığım kadarıyla TCP/IP stack’i arka arkaya çok fazla raw paket gönderilmeye çalışıldığında bunu engelliyor. http://research.eeye.com/html/tools/RT20060808-1.html adresinde XP SP2 ve w2k3 te TCP SYN paketlerinde böyle bir durumun söz konusu anlatılıyor.
Stack in çöküp çökmediğini kontrol etmek için Internete bağlanmayı denedim. Maalesef bağlanamadı.
Sonuç: Microsoft’un ethernet sürücülerine direk çok hızlı yüklenildiğinde stack çok kısa sürede çöküyor ve ne veri girişine ne de çıkışına izin veriyor!
Bekleme değerlerini daha normal değerlere düşürüp, VOIP ya da MMS stream gibi mantıklı paketler oluşturup veri alışverişi yaparak hız testini yenileyeceğim.
Merak ettiğim konulardan biri ise Microsoft TCP/IP stack’inin (özellikle Vista) Gigabit network e bağlı olduğunda ne kadar dayanabileceği. Kısa vadede eve Gbit networku kurmayı düşünmediğimden bu testi bir süre daha ertelemem gerekli.
/tmp Klasörü Güvenli mi?
Unix tabanlı işletim sistemlerinde /tmp klasörü (adı üzerinde olduğu gibi) geçici dosyaların kopyalandığı klasördür. (Windows taki Local Settings/Temp klasörü gibi). Geçici depolama alanı olduğundan aynı anda bir çok kullanıcı hatta işlem (process) kullanıcıları bu alanı kullanmak zorundalar. tmp klasörü güvenliğini sağlarken sadece belli kullanıcılara yazma hakkı vermek gibi bir durum söz konusu değil.
Ancak backdoor, trojan, botnet gibi programlar da kendilerini güvenilir bir yer olan tmp klasörüne saklayabiliyorlar. Ancak tmp klasörüne kopyalanan dosyalar çalıştırılamaz şekilde ayarlanırsa /tmp ile ilgili güvenlik riskleri ortadan kaldırılmış olur.
Bunun için:
dev klasörüne girin
cd /dev
Yaklaşık 200 MB lık yeni bir alan oluşturun. Daha fazlası lazım ise (neden ki) count değerinden değiştirebilirsiniz.
dd if=/dev/zero of=tmpMnt bs=1024 count=200000
Dosya sistemini oluşturun
/sbin/mke2fs /dev/tmpMnt
Eski /tmp klasöründeki dosyalar lazım ise yedeğini almayı unutmayın!
Yeni oluşturduğunuz alanı tmp klasörüne maount edin
mount -o loop,noexec,nosuid,rw /dev/tmpMnt /tmp
Yeni tmp klasörünün yeni izinleri:
chmod 1777 /tmp
Bilgisayarın her açılışında /tmp klasörüne oluşturduğumuz alanın mount edilmesi için:
Kullandığınız editör ile /etc/fstab dosyasını açın, fstab dosyasının en alt satırına:
/dev/tmpMnt /tmp ext2 loop,noexec,nosuid,rw 0 0
Dosyanın üstündeki satırlara göre tab ları ayarlayabilirsiniz.
Artık tmp klasörünüze bir shell dosyası koyarak chmod +x yaparak çalıştırmayı deneyebilirsiniz.
Not: Bu işlemleri dikkatsiz yapmanız durumunda bilgisayarınız yeniden başlamayabilir, tmp klasörü kullanılamaz hale gelerek bir çok program hatalar üretebilir. Dikkatle ve başka yerlerden de araştırarak uygulayınız.
Google XSS Güvenlik Açığı & Korunma
Google XSS Güvenlik Açığı & Korunma
İnternet diyince akLımıza GeLen iLk site kesinLikLe google ’dır.
En Büyük arama motoru oLan google da da bazı açıklar buLunabiLmektedir.
google Döküman hizmeti içerisinde yapılan cross site scripting (xss) saldırısı iLe cookielerin (çerezlerin) ele geçirilerek google’ın diğer servisLerine sızmak mümkündür.Bunuda buLanLardan birisinide buLan Billy Rios dur.
THE_MILLER
Attackerlar tarafından hazırlanan dökümanın içine javascript kodu gömerek bu dökümanları okuyan kişilerin cookie lerini çekebilmek mümkündür. Bu cookilerde bazı dönüştürücü programlar ile dönüştürülerek text tabanlı CSV dosyası olarak oluşturulup IE’de HTML olarak görünebiliyor. VE o dökümanı açanların cookileri Attackerlara gidiyor.Ve bu bilgilerlede özellikle gmail bilgilerini ve hesaplarını ele geçirebiliyorlar.Her ne kadar bu açıkların fixlenmesi için google yetkililerine belirtselerde google da hele hele bu aralar Scriptkiddie’nin de çalışmaları sonucu bir çok xss açığı saptamak mümkündür vede bunun yetkililerin fixlemesi biraz zaman alır.Çünkü Xss konularında onların pek bir bilgisi olduğunu zannetmiyorum ki;
THE_MILLER
http://www.google.com/search?hl=ar&q=
http://www.google.ae/search?hl=ar&q=&meta=Bu ve bunun gibi xsslerin kapanması bile baya bir zaman almıştı.
THE_MILLER
google Xss SaLdırıLArından NasıL KorunabiLiriz ?
1) CWXss Security veya Microsoft Xss Security gibi programalrı yükleyip xss ataklarında uyarıyı alarak bunu engellemek.
2) Ie tarayıcılarının dışında özellikle mozilla opera gibi tarayıcıları kullanmalısınız .
3) Mozilla kullanıyorsanız No script eklentisini kurup aktif etmek.
4) Mailden gelen Linkleri tıklayarak değil kopyalayıp internet tarayıcınıza yapıştırıp giriniz.cookie çekilimini engeller.
5) Tanımadığınız kişilerden gelen LinkLeri Tıklamamak.Her türlü saLdırı oLabiLeceğini göz önünde buLundurmak gerekir.
6) Özellikle Security Siteleri ve forumlarına güncel haberlere bakıp SaLdırı ihtimallerine karşın her an hazır olda beklemek lazım.Yeni bir google açığı bulunduğunda dahada bir tedirgin ve dikkatli olmak lazım.En önemlisi bilinçLi oLmak Lazım !
Son Çıkan google daki gelişmeler ve haberler sonucu bu dökümanı yazmakta karar KıLdım.Umarım önleminizi alırsınız.
THE_MILLER
ProFessionaL Security Karşınızda
Merhaba Arkadaşlar ;
Uzun süre düşündüm ve sonunda bir blog açmaya karar verdim.Globalleşen Sanal Faaiyetlerde artık böyle bir blogun açılması gerektiğini düşündüm web Security ile ilgili bilgilendirmeler yaparak sizlere kaliteli bir hizmet anlayışı sunacağım.
Kişisel Güvenlikten Kitle Güvenliğine kadar pek çok konuyu ele alacağım.
Hadi hayırlı olsun :)
Subscribe to:
Kayıtlar (Atom)