Selam,
her ne kadar hırsıza kilit dayanmaz ise de, biz yine de elimizden geleni yapmaya çalışalım diye düşünüyorum.
Sayfa.NET olarak hosting sunucularında başlattığımız bu basit uygulamayı diğer meslektaşlarımla da paylaşayım istedim.
Gündemdeki 2 sorun:
1- FTP: Kırılmış programlar webmaster muhteremin bilgisayarına bulaşıyor, ardından ftp şifrelerini 3. şahıslara gönderiyor. Onlar da sitelere girip ftpdeki tüm dosyaları çekiyor, özellikle index, main ve login adını içeren dosyalara html ve php iframe + javascript kodu ekliyor.
2- Spam zpam nerde benim sopam.: Her ne kadar zen.spamhaus.org, RBL olarak aktif olsa da, yine spamlar yağmaya devam ediyor. Tespit ettiğim üzere, brezilya, abd, polonya, rusya, çin, kore, kolombiya'lı adsl iplerinden yapılan bu gönderimler beni fena baydı. Artık outlooktan tespit ettiğim spam maili gönderen ipnin bağlı olduğu telekomu inceleyip ilgili ağı kafadan bloke etmek en iyi çözüm diye düşünüyorum. Nasılsa ADSL üstünden göndermez ciddi hosting sunucuları.
Ardından onca işin arasında dedim ki, sayfa.net/firewall.txt diye bir dosya oluşturayım, tüm hosting sunucularına da 10 dakikada bir bu dosyayı çekip /bin/sh ile işleme almaları üzerine bir cron job oluşturayım. Ben firewall.txt yi güncelledikçe, blokeler artsın.
http://www.sayfa.net/firewall.txt adresindeki içerikte görüneceği üzere, 2 bölüm oluşturdum.
1. bölümde bazı telekom ip ağlarına ftp izni veriliyor. Tabi burda, bazı müşterilerimiz yurtdışından. Artık ftpye bağlanamadıklarında bize ulaşırlarsa onlara da yönelik kural oluşturacağız.
2. bölümde, bazı büyük adsl servis sağlayıcılarını 25. porttan uzak tutuyoruz.
Daha fazla ne yapılabilir?
Bu mantığı birlikte geliştirebiliriz. Dünyadaki tüm adsl ağlarının iplerini fırsat buldukça ekleyebiliriz.
Her türlü fikre açığım.
Saygılar,
Engin
Sayfa.NET Kurumsal Hosting Servisi
msn: destek3@sayfa.net
Spam ve Trojan bulaştırma meselesiyle mücadele
8
●900
- 09-05-2009, 01:44:59Merhabalar,
Çok iyi bir düşünce tebrik ederim son zamanlar da, bu bahsetmiş olduğunuz virüs çeşitleri çok yayılmaya başladı ve buna bir önlem olarak güzel bir firewall geliştirmişsiniz. Can-ı gönülden kutlarım. Bu fikre ilerleyen günlerde fikir katacak arkadaşlara ve gelişmeye açık olan bu yazılım 'a gösterecek emeğe destek vermeye hazırım.
Saygılarımla,
Kalitenet - Serkan - 09-05-2009, 02:20:40"bloke edilecek ağların listesi" desek daha doğru.
info@sayfa.net e günde 300 civarında spam geliyor. bunların içinde turktelekom haricindeki, whois sorgusunda adsl ip olduğu belirlenen ağları dahil ediyorum.
belki birlikte belirlersek, daha hızlı bir şekilde ideal firewall-kural-listemizi oluşturabiliriz. - 09-05-2009, 10:53:18ip engellemek her nekadar yararlı olur orası tartışılır fakat birkaç diyeceklerim var
Sunucunuzda bulunan site sahiplerinin dizinleri altındaki sayfalara bulaşabilecek frame exploitler,trojan dowloaderlar,botnet clientleri vs gibi malwareler sizin müşterilerinizin sayesinde bulaşacaktır o sebeple saldırganın gözünde hedef sunucu değilde ftp ye bağlanan insanlardır.Bu sebeple iframe exploitlerini önleyebilmek için önerim ; " Bilinçli kullanıcı yaratmak"
Bunu nasıl yapıcam ?
1-Sitenizde videolu ya da resimli anlatımlar yapabilirsiniz.Misal ilk olarak bir COMBOFİX kullanarak mevcut çoğu malwareden kurtulabilirler ya da işlem yaparken ekran klavyesi kullanabilirler,yani söz konusu kullanıcı güvenliğini sağlamak için elinizden gelen ne varsa yapabilirsiniz.
2-Tek bir dizinin bu saldırıdan etkilenmesi tüm sunucunun etkilenmesinden iyidir bu sebeple siz sunucu güvenliğinizden eminseniz ( php surumu,kullanılan eskstra yazılımların güncellemeleri vs) işiniz % 50 azalacaktır.
Gelelim spam olayına ; bir şekilde edinilen şifreler saldırganlar tarafından kullanılmak istendiğinde ftplere bağlanılamayacak ya da sizlere gönderilen ip aralığında sizlere spam mailleri gönderilemeyecektir. Bu konudaki sizlere önerim ip aralıkları için ;
Google adsense reklam yayını engelleme listesi oluşturuyorlar arkadaşlar işde kazançları az vs bizim de ihtiyacımız olan spam ip aralığı listesi oluşturmak böyle bir konu açılsın ve sunucu sahipleri olsun biz harici ilgilenenler olsun sürekli güncellenen bir liste oluşturalım.
Engin bey bu arada hazırladığınız firewall.txt içinde teşekkür ediyorum.Bizi bu konuda teşvik ettiniz arkadaşlar ile birlikte bu konununda altından kalkacağımıza inanıyorum - 09-05-2009, 11:07:51işin zahmeti kısmından bahsedeyim:
1- outlook a spam gelir. özellikler kısmından ip adresini buluruz.
Received: (qmail 26151 invoked from network); 9 May 2009 10:33:27 +0300
Received: from unknown (HELO EFEUNGVTA) (116.36.203.232)
by rpd1.sayfa.net with SMTP; 9 May 2009 10:33:27 +0300
Received-SPF: neutral (rpd1.sayfa.net: 116.36.203.232 is neither permitted nor denied by SPF record at wjbookstore.com)
Message-ID: <000d01c9d078$6e825d20$6400a8c0@flockedqs30>
From: "Pamela John" <flockedqs30@wjbookstore.com>
To: <destek@sayfa.net>
Subject: Hollywood superstars use this to stay slim
Date: Sat, 9 May 2009 16:33:22 +0900
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Antivirus: AVG for E-mail 8.0.238 [270.12.22/2105]
Content-Type: multipart/mixed; boundary="=======AVGMAIL-4A0533F90000======="
2- linux ssh'a girip ipnin sahibi tespit ederiz.
[root@ns12 ~]# whois 116.36.203.232
[Querying whois.arin.net]
[Redirected to whois.apnic.net]
[Querying whois.apnic.net]
[Redirected to whois.nic.or.kr]
[Querying whois.nic.or.kr]
[whois.nic.or.kr]
query: 116.36.203.232
# KOREAN
Á¶È¸°á°ú´Â ¾Æ·¡¿Í °°À¸¸ç, ½ÇÁ¦ Á¤º¸¿Í »óÀÌÇÒ ¼ö ÀÖ½À´Ï´Ù.
IPv4ÁÖ¼Ò : 116.36.192.0-116.36.207.255
³×Æ®¿öÅ© À̸§ : XPEED51
¿¬°á ISP¸í : Xpeed
ÇÒ´ç³»¿ª µî·ÏÀÏ : 20080122
ÇÒ´çÁ¤º¸ °ø°³¿©ºÎ : Y
[ IPv4ÁÖ¼Ò »ç¿ë ±â°ü Á¤º¸ ]
±â°ü°íÀ¯¹øÈ£ : ORG830704
±â°ü¸í : ÁÖ½Äȸ»ç ¿¤ÁöÆÄ¿öÄŞ
ÁÖ¼Ò : ¼*¿ï ¼*Ãʱ¸ ¼*Ãʵ¿
»ó¼¼ÁÖ¼Ò : 1329-7 ½Å´öºôµù
¿ìÆí¹øÈ£ : 137-070
[ ³×Æ®¿öÅ© ´ã´çÀÚ Àι° Á¤º¸ ]
À̸§ : IPÁÖ¼Ò°ü¸®ÀÚ
±â°ü¸í : ÁÖ½Äȸ»ç ¿¤ÁöÆÄ¿öÄŞ
ÁÖ¼Ò : ¼*¿ï ¼*Ãʱ¸ ¼*Ãʵ¿
»ó¼¼ÁÖ¼Ò : 1329-7 ½Å´öºôµù
¿ìÆí¹øÈ£ : 137-070
ÀüÈ*¹øÈ£ : +82-2-2086-5435
ÀüÀÚ¿ìÆí : ip@lgpwc.com
--------------------------------------------------------------------------------
¸¸¾à À§ÀÇ IPv4ÁÖ¼Ò »ç¿ë±â°ü Á¤º¸°¡ ¿Ã¹Ù¸£Áö ¾ÊÀ» °æ¿ì
¾Æ·¡ÀÇ ÇØ´ç ¿¬°á ISP ´ã´çÀÚ¿¡°Ô ¹®ÀÇÇϽñ⠹ٶø´Ï´Ù.
[ ¿¬°áISPÀÇ IPv4ÁÖ¼Ò Ã¥ÀÓÀÚ Á¤º¸ ]
À̸§ : IPÁÖ¼Ò°ü¸®ÀÚ
ÀüÈ*¹øÈ£ : +82-2-2086-5935
ÀüÀÚ¿ìÆí : ip@powercomm.com
[ ¿¬°áISPÀÇ IPv4ÁÖ¼Ò ´ã´çÀÚ Á¤º¸ ]
À̸§ : IPÁÖ¼Ò°ü¸®ÀÚ
ÀüÈ*¹øÈ£ : +82-2-2086-5935
ÀüÀÚ¿ìÆí : ip@lgpwc.com
[ ¿¬°áISPÀÇ Network Abuse ´ã´çÀÚ Á¤º¸ ]
À̸§ : º¸¾È´ã´çÀÚ
ÀüÈ*¹øÈ£ : +82-2-2086-5935
ÀüÀÚ¿ìÆí : security@powercomm.com
# ENGLISH
KRNIC is not an ISP but a National Internet Registry similar to APNIC.
The following is organization information that is using the IPv4 address.
IPv4 Address : 116.36.192.0-116.36.207.255
Network Name : XPEED51
Connect ISP Name : Xpeed
Registration Date : 20080122
Publishes : Y
[ Organization Information ]
Organization ID : ORG830704
Org Name : LG Powercom
Address : Seocho-dong Seocho-gu Seoul
Detail Address : 1329-7
Zip Code : 137-070
[ Technical Contact Information ]
Name : IP Manager
Org Name : LG Powercom
Address : Seocho-dong Seocho-gu Seoul
Detail Address : 1329-7
Zip Code : 137-070
Phone : +82-2-2086-5435
E-Mail : ip@lgpwc.com
--------------------------------------------------------------------------------
If the above contacts are not reachable, please contact following ISP
for further information.
[ ISP IPv4 Admin Contact Information ]
Name : IP Administrator
Phone : +82-2-2086-5935
E-Mail : ip@powercomm.com
[ ISP IPv4 Tech Contact Information ]
Name : IP Manager
Phone : +82-2-2086-5935
E-Mail : ip@lgpwc.com
[ ISP Network Abuse Contact Information ]
Name : Security
Phone : +82-2-2086-5935
E-Mail : security@powercomm.com
Eğer hosting şirketiyse listeye dahil etmeyiz. Dedicated iplerin peşine zen.spamhaus.org düşsün artık. 116.36.192.0-116.36.207.255 ip aralığı için aşağıdaki kuralı firewall.txt dosyasına ekliyoruz.
iptables -A INPUT -m iprange --src-range 116.36.192.0-116.36.207.255 -p tcp --dport 25 -j REJECT
artık koreyi sildik defterden - 09-05-2009, 11:16:46SayfaNet adlı üyeden alıntı: mesajı görüntüle