Code:Red Konusunda birkaç tecrübe

0
bonzo
Selamlar,
Buralarda yeniyim bu nedenle yapısını bilemiyorum. Yazdıklarım basit gelebilir veya dili garip, bu nedenle baştan özür diliyorum. Sizlerle Code Red ya da aramızda verdiğimiz isimle Kudret ile geçirdiğim bir hafta sonunda bulduğum asıl olmayan çözümü paylaşmak istedim.
Bu virüsün yapmakta olduğu sizin hatlarınız üzerinden internette belirli server'larla sürekli olarak alış veriş ile hatlarınızı kullanmaktır.

Bunu engellemek için öncelikli olarak hangi adreslerle iletişim olduğunu belirlememiz gerekmektedir. Bunu Agilent LAN Analyzer adlı programla sağlayabiliriz. Programı kurduktan sonra çalıştırdığımızda açılan ana ekranda eğer seçili değilse direk modeminizi ya da modeme bağlı olan network kartınızı seçiniz.

Program çalıştırıldığında sol üstteki yeşil okla ya da menülerden modul->start ile başlatılması gerekmektedir. Daha sonra F9 tuşu, module-> detail ya da grafiğe çift tıklama ile detay görüntü açılmalıdır. Buradan Application Layer Host Table menülerden Monitor Views altından ya da butonlardan ayrı 4 mavi karecik olan ile seçilmeli, çıkan ekranda Chart kısmında Table kısmına geçilmelidir. Bu ekranda uzun süre beklenerek Application blokuna tıklanıp liste alfabetik artan ve sonra alfabetik azalan haline getirilmeli, buradan özellikle de UDP, UDP OTHER ve TCP OTHER türleri dikkatle takip edilmelidir. Bunun yanında Bytes Out kolonuna da tıklanarak büyükten küçüğe sıralanması sağlanabilir, burada sizin kullanmadığınız adreslere olan yüksek trafie dikkat edilmelidir. İlk kolonda bunlara ait olan ip'ler bir kenara not edilmeli, bu ip'leri sizin kullanıp kullanmadığınız sırasıyla;
Ripe IP Sorgu Sayfası
Apnic IP Sorgu Sayfası
adreslerinde sorgulanarak belirlenmeli, kullanmadıklarınız aşağıda belirtilen şekilde engellenmelidir.

İstenmeyen ip'lerle iletişimi engellemek için Blackice Defender adlı programı kullanabiliriz. Bu programı kurup çalıştırdıktan sonra, kişisel isteklerinize göre ayarlamalar yapabilirsiniz. Benim burada anlatmak istediğim, daha önceden belirlediğimiz adresleri reddetme yöntemi. Önce programı system trayden (sağ alttaki saat'in durduğu kısım) açıp ana ekranına gelmek. Burada menülerden Tools->Advanced Firewall Settings seçilmelidir. Gelen sayfada (IP Address) Add butonu ile listede yeni kayıt açılır. IP Address yazan kısma engellemek istediğimiz adresi ekleriz. Reject (reddet) butonunu ve zamanı belirleyen Forever (sonsuz) butonunu seçer Add ile listeye ekleriz. İlerde değişiklik yapmak için Modify, listeden silmek içi Delete butonlarını kullanırız.

Bu sistemleri uyguladıktan sonra en geç makinanızı yeniden başlattığınızda network tarifiğiniz normale dönecektir. Modeminizin activity lambaları hala çok fazla yanıyor olsa da bağlantınız açısından sorun yaratmayacaktır.

!!!ÖNEMLİ NOT!!!
Bu sistem tarafımdan uygulanmış ve başarılı olmuştur. Fakat bu süreç içerisinde farklı denemeler de yapılmıştır. Hiçbir şekilde çözüm garantisi olarak iletilmemektedir. "Sadece bilgi paylaşarak artar" düşüncesi ile sizlere iletilmektedir. Programların bilgisayarınız yazılım ve/veya donanımında meydana getirebileceği sorunlardan hiçbir şekilde şahsım sorumlu değildir.

Not: Programlar;
Agilent LAN Analyzer:www.phoenixdata.co.uk/hp/download-lan.htm
Blackicewww.networkice.com
adreslerinden indirilebilir. Blackice programını orijinal sitede bulmakta zorlananlar Download.Com adresinde çıkan arama satırına blackice yazarak ulaşacakları sayfadan indirebilirler.

Görüşler

0
anonim
Size bu ve benzeri bilumum haserattan kurtulmanin etkili bir formulunu onereyim. www.linux.org.tr/cdsatis/ icersindeki hesap numaralarina 2 milyona bir freeBSD alin. Bu sorundan ve asil buyuk virus ve solucan olan Microsoft'tan sonsuza dek kurtulun..

Aklin yolu birdir, bir gun sizde dogru yolu bulacaksiniz, eminim..
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Script Kiddie ve Ötesi - Yeraltı Kültürüne Bir Bakış

FZ

AHBL güvenlik yöneticisi Andrew D. Kirch pek çok ``script kiddie´´ grubuna sızmış ve deneyimlerini Newsforge sitesi ile bir IRC röportajı şeklinde paylaşmış. Ele alınan konular arasında DDoS saldırılarını koordine etme konusunda yeni trendlerden tutun, büyük şirketlerin telekonferanslarını bloke etmeye kadar pek çok şey var.

İşte röportajdan bazı önemli alıntılar:

- Bu çocuklar sokak çetesi ile mafya karışımı bir organizasyona benzer şekilde organize oluyorlar. Yani arkadaşımın arkadaşı ilkesi.

- Bunların çoğu MyDoom´dan sonra ortaya çıktı. EMP bir süredir ortalıkta idi ancak ADP, SLiM (ki bu kişi geçenlerde NSA ve NIPC web sitelerinin yanısıra Beyaz Saray posta sunucularına da saldırdı) ve izm 10.000 bilgisayarlık ``DoSnet´´leri (açıkları bulunan sunucu listeleri, bu sunucular daha sonra DDoS saldırılarında kullanılabiliyorlar) 500$ gibi çok cüzi bir fiyata satın aldılar. DCOM bir NT açığı olduğu için -- 2000 ve XP´yi de etkiliyordu -- tüm bu makinalar IP paketlerinin tahrifatında (spoofing) kullanılabiliyor.

OpenBSD, chroot, overflow, güvenlik, vs.

FZ

Sinan "noir" Eren'in OpenBSD kurcalama (hacking :) bağlamında ele aldığı ve son zamanlarda FM'de de güvenlik pratiklerinden biri olarak işlenen chroot olgusunda (Apache ve chroot, eDonkey ve chroot) problem yaratabilecek teknikleri sergilediği Smashing The Kernel Stack For Fun And Profit yazısının Phrack'in derinliklerinde kaybolup gitmesine gönlüm razı olmadı :-P

ATM şifreleme anahtarı kırmak!

conan

Bu sayfada yazanlara göre IBM 4758 cryptographic co-processor'unden 3DES anahtarını "çalmayı" başarmışlar.

IBM 4758, bankalar tarafından sıklıkla kullanılan bir şifreleme chipiymiş ve IBM'in ATM'lerinde de sıkça kullanılmaktaymış. Bu crack'i gerçekleştirenler, 20 dakika makinaya kesintisiz ulaşımı ve Combine_Key_Parts kullanım yetkisi olan birinin, 995$'lik bir aletle (FPGA evaluation board from Altera) 2 gün içerisinde bu şifreyi ele geçirebilecegini iddia ediyorlar. (nasıl yapılacağını da bilmesi gerektiğini söylemeyi unuttum sanırım) ;)

En Son Ne Zaman Badana Yaptınız?

FZ

Boya deyip geçmeyin, eğer sağda solda kablosuz ağ sistemleri çoğalmaya başladı ise, sinyallerle başa çıkmakta güçlük çekiyorsanız o zaman belki de izolasyona dair bazı şeyler yapmanın zamanı gelmiştir.

Force Field Wireless şirketi bu tür kaygıları olanlar için özel bir boya katkısı üretmiş. Duvarları, tavanı ve zemini boyamak için kullanacağınız boyaya bu katkı malzemesini eklediğinizde görüntüde herhangi bir değişiklik olmuyor ancak kablosuz iletişimde epey bir izolasyon sağlanıyor (diye iddia ediliyor).

Şirketin iddiasına göre duvara homojen olarak yayıldığında söz konusu malzeme 100 Mhz - 5 Ghz frekans aralığındaki sinyalleri yansıtarak odayı bir tür Faraday kafesine dönüştürüyor.

Kaynak: Information Week

BIND 9 Dynamic Update DoS Zaafiyeti

onal

Tüm Bind9 sürümlerini etkileyen kritik bir açıklık yayınlandı. Açıklığı değerlendiren kötü niyetli biri tek bir udp paketiyle dns sunucunuzu devre dışı bırakabiliyor.

Açıklığın detaylarını anlatan kısa bir blog girdisi hazırladım. Ilgilenenler buradan ulaşabilir