Saldırı

Question

merhaba arkadaşlar.... forum sitemizde nedense sürekli son 4 aydır arkası kesilmeyen saldırılara maruz kalmaktadır..ancak şu 3 haftadır acayip bir saldırı yaqmuruna maruz kalmaktayz ve de sitemiz online olamamakta. servercımızla konustum o da cok çözüm yolları aradı ama bulamadı...son çare olaarak aklıma sizlere danışmak qeldi... servercı arkadaşın whm destek sitelerinin birinde açtıqı konunun linkini buraya vermek istemiyorum reklam olmasın diye.. onn için ben kendim yazayım sorunu...
servercı arkadşımın diqer yardım sitelerinde sorunla ilgili yazdıqı msj lar.......
 						Alıntı										Arkadaşlar load 1-2 lerde fakat saldırı geliyor gibi Load düşüyor apache down oluyor apache restart ediyorum geliyor sonra tekrar load düşüyor apache tekrar down oluyor WHM den Apache Status'e baktığımda hep ..reading.. dolu bu nedir ve nasıl engelleyebilirim teşekkürler 		 						Alıntı										gene kapayıp açtım apache yi 0-278260/0/0R 0.001000.00.000.00 ??..reading.. 1-278270/0/0R 0.001000.00.000.00 ??..reading.. 2-278280/0/0R 0.001000.00.000.00 ??..reading.. 3-278290/0/0R 0.001000.00.000.00 ??..reading.. 4-278300/0/0R 0.001000.00.000.00 ??..reading.. 5-278310/0/0R 0.001000.00.000.00 ??..reading.. 6-278320/0/0R 0.001000.00.000.00 ??..reading.. 7-278330/0/0R 0.001000.00.000.00 ??..reading.. 8-278340/0/0R 0.001000.00.000.00 ??..reading.. 9-278350/0/0R 0.001000.00.000.00 ??..reading.. 10-278360/0/0R 0.001000.00.000.00 ??..reading.. 11-278370/0/0R 0.001000.00.000.00 ??..reading.. 12-278380/0/0R 0.001000.00.000.00 ??..reading.. 13-278390/0/0R 0.001000.00.000.00 ??..reading.. 14-278400/0/0R 0.001000.00.000.00 ??..reading.. 15-278410/0/0R 0.001000.00.000.00 ??..reading.. 16-278440/0/0R 0.00900.00.000.00 ??..reading.. 17-278450/0/0R 0.00800.00.000.00 ??..reading.. 18-278460/0/0R 0.00800.00.000.00 ??..reading.. 19-278490/0/0R 0.00700.00.000.00 ??..reading.. 20-278500/0/0R 0.00700.00.000.00 ??..reading.. 21-278510/0/0R 0.00700.00.000.00 ??..reading.. 22-278520/0/0R 0.00700.00.000.00 ??..reading.. 23-278550/0/0R 0.00600.00.000.00 ??..reading.. 24-278560/0/0R 0.00600.00.000.00 ??..reading.. 25-278570/0/0R 0.00600.00.000.00 ??..reading.. 26-278580/0/0R 0.00600.00.000.00 ??..reading.. 27-278590/0/0R 0.00600.00.000.00 ??..reading.. 28-278600/0/0R 0.00600.00.000.00 ??..reading.. 29-278610/1/1R 0.00610.00.000.00 ??..reading.. 30-278620/0/0R 0.00600.00.000.00 ??..reading.. 31-278630/0/0R 0.00500.00.000.00 ??..reading.. 32-278640/0/0R 0.00500.00.000.00 ??..reading.. 33-278650/0/0R 0.00500.00.000.00 ??..reading.. 34-278660/0/0R 0.00500.00.000.00 ??..reading.. 35-278670/0/0R 0.00500.00.000.00 ??..reading.. 36-278680/0/0R 0.00500.00.000.00 ??..reading.. 37-278690/0/0R 0.00500.00.000.00 ??..reading.. 38-278700/0/0R 0.00500.00.000.00 ??..reading.. 39-278710/2/2R 0.0044070.00.030.03 ??..reading.. 40-278720/0/0R 0.00500.00.000.00 ??..reading.. 41-278730/0/0R 0.00500.00.000.00 ??..reading.. 42-278740/0/0R 0.00500.00.000.00 ??..reading.. 43-278750/0/0R 0.00500.00.000.00 ??..reading.. 44-278760/0/0R 0.00500.00.000.00 ??..reading.. 45-278770/0/0R 0.00500.00.000.00 ??..reading.. 46-278780/0/0R 0.00500.00.000.00 ??..reading.. 47-278790/0/0R 0.00400.00.000.00 ??..reading.. 48-278800/0/0R 0.00400.00.000.00 ??..reading.. 49-278810/0/0R 0.00400.00.000.00 ??..reading.. 50-278820/0/0R 0.00400.00.000.00 ??..reading.. 51-278830/0/0R 0.00400.00.000.00 ??..reading.. 52-278840/0/0R 0.00400.00.000.00 ??..reading.. 53-278850/0/0R 0.00400.00.000.00 ??..reading.. 54-278860/0/0R 0.00400.00.000.00 ??..reading.. 55-278870/0/0R 0.00400.00.000.00 ??..reading.. 56-278880/0/0R 0.00400.00.000.00 ??..reading.. 57-278890/0/0R 0.00400.00.000.00 ??..reading.. 		 ewt arkadaşlar yardımcı olursanız memnun olurum.... siteyi açıyoruz 15 dk sonra saldırı başlıo server suspend atıor.... her seferinde böle oluyor... işin qarip tarafı servercı arkadaşım ıp olmadıqını sölüyor... 10 dk içinde binlerce botnet yaqıyor ve ıp yok... bu nasıl bi saldırı şeklidir ....  elimiz kolumuz baqlandı resmen..... hem servercı arkadaşımız maqdur oluor hem de biz.... bunun bi çözüm yolu yokmu arkadaşlar  lütfen yardım edin
türkiyede saldırı yapıp 10 dk icinde binlerce botnet atıp ıp sini belli etmeyen kac tane profesyonel adam var bunu yapabilecek 
birileri bizim sitemizin açılmaması için elinden geeleni yapıor ama biz ne yapacaqız aklıma çözüm yolları gelmiyor hic 
lütfen yardım arkadaşlar

Fatih_WHM · Answer

eses adlı üyeden alıntı:						mesajı görüntüle									"q" ların ne olduğunu ben az çok çözdüm gibi. botnetler az geldi siteme yeni saldıracak kişiler aranıyor demeye getirmiş. Şahsen ben kozumu boş bir zamanda bu yönde kullancağım,,, 		
arkadaşlar yanlış anlaşıldım sanırım 

ben " g " harfiini  " q " olarak yazarım cogu zaman 

lütfen yanlış anlamayın

slymn1o · Answer

fatih ip yok nie yok yapan adam fake bi ip yaratıyo kendine tcp/ip konusunda üstad biri olsa gerek.elazığlı üstadın ddediği gibi firewall galiba tek çözümünüz ama onu alıcak gücünüz yok geriye tek seçenek kalıyo ypanla irtibata geçin bence whm sitelerinde konu açmak yerine birazda büyük hack timlerinin olduğu sitelerde konu açın derim

Fatih_WHM · Answer

heLL adlı üyeden alıntı:						mesajı görüntüle									siten nedir ? pm at bakalım. 		
attım sitemin adını pm ile size..

Fatih_WHM · Answer

eSLow adlı üyeden alıntı:						mesajı görüntüle									Merhaba, kullandığınız bir script/app apachenin bu şekilde log tutmasına sebep oluyor. Apache'ye bağlı bir log değil. Eğer "juno exploit" e bağlı bir saldırıdan şüpheleniyorsanız ( juno saldırısının spoof ip mantığını kullandığını düşünürsek),
çözümü kernelinizde tcp_syncookies opsiyonunun enable hale getirmek olacaktır.
Tcp_syncookies'i enable etmek için ssh üzerinde ;
echo "1" > /proc/sys/net/ipv4/tcp_syncookies komutunu uygulayın. Kolay gelsin. Umarım en kısa zamanda sorun çözülür. 		
tşk ler üstadım...sölediğinizi deniyeceğim...

Fatih_WHM · Answer

Elazığlı168 adlı üyeden alıntı:						mesajı görüntüle									öyle olsa server ipi çıkar hadi spoof etti diyelim zaten saldırı yaptığında server down olacağından saldırıda etkisiz kalır bu saldırının çözümü varmı bilemiyorum zamanında bizde aldık bu tür saldırı yapanı şans yardımıyla bulduk yamulmuş yerlerini düzelttik saldırıyı kesti 		
üstadım yapanı bulamazmıyız veya başka bir alternatif yokmu hiç 

modül vs.

heLL · Answer

siten nedir ? pm at bakalım.

doktorbune · Answer

benim siteyede sürekli saldırıyolardı sonunda ban yedi sitem

eSLow · Answer

Merhaba, kullandığınız bir script/app apachenin bu şekilde log tutmasına sebep oluyor. Apache'ye bağlı bir log değil. Eğer "juno exploit" e bağlı bir saldırıdan şüpheleniyorsanız ( juno saldırısının spoof ip mantığını kullandığını düşünürsek),
çözümü kernelinizde tcp_syncookies opsiyonunun enable hale getirmek olacaktır.

Tcp_syncookies'i enable etmek için ssh üzerinde ;

echo "1" > /proc/sys/net/ipv4/tcp_syncookies komutunu uygulayın. Kolay gelsin. Umarım en kısa zamanda sorun çözülür.

Elazığlı168 · Answer

öyle olsa server ipi çıkar hadi spoof etti diyelim zaten saldırı yaptığında server down olacağından saldırıda etkisiz kalır bu saldırının çözümü varmı bilemiyorum zamanında bizde aldık bu tür saldırı yapanı şans yardımıyla bulduk yamulmuş yerlerini düzelttik saldırıyı kesti

Fatih_WHM · Answer

benikaydet adlı üyeden alıntı:						mesajı görüntüle									siteniz ne sitesi, adı sanı filan varmı acaba, 		
forum sitesi :S:......

adını vermiyim şimdi reklam olmasın :S

CANSERDAR · Answer

Fatih_WHM adlı üyeden alıntı:						mesajı görüntüle									merhaba arkadaşlar.... forum sitemizde nedense sürekli son 4 aydır arkası kesilmeyen saldırılara maruz kalmaktadır..ancak şu 3 haftadır acayip bir saldırı yaqmuruna maruz kalmaktayz ve de sitemiz online olamamakta. servercımızla konustum o da cok çözüm yolları aradı ama bulamadı...son çare olaarak aklıma sizlere danışmak qeldi... servercı arkadaşın whm destek sitelerinin birinde açtıqı konunun linkini buraya vermek istemiyorum reklam olmasın diye.. onn için ben kendim yazayım sorunu...
servercı arkadşımın diqer yardım sitelerinde sorunla ilgili yazdıqı msj lar.......
   ewt arkadaşlar yardımcı olursanız memnun olurum.... siteyi açıyoruz 15 dk sonra saldırı başlıo server suspend atıor.... her seferinde böle oluyor... işin qarip tarafı servercı arkadaşım ıp olmadıqını sölüyor... 10 dk içinde binlerce botnet yaqıyor ve ıp yok... bu nasıl bi saldırı şeklidir ....  elimiz kolumuz baqlandı resmen..... hem servercı arkadaşımız maqdur oluor hem de biz.... bunun bi çözüm yolu yokmu arkadaşlar  lütfen yardım edin
türkiyede saldırı yapıp 10 dk icinde binlerce botnet atıp ıp sini belli etmeyen kac tane profesyonel adam var bunu yapabilecek 
birileri bizim sitemizin açılmaması için elinden geeleni yapıor ama biz ne yapacaqız aklıma çözüm yolları gelmiyor hic 
lütfen yardım arkadaşlar  		sakın içeriden saldırı alıyor olmayasınız? elazığlı dostum ne dersin, aynı serverda barınan bir site saldırıyor olsa ne çıkar çıktı?

Mickey · Answer

FW alamayacak durumdaysanız, yapabilceğiniz hiç birşey yok. Sedo'ya yönlendir para kazanırsın biraz.

benikaydet · Answer

siteniz ne sitesi, adı sanı filan varmı acaba,

eses · Answer

Ferraconn adlı üyeden alıntı:						mesajı görüntüle									Bu "q" lar ne oluyor çözemedim. 		
"q" ların ne olduğunu ben az çok çözdüm gibi. botnetler az geldi siteme yeni saldıracak kişiler aranıyor demeye getirmiş. Şahsen ben kozumu boş bir zamanda bu yönde kullancağım,,,

Fatih_WHM · Answer

Elazığlı168 adlı üyeden alıntı:						mesajı görüntüle									bilemiyorum spoof ip kavramını ayrıntılı anlatmak isterdim ama o kadar vaktim yok kısaca söylemek gerekirse tcp ayarlarıyla oynanarak yada herhang bir kodlamayla fake bir ip yaratmak yada ipin görünmemesini sağlamak diye açıklayabiliriz bir ara Onurss arkadaşımızda 127.0.0.1 ipi yani localhosttan saldırı aldığını söylemişti onun aldığı saldırıda buna benziyor saldıran fake ip olarak 127.0.0.1 seçmiş apacheye her istek geldiğinde apache bu isteğe cevap vermek istiyor ve cevap verdiği ipde localhost 127.0.0.1 doğal olarak server kendine zarar veriyor neyse konu dağıldı 		

ya bu saldırı biri tarafından bize kasıtlı olarak yapılıyor..bu belli bişşiy 

ama nasıl önüne geçicez spoof ıp kavramını bi ara anlatırmısnız 

çünkü 3 haftadır kapalı sitemiz...ve de çözmek icin cok uraştık ama bi verim aalamadık bu konuda lütfen yardım edin

Fatih_WHM · Answer

gdici adlı üyeden alıntı:						mesajı görüntüle									Arkadaşların sitesi büyük bir site olsa gerek o zaman? Neden saldırıyorlar anlamış değilim.. Yani nadir olması ve bu siteye rastgelmesi? 		ewt büyük sayılır 

istatistikler bunlar 

145 bin konu 450 bin mesaj

Ferraconn · Answer

Bu "q" lar ne oluyor çözemedim.

Bartuc · Answer

yazıyı doğru düzgün okuyamadım bile, türkçe yazsaydın keşke.

Elazığlı168 · Answer

bilemiyorum spoof ip kavramını ayrıntılı anlatmak isterdim ama o kadar vaktim yok kısaca söylemek gerekirse tcp ayarlarıyla oynanarak yada herhang bir kodlamayla fake bir ip yaratmak yada ipin görünmemesini sağlamak diye açıklayabiliriz bir ara Onurss arkadaşımızda 127.0.0.1 ipi yani localhosttan saldırı aldığını söylemişti onun aldığı saldırıda buna benziyor saldıran fake ip olarak 127.0.0.1 seçmiş apacheye her istek geldiğinde apache bu isteğe cevap vermek istiyor ve cevap verdiği ipde localhost 127.0.0.1 doğal olarak server kendine zarar veriyor neyse konu dağıldı

gdici · Answer

Elazığlı168 adlı üyeden alıntı: mesajı görüntüle

pek yapacak birşey yok spoof ipi çözümleyecek bir modül varsa gerçek ip görülüp işlem yapılabilir bunun haricinde çok zor zaten pek yaygın bir saldırı değildir ama yapıldığındada etkisi büyük oluyor

anlıyorum üstadım

spoof ıp çözümleyecek modül derken nası yani

sizin bildiqiniz veya önerebileceqiniz bi modül varmı :S

servercıma ne demem qerekli bu konuda ve de ne qibi önlemler almamız lazım bunların dışında

Fatih_WHM · Answer

Elazığlı168 adlı üyeden alıntı:						mesajı görüntüle									pek yapacak birşey yok spoof ipi çözümleyecek bir modül varsa gerçek ip görülüp işlem yapılabilir bunun haricinde çok zor zaten pek yaygın bir saldırı değildir ama yapıldığındada etkisi büyük oluyor 		
anlıyorum üstadım 


spoof ıp çözümleyecek modül derken nası yani 


sizin bildiqiniz veya önerebileceqiniz bi modül varmı :S

servercıma ne demem qerekli bu konuda ve de ne qibi önlemler almamız lazım bunların dışında

Elazığlı168 · Answer

Fatih_WHM adlı üyeden alıntı:						mesajı görüntüle									firewall alma imkanımız yok 
onn dışında ne yapabiliriz üstadım   		pek yapacak birşey yok spoof ipi çözümleyecek bir modül varsa gerçek ip görülüp işlem yapılabilir bunun haricinde çok zor zaten pek yaygın bir saldırı değildir ama yapıldığındada etkisi büyük oluyor

Fatih_WHM · Answer

Elazığlı168 adlı üyeden alıntı:						mesajı görüntüle									botnet saldırı değil bu juno adlı bir exploitle yapılan spoof ip yapıldığı için ipin görünmediği apache ve hat düşmanı bir saldırıdır ancak fiziksel güçlü bir firewalla çözülebilir 		
firewall alma imkanımız yok 

onn dışında ne yapabiliriz üstadım

Elazığlı168 · Answer

botnet saldırı değil bu juno adlı bir exploitle yapılan spoof ip yapıldığı için ipin görünmediği apache ve hat düşmanı bir saldırıdır ancak fiziksel güçlü bir firewalla çözülebilir

aslanim · Answer

bold yazıyı kaldır arkadaşım ban yersin