1 / 20

K ı r ı ld ığı n ı z ı nas ı l anlars ı n ı z, sonras ı nda ne yapars ı n ı z?

K ı r ı ld ığı n ı z ı nas ı l anlars ı n ı z, sonras ı nda ne yapars ı n ı z?. Onur BEKTAŞ TÜBİTAK - ULAKBİM. Kırılmak?. Yetk i si olmayan kişinin sistem yetkilerini kullanması,ele geçirmesi. Kimler ?. Suç amaçlı. Büyük çapta DOS saldırıları için konak, yahoo,microsoft vb. Kimler ?. l.

dinah
Download Presentation

K ı r ı ld ığı n ı z ı nas ı l anlars ı n ı z, sonras ı nda ne yapars ı n ı z?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Kırıldığınızı nasıl anlarsınız, sonrasında ne yaparsınız? Onur BEKTAŞ TÜBİTAK - ULAKBİM Onur BEKTAŞ TÜBİTAK-ULAKBİM

  2. Kırılmak? • Yetkisi olmayan kişinin sistem yetkilerini kullanması,ele geçirmesi. Onur BEKTAŞ TÜBİTAK-ULAKBİM

  3. Kimler ? • Suç amaçlı. • Büyük çapta DOS saldırıları için konak, yahoo,microsoft vb. Onur BEKTAŞ TÜBİTAK-ULAKBİM

  4. Kimler ? l • Meraklı kullanıcılar. • Kendini ispat. Onur BEKTAŞ TÜBİTAK-ULAKBİM

  5. Nasıl Anlarız? • Sistem logları. • Checksum programları. • Ağ trafiğinin izlenmesi. • Açık Port kontrolü. • Rootkit kontrolü. • Merak + Dikkat. Onur BEKTAŞ TÜBİTAK-ULAKBİM

  6. Şanslı Sistem Yöneticisi Date: Thu, 17 Apr 2003 20:50:35 +0300 (EEST) From: root <root@curie.chem.metu.edu.tr> To: "2f@n" <rootk@curie.chem.metu.edu.tr>, 3n9ur <roon@curie.chem.metu.edu.tr>, "0zk@n" <roos@curie.chem.metu.edu.tr>, Tufan Karadere <tufan@curie.chem.metu.edu.tr> Cc: R. Engur Pisirici <engur@curie.chem.metu.edu.tr>, Onur BEKTAS <onur@curie.chem.metu.edu.tr> Subject: mod utils update mud utilsin su anda sistemde yuklu olan versiyonunda local root veren bug bulunmaktadir,cozum icin mod utilsin en son versiyonunu updateedilmesi gerekiyor..saygilarimla Kerem Delikara Onur BEKTAŞ TÜBİTAK-ULAKBİM

  7. Sistem Logları • Logları güvenilir ortak bir makinde tutun !!!!! (loghost) • Syslog-ng (http://www.balabit.com/products/syslog_ng/) • Sistemin log seviyesini en üst noktada tutun. • /etc/syslog.conf • wtmp Login kayıtları messages Her türlü sistem bilgisi sulog Su komutu log dosyası auth.log Doğrulama (Auth.) dosyası xferlog Ftp kayıtları Onur BEKTAŞ TÜBİTAK-ULAKBİM

  8. Veri Doğrulama(Checksum) Programları • Sisteminizde hangi dosyaların değişikliğe uğradığını düzenli olarak kontol edin. • Tripwire http://www.tripwire.org • Aide http://www.cs.tut.fi/~rammer/aide.html • Md5, diff komutları ile basit bir checksum programı kullanın. • Kritik sistem dosyalarınızı ağa bağlı olmayan bir medyada tutup, değişiklik olduğunu farkettiğiniz anda orjinaliyle karşılaştırın. Onur BEKTAŞ TÜBİTAK-ULAKBİM

  9. Sum.sh #!/bin/bash NEWDB="/tmp/check1" OLDDB="/tmp/check2" INITDB="/tmp/initdb" DIRLIST="/etc /root /etc/rc.d /bin /usr/bin /usr/local/bin /usr/lib /usr/local/etc /usr/local/lib /usr/local/squid/etc /usr/local/s amba/private" DIFF="/usr/bin/diff" if [ ! -f "$INITDB" ] then echo "Program running firs time!!" echo "Creating first database $INITDB" for i in $DIRLIST do cd $i md5 * >> $INITDB ls -al >> $INITDB done else echo "Removing old file $NEWDB" echo "Creating Database...." rm -f $NEWDB for i in $DIRLIST do cd $i md5 * >> $NEWDB ls -al >> $NEWDB done echo "Comparing Files..." $DIFF $INITDB $NEWDB --side-by-side --suppress-common-lines fi Onur BEKTAŞ TÜBİTAK-ULAKBİM

  10. Ağ trafiğini izleyin • Mrtg • Snmp datası alabileceginiz switch veya yönlendiricilerden trafiği izleyin. • IDS (Intrusion Detection Systems) • Snort • Sniffer algılayıcı • Hunt http://lin.fsid.cvut.cz/~kra/index.html Onur BEKTAŞ TÜBİTAK-ULAKBİM

  11. Açık Portları Kontrol Edin • Nmap • Nmap –sTU –p1-65535 <İP> [root@tulumba root]# nmap -sTU -p1-65535 wwwcache.ulak.net.tr Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Interesting ports on wwwcache.ulak.net.tr (193.140.100.2): (The 131062 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 80/tcp open http 514/udp open syslog 1581/udp open unknown 1998/tcp open x25-svc-port 3128/tcp open squid-http 3130/udp open squid-ipc 3401/udp open unknown Onur BEKTAŞ TÜBİTAK-ULAKBİM

  12. Rootkit Kontrolü • Sisteme saldıran kişi admin yetkisini ele geçirdikten sonra muhtemelen sisteminize farkedilmemesini ve tekrar sisteme girmesini sağlayacak rootkit kurcaktır.Rootkit’ler • Sistem log dosyalarını değiştirip izleri siler. • Sitem komutlarını değiştirip sistemi kıran kişinin farkedilmesini güçleştirir. • df, su, telnet , ps ... • Ağ trafiğini ve şifreleri ele geçirmeye yönelik sniffer ve bastığınız tuşları loglayan programlar yerleştirirler. • Diğer sistemlere DOS saldırısı yapmak için gerekli programları içerir. • Chkrootkit www.chkrootkit.org Onur BEKTAŞ TÜBİTAK-ULAKBİM

  13. Merak + Dikkat • Potansiyel kullanıcıları gözleyin. • *.c • Wrapper kullanın. • Sistemde anormallik var mı diye kontrol edin. • Kullanıcılarınızı eğitin. • Log dosyalarına göz gezdirin. Onur BEKTAŞ TÜBİTAK-ULAKBİM

  14. Sonrasında Ne Yaparız? Panik yapmayın. Diğer sorumlu kişilere haber verin. Kontrolü ele alın. Sistme yerleştirilmiş yabancı programları arayın. Nerden kırıldığınızı anlayın. Makineyi tekrar kurun !!! Onur BEKTAŞ TÜBİTAK-ULAKBİM

  15. Kontrolü Ele Alın • Sistemi ağdan çekin. • Tek kullanıcı moda geçin (Single User Mod). • Sistemi cdrom’dan orjinal kernelle açın. • Sistemin birebir kopyasını alın. • dd if=/dev/hda1 of=/dev/hdb1 • Tüm yetkili sistem şifrelerini değiştirin. Onur BEKTAŞ TÜBİTAK-ULAKBİM

  16. Sisteme Yerleştirilmiş Yabancı Programları Arayın • Sistem dosyalarındaki değişiklikleri tarayın. • Tripwire, aide, • /etc/passwd • /etc/inetd.conf • /etc/rc.d • Kernel • Çalıştırılabilir dosyaları (binary file) md5 cheksumlarını alarak orjinal cdrom ile karşılaştırın. • Eğer rlogin rsh gibi uzaktan (remote) erişim servisleriniz açıksa. • ~/.rhost • /etc/hosts.eqiv dosyalarını kontrol edin • SUID veya SGID biti set edilmiş dosyaları bulup kontrol edin. • find / \( -perm -004000 -o -perm -002000 \) -type f -print Onur BEKTAŞ TÜBİTAK-ULAKBİM

  17. Sisteme Yerleştirilmiş Yabancı Programları Arayın • Ağ dinleyicileri (Network sniffers) • cpm - UNIX ftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/cpm/ • ifstatus – UNIXftp://coast.cs.purdue.edu/pub/tools/unix/sysutils/ifstatus/ • Truva Atı Programları (Trojan Horse) • Dosyaların md5 sumlarını orjinal sistem dosyalarıyla karşılaştırın • telnet, in.telnetd, login, su, ftp, ls, ps, netstat, ifconfig, find, du, df, libc, sync, inetd, and syslogd • Chkrootkit • /etc/inetd.conf • Açık portlar , nmap • Nessus, Saint benzeri programlarla bilinen açıklar için tarayın. Onur BEKTAŞ TÜBİTAK-ULAKBİM

  18. Nereden ve Kim Tarfından Kırıldığınızı Anlayın • Sistemde kullandığınız programların açıklarını kontrol edin. • Log dosyalarını kontrol edin. • Tuzak kurup bağlanmasını bekleyin. Onur BEKTAŞ TÜBİTAK-ULAKBİM

  19. Makineyi Yeniden kurun!! Makineninizin tamamen temizlendiğinden emin olmanın tek yolu sistemi tekrar kurmaktır!! Onur BEKTAŞ TÜBİTAK-ULAKBİM

  20. SORULAR? Onur BEKTAŞ TÜBİTAK-ULAKBİM

More Related