• 08-05-2009, 22:32:49
    #1
    Selam,

    her ne kadar hırsıza kilit dayanmaz ise de, biz yine de elimizden geleni yapmaya çalışalım diye düşünüyorum.

    Sayfa.NET olarak hosting sunucularında başlattığımız bu basit uygulamayı diğer meslektaşlarımla da paylaşayım istedim.

    Gündemdeki 2 sorun:
    1- FTP: Kırılmış programlar webmaster muhteremin bilgisayarına bulaşıyor, ardından ftp şifrelerini 3. şahıslara gönderiyor. Onlar da sitelere girip ftpdeki tüm dosyaları çekiyor, özellikle index, main ve login adını içeren dosyalara html ve php iframe + javascript kodu ekliyor.

    2- Spam zpam nerde benim sopam.: Her ne kadar zen.spamhaus.org, RBL olarak aktif olsa da, yine spamlar yağmaya devam ediyor. Tespit ettiğim üzere, brezilya, abd, polonya, rusya, çin, kore, kolombiya'lı adsl iplerinden yapılan bu gönderimler beni fena baydı. Artık outlooktan tespit ettiğim spam maili gönderen ipnin bağlı olduğu telekomu inceleyip ilgili ağı kafadan bloke etmek en iyi çözüm diye düşünüyorum. Nasılsa ADSL üstünden göndermez ciddi hosting sunucuları.

    Ardından onca işin arasında dedim ki, sayfa.net/firewall.txt diye bir dosya oluşturayım, tüm hosting sunucularına da 10 dakikada bir bu dosyayı çekip /bin/sh ile işleme almaları üzerine bir cron job oluşturayım. Ben firewall.txt yi güncelledikçe, blokeler artsın.

    http://www.sayfa.net/firewall.txt adresindeki içerikte görüneceği üzere, 2 bölüm oluşturdum.

    1. bölümde bazı telekom ip ağlarına ftp izni veriliyor. Tabi burda, bazı müşterilerimiz yurtdışından. Artık ftpye bağlanamadıklarında bize ulaşırlarsa onlara da yönelik kural oluşturacağız.

    2. bölümde, bazı büyük adsl servis sağlayıcılarını 25. porttan uzak tutuyoruz.


    Daha fazla ne yapılabilir?

    Bu mantığı birlikte geliştirebiliriz. Dünyadaki tüm adsl ağlarının iplerini fırsat buldukça ekleyebiliriz.

    Her türlü fikre açığım.

    Saygılar,
    Engin
    Sayfa.NET Kurumsal Hosting Servisi
    msn: destek3@sayfa.net
  • 09-05-2009, 00:22:40
    #2
    engin bey oluşum mantıklı ve güzel tşk ettim. Umarım hep birlikte bir karar alır iyi bir iş çıkartırız başarılar.
  • 09-05-2009, 01:44:59
    #3
    Merhabalar,

    Çok iyi bir düşünce tebrik ederim son zamanlar da, bu bahsetmiş olduğunuz virüs çeşitleri çok yayılmaya başladı ve buna bir önlem olarak güzel bir firewall geliştirmişsiniz. Can-ı gönülden kutlarım. Bu fikre ilerleyen günlerde fikir katacak arkadaşlara ve gelişmeye açık olan bu yazılım 'a gösterecek emeğe destek vermeye hazırım.

    Saygılarımla,

    Kalitenet - Serkan
  • 09-05-2009, 02:20:40
    #4
    "bloke edilecek ağların listesi" desek daha doğru.

    info@sayfa.net e günde 300 civarında spam geliyor. bunların içinde turktelekom haricindeki, whois sorgusunda adsl ip olduğu belirlenen ağları dahil ediyorum.

    belki birlikte belirlersek, daha hızlı bir şekilde ideal firewall-kural-listemizi oluşturabiliriz.
  • 09-05-2009, 06:12:19
    #5
    Kurumsal PLUS
    Bu yaptıgının ne kadar etkisini gördün?

    Spam'ı çözsem 20-30mbit hattım boşa düşecek
  • 09-05-2009, 10:34:16
    #6
    ftp meselesi sağlıklı çalışıyor. neden böyle yaptığımızı soran müşterilerimize durumu anlatınca hak veriyorlar.

    spam meselesinde azcık bir azalma var. daha fazla adsl ip bloğu bulup engellemek lazım
  • 09-05-2009, 10:53:18
    #7
    ip engellemek her nekadar yararlı olur orası tartışılır fakat birkaç diyeceklerim var

    Sunucunuzda bulunan site sahiplerinin dizinleri altındaki sayfalara bulaşabilecek frame exploitler,trojan dowloaderlar,botnet clientleri vs gibi malwareler sizin müşterilerinizin sayesinde bulaşacaktır o sebeple saldırganın gözünde hedef sunucu değilde ftp ye bağlanan insanlardır.Bu sebeple iframe exploitlerini önleyebilmek için önerim ; " Bilinçli kullanıcı yaratmak"

    Bunu nasıl yapıcam ?

    1-Sitenizde videolu ya da resimli anlatımlar yapabilirsiniz.Misal ilk olarak bir COMBOFİX kullanarak mevcut çoğu malwareden kurtulabilirler ya da işlem yaparken ekran klavyesi kullanabilirler,yani söz konusu kullanıcı güvenliğini sağlamak için elinizden gelen ne varsa yapabilirsiniz.
    2-Tek bir dizinin bu saldırıdan etkilenmesi tüm sunucunun etkilenmesinden iyidir bu sebeple siz sunucu güvenliğinizden eminseniz ( php surumu,kullanılan eskstra yazılımların güncellemeleri vs) işiniz % 50 azalacaktır.

    Gelelim spam olayına ; bir şekilde edinilen şifreler saldırganlar tarafından kullanılmak istendiğinde ftplere bağlanılamayacak ya da sizlere gönderilen ip aralığında sizlere spam mailleri gönderilemeyecektir. Bu konudaki sizlere önerim ip aralıkları için ;

    Google adsense reklam yayını engelleme listesi oluşturuyorlar arkadaşlar işde kazançları az vs bizim de ihtiyacımız olan spam ip aralığı listesi oluşturmak böyle bir konu açılsın ve sunucu sahipleri olsun biz harici ilgilenenler olsun sürekli güncellenen bir liste oluşturalım.

    Engin bey bu arada hazırladığınız firewall.txt içinde teşekkür ediyorum.Bizi bu konuda teşvik ettiniz arkadaşlar ile birlikte bu konununda altından kalkacağımıza inanıyorum
  • 09-05-2009, 11:07:51
    #8
    işin zahmeti kısmından bahsedeyim:

    1- outlook a spam gelir. özellikler kısmından ip adresini buluruz.

    Received: (qmail 26151 invoked from network); 9 May 2009 10:33:27 +0300
    Received: from unknown (HELO EFEUNGVTA) (116.36.203.232)
    by rpd1.sayfa.net with SMTP; 9 May 2009 10:33:27 +0300
    Received-SPF: neutral (rpd1.sayfa.net: 116.36.203.232 is neither permitted nor denied by SPF record at wjbookstore.com)
    Message-ID: <000d01c9d078$6e825d20$6400a8c0@flockedqs30>
    From: "Pamela John" <flockedqs30@wjbookstore.com>
    To: <destek@sayfa.net>
    Subject: Hollywood superstars use this to stay slim
    Date: Sat, 9 May 2009 16:33:22 +0900
    MIME-Version: 1.0
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2900.2180
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
    X-Antivirus: AVG for E-mail 8.0.238 [270.12.22/2105]
    Content-Type: multipart/mixed; boundary="=======AVGMAIL-4A0533F90000======="


    2- linux ssh'a girip ipnin sahibi tespit ederiz.

    [root@ns12 ~]# whois 116.36.203.232
    [Querying whois.arin.net]
    [Redirected to whois.apnic.net]
    [Querying whois.apnic.net]
    [Redirected to whois.nic.or.kr]
    [Querying whois.nic.or.kr]
    [whois.nic.or.kr]

    query: 116.36.203.232

    # KOREAN

    Á¶È¸°á°ú´Â ¾Æ·¡¿Í °°À¸¸ç, ½ÇÁ¦ Á¤º¸¿Í »óÀÌÇÒ ¼ö ÀÖ½À´Ï´Ù.

    IPv4ÁÖ¼Ò : 116.36.192.0-116.36.207.255
    ³×Æ®¿öÅ© À̸§ : XPEED51
    ¿¬°á ISP¸í : Xpeed
    ÇÒ´ç³»¿ª µî·ÏÀÏ : 20080122
    ÇÒ´çÁ¤º¸ °ø°³¿©ºÎ : Y

    [ IPv4ÁÖ¼Ò »ç¿ë ±â°ü Á¤º¸ ]
    ±â°ü°íÀ¯¹øÈ£ : ORG830704
    ±â°ü¸í : ÁÖ½Äȸ»ç ¿¤ÁöÆÄ¿öÄŞ
    ÁÖ¼Ò : ¼*¿ï ¼*Ãʱ¸ ¼*Ãʵ¿
    »ó¼¼ÁÖ¼Ò : 1329-7 ½Å´öºôµù
    ¿ìÆí¹øÈ£ : 137-070

    [ ³×Æ®¿öÅ© ´ã´çÀÚ Àι° Á¤º¸ ]
    À̸§ : IPÁÖ¼Ò°ü¸®ÀÚ
    ±â°ü¸í : ÁÖ½Äȸ»ç ¿¤ÁöÆÄ¿öÄŞ
    ÁÖ¼Ò : ¼*¿ï ¼*Ãʱ¸ ¼*Ãʵ¿
    »ó¼¼ÁÖ¼Ò : 1329-7 ½Å´öºôµù
    ¿ìÆí¹øÈ£ : 137-070
    ÀüÈ*¹øÈ£ : +82-2-2086-5435
    ÀüÀÚ¿ìÆí : ip@lgpwc.com

    --------------------------------------------------------------------------------

    ¸¸¾à À§ÀÇ IPv4ÁÖ¼Ò »ç¿ë±â°ü Á¤º¸°¡ ¿Ã¹Ù¸£Áö ¾ÊÀ» °æ¿ì
    ¾Æ·¡ÀÇ ÇØ´ç ¿¬°á ISP ´ã´çÀÚ¿¡°Ô ¹®ÀÇÇϽñ⠹ٶø´Ï´Ù.

    [ ¿¬°áISPÀÇ IPv4ÁÖ¼Ò Ã¥ÀÓÀÚ Á¤º¸ ]
    À̸§ : IPÁÖ¼Ò°ü¸®ÀÚ
    ÀüÈ*¹øÈ£ : +82-2-2086-5935
    ÀüÀÚ¿ìÆí : ip@powercomm.com

    [ ¿¬°áISPÀÇ IPv4ÁÖ¼Ò ´ã´çÀÚ Á¤º¸ ]
    À̸§ : IPÁÖ¼Ò°ü¸®ÀÚ
    ÀüÈ*¹øÈ£ : +82-2-2086-5935
    ÀüÀÚ¿ìÆí : ip@lgpwc.com

    [ ¿¬°áISPÀÇ Network Abuse ´ã´çÀÚ Á¤º¸ ]
    À̸§ : º¸¾È´ã´çÀÚ
    ÀüÈ*¹øÈ£ : +82-2-2086-5935
    ÀüÀÚ¿ìÆí : security@powercomm.com

    # ENGLISH

    KRNIC is not an ISP but a National Internet Registry similar to APNIC.
    The following is organization information that is using the IPv4 address.

    IPv4 Address : 116.36.192.0-116.36.207.255
    Network Name : XPEED51
    Connect ISP Name : Xpeed
    Registration Date : 20080122
    Publishes : Y

    [ Organization Information ]
    Organization ID : ORG830704
    Org Name : LG Powercom
    Address : Seocho-dong Seocho-gu Seoul
    Detail Address : 1329-7
    Zip Code : 137-070

    [ Technical Contact Information ]
    Name : IP Manager
    Org Name : LG Powercom
    Address : Seocho-dong Seocho-gu Seoul
    Detail Address : 1329-7
    Zip Code : 137-070
    Phone : +82-2-2086-5435
    E-Mail : ip@lgpwc.com

    --------------------------------------------------------------------------------

    If the above contacts are not reachable, please contact following ISP
    for further information.

    [ ISP IPv4 Admin Contact Information ]
    Name : IP Administrator
    Phone : +82-2-2086-5935
    E-Mail : ip@powercomm.com

    [ ISP IPv4 Tech Contact Information ]
    Name : IP Manager
    Phone : +82-2-2086-5935
    E-Mail : ip@lgpwc.com

    [ ISP Network Abuse Contact Information ]
    Name : Security
    Phone : +82-2-2086-5935
    E-Mail : security@powercomm.com


    Eğer hosting şirketiyse listeye dahil etmeyiz. Dedicated iplerin peşine zen.spamhaus.org düşsün artık. 116.36.192.0-116.36.207.255 ip aralığı için aşağıdaki kuralı firewall.txt dosyasına ekliyoruz.

    iptables -A INPUT -m iprange --src-range 116.36.192.0-116.36.207.255 -p tcp --dport 25 -j REJECT

    artık koreyi sildik defterden
  • 09-05-2009, 11:16:46
    #9
    SayfaNet adlı üyeden alıntı: mesajı görüntüle
    işin zahmeti kısmından bahsedeyim:
    1- outlook a spam gelir. özellikler kısmından ip adresini buluruz.
    Received: (qmail 26151 invoked from network); 9 May 2009 10:33:27 +0300
    Received: from unknown (HELO EFEUNGVTA) (116.36.203.232)
    by rpd1.sayfa.net with SMTP; 9 May 2009 10:33:27 +0300
    Received-SPF: neutral (rpd1.sayfa.net: 116.36.203.232 is neither permitted nor denied by SPF record at wjbookstore.com)
    Message-ID: <000d01c9d078$6e825d20$6400a8c0@flockedqs30>
    From: "Pamela John" <flockedqs30@wjbookstore.com>
    To: <destek@sayfa.net>
    Subject: Hollywood superstars use this to stay slim
    Date: Sat, 9 May 2009 16:33:22 +0900
    MIME-Version: 1.0
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2900.2180
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
    X-Antivirus: AVG for E-mail 8.0.238 [270.12.22/2105]
    Content-Type: multipart/mixed; boundary="=======AVGMAIL-4A0533F90000======="
    2- linux ssh'a girip ipnin sahibi tespit ederiz.
    [root@ns12 ~]# whois 116.36.203.232
    [Querying whois.arin.net]
    [Redirected to whois.apnic.net]
    [Querying whois.apnic.net]
    [Redirected to whois.nic.or.kr]
    [Querying whois.nic.or.kr]
    [whois.nic.or.kr]
    query: 116.36.203.232
    # KOREAN
    Á¶È¸°á°ú´Â ¾Æ·¡¿Í °°À¸¸ç, ½ÇÁ¦ Á¤º¸¿Í »óÀÌÇÒ ¼ö ÀÖ½À´Ï´Ù.
    IPv4ÁÖ¼Ò : 116.36.192.0-116.36.207.255
    ³×Æ®¿öÅ© À̸§ : XPEED51
    ¿¬°á ISP¸í : Xpeed
    ÇÒ´ç³»¿ª µî·ÏÀÏ : 20080122
    ÇÒ´çÁ¤º¸ °ø°³¿©ºÎ : Y
    [ IPv4ÁÖ¼Ò »ç¿ë ±â°ü Á¤º¸ ]
    ±â°ü°íÀ¯¹øÈ£ : ORG830704
    ±â°ü¸í : ÁÖ½Äȸ»ç ¿¤ÁöÆÄ¿öÄŞ
    ÁÖ¼Ò : ¼*¿ï ¼*Ãʱ¸ ¼*Ãʵ¿
    »ó¼¼ÁÖ¼Ò : 1329-7 ½Å´öºôµù
    ¿ìÆí¹øÈ£ : 137-070
    [ ³×Æ®¿öÅ© ´ã´çÀÚ Àι° Á¤º¸ ]
    À̸§ : IPÁÖ¼Ò°ü¸®ÀÚ
    ±â°ü¸í : ÁÖ½Äȸ»ç ¿¤ÁöÆÄ¿öÄŞ
    ÁÖ¼Ò : ¼*¿ï ¼*Ãʱ¸ ¼*Ãʵ¿
    »ó¼¼ÁÖ¼Ò : 1329-7 ½Å´öºôµù
    ¿ìÆí¹øÈ£ : 137-070
    ÀüÈ*¹øÈ£ : +82-2-2086-5435
    ÀüÀÚ¿ìÆí : ip@lgpwc.com
    --------------------------------------------------------------------------------
    ¸¸¾à À§ÀÇ IPv4ÁÖ¼Ò »ç¿ë±â°ü Á¤º¸°¡ ¿Ã¹Ù¸£Áö ¾ÊÀ» °æ¿ì
    ¾Æ·¡ÀÇ ÇØ´ç ¿¬°á ISP ´ã´çÀÚ¿¡°Ô ¹®ÀÇÇϽñ⠹ٶø´Ï´Ù.
    [ ¿¬°áISPÀÇ IPv4ÁÖ¼Ò Ã¥ÀÓÀÚ Á¤º¸ ]
    À̸§ : IPÁÖ¼Ò°ü¸®ÀÚ
    ÀüÈ*¹øÈ£ : +82-2-2086-5935
    ÀüÀÚ¿ìÆí : ip@powercomm.com
    [ ¿¬°áISPÀÇ IPv4ÁÖ¼Ò ´ã´çÀÚ Á¤º¸ ]
    À̸§ : IPÁÖ¼Ò°ü¸®ÀÚ
    ÀüÈ*¹øÈ£ : +82-2-2086-5935
    ÀüÀÚ¿ìÆí : ip@lgpwc.com
    [ ¿¬°áISPÀÇ Network Abuse ´ã´çÀÚ Á¤º¸ ]
    À̸§ : º¸¾È´ã´çÀÚ
    ÀüÈ*¹øÈ£ : +82-2-2086-5935
    ÀüÀÚ¿ìÆí : security@powercomm.com
    # ENGLISH
    KRNIC is not an ISP but a National Internet Registry similar to APNIC.
    The following is organization information that is using the IPv4 address.
    IPv4 Address : 116.36.192.0-116.36.207.255
    Network Name : XPEED51
    Connect ISP Name : Xpeed
    Registration Date : 20080122
    Publishes : Y
    [ Organization Information ]
    Organization ID : ORG830704
    Org Name : LG Powercom
    Address : Seocho-dong Seocho-gu Seoul
    Detail Address : 1329-7
    Zip Code : 137-070
    [ Technical Contact Information ]
    Name : IP Manager
    Org Name : LG Powercom
    Address : Seocho-dong Seocho-gu Seoul
    Detail Address : 1329-7
    Zip Code : 137-070
    Phone : +82-2-2086-5435
    E-Mail : ip@lgpwc.com
    --------------------------------------------------------------------------------
    If the above contacts are not reachable, please contact following ISP
    for further information.
    [ ISP IPv4 Admin Contact Information ]
    Name : IP Administrator
    Phone : +82-2-2086-5935
    E-Mail : ip@powercomm.com
    [ ISP IPv4 Tech Contact Information ]
    Name : IP Manager
    Phone : +82-2-2086-5935
    E-Mail : ip@lgpwc.com
    [ ISP Network Abuse Contact Information ]
    Name : Security
    Phone : +82-2-2086-5935
    E-Mail : security@powercomm.com
    Eğer hosting şirketiyse listeye dahil etmeyiz. Dedicated iplerin peşine zen.spamhaus.org düşsün artık. 116.36.192.0-116.36.207.255 ip aralığı için aşağıdaki kuralı firewall.txt dosyasına ekliyoruz.
    iptables -A INPUT -m iprange --src-range 116.36.192.0-116.36.207.255 -p tcp --dport 25 -j REJECT
    artık koreyi sildik defterden
    işin ekmeğini yemek istiyenler için bu kadar iş de yapılsın artık aslında bana göre asya ülkele ip aralıklarının % 90'ı bloke edilirse büyük bir artış gözükecektir.ve diğer bahsettiğim yol güncel spam ip aralıkları listesi oluşturulsun.