[Çözüldü] SSH ile Bağlantı Engelleme?

[saitp]

Öncelikle Selamün Aleyküm, Hayırlı cuma ve Ramazanlar Ben VMWare'ye bu sefer de Mac OS X Yosemite 10.10 ve Ubuntu 14.04 kurdum. İkisini de çalıştırdım ve Mac'den Ubuntu'ya SSH ile bağlandım. Ancak aklıma bir soru takıldı. Farz edelim birisi Ubuntu'ma Keylogger kurdu bir şekilde ve şifremi buldu (veya başka bir şekilde buldu, sadece misal...) Ubuntu'ma bağlandı. Ben bunu nasıl fark ederim ve nasıl o kişinin IP'sini engelleyebilirim? Teşekkürler.

[dj_psk]

Kod Seç Genişlet

pinky ile görebilirsin diye düşünüyorum.

Sızmaya karşı koruma içinse network koruma filtresi türü şeyler uygulanabilir.

[saitp]

Kod Seç Genişlet

pinky ile görebilirsin diye düşünüyorum.

Sızmaya karşı koruma içinse network koruma filtresi türü şeyler uygulanabilir.

Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?

[dj_psk]

Kod Seç Genişlet

pinky ile görebilirsin diye düşünüyorum.

Sızmaya karşı koruma içinse network koruma filtresi türü şeyler uygulanabilir.

Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?

iptables ile engellersin bu konu biraz geniş bir konu. Kuralları belirliyorsun bununla. Zaten Çoğu Linux dağıtımında önyüklü gelmektedir.  https://forum.ubuntu-tr.net/index.php?action=search;q=iptables

[saitp]

Kod Seç Genişlet

pinky ile görebilirsin diye düşünüyorum.

Sızmaya karşı koruma içinse network koruma filtresi türü şeyler uygulanabilir.

Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?

iptables ile engellersin bu konu biraz geniş bir konu. Kuralları belirliyorsun bununla. Zaten Çoğu Linux dağıtımında önyüklü gelmektedir.  https://forum.ubuntu-tr.net/index.php?action=search;q=iptables

Düzgün bir konu bulamadım forumda. Şunu yazmam yeterli mi: "iptables -I INPUT -s 192.168.111.137 -j DROP" ?

[dj_psk]

Kod Seç Genişlet

pinky ile görebilirsin diye düşünüyorum.

Sızmaya karşı koruma içinse network koruma filtresi türü şeyler uygulanabilir.

Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?

iptables ile engellersin bu konu biraz geniş bir konu. Kuralları belirliyorsun bununla. Zaten Çoğu Linux dağıtımında önyüklü gelmektedir.  https://forum.ubuntu-tr.net/index.php?action=search;q=iptables

Düzgün bir konu bulamadım forumda. Şunu yazmam yeterli mi: "iptables -I INPUT -s 192.168.111.137 -j DROP" ?

O kadar basit bir şey değil, saldırının boyutu önemli bu klasik firewall olayıdır giriş çıkışı kontrol altına alırsın.  Hacker saldırısında durum daha karışık olacaktır. Daha fazlası benim bilmediğim bir yer maalesef.

[saitp]

Kod Seç Genişlet

pinky ile görebilirsin diye düşünüyorum.

Sızmaya karşı koruma içinse network koruma filtresi türü şeyler uygulanabilir.

Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?

iptables ile engellersin bu konu biraz geniş bir konu. Kuralları belirliyorsun bununla. Zaten Çoğu Linux dağıtımında önyüklü gelmektedir.  https://forum.ubuntu-tr.net/index.php?action=search;q=iptables

Düzgün bir konu bulamadım forumda. Şunu yazmam yeterli mi: "iptables -I INPUT -s 192.168.111.137 -j DROP" ?

O kadar basit bir şey değil, saldırının boyutu önemli bu klasik firewall olayıdır giriş çıkışı kontrol altına alırsın.  Hacker saldırısında durum daha karışık olacaktır. Daha fazlası benim bilmediğim bir yer maalesef.

Peki, teşekkürler. Forumda güvenlikten, hackerlıktan, pentestten anlayan birisi var mı bildiğiniz?

[dj_psk]

İsim veremem şu bu diye ama bilgisi olan bilgisi dahilinde yardımcı olacaktır. Bugün forum pek aktif değil tabiri caizse baba adamlar yok

[ata1]

bu kadar alıntı varken konu anlaşılır değil ki .

[saitp]

bu kadar alıntı varken konu anlaşılır değil ki .

Sonradan farkettim. Okumayıverin.

[ata1]

https://www.bilgiguvenligi.gov.tr/linux-guvenligi/fail2ban-ile-linux-sistemlerini-koruma.html

bu tip korunmalar var bir bak

[saitp]

https://www.bilgiguvenligi.gov.tr/linux-guvenligi/fail2ban-ile-linux-sistemlerini-koruma.html

bu tip korunmalar var bir bak

Daha iyi gibi, biraz kurcalayıp öğrenmem gerek. Teşekkürler.

[Reverser]

"Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?" Eminmisiniz ? Kendi IP adresiniz olmasın ?

[jaschar]

o kadar kolay degil configlemesi ugrastiriyor söyleyeyim

[heartsmagic]

Önce alıntı meselesi Ben de yanlış anlaşılmayayım ancak iki taraf sıralı konuşurken alıntıya gerek olmamalı forumda. Hem iletileri büyütüyor hem de komik duruyor Birden fazla kişi dahil olduğunda, sadece gereken yerler alıntılanabilir tabi.

Bu konu çok genişler, zira bir sorudan sonra bir başkası geliyor. İlk iletiye binaen, eğer birisinin sistemine girdiğini fark ettiysen önce hiçbir şeyle uğraşmayacaksın, ağ kablosunu çekeceksin. Gerisini sonra düşünürsün Ha, bu bir sunucu ise ne olacak sorusu sorulabilir tabi, durum değişir. Ancak, orada da "keylogger" olayının olması pek ihtimal dahilinde değil. "Evimdeki sisteme keylogger yerleştirmiş, oradan da sunucu parolamı bir şekilde görmüşse?" sorusu gelebilir. Tası tarağı toplayıp her iki sistemi de güzelce sıfırlamak en güzelidir Zira o noktadan sonra iki sistemden de adam olmaz. Kök erişimi elde eden birinin tam olarak neler yaptığını bilmek genelde imkânsıza yakındır. Böyle bir durumda sistemler yenilenir.

Şimdi, diyelim ki sorular meraktan sorulmakta. Elbette hiçbir mahsuru yok.

Sunucuma bağlananları nasıl öğrenebilirim?

Kod Seç Genişlet

who
veya

Kod Seç Genişlet

w
En temel komutlardandır. pinky'yi yeni gördüm, o da fena değilmiş. Ancak, temel komutlar hemen her yerde işe yarar. Diğerleri her sistemde olmayabilir. Örneğin AIX üzerinde bile vardır bu temel komutlar ve araçlar.

Örnek bir çıktı:

user     pts/0        2015-07-04 04:18 (1.2.3.4)
user     pts/9        2015-07-04 04:44 (0.6.6.6)

Baktın who ile şüpheli bir bağlantı var. Burada senin IP adresin 1.2.3.4 olsun, kötü arkadaşınki de 0.6.6.6. Nereden bağlı bu arkadaş? pts/9
Şimdi pts ne diye sorarsan başlık uçar gider Soracaksan başka bir başlıkta konuşabiliriz. Kabaca sanal uçbirimin suyunun suyu Yalancı sanal uçbirim diyelim, geçelim şimdilik.

Hangi yalancı sanal uçbirimden gelmişti bu arkadaş? pts/9

Kod Seç Genişlet

ps aux | grep ssh | grep pts/9
Sonucu:

user      1953  0.0  0.0 105628  1928 ?        S    04:44   0:00 sshd: user@pts/9

Vurgulu kısım yani 1953 bu yalancı sanal uçbirimden bağlanan ssh sürecinin PID'i. Bunu sonlandırırsak arkadaşa veda edebiliriz.

Kod Seç Genişlet


kill -9 1953

Nasıl yasaklarım?

Kod Seç Genişlet


iptables -A INPUT -s 0.6.6.6 -j DROP

-I ile de olur mu? olur sanırım. -A sona ekler, -I ise belirli bir yere sokar kuralı. Gerçi sıra vermezsek ne yapıyor ben de tam bilmiyorum, iptables konusunda o kadar iyi değilim. İşim düştüğünde Google'a danışıp istediğimi yapacak kadar biliyorum sadece.

fail2ban zor mu? Çok değil. Az biraz Linux tecrübesi ile kendisini yapılandırmak kolay.

Buradaki esas sorun şu, konunun ucu bucağı yok. Güvenlik konularında az çok bir şeyler bilen biri vardır ancak soruların ayrıntılı ve konuya özel sorulması gerekir. Sızma meselesi tek kanaldan yapılan bir olay değil, zilyon tane saldırı vektörü var.

"Keylogger" denen şeyse saldırı değil esasında. Karşına çıkabilecek son sıkıntılardan biridir. Zira keylogger demek adamın bir şekilde makineye ya fiziksel erişimi var ya da sisteme tam anlamıyla yerleşmiş demektir. Fiziksel erişimi varsa yapılacak fazlaca bir şey yok. Mümkün mertebe kimseyi sistemine yanaştırmayacaksın, ilk kurallardan biri budur muhtemelen

Sisteme nasıl sızacak karşı taraf? Söylediğim gibi çok farklı yolu var bu işin ve esasında pek kolay değil. Hele hele ev kullanıcısıysak pek mümkün de değil. Ubuntu'yu standart olarak kurdun kullanıyorsun, nasıl girebilecek bu adam? Üzerinde çalışan herhangi bir servisi dışarı açmadıysan ne yapabilir? Modeme port taraması yapar yapar geri gider.

Mesele internete açık ve farklı hizmetleri veren bir sunucu mu? O zaman iş değişir ve başlık çok ama çok uzar. Sunucunun kendisinin ve üzerinde çalışan servislerin güncellik durumu, güvenlik güncellemelerinin takibi vs. önem arz eder. Diyelim ki sunucun sımsıkı, bir WP ile site barındırıyorsun. Wp'de açık çıktı ve sen haberdar olamadın veya 0.gün saldırısı yapıldı. Gitti site. En kötü "index" yeme denen şeye maruz kalırsın, daha da kötüsü olabilir. WP'nin kendisinde açık yok ama eklentilerinde var. Hadi bakalım oradan da bir sıkıntı çıktı. Zamanında bizim bileşenlere de "pharma hack" denen zıkkım bulaşmıştı da temizleyene kadar akla karayı seçtik burada.

Tabi yapılabilecek standart şeylerden bahsedilebilir:

1. root kullanıcısını kapat.
2. ssh varsa eğer port değiştir, fail2ban gibi güzel çözümleri kullan.
3. Sunucu ve üzerinde çalışan her şeyin güncel olduğuna emin ol.
4. WP gibi şeyler kullanıyorsan fazlaca eklenti kurmamaya özen göster, ihtiyacın kadarıyla yetin. Sık sık eklentiler güncel mi diye denetle.
5. Kullanmadığın hiçbir şeyi açık tutma. Örneğin suncunun Samba ile işi yoksa kurulu olmasın.
6. FTP gibi tarih öncesi, güvenlikten yoksun şeyleri mümkünse kullanma.
7. Sunucuda kullanıcılar barındırılacaksa sıkı sınırlamalar planla.
.
.

gibi uzar gider.

[saitp]

"Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?" Eminmisiniz ? Kendi IP adresiniz olmasın ?

Değil. Yosemite'den bağlanmadan önce pinky komutunu girdiğimde iki sistem görünüyordu. Yosemite ile bağlanınca 3'e çıktı ve Yosemite'nin IP'si görünüyordu. Ubuntu'nun IP'si farklıydı ondan.


Mesaj tekrarı yüzünden mesajınız birleştirildi. Bu mesajın gönderim tarihi : 04 Temmuz 2015 - 12:22:08
@heartsmagic Hmm. Okudum ama pek anlamadım, zor bir şey sanırım. Linux'da daha fazla tecrübeye ihtiyacım var. Teşekkürler.

[dj_psk]

Giriş ve isim bölümünde sizin kullanıcı adınız dışında bir ad varmıydı? root unnamed v.s. gibi?

[saitp]

Giriş ve isim bölümünde sizin kullanıcı adınız dışında bir ad varmıydı? root unnamed v.s. gibi?

İki sistemin de adını aynı yaptığım için ikisi de aynı. Ama IP'si yazıyordu zaten yanında.

[heartsmagic]

Anlamadım dediğin fail2ban mı? Biraz daha tecrübeyle kıvırırsın onu da. Gün gelir de denemek istersen, hatta günü gelmeden de denemek istersen forum her zaman sorularına açık tabi. Geri kalan bölümlerde bir sıkıntı yok sanırım, başlığı etiketlemişsin?

[saitp]

Anlamadım dediğin fail2ban mı? Biraz daha tecrübeyle kıvırırsın onu da. Gün gelir de denemek istersen, hatta günü gelmeden de denemek istersen forum her zaman sorularına açık tabi. Geri kalan bölümlerde bir sıkıntı yok sanırım, başlığı etiketlemişsin?

Teşekkür ederim, evet konu kilitlenebilir.