buildin güvenlik açığını bilmem
koddan pek anlamam, işim network ve güvenlik. Geçen yıl HACKLENDİM bende ama hedefli saldırı dede isimli hacker ı tutuyorlar, oğluma eski eşime kadar şantaj tehdit vs vs. Yasal işlem başlattım tabi ki, sunucudan alabildiğimiz tüm logları aldık ama malum durum şu anda beklemede savcılıkta fakat ben öyle eli boş durmadım.
Öncesinde bu tip saldırıları anlamak için yetkiyi devraldığı pointbreakleri yakalamamız lazım
networkte hiç şüpheli işlem yokken adam forumun içinden geçmiş yani işin birde kod tarafı var ama dediğim gibi anlamadığım işlere girmem
Şimdi anladığım bir şey yaptım, burada forum içi hareketleri analiz etmek incelemek falan da pek bir işe yaramıyor açıkçası ama saldırganların bulmak istediği şey her zaman daha fazla açıktır.
yukarıdaki ekranda forum içinde bilinen stadanrt işlemlerin dışında bir yerlere erişmek istediklerinde get mi post mu atıyor görebiliyorum böylelikle radara alabiliyorum manuel yada belirlediğim skorun üzerindeyse Claudflare de trafiği kesiyoruz FW ile
Bazı özelleştirmeler ile durum analizini kolaylaştırdım.
Bu HAYKIR arkadaşlar tabi keklik gibi kendi ip leri ile gelmeyecektir ama yukarıda gördüğünüz gibi bir keklik gelmiş bişiler denemiş ama tehdit skoru 46 da kalmış, nedeni ise biraz farklı orada görünen komuta göre tehlikeli görünüyor olabilir ama
o bunu yapabilmiş olsaydı şu an bunu yazıyor olmazdım
bazı dns servislerinden bu ip lerin skorlarını çekecek şekilde bir ayar yaptım daha echo ehlo dan ping pong dan önce ip yi sorguluyorum kırmızı listede ise yani daha önceki h*cki*g saldırılarında bulunmuş mu yada bu ip classından saldırı düzenleşmiş ise doğrudan engelleniyor, yani ücretsiz vpn lerin tamamını zaten kafadan engelliyor,
vps vds offshore cloudlinux fark etmeksizin hosting firmasını, cloudflare arkasındaysa cloudflare e otomatik rapor üretiyor, ip adresinin sunucuma gelip yaptığı her işlemi zaman damgası ile paketliyor maile iliştiriyor.
Kendi yaptığım test de işe yarar mı diye baktım
Aldığım bir test hosting üzerinden sunucudaki bazı tuzakları kasıtlı tetikledim, 1 saat 13 dk içinde hosting firmasına + ripe mail atmış ripe firmaya firma bana mail atmış sunucunda bu tür işlemler yapılmış hizmet şartlarımıza aykırı dediler bende test yapıyorum sorun yok dedim
Geçen yıl hacklendiğimde yazmıştım sanırım foruma emin değilim ama gördüğüm anladığım kadarı ile bu konuda yapılabilecek pek fazla bir şey yok eğer sizde kafayı kırıp böyle bir şey yapmıyorsanız...
ha bu kırılmaz mı kırılır, derdimiz güvende tutmak mı derseniz asla böyle bir şey olmayacak, ama siz taşın nereden geldiğini bilirseniz, hali hazırda dakika da 100 ssh denemesi yapan bir bot ordusunu ile saldırı altına alındığınızda yapacağınız tek şey ip bloğunu kesmektir
tabloda göreceksiniz zaten yapay zeka ile farklı ülkeler, farklı ip ler ama saldırı tipleri denedikleri zafiyetler hemen hemen aynı, eğer kodlama bilginize network ve güvenlik bilginize güvenilyorsanız böyle bir şey yapıp en azından başında bekleyebilirsiniz
Forum korelasyonu da yaptım bu arada, foruma üye olduysa saldırgan bu ip lerin arasındaysa doğrudan tespit edip forumdan da banlıyor
Forum bilgim o kadar çünkü
bir kaç aya kadar bitmiş olacak alternatif daha iyi bir şey bulamazsam burada yayınlayabilirim
@eTiKeT™ @netr0n ve yönetim ekibi uygun görürse.
Svgiler saygılar.
