Server Saldırıları Hk.

[Hamit inan]

Öncelikle herkese hayırlı günler,

Cumartesi akşam saat 19:15 - 20:30 arasında çalıştığım şirketin Serverine bir saldırı gerçekleşti ve saldırıyı yapan kişi bütün database ve yedeklerimizi geri dönüştürülemez bir şekilde silmiş ve şifrelenmiş bir şekilde de backupını almış. Herhangi bir firewall cihazı kullanmıyorduk, ama saldırıyı yapanlar işi biliyor olsa gerek ki servere erişip kullanıcı oluşturup program kurmuşlar vs vs ve 1-2 saat içinde de verileri silip Beni Oku.txt dosyası oluşturup çıkmışlar, Beni Oku.txt dosyasına herhangi birşey yazmamışlar, muhtemelen unuttular not yazmayı. Bulut teknolojisi ile yedeklememiz alınıyordu, ama anlamsız bir şekilde en son 3 Nisanda yedek alınmış ve diğer günlerde hata nedeniyle yedek alınamamış hatanın sebebi de belli değil şimdilik ve 15-16 saatlik bir çalışma sonucunda 12-13 günlük veri kaybı ile verilerimizi kurtarabildik.

Firmanızda kullandığınız serverler için güvenlik önlemlerinizi arttırmanızı öneririm, saldırıyı yapanlar (araştırdım çok kişiye bunu yapmışlar) önce önemli gördükleri muhasebe vs programlarının veri tabanlarını güçlü bir şifreleme ile pcnize yedek alıp, daha sonra geri getirilemeyecek şekilde yedek almış olduğu veritabanı ve yedeklerinizi silip not bırakıyorlar, sonra server loglarını güzelce temizleyip geride iz bırakmıyorlar, ve en son "ip adresiniz ile bizimler şu mail adresinden iletişime geçin, bilgilerinizi size geri verelim" gibisinden bir not ile yurtdışı iban numaralarına 5000-6500 USD civarlarında para yatırmanızı istiyorlar, para yatırıp verisini alamayan, batma konumuna gelen şirketler var, bu yüzden olabildiğinde hızlı bir şekilde önlem almanızı ve dış birimlere (usb bellek ve taşınabilir disk vs) yedek alıp, internete erişim olmayan yerlerde saklamanızı öneriyorum.

Kimsenin başına gelmemesi dileği ile forumdaki arkadaşlara duyrulur...

Bu saldırılara karşı kurumda 100 bin tl lik bir firewall kullanıyoruz. Bütçe oldukça yüksek. Kurumunuzun büyüklüğüne göre uygun bir firewall satın alabilirsiniz. Yada ipcop yada pfense gibi ücretsiz bir çözüm kullanabilirsiniz. En kestirme yol ise bu tip sunucuları dış ağa kapatmanız olacaktır. Biz dahi tüm önlemlerin başında bunu yapıyoruz. En güvenli yol görünmez olmaktır. Yoksa isteğiniz kadar yedek alın. Online bir sisteminiz varsa yedek işi hikayedir yada özel verileriniz varsa ele geçtikten sonra yedek bir şey ifade etmez.

Söylemeyi unuttum. %90 sunucunuza ulaştığınız makinalardan birinde yada daha çoğunda trojen var. Virus korumalarla uğraşmayın muhtemelen bişe bulamayacak.

[Mehmet Göktürk]

flaş diskler nand ram tabanlı olur ve belli fiziksel tacizlere maruz kalırsa sıkıntı yaşar. dvd ise yine zamaniçinde destabilize oluyor. sonuçta yakılmış boya. cd içinde geri gidiyor. halihazırda en uygunu manyetik. onlarda da dünyanın manyetik alanı zaman içinde etkiliyor. siliyor. optik olarak plastiğe yakma şeklinde birşeyler vardı ( cd gibi boya eritme değil) ama oldunlaşmadı. 1000 sene gibi ömürlere sahip özel dvd ler yapıldı diye duymuştum. sıkıntı çok bu konuda. 1992 lerde kaydettiğim cdr disklerin bazıları şimdi okunamaz durumda. eski bilgisayarımı boot ettim plastikleri kıtır kıtır olmuş. lehimler eski teknoloji yine iyi. yeniler kurşunsuz hiç dayanmazdı. diskte bir hata oluştu kurtaracak sistem disketi yok. çünkü disket yok.

filimlerde görürüz dedesinden kalma kol saati bir de çerçeveli fotoyu bavulundan çıkarır masaya koyar. şimdiki saatler ne çalışır ne de fotolar öyle dededen kalabilir. bu kadar çekiyoruz veri üretiyoruz ama 100 sene felan sonraya bunları nasıl taşıyacağız merak ediyorum. yeni bir optik yöntem lazım.

özellikle web sunucularında kullandığınız yüklediğiniz yazılımların klasör adlarını standart kullanmayın. birçok saldırı yazılımı otomatik çalışır. belli açıkları dener durur. bulduğundan girer. mossad felan değilseniz özel olarak inceleyip pek uğraşmazlar. o yüzden c yerinde d diski kullanmak bile bazen kurtarır. örnek olarak.

[Muhammed Bozkurt]

Bu saldırılara karşı kurumda 100 bin tl lik bir firewall kullanıyoruz. Bütçe oldukça yüksek. Kurumunuzun büyüklüğüne göre uygun bir firewall satın alabilirsiniz. Yada ipcop yada pfense gibi ücretsiz bir çözüm kullanabilirsiniz. En kestirme yol ise bu tip sunucuları dış ağa kapatmanız olacaktır. Biz dahi tüm önlemlerin başında bunu yapıyoruz. En güvenli yol görünmez olmaktır. Yoksa isteğiniz kadar yedek alın. Online bir sisteminiz varsa yedek işi hikayedir yada özel verileriniz varsa ele geçtikten sonra yedek bir şey ifade etmez.

Söylemeyi unuttum. %90 sunucunuza ulaştığınız makinalardan birinde yada daha çoğunda trojen var. Virus korumalarla uğraşmayın muhtemelen bişe bulamayacak.

firewall gerekli evet sanırım en kısa zamanda bir firewall alınıp kurulacak, pc ye erişim olan pclere trojen olacağını sanmam, saldırının yapıldığı saatte server hariç ağdaki bütün pcler kapalıydı, ip değişikliği serverin sistemin yeniden kurulması ve dış ortalmara yedeklemeler yapılıyor ama yinede dediğiniz gibi saldıran kişi amacına ulaşamadığından yeniden saldırmayı deneyecektir

[Hamit inan]

Saldırı anında pc lerin kapalı olması önemli değil. Büyük ihtimalle sizin sunuculara bağlandığınız makinalarda trojen var.Belli bir süre takip ediyorlar. Bu kişiler local ağdan admin şifresi ile siz sunucuya bağlanırken admin şifrenizi alıyorlar. Dışardan erişime açıksa direk dalıyorlar.

Kısacası öyle matrix filmindeki gibi sunucu şifresini kırmaya falan uğraşan yok (şifleriniz 123456 gibi şeyler değilse).

Bence bu dediğimi dikkate alın yoksa yakın zamanda tekrarlanabilir.

Tekrardan geçmiş olsun

16 Nisan 2013 tarihinde Zafer Ayvacı tarafından düzenlendi

[Muhammed Bozkurt]

Saldırı anında pc lerin kapalı olması önemli değil. Büyük ihtimalle sizin sunuculara bağlandığınız makinalarda trojen var.Belli bir süre takip ediyorlar. Bu kişiler local ağdan admin şifresi ile siz sunucuya bağlanırken admin şifrenizi alıyorlar. Dışardan erişime açıksa direk dalıyorlar.

Kısacası öyle matrix filmindeki gibi sunucu şifresini kırmaya falan uğraşan yok (şifleriniz 123456 gibi şeyler değilse).

Bence bu dediğimi dikkate alın yoksa yakın zamanda tekrarlanabilir.

Tekrardan geçmiş olsun

evet haklısınız, herhangi bir belirti yoktu ama olma ihtimali dediğiniz gibi yüksek, ip adresini bugün yenilemiştik yenisini almayı unutmuşum yanıma şimdi bi kontrol ederdim, içime kurt düşürdünüz

[Muhammed Bozkurt]

Saldırı anında pc lerin kapalı olması önemli değil. Büyük ihtimalle sizin sunuculara bağlandığınız makinalarda trojen var.Belli bir süre takip ediyorlar. Bu kişiler local ağdan admin şifresi ile siz sunucuya bağlanırken admin şifrenizi alıyorlar. Dışardan erişime açıksa direk dalıyorlar.

Kısacası öyle matrix filmindeki gibi sunucu şifresini kırmaya falan uğraşan yok (şifleriniz 123456 gibi şeyler değilse).

Bence bu dediğimi dikkate alın yoksa yakın zamanda tekrarlanabilir.

Tekrardan geçmiş olsun

neyse ki şimdilik herhangi bi terslik yok, ip adresini bulup kontrol ettim artık güzel bi uyku çekebilirim

[Hamit inan]

neyse ki şimdilik herhangi bi terslik yok, ip adresini bulup kontrol ettim artık güzel bi uyku çekebilirim

geçmiş olsun. Dediğim olaya dikkat edin ama. Bende 35 tane server var, 750 tane reel ip var. Var stresi sen hesap et

[Muhammed Bozkurt]

geçmiş olsun. Dediğim olaya dikkat edin ama. Bende 35 tane server var, 750 tane reel ip var. Var stresi sen hesap et

Hey maşaAllah biz birtanesinin stresini böyle yaşıyorsak seninkini düşünmek bile istemiyorum Allah kolaylık versin

[Erdem Dertsiz]

Bir çok defa forumda bu konuda uyarı yaptım. Yedek alan herkes kendini kurtarır. Yedek, hayat kurtarır. Ayrıca gerekli firewall gibi koruma yazılım / donanımlarınızı mutlaka bulundurmanız gerekir.

Bulut teknolojisine ülke olarak daha hazır değiliz, öncelikle herkes metro ethernet'e (gerçek fiber kablo ile gelen) geçecek ki, sonrasında sorunsuz işlemler yürütülebilsin.

Sani doğru söylemiş

Bulut teknolojisini yapan bi kaç firma var şuan. (düzgün olarak)

Eğer datalarınız bu kadar önemli ise profesyonel destek alın. Pahalı ama hayat kurtaran çok iyi backup sistemleri var( networker, sep, hp...)

ama olay sırf backup değil. sonuçta data güvenliği şuan en önemli şey.

Onun için backupdan önce firewall yapısına geçin wan a çıkarmanız gereken makinalarınız varsa dmz bir ağ kurun.

dediğim gibi kulaktan dolma değil profesyonel destek alın. şu an hangi firmaya gitseniz demo için şirketinize geleceklerdir.

[Murat Dere]

Usb tarzı mandal temelli depolama araçlarına çok güvenmeyin.

Yedek fiziksel ortamlarda alınmalı. Dvd olur, harddisk olur, manyetik disk olur. Zarar görse bile bir şekilde geri dönüştürülebilen medyalardan olmalı.

Artık bandwithler geniş, storajlar ucuz, güvendiğiniz bir dc'den 2 tb alan alın, senkronize edin sunucunuzla, siz kendi çapınızda yine alın yedeğinizi, ama büyük çapta bir dc'de, sağlam bir storajda kaybolma olasılığı çok daha düşüktür.

Bu bahsettiğimiz sadece dosya bazlı yedek tabi. Esas disaster senaryosu için çalışan konfigürasyonunuzun bir kopyasını coğrafi olarak farklı bir lokasyonda senkronize olarak hazırda bulundurmalısınız ki, dc'ye bomba düştüğünde filan loadbalancerınız olayı farkedip diğer tarafa yönlendirsin.

İmza: sütten ağzı yanan adam.

Senin Türkçe'ni yiyim.

İmza: Türkçe konuşmayanları pataklayan adam

[Sani Gerşon]

Senin Türkçe'ni yiyim.

İmza: Türkçe konuşmayanları pataklayan adam

Bunlar terim hocam. Tomofil gibi düşün

Mesela, ip phone'u nasıl çevireceğiz? İnternet Protokollü Telefon diye mi

[Murat Dere]

Bunlar terim hocam. Tomofil gibi düşün

Mesela, ip phone'u nasıl çevireceğiz? İnternet Protokollü Telefon diye mi

Aklıma daha güzel bi şey geldi Sani ama forumdan atılma korkusu olmasa işte... Terim merim değil olm, bandwidth: bant genişliği; lokasyon: bölge, yer; storaj: depolama... Dövdürme gendingi hindi...

[Guest Hakan Tarım]

Senin Türkçe'ni yiyim. İmza: Türkçe konuşmayanları pataklayan adam

Böyle anlatmazsan IT personeli olarak sayılmıyorsun abi. Güvenlik duvarı diyorsun bilmem ne diyorsun dengeleyici diyorsun iş başvurusunda vs. Seni adamdan bile saymıyorlar.

[Erdem Dertsiz]

Bu sektörde benden daha çok Türkçe konuşanı bulursan onun canını ye.

Kullanıcıların akıllarını karıştırıyorsunuz. Sonrada biz bilgi işlem nece konuşuyor diye merak ediyoruz diyorlar

[Servet Aydın]

Geçmiş olsun.

o zaman şunu sorayım arkadaşın konusundayız kusura bakmasın

Cep telefonlarındaki fabrika ayarlarını, yazılımı içinde saklayan entegreler neden etkilenmiyor bu sinyalden? Ya da baz istasyonlarındaki entegreler?

Örnekler çoğaltilabilir.

Merak ettim ondan soruyorum. Ayrıca benim ağzımda optik medyadan yandı hemde feci şekilde

O sebeple ben manyetik + elektrik yedek alanlardanım.

Flash Bellek'teki entegrelere manyetik alandan dolayı zarar gelmiyor. Entegre içindeki olmazsa olmaz olan osilatörün kristali ( her zaman entegre dışındadır ) manyetik alandan bozulup frenaksı sapıttırıyor. Yeni kristal takılıyor, veriler kurtarılıyor, çaylar içiliyor, fatura kesiliyor, paralar alınıyor, ispanyalar....

[Misafir]

Verilerinizi datacenter'larda tutabilirsiniz. 24 saat site güvenliği gibi, 24 saat personel ile veri güvenliği sağlıyorlar. Monitörlerinden bir olumsuzluk gördükleri anda size haber veriyorlar, erişimleri engelliyorlar. Atla deve de değil. Tabi parası da verilmeli. 3 liraya 5 köfte yok. Firewall da yazılımsalın yanında, juniper gibi donanımsal bir firewall şeklinde kullanılmalıdır.

[Erdem Dertsiz]

Bilgi işlemden ben de şikayetçiyim, dün bilgisayar adımı değiştirip restart atmışlar ben toplantıdayken, duman olmuş kurulu tümleşik geliştirme ortamları. (Oldu mu Murat hocam. )

sen ingilizcesini kullan böylede ben anlamıyorum

[Murat Dere]

Bilgi işlemden ben de şikayetçiyim, dün bilgisayar adımı değiştirip restart atmışlar ben toplantıdayken, duman olmuş kurulu tümleşik geliştirme ortamları. (Oldu mu Murat hocam. )

Olmadı!

[Misafir]

Flash Bellek'teki entegrelere manyetik alandan dolayı zarar gelmiyor. Entegre içindeki olmazsa olmaz olan osilatörün kristali ( her zaman entegre dışındadır ) manyetik alandan bozulup frenaksı sapıttırıyor. Yeni kristal takılıyor, veriler kurtarılıyor, çaylar içiliyor, fatura kesiliyor, paralar alınıyor, ispanyalar....

Yani kristal 1 lira, nereye takacağını bilmek 4999 lira diyorsun abi

[Murat Dere]

Yani kristal 1 lira, nereye takacağını bilmek 4999 lira diyorsun abi

9998.