| |
|
| |||||||
| Güvenlik Virus worm spyware security protection, en son çıkan açıklar ve yamaları, güvenlik dünyasından en son haberler. |
| |
 |
| | | LinkBack | Seçenekler |
13-09-2011, 19:16:13
| |||
| |||
Merhaba arkadaşlar sitelerimden 3 tanesine saldırı yapılıyor. Hostingiciye göre sunucuya saldırı yok direk sitelere var diyor. siteler şuan suspendli acılır acılmaz bütün sunucu ucuyor erişelemez hale geliyor. Bu çok makale yazı döküman okudum genel olarak botnet saldırısı önlemiyor deniyor. Savcılıga vereyim diyorum e bu botnetle saldırı yapan kişi kendi ıp ile bu işi yapmıyordur muhtemelen. Sonuç olarak ne yapmalıyım hosting firmasınımı degişmeliyim? Savcılıgamı vermeliyim? Başka botnet işi yapanları bulup parası neyse verip karşılıkmı vermeliyim. Not: Siteler islami siteler uygunsuz içerik yok..  |
|
14-09-2011, 12:49:35
| |||
| |||
1.Litespeed kullanımı : Litespeed sunucu hızını kullandığı özel teklikle maksimum düzeylere çıkaran bir sunucu eklentisidir. Bu eklenti kurulu olan sunucuları satın aldığınız da, sunucu kilitlenmesi hihtimali en aza indirgenebilecektir. 2. Firewall kullanımı : Firewall, saldırılara karşı etkili bir güvenlik duvarıdır. Hangi sunucunun firewall kullanıp kullanmadığını bir tüketici olarak bilmemiz zor olabilir. Bu sebeple satn almadan önce sormanız gereken ikinci özellik sunucunun firewall kullanıp kullanmaması olmalıdır. Botnet diğer adıyla ddos saldırılarını önlemenin yolları, 1. Hedef Şaşırtma : Botnet saldırıları genellikle sitelerin ana dizinlerindeki index dosyası hedef alınarak yapılmaktadır. Çünkü bu şekilde daha etkili bir saldırı yapmış olurlar. Bu sebeple index.php (özellikle wordpress siteleri) dosyasının hedef olmaktan çıkması gerekir. Bunun için sitenin farklı uzantıda bir index dosyasını çağırmasını sağlıyoruz. Site Anasayfasının kaynak kodunu tamamiyle kopyalayarak index.html isminde yeni bir dosya içerisine ekleyerek sunucuya atıyoruz. Bunu yaptığımızda saldırı hedefi index.php olarak devam ederken, site anasayfası index.html den açılmaktadır. Html statik bir sayfa olduğu için, saldırı devam etmesine rağmen daha hızlı sitenin açıldığını görebileceksiniz. Html klasörünü oluşturmakla birlikte index.php nin ismini değiştirirseniz, alt sayfalara ulaşılamama hatası alırsınız. Çünkü sitenin tüm sayfaları index.php üzerindeki sorgulardan oluşmaktadır. Bu sebeple anasayfa index.html den çalışırken, alt sayfalar da index.php üzerinden açılmaktadır. Bir botnet saldırısında, saldırının ne zaman biteceğini hiçbir zaman kestiremezsiniz. Anasayfayı html olarak ayarladığınız, sürekli güncellemeniz zor olacağı için mutlaka yine dinamik yapıya dönmeniz gerekmektedir. Dolayısıyla index.html kullanmak sadece geçici bir çözümdür. Arama motorları ve botların siteye ulaşabilmelerini sağlamak adına yapacağınız ilk uygulama olmalıdır. Bundan sonrası için daha kalıcı çözümler bulmanız gerekmektedir. Kalıcı çözümler için de aşağıdaki taktikleri uygulamanız gerekir. 2. İp ve Browser engelleme : Botnet saldırısına iştirak eden zombie bilgisayarların, normal kullanıcılara göre farkı, siteyi onlarca veya yüzlerce defa sorgulamasıdır. Normal bir ziyaretçi, siteye günde max 3 – 5 kez giriyorsa, zombie bilgisayarlar dakikada onlarca kez girebilmektedir. Bu sebeple yoğun giriş yapan ipleri ve browserları tespit ederek, htaccess ile girişleri engellemeniz gerekir. 2. a. Yoğun ip ve browser girişlerini tespit etme : Sitenize ait cpanele girdikten sonra Raw Access Logs linkine tıklıyoruz. Buradan siteye son zamanlarda giriş yapan ip ve tarayıcılarını listeleyebiliyoruz. Sitenin ziyaretçi sayısına veya botnet saldırısına göre dosyasının boyutu artacaktır. Yaklaşık 15 – 20 mb boyutlarında dosyayı indirdikten sonra herhangi bir text programı ile açıyoruz. Notepad için yük oluşturabilir, bu sebeple notepad2 kullanmanızı tavsiye ediyorum. Yoğun ip ve browser girişlerini engelleme : Yoğun giriş yapan ip ve tarayıcıları tespit ettikten sonra aşağıdaki kodları htaccess dosyanıza ekleyerek bu girişleri engellemeniz gerekmektedir. htaccess ile ip girişi engelleme order allow,deny deny from 111.*.*.* deny from 95.*.*.* allow from all htaccess ile tarayıcı girişi engelleme RewriteCond %{HTTP_USER_AGENT} !^Microsoft Internet Explorer/[34].[0-9]{1,2} Ekstra htaccess güvenlikleri # .htaccess dosyasına erişimi engelle <files .htaccess> order allow,deny deny from all </files> # sunucu imzasını kaldır ServerSignature Off # dosya yükleme boyutunu 10mb ile sınırlandır LimitRequestBody 10240000 # wpconfig.php dosyasına erişimi engelle <files wp-config.php> order allow,deny deny from all </files> # wp-load.php dosyasına erişimi engelle <files wp-load.php> order allow,deny deny from all </files> # dizin listelemeyi iptal et Options All -Indexes # zararlı botları engelle RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR] RewriteCond %{HTTP_USER_AGENT} ^Bot mailto:craftbot@yahoo.com [OR] RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR] RewriteCond %{HTTP_USER_AGENT} ^Custo [OR] RewriteCond %{HTTP_USER_AGENT} ^DISCo [OR] RewriteCond %{HTTP_USER_AGENT} ^Download Demon [OR] RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR] RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR] RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR] RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR] RewriteCond %{HTTP_USER_AGENT} ^Express WebPictures [OR] RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [OR] RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [OR] RewriteCond %{HTTP_USER_AGENT} ^FlashGet [OR] RewriteCond %{HTTP_USER_AGENT} ^GetRight [OR] RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [OR] RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [OR] RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [OR] RewriteCond %{HTTP_USER_AGENT} ^GrabNet [OR] RewriteCond %{HTTP_USER_AGENT} ^Grafula [OR] RewriteCond %{HTTP_USER_AGENT} ^HMView [OR] RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^Image Stripper [OR] RewriteCond %{HTTP_USER_AGENT} ^Image Sucker [OR] RewriteCond %{HTTP_USER_AGENT} Indy Library [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR] RewriteCond %{HTTP_USER_AGENT} ^Internet Ninja [OR] RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR] RewriteCond %{HTTP_USER_AGENT} ^JOC Web Spider [OR] RewriteCond %{HTTP_USER_AGENT} ^larbin [OR] RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [OR] RewriteCond %{HTTP_USER_AGENT} ^Mass Downloader [OR] RewriteCond %{HTTP_USER_AGENT} ^MIDown tool [OR] RewriteCond %{HTTP_USER_AGENT} ^Mister PiX [OR] RewriteCond %{HTTP_USER_AGENT} ^Navroad [OR] RewriteCond %{HTTP_USER_AGENT} ^NearSite [OR] RewriteCond %{HTTP_USER_AGENT} ^NetAnts [OR] RewriteCond %{HTTP_USER_AGENT} ^NetSpider [OR] RewriteCond %{HTTP_USER_AGENT} ^Net Vampire [OR] RewriteCond %{HTTP_USER_AGENT} ^NetZIP [OR] RewriteCond %{HTTP_USER_AGENT} ^Octopus [OR] RewriteCond %{HTTP_USER_AGENT} ^Offline Explorer [OR] RewriteCond %{HTTP_USER_AGENT} ^Offline Navigator [OR] RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [OR] RewriteCond %{HTTP_USER_AGENT} ^Papa Foto [OR] RewriteCond %{HTTP_USER_AGENT} ^pavuk [OR] RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [OR] RewriteCond %{HTTP_USER_AGENT} ^RealDownload [OR] RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR] RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR] RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR] RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR] RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR] RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR] RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [OR] RewriteCond %{HTTP_USER_AGENT} ^Teleport Pro [OR] RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [OR] RewriteCond %{HTTP_USER_AGENT} ^Web Image Collector [OR] RewriteCond %{HTTP_USER_AGENT} ^Web Sucker [OR] RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR] RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR] RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR] RewriteCond %{HTTP_USER_AGENT} ^WebGo IS [OR] RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [OR] RewriteCond %{HTTP_USER_AGENT} ^WebReaper [OR] RewriteCond %{HTTP_USER_AGENT} ^WebSauger [OR] RewriteCond %{HTTP_USER_AGENT} ^Website eXtractor [OR] RewriteCond %{HTTP_USER_AGENT} ^Website Quester [OR] RewriteCond %{HTTP_USER_AGENT} ^WebStripper [OR] RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [OR] RewriteCond %{HTTP_USER_AGENT} ^WebZIP [OR] RewriteCond %{HTTP_USER_AGENT} ^Widow [OR] RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [OR] RewriteCond %{HTTP_USER_AGENT} ^Xaldon WebSpider [OR] RewriteCond %{HTTP_USER_AGENT} ^Zeus |
|
14-09-2011, 17:51:23
| |||
| |||
Arkadaşlar tüm önerilerinize çok çok teşekkür ediyorum cloudflare.com sayesinde şuanda sorun çözümlendi inş. bir daha böyle bir konu acma geregi duymam. |
|
15-09-2011, 13:53:19
| |||
| |||
Genel anlamda bu tür sorunları yaşayanlar birtakım ufak tefek önlem ile kendi başlarının çaresine bakabilmekte, saldırı anında siteniz açılmamaz ve kilitlenme noktasına gelirse ftp den giriş yapabiliyorsanız index ile birlikte config dosyanızı yedekleyip silin bu sayede database ile bağlantı gerçekleşemez ve sunucunuz ve site zarar görmez ve sonrasında şu yolu izleyerrek saldırı yapılan ip adreslerini tespit edip bu ip leri sunucudan banlamalısınız. netstat -ntu | awk '{print $5}'|cut -d":" -f1 | sort| uniq -c | sort -nr | grep -v -E "127.0.0.1|0.0.0.0|10.0.0.1" | awk '{ if ($1 > 150) { print $1 " " $2 ; }}' yukarıdaki kod ile sunucunuza bağlanan ip lerin birden çok kez sunucuyu meşgul ettiği görülüyorsa örneğin 185.123.56.23 - 30 şeklinde buradaki 30 aynı saniyede 30 kez sunucuya ping yaptığınız ve meşgul ettiğini gösteriyor böyle ip yada ip ler gördüğünüzde yapacağını bu ip leri engellemek olacaktır ve saldırı bu şekilde atlatılır (yeni ip ile saldırı yapılırsa aynı yöntem ile angelleyebilirsiniz) peki saldırı gelen ip adresini nasıl engelleriz iptables -I INPUT -s 185.123.56.23 -j DROP yukarıdaki komut ile ip adresi engelliler listesine eklenecektir. yazı alıntı değildir, sunucuma gelen ufak çaptaki saldırıları bu şekilde egale etmekteyim. Bu komutlar linux sunucular için geçerlidir ve ssh ile bağlantılarda uygulanabilir.
__________________ Kazandıklarınız değil muhafaza edebildikleriniz sizindir. |
|
| Bookmarks |
| Seçenekler | |
| |
adresi ile iletişime
geçilmesi halinde ilgili kanunlar ve yönetmelikler çerçevesinde en geç 1
(Bir) Hafta içerisinde R10.net yönetimi olarak tarafımızdan gereken işlemler
yapılacak ve Avukatlarımız size dönüş yapacaktır.
10Beğeniler
Botnet saldırısı alıyorum - cözüm önerileriniz 
