From: Korhan Gurler (korhang@superonline.com)
Date: Wed 18 Apr 2001 - 21:47:24 EEST
On Wed, 18 Apr 2001, linux wrote:
// This site wuz hacked..
// I strangled the hacker outside
// Reinstall the server and be more carefully..
// Good luck!... a whitehat from Ro
//
//
// Makinamda "su" yazinca yada "root" olarak girince sabah bu mesaji aldim. Anladik ki server'i birilerine kaptirmisiz. Acemilik iste..Okuyup birseyler ogrenelim, uygulayalim da bilgimiz artsin siye kurdugumuz server, dun gece hack'lenmis... Allah'tan onemli bir makina degildi, tekrar kurmak sorun olmaz ama bazi dersler cikarmak icin bahane oldu.
//
// Once root sifremi geri aldim. Bu listede donen mesajlari incaledim, ayni konularda yazilan mesajlarda cozum vardi. Sonra loglara baktim. Geriye iz birakmazlar diyordum, ama loglarda gece 2 ile 4 arasinda ftp, telnet, ve pop3 baglantilari yapilmis (24.76.132.11 no'lu IP'den) . Bir anlami olur mu bilmiyorum, ama IP'nin sahibini arayacagim net'ten...
//
// Benim listeye sormak istedigim iki soru var:
//
// 1. Server uctu. Peki root sifresini geri alinca hersey duzelmis oluyor mu (cunku hala yukarida yazan uyari gorunuyor, nereye koymuslar bilmiyorum, silemiyorum)? Adamlarin nereye ne tur girisler yaptiklarini, ne tur zararlar verdiklerini yada neleri degistirdiklerini nasil kontrol edebilirim? sistemi yeniden kurmadan, tekrar guvenli hale getirebilir miyim?
Dilimin dondugunce yardimci olmaya calisyayim, oncelikle root
sifresini geri almis olmaniz sisteminizi tamamen geri aldiginiz
anlamina gelmiyor, sistemde herhangi bir rootkit ya da backdoor
birakilmis olabilir ki bu da sisteminize girenlerin yeniden daha rahat
girmesi icin birakilmistir, dolayisiyla isiniz biraz zor bu konuda.
Oncelikle kullanicilarinizi kontrol edebilirsiniz belkide kendilerine
bir kullanici acmislardir, ama bence en iyisi sisteminizi yeniden
kurmaniz ve saglam bir root sifresi secmeniz. Bir de sisteminizi
kurduktan sonra tripwire diye bir programdan yararlanmanizi oneririm
bu program basit olarak kurulu sistemdeki dosyalarin MD5 checksum ini
cikariyor ve suphelendiginiz bir anda tekrardan kontrol etmenize
yariyor dolayisiyla sizin isteginiz disinda onemli dosyalara zarar
gelmismi (rootkit, trojan vs...) anlayabiliyorsunuz. Su an gercekten
cok yorgun oldugum icin bu kadar yazabilecegim ama isterseniz daha
sonra ozelden maillesebiliriz bu konu hakkinda.
//
// 2. Bu tip bir "hack" daha yememek icin gerekli olan minimum guvenlik sartlari nelerdir? (port kapama, ssh vs..)
En onemli ve en saglam kural bir "Isine yaramayan bir sey varsa
kurma!!!" dir. Onun disinda bir firewall ya da IDS sistemi kurmayi da
dusunebilirsiniz...
//
// iyi calismalar
//
// volkan evrin
//
+--------------------------------------------------+
| /"\ |
| \ / |
| X ASCII RIBBON CAMPAIGN - AGAINST HTML MAIL |
| / \ |
`~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~'
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/