Dışarıdan Gelen Bağlantı İsteği

[snltrk]

Merhaba,

Son 3-4 gündür 93.155.1.221 numaralı ip den 25. porta bağlanılmaya çalışılıyor. Firestarter bağlantıyı engelliyor. Ip adresi ping lere cevap vermiyor. Bilgisayarda zombie olarak çalışan ugulamalar olabilirmi acaba. Paranoya ancak tüm kişisel ve ticari işlemler bu bilgisayar üzerinden yürütüldüğünden (özellikle internet bankacılığı işlemleri) tedirginim. Modemi resetleyip ip değiştirmeme rağmen bağlanma girişimi devam ediyor. Bu durumdan nasıl kurtulabilirim yada linux üzerinde trojan, mallware gibi yazılımlar mevcutmudur?

[heartsmagic]

25. port sistemde bir servis tarafından kullanılmakta mı peki?
rootkit taraması yapılabilir belki. Depolarda rkhunter gibi uygulamalar mevcut.

[barış]

Merhaba,

Son 3-4 gündür 93.155.1.221 numaralı ip den 25. porta bağlanılmaya çalışılıyor. Firestarter bağlantıyı engelliyor. Ip adresi ping lere cevap vermiyor. Bilgisayarda zombie olarak çalışan ugulamalar olabilirmi acaba. Paranoya ancak tüm kişisel ve ticari işlemler bu bilgisayar üzerinden yürütüldüğünden (özellikle internet bankacılığı işlemleri) tedirginim. Modemi resetleyip ip değiştirmeme rağmen bağlanma girişimi devam ediyor. Bu durumdan nasıl kurtulabilirim yada linux üzerinde trojan, mallware gibi yazılımlar mevcutmudur?

Tabiki de mevcut ancak çok yaygın değiller. Yani bir kişiye rastlaması zor bir ihtimal.
@heartsmagic zaten cevabı vermiş kullanılması gereken programları falan:)
Sistemin içinden çalışan uygulamalara bir göz at istersen. Modem arayüzünde de portları kontrol etmende fayda var


Mesaj tekrarı yüzünden mesajınız birleştirildi. Bu mesajın gönderim tarihi : 25 Kasım 2010 - 19:25:28

Kod Seç Genişlet

sudo apt-get install rkhunter
kurmak için bu.

Tarama için ise bu:

Kod Seç Genişlet

sudo rkhunter -c

[snltrk]

Firestarter ı kaldırıp Gufw kurdum, sitede firestarter ın eski olduğu ve artık kullanılmaması gerekriği hakkında yazılar okudum. rkhunter kurulumundan sonra taramada herhangi bir olumsuz sonuç çıkmadı. 25. portu kullanan aktif bir program görünmüyor. Modem üzerinde de 25. port kapalı.

[heartsmagic]

Bu durumda 25. port üzerinden size gelen istekler sorun oluyor mu? En kötü kullanılmayan o portu farklı bir yere yönlendirirsin, örneğin dışarıya, böylece gelen istekler de amaçsız kalır.

[snltrk]

Gufw firestarter gibi dışarıdan izinsiz bağlantıları göstermiyor? Loglara bakıyorum boş, bu durum her şeyin yolunda olduğunu mu gösteriyor. Yoksa bir şeyler eksik mi?

"En kötü kullanılmayan o portu farklı bir yere yönlendirirsin, örneğin dışarıya, böylece gelen istekler de amaçsız kalır."

Bunu nasıl yapabilirim?

[heartsmagic]

Routerden bu portu içeride hiç olmayan bir IP adresine yönlendir örneğin.

[snltrk]

Bilgi için teşekkür ederim. Peki dışarıdan gelen izinsiz bağlantı isteklerinin tutulduğu bir log yada uyarı penceresi yokmu gufw da?

[emrebahis]

ufw adı ile başlayan /var/log kalsöründe var bir kaç log dosyası. Bendekiler 3 adet ve toplamı 630 Mb.'a yakın. Tarih ve makine bilgisi ile başlıyan satırlar [UFW AUDIT] ve [UFW ALLOW] şeklinde devam ediyor.

Kod Seç Genişlet


Nov 29 18:26:40 op kernel: [23480.580924] [UFW AUDIT] IN= OUT=eth0 SRC=192.168.1.129 DST=192.168.1.255 LEN=231 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=138 DPT=138 LEN=211
Nov 29 18:26:40 op kernel: [23480.580940] [UFW ALLOW] IN= OUT=eth0 SRC=192.168.1.129 DST=192.168.1.255 LEN=231 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=138 DPT=138 LEN=211


Milyonun üzerindeki satırlar  içinden iki tanesini örnek olarak koydum. ( Sanırım LAN ile ilgili )

Bilen bir arkadaş, buradaki bilgilerin ne anlama geldiğini tek tek açıklayabilir ise sevinirim. Örneğin LEN=231 ne demek?

Acaba bu dosyaların (ufw.log , ufw.log.1 , ufw.log.2.gz vb.) boyutlarının bu kadar büyük olması normal mi?

-----------------EK-------------------

Şimdi fark ettim benim log kalsörü 2 Gb.'ın üzerine çıkmış. Sebebi ise ufw. Çünkü kendi log dosyaları haricinde yukarıdaki satırlara benzer satırlar syslog,message ve kernlog'un içinde var ve hepsi 400-500 Mb. boyutunda.

Sanrıım benin makinede bir problem var. Yada Gufw'nin Tercihler penceresindeki ayar düzeyi seçeneğini "Tam" dan "Düşük" e getirsem bu log tutma işi azalır mı? Eğer bu değişikliği yaparsam güvenlik ile ilgili bir sorun olur mu?

[guestwho]

    @emrebahis şu komutun çıktısını aktarsana:

Kod Seç Genişlet

sudo ufw status verbose

[emrebahis]

Kod Seç Genişlet


Durum: etkin
Kayıt defterine alınıyor: on (full)
Varsayılan: deny (gelen), allow (giden)
Yeni profiller: skip


[guestwho]

    Ufw 'nin dökümanından alıntı yapıyorum:

LEVEL may be 'off', 'low', 'medium', 'high' and full.  Log  levels  are defined as:

       off    disables ufw managed logging

       low    logs  all  blocked packets not matching the default policy (with rate limiting), as well as packets matching logged rules

       medium log level low, plus all allowed packets not matching the default policy,  all INVALID packets, and all new connections.  All log‐ging is done with rate limiting.

       high   log level medium (without rate limiting), plus all packets  with rate limiting

       full   log level high without rate limiting


       Loglevels  above  medium  generate  a  lot  of  logging output, and may quickly fill up your disk. Loglevel medium may generate a lot  of  log‐ging output on a busy system.

    "Orta düzeyin üzerinde kayıt tutulması pek çok kayıt çıktısı oluşturur ve diskinizi çabucak doldurabilir. Orta düzeyde kayıt tutulması bile meşgul bir sistemde pek çok kayıt çıktısı oluşturabilir" uyarısı yapılmış zaten. Öncelikle şu komutla kayıt seviyesini düşük seviyeye getirmelisin:

Kod Seç Genişlet

sudo ufw logging low

    Ardından "sudo ufw status verbose" komutu kayıt düzeyini düşük (low) olarak gösteriyorsa , bir de Gufw 'den kayıt düzeyini düşük seviyeye getirmende fayda var.

[emrebahis]

    Ufw 'nin dökümanından alıntı yapıyorum:

LEVEL may be 'off', 'low', 'medium', 'high' and full.  Log  levels  are defined as:

       off    disables ufw managed logging

       low    logs  all  blocked packets not matching the default policy (with rate limiting), as well as packets matching logged rules

       medium log level low, plus all allowed packets not matching the default policy,  all INVALID packets, and all new connections.  All log‐ging is done with rate limiting.

       high   log level medium (without rate limiting), plus all packets  with rate limiting

       full   log level high without rate limiting


       Loglevels  above  medium  generate  a  lot  of  logging output, and may quickly fill up your disk. Loglevel medium may generate a lot  of  log‐ging output on a busy system.

    "Orta düzeyin üzerinde kayıt tutulması pek çok kayıt çıktısı oluşturur ve diskinizi çabucak doldurabilir. Orta düzeyde kayıt tutulması bile meşgul bir sistemde pek çok kayıt çıktısı oluşturabilir" uyarısı yapılmış zaten. Öncelikle şu komutla kayıt seviyesini düşük seviyeye getirmelisin:

Kod Seç Genişlet

sudo ufw logging low

    Ardından "sudo ufw status verbose" komutu kayıt düzeyini düşük (low) olarak gösteriyorsa , bir de Gufw 'den kayıt düzeyini düşük seviyeye getirmende fayda var.

Bu aydınlatıcı bilgi için çok teşekkür ederim.

Kod Seç Genişlet


Durum: etkin
Kayıt defterine alınıyor: on (low)
Varsayılan: deny (gelen), allow (giden)
Yeni profiller: skip


Ayrıca Gufw'de de bir ayarlama yapmama gerek kalmadı. Baktığımda seviye "Düşük" olarak görünüyor.

Bu düzey ayarlaması sanırım sadece log kayıtları için. Peki bu ayarlama güvenlikte herhangi bir zayıf nokta yaratır mı?

Tekrar teşekkür ederim.

[guestwho]

    Hayır güvenlik konusunda bir sorun yaratmaz. Orta ve üzeri kayıt düzeyi ayarları daha çok sisteminde sunucu uygulamaları çalıştıran ve gelen-giden bağlantıları eksiksiz olarak takip etmek isteyenler için var. Normal masaüstü kullanıcısının buna ihtiyacı yok.