[Çözüldü] SSH ile Bağlantı Engelleme?

Başlatan saitp, 03 Temmuz 2015 - 16:18:49

« önceki - sonraki »

0 Üyeler ve 4 Ziyaretçi konuyu incelemekte.

saitp

Öncelikle Selamün Aleyküm, Hayırlı cuma ve Ramazanlar :) Ben VMWare'ye bu sefer de Mac OS X Yosemite 10.10 ve Ubuntu 14.04 kurdum. İkisini de çalıştırdım ve Mac'den Ubuntu'ya SSH ile bağlandım. Ancak aklıma bir soru takıldı. Farz edelim birisi Ubuntu'ma Keylogger kurdu bir şekilde ve şifremi buldu (veya başka bir şekilde buldu, sadece misal...) Ubuntu'ma bağlandı. Ben bunu nasıl fark ederim ve nasıl o kişinin IP'sini engelleyebilirim? Teşekkürler.
Alp Er Tunga öldi mü?
Isız ajun kaldı mu?
Ödlek öçin aldı mu?
Emdi yürek yırtılur.

dj_psk

#1
pinky ile görebilirsin diye düşünüyorum.

Sızmaya karşı koruma içinse network koruma filtresi türü şeyler uygulanabilir.
İnadına değil daha iyi olduğu için Linux!

saitp

Alıntı yapılan: dj_psk - 03 Temmuz 2015 - 16:41:23
pinky ile görebilirsin diye düşünüyorum.

Sızmaya karşı koruma içinse network koruma filtresi türü şeyler uygulanabilir.
Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?
Alp Er Tunga öldi mü?
Isız ajun kaldı mu?
Ödlek öçin aldı mu?
Emdi yürek yırtılur.

dj_psk

Alıntı yapılan: saitp - 03 Temmuz 2015 - 17:34:23
Alıntı yapılan: dj_psk - 03 Temmuz 2015 - 16:41:23
pinky ile görebilirsin diye düşünüyorum.

Sızmaya karşı koruma içinse network koruma filtresi türü şeyler uygulanabilir.
Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?

iptables ile engellersin bu konu biraz geniş bir konu. Kuralları belirliyorsun bununla. Zaten Çoğu Linux dağıtımında önyüklü gelmektedir.  https://forum.ubuntu-tr.net/index.php?action=search;q=iptables
İnadına değil daha iyi olduğu için Linux!

saitp

Alıntı yapılan: dj_psk - 03 Temmuz 2015 - 17:55:55
Alıntı yapılan: saitp - 03 Temmuz 2015 - 17:34:23
Alıntı yapılan: dj_psk - 03 Temmuz 2015 - 16:41:23
pinky ile görebilirsin diye düşünüyorum.

Sızmaya karşı koruma içinse network koruma filtresi türü şeyler uygulanabilir.
Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?

iptables ile engellersin bu konu biraz geniş bir konu. Kuralları belirliyorsun bununla. Zaten Çoğu Linux dağıtımında önyüklü gelmektedir.  https://forum.ubuntu-tr.net/index.php?action=search;q=iptables
Düzgün bir konu bulamadım forumda. Şunu yazmam yeterli mi: "iptables -I INPUT -s 192.168.111.137 -j DROP" ?
Alp Er Tunga öldi mü?
Isız ajun kaldı mu?
Ödlek öçin aldı mu?
Emdi yürek yırtılur.

dj_psk

Alıntı yapılan: saitp - 03 Temmuz 2015 - 18:03:39
Alıntı yapılan: dj_psk - 03 Temmuz 2015 - 17:55:55
Alıntı yapılan: saitp - 03 Temmuz 2015 - 17:34:23
Alıntı yapılan: dj_psk - 03 Temmuz 2015 - 16:41:23
pinky ile görebilirsin diye düşünüyorum.

Sızmaya karşı koruma içinse network koruma filtresi türü şeyler uygulanabilir.
Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?

iptables ile engellersin bu konu biraz geniş bir konu. Kuralları belirliyorsun bununla. Zaten Çoğu Linux dağıtımında önyüklü gelmektedir.  https://forum.ubuntu-tr.net/index.php?action=search;q=iptables
Düzgün bir konu bulamadım forumda. Şunu yazmam yeterli mi: "iptables -I INPUT -s 192.168.111.137 -j DROP" ?

O kadar basit bir şey değil, saldırının boyutu önemli bu klasik firewall olayıdır giriş çıkışı kontrol altına alırsın.  Hacker saldırısında durum daha karışık olacaktır. Daha fazlası benim bilmediğim bir yer maalesef.
İnadına değil daha iyi olduğu için Linux!

saitp

Alıntı yapılan: dj_psk - 03 Temmuz 2015 - 18:12:32
Alıntı yapılan: saitp - 03 Temmuz 2015 - 18:03:39
Alıntı yapılan: dj_psk - 03 Temmuz 2015 - 17:55:55
Alıntı yapılan: saitp - 03 Temmuz 2015 - 17:34:23
Alıntı yapılan: dj_psk - 03 Temmuz 2015 - 16:41:23
pinky ile görebilirsin diye düşünüyorum.

Sızmaya karşı koruma içinse network koruma filtresi türü şeyler uygulanabilir.
Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?

iptables ile engellersin bu konu biraz geniş bir konu. Kuralları belirliyorsun bununla. Zaten Çoğu Linux dağıtımında önyüklü gelmektedir.  https://forum.ubuntu-tr.net/index.php?action=search;q=iptables
Düzgün bir konu bulamadım forumda. Şunu yazmam yeterli mi: "iptables -I INPUT -s 192.168.111.137 -j DROP" ?

O kadar basit bir şey değil, saldırının boyutu önemli bu klasik firewall olayıdır giriş çıkışı kontrol altına alırsın.  Hacker saldırısında durum daha karışık olacaktır. Daha fazlası benim bilmediğim bir yer maalesef.
Peki, teşekkürler. Forumda güvenlikten, hackerlıktan, pentestten anlayan birisi var mı bildiğiniz?
Alp Er Tunga öldi mü?
Isız ajun kaldı mu?
Ödlek öçin aldı mu?
Emdi yürek yırtılur.

dj_psk

İsim veremem şu bu diye ama bilgisi olan bilgisi dahilinde yardımcı olacaktır. Bugün forum pek aktif değil tabiri caizse baba adamlar yok ;)
İnadına değil daha iyi olduğu için Linux!

ata1

bu kadar alıntı varken konu anlaşılır değil ki .

saitp

Alıntı yapılan: eral - 03 Temmuz 2015 - 18:41:35
bu kadar alıntı varken konu anlaşılır değil ki .
Sonradan farkettim. Okumayıverin.
Alp Er Tunga öldi mü?
Isız ajun kaldı mu?
Ödlek öçin aldı mu?
Emdi yürek yırtılur.

ata1


saitp

Alp Er Tunga öldi mü?
Isız ajun kaldı mu?
Ödlek öçin aldı mu?
Emdi yürek yırtılur.

Reverser

"Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?" Eminmisiniz ? Kendi IP adresiniz olmasın ?

XFCE ROCKS !
Powered by Thunar & XFWM4



jaschar

o kadar kolay degil configlemesi ugrastiriyor söyleyeyim
projectdisco - state of art android distribution .

heartsmagic

Önce alıntı meselesi :) Ben de yanlış anlaşılmayayım ancak iki taraf sıralı konuşurken alıntıya gerek olmamalı forumda. Hem iletileri büyütüyor hem de komik duruyor :) Birden fazla kişi dahil olduğunda, sadece gereken yerler alıntılanabilir tabi.

Bu konu çok genişler, zira bir sorudan sonra bir başkası geliyor. İlk iletiye binaen, eğer birisinin sistemine girdiğini fark ettiysen önce hiçbir şeyle uğraşmayacaksın, ağ kablosunu çekeceksin. Gerisini sonra düşünürsün :) Ha, bu bir sunucu ise ne olacak sorusu sorulabilir tabi, durum değişir. Ancak, orada da "keylogger" olayının olması pek ihtimal dahilinde değil. "Evimdeki sisteme keylogger yerleştirmiş, oradan da sunucu parolamı bir şekilde görmüşse?" sorusu gelebilir. Tası tarağı toplayıp her iki sistemi de güzelce sıfırlamak en güzelidir :) Zira o noktadan sonra iki sistemden de adam olmaz. Kök erişimi elde eden birinin tam olarak neler yaptığını bilmek genelde imkânsıza yakındır. Böyle bir durumda sistemler yenilenir.

Şimdi, diyelim ki sorular meraktan sorulmakta. Elbette hiçbir mahsuru yok.

Sunucuma bağlananları nasıl öğrenebilirim?
who
veya
w
En temel komutlardandır. pinky'yi yeni gördüm, o da fena değilmiş. Ancak, temel komutlar hemen her yerde işe yarar. Diğerleri her sistemde olmayabilir. Örneğin AIX üzerinde bile vardır bu temel komutlar ve araçlar.

Örnek bir çıktı:
Alıntı Yapuser     pts/0        2015-07-04 04:18 (1.2.3.4)
user     pts/9        2015-07-04 04:44 (0.6.6.6)

Baktın who ile şüpheli bir bağlantı var. Burada senin IP adresin 1.2.3.4 olsun, kötü arkadaşınki de 0.6.6.6. Nereden bağlı bu arkadaş? pts/9
Şimdi pts ne diye sorarsan başlık uçar gider :) Soracaksan başka bir başlıkta konuşabiliriz. Kabaca sanal uçbirimin suyunun suyu :) Yalancı sanal uçbirim diyelim, geçelim şimdilik.

Hangi yalancı sanal uçbirimden gelmişti bu arkadaş? pts/9

ps aux | grep ssh | grep pts/9
Sonucu:
Alıntı Yapuser      1953  0.0  0.0 105628  1928 ?        S    04:44   0:00 sshd: user@pts/9

Vurgulu kısım yani 1953 bu yalancı sanal uçbirimden bağlanan ssh sürecinin PID'i. Bunu sonlandırırsak arkadaşa veda edebiliriz.

kill -9 1953


Nasıl yasaklarım?

iptables -A INPUT -s 0.6.6.6 -j DROP


-I ile de olur mu? olur sanırım. -A sona ekler, -I ise belirli bir yere sokar kuralı. Gerçi sıra vermezsek ne yapıyor ben de tam bilmiyorum, iptables konusunda o kadar iyi değilim. İşim düştüğünde Google'a danışıp istediğimi yapacak kadar biliyorum sadece.

fail2ban zor mu? Çok değil. Az biraz Linux tecrübesi ile kendisini yapılandırmak kolay.

Buradaki esas sorun şu, konunun ucu bucağı yok. Güvenlik konularında az çok bir şeyler bilen biri vardır ancak soruların ayrıntılı ve konuya özel sorulması gerekir. Sızma meselesi tek kanaldan yapılan bir olay değil, zilyon tane saldırı vektörü var.

"Keylogger" denen şeyse saldırı değil esasında. Karşına çıkabilecek son sıkıntılardan biridir. Zira keylogger demek adamın bir şekilde makineye ya fiziksel erişimi var ya da sisteme tam anlamıyla yerleşmiş demektir. Fiziksel erişimi varsa yapılacak fazlaca bir şey yok. Mümkün mertebe kimseyi sistemine yanaştırmayacaksın, ilk kurallardan biri budur muhtemelen :)

Sisteme nasıl sızacak karşı taraf? Söylediğim gibi çok farklı yolu var bu işin ve esasında pek kolay değil. Hele hele ev kullanıcısıysak pek mümkün de değil. Ubuntu'yu standart olarak kurdun kullanıyorsun, nasıl girebilecek bu adam? Üzerinde çalışan herhangi bir servisi dışarı açmadıysan ne yapabilir? Modeme port taraması yapar yapar geri gider.

Mesele internete açık ve farklı hizmetleri veren bir sunucu mu? O zaman iş değişir ve başlık çok ama çok uzar. Sunucunun kendisinin ve üzerinde çalışan servislerin güncellik durumu, güvenlik güncellemelerinin takibi vs. önem arz eder. Diyelim ki sunucun sımsıkı, bir WP ile site barındırıyorsun. Wp'de açık çıktı ve sen haberdar olamadın veya 0.gün saldırısı yapıldı. Gitti site. En kötü "index" yeme denen şeye maruz kalırsın, daha da kötüsü olabilir. WP'nin kendisinde açık yok ama eklentilerinde var. Hadi bakalım oradan da bir sıkıntı çıktı. Zamanında bizim bileşenlere de "pharma hack" denen zıkkım bulaşmıştı da temizleyene kadar akla karayı seçtik burada.

Tabi yapılabilecek standart şeylerden bahsedilebilir:

1. root kullanıcısını kapat.
2. ssh varsa eğer port değiştir, fail2ban gibi güzel çözümleri kullan.
3. Sunucu ve üzerinde çalışan her şeyin güncel olduğuna emin ol.
4. WP gibi şeyler kullanıyorsan fazlaca eklenti kurmamaya özen göster, ihtiyacın kadarıyla yetin. Sık sık eklentiler güncel mi diye denetle.
5. Kullanmadığın hiçbir şeyi açık tutma. Örneğin suncunun Samba ile işi yoksa kurulu olmasın.
6. FTP gibi tarih öncesi, güvenlikten yoksun şeyleri mümkünse kullanma.
7. Sunucuda kullanıcılar barındırılacaksa sıkı sınırlamalar planla.
.
.

gibi uzar gider.


Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

saitp

#15
Alıntı yapılan: Reverser - 04 Temmuz 2015 - 01:55:44
"Birinin bağlandığını görebildim, IP'sini de gördüm. Ancak nasıl engelleyebilirim?" Eminmisiniz ? Kendi IP adresiniz olmasın ?
Değil. Yosemite'den bağlanmadan önce pinky komutunu girdiğimde iki sistem görünüyordu. Yosemite ile bağlanınca 3'e çıktı ve Yosemite'nin IP'si görünüyordu. Ubuntu'nun IP'si farklıydı ondan.


Mesaj tekrarı yüzünden mesajınız birleştirildi. Bu mesajın gönderim tarihi : 04 Temmuz 2015 - 12:22:08

@heartsmagic Hmm. Okudum ama pek anlamadım, zor bir şey sanırım. Linux'da daha fazla tecrübeye ihtiyacım var. Teşekkürler. :)
Alp Er Tunga öldi mü?
Isız ajun kaldı mu?
Ödlek öçin aldı mu?
Emdi yürek yırtılur.

dj_psk

Giriş ve isim bölümünde sizin kullanıcı adınız dışında bir ad varmıydı? root unnamed v.s. gibi?
İnadına değil daha iyi olduğu için Linux!

saitp

Alıntı yapılan: dj_psk - 04 Temmuz 2015 - 14:01:49
Giriş ve isim bölümünde sizin kullanıcı adınız dışında bir ad varmıydı? root unnamed v.s. gibi?
İki sistemin de adını aynı yaptığım için ikisi de aynı. Ama IP'si yazıyordu zaten yanında.
Alp Er Tunga öldi mü?
Isız ajun kaldı mu?
Ödlek öçin aldı mu?
Emdi yürek yırtılur.

heartsmagic

Anlamadım dediğin fail2ban mı? Biraz daha tecrübeyle kıvırırsın onu da. Gün gelir de denemek istersen, hatta günü gelmeden de denemek istersen forum her zaman sorularına açık tabi. Geri kalan bölümlerde bir sıkıntı yok sanırım, başlığı etiketlemişsin?
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

saitp

Alıntı yapılan: heartsmagic - 05 Temmuz 2015 - 06:40:45
Anlamadım dediğin fail2ban mı? Biraz daha tecrübeyle kıvırırsın onu da. Gün gelir de denemek istersen, hatta günü gelmeden de denemek istersen forum her zaman sorularına açık tabi. Geri kalan bölümlerde bir sıkıntı yok sanırım, başlığı etiketlemişsin?
Teşekkür ederim, evet konu kilitlenebilir.
Alp Er Tunga öldi mü?
Isız ajun kaldı mu?
Ödlek öçin aldı mu?
Emdi yürek yırtılur.