Web sitelerini hack’lemek için kullanılan iki yöntem vardır* domain ve host hack. Domain sitelerin adresidir* hosting ise siz sitenin adresini yazdığınızda yönlendiğiniz bilgisayardır* yani sitenin içerisindeki tüm dosyaları barındıran bilgisayarlar... Örneklendirecek olursak www.e-hack.org bir domain’dir. Fakat bu sitede bulunan tüm dosyalar* bir hosting firmasının bilgisayarları içindedir. Siz adres bar’ınıza
[url]https://tik.lat/PHGyO
yazdığınızda* e-hack.org’un dosyalarının bulunduğu bilgisayara yönlenirsiniz. Bir sitenin domain’ini hack’lediğinizde* o domain’i sizin "hacked by xxx" yazan sayfanıza yönlendirirsiniz ve bu şekilde siteyi hack’lemiş olursunuz. Hosting hack’te ise* direkt olarak sitenin içeriğini değiştirir* Admin kullanıcısının ayarları ile oynar* yönlendirme ile filân uğraşmazsınız.
Şimdi yöntemlerden bahsedeyim...
Mail-hack: Domain hack için kullanılan en önemli yöntemlerden birisi mail hack’tir. Önce www.arama.com/domain.php3 [url]https://tik.lat/q0qrF daki_Kullanici_Adiniz/kayit.asp" şeklinde ayarlarsanız* sonuç alırsınız. Veya hiç uğraşmadan da hazır fake sitelerini kullanabilirsiniz... Bir kaç tanesi:
https://tik.lat/lPpEC -
www.siberkorsan.net/fake/index.php [url]https://tik.lat/AvW4i
https://tik.lat/3843E
www10.brinkster.com/Dostturk/fake.htm
www.kingsoffalcons.com/fake/index.php [url]https://tik.lat/8NCOA
Fake konusu biraz da sizin yaratıcılığınıza bağlı... Temel olarak mantığı yukarıdaki gibi...
Tabii ki fake atarken kullanılan dilin resmî ve nazik olması önemli. Bunun yanında sonuna "Mynet A.Ş."* "Hotmail"* "Yahoo! Member Services" gibi şeyler yazarsanız daha inandırıcı olur. Lâkin Doktor’a gönderilen fake(!)’deki gibi "saygılarımızla yahoo a.ş." yazarsanız millet sadece sizinle dalga geçer...)
Bu arada* fake’inizde adamın mail’inin alınmış olduğu şirketin sürekli kullandığı logosuna* resimlerine* linklerine de mail’iniz içerisinde yer verirseniz daha inandırıcı olur... ("Acaba onu Nası yapacam?" demeyin* hiç olmazsa HTML’i öğrenin be arkadaşlar! Tabii ki <img> ve <a> etiketleriyle))
2. Gizli soru tahmini:
Eğer şansınız varsa en zahmetsiz ve risksiz yöntem diyebilirim. Bilirsiniz ki çoğu mail şirketi üye olurken "şifreni unutursan girer ve şifreni değiştirirsin" düşüncesiyle bir gizli soru ve cevap belirlemenizi isterler sizden... Ve bazı kullanıcılar gizli soruları ve cevaplarını basit seçerler: "adın ne"* "en sevdiğin içecek ne" vs. İşte böyle durumlarda ya atmasyon yaparsınız* ya da adamla dostane bir şekilde irtibat kurar* bir süre konuştuktan sonra çaktırmadan gizli sorusunda saklı olan bilgiyi sorar ve öğrenirsiniz. Sonra da mail’ini alırsınız ve şifreyle birlikte gizli soruyu da değiştirip mail’in sizin elinizde devamlı kalmasını sağlarsınız.
Hotmail’de gizli soruya ulaşmak için aşağıdaki adresteki* xxx************* ile gösterilen yere kullaniciadi************* veya kullaniciadi********* yazarak adamın gizli sorusuna ulaşabilirsiniz* eğer mail’i alan kimse ülke seçilen bölümde Türkiye’yi seçtiyse. Eğer Türkiye seçili değilse -tıpkı benim mail’imdeki gibi-* sizden bir eyalet veya başka bir ülke seçmenizi isteyecektir hotmail. Eğer adam kayıt olurken Amerika’yı seçtiyse yandınız* çünkü ülke+eyalet+posta kodu’nu doğru girmeniz gerekiyorki bu da imkânsız.
Mynet’te ise Mynet Brutus programını kullanabilirsiniz. İlk versiyonda bazen atlayabiliyor* ama ikinci versiyonu sadece Windows XP’de çalıştığı için deneyemedim -yalnız herkes sorunsuz çalıştığını söylüyor-. Bu programı kullanarak adamın doğum tarihini buluyorsunuz* sonra Mynet’e gidip gizli soruya ulaşmaya çalıştığınızda "doğum tarihini girmeden geçemezsin!" dediği zaman brutus’le öğrendiğimiz doğum tarihini giriyor ve gizli soruya ulaşıyoruz. Sonrası* sizin yaratıcılığınıza kalmış bir şey... Allah yardım etsin...
Yahoo!’da ise "forgot password"le hiç uğraşmayın* arasında postal code’un da olduğu bir takım bilgileri girmeniz gerekiyor. Bu da sallamayla tutturulacak bir şey olmadığına göre*......
3. Database Hack:
Bir siteye üye olurken kullandığı şifreyi* mail* hatta web sitesi şifresi olarak kullanan insanlar %85’lik bir orana sahiptir nereden baksanız. Eğer elinize bir şekilde bir sitenin database’i geçerse* adamın şifresini ve mail adresini oradan öğrenir* sonra da gider mail adresi üzerinde o şifreyi denersiniz. Muhtemelen hack’lersiniz!.. Buradan* oraya-buraya üye olurken mail/FTP/internet account şifrelerimizi kullanmamamız gerektiğini de çıkartmış olmalısınız. Ayrıca Database hack kısmına ikinci derste değineceğim.
4. Keylogger programlar:
Casus programlar olarakta adlandırılan bu keylogger’ların mantığı şudur: Bir bilgisayarda yapılan işlemleri* basılan tuşları şifreleyip sizin mail’inize daha önceden belirlediğiniz zaman aralıklarıyla rapor etmesidir. Adam bilgisayarını kullanırken arada bir* -mail/FTP/internet account dahil- herhangi bir platformdaki üyelik hesabına girmek için kullanıcı adı ve şifresini kullanacağından ve bu bilgilerde size rapor edilenler arasında bulunacağından* aldığınız şifreyi kullanmak yoluyla adamın mail ve sitelerini hack’lemek şansı elinize geçecek. Amma.... Bunu yapmanızı önermem; çünkü bu yöntemle alacağınız mail’ler genellikle zararsız* kendi hâlinde* masum kimselerin olacaktır. Eğer okulda veya herhangi bir internet kafede kafayı taktığınız* mutlaka mail’ini veya sitesini almak istediğiniz birisi varsa* bu programları onun bilgisayarına kurun/kandırarak kurdurun ve onun bilgilerini kullanın. Masumlara dokunmayın!..
Bu programların isimlerini araştırarak bulabilirsiniz ama XPCSpy ve Invisible Keylogger isimli programların iyi keylogging yaptığını duymuştum. Serial falan isterlerse crackfind.com gibi crack arama motorlarını kullanarak serial’larına ulaşabilirsiniz. Bu arada bu tip keylogger’ları hedef bilgisayara siz kuruyorsanız şuna dikkat edin; keylogger’ları kurarken size "nereye kurayım?" dediğinde "crogram filesaccessoriesHyperTerminal" gibi kimsenin bakmak aklına gelmeyecek yerlere kurun ve eğer varsa başlat’taki* masaüstündeki program kısayollarını kaldırın ki* bulunmaası çok zorlaşsın...
5. Chat Ortamında Şifre İstemek:
Evet* bu tip insanlarda var. Yani kız taklidi yapıyorsunuz* birkaçta resim atıyorsunuz* sonra biraz nazlanarak mail şifresini istiyorsunuz. Verme ihtimali var* eğlence/mizah/geyik bölümünde böyle bir olayın örneğine rastlayabilirsiniz! )
6. Trojan:
Adamın mail adresine veya MSNM gibi dosya paylaşımı yapılan ortamlarda bu Truva Atlarını yolluyorsunuz. Kurban bu programları bilgisayarına kabul edip çalıştırdığı zaman (server.exe genelde)* bilgisayarı bazı portlarda açık oluşturuyor ve sizin bilgisayarınızdaki ana program vasıtasıyla bu portları kullanarak hedefteki bilgisayara bağlanıyorsunuz* o bilgisayar sizin kontrolünüz altına giriyor. İsterseniz tüm şifrelerine el koyabilir* isterseniz de sistemine çeşitli zararlar verebilirsiniz. Keylogger’ları devreye sokabilir* kurbanla chat yapabilir* ona mesajınızı gösterebilir* CD-Rom’unu açmak gibi oyunlar oynayabilir* aklınıza gelmeyen pek çok şey yapabilirsiniz... Ama bizim derdimiz kesinlikle adamın bilgisayarına zarar vermek değil* şifrelerine ulaşmak (bilgi paylaşımı ) ). Çoğu trojanda otomatik olarak "şifreleri getir" anlamına gelen işlevler / keylogger sistemleri olur ve siz bunları aktif hale getirdiğinizde kurbanın şifrelerine sahip olursunuz. Yalnız çok bilinen trojanların büyük bir bölümü anti-virüslerce de bilindiği için* kandırdığınız adamın anti-virüsü feryad-u figâna başladığı an (hele carspersky’nin bir bağırışı varki evlere şenlik ) şaklaban olursunuz. Yani bu tip dezavantajları da var. Bunun için bilinmeyen ve yeni çıkmış* taptaze* sımsıcak programları kullanmak her zaman için daha iyi sonuçlarla karşılaşmanıza sebeptir. Ve bazı trojan’ların kullanımları birbirini tutmuyor* aslında mantık aynı olsa da. Siz elinizdeki asıl programla (client.exe) server.exe gibi bir progr***** oluşturur ve bunu karşı tarafın bilgisayarında çalıştırmasını 8 gözle beklersiniz... Veya karşının IP numarasını trojandaki ilgili yere yazıp açıklardan içeri dalabilirsiniz (R3X mantığı)... Aklıma gelen birkaç trojan: SubSeven* ProRat (Türkçe)* Turkojan (Türkçe)* Pro Aigent* netbus* schoolbus... Fakat bilinmeyen trojanların kullanımı daha iyidir...
7. Saksıyı çalıştırmak:
"Şimdi bu ne demek istemiş?" diyen birileri çıkacaktır eminim... Evet benim çok dikkatimi çekti ve gerçekten çok beğendim bunu...
Farinelli abinin forumlarda yazdığı bir mesajını aynen aşağıya alıyorum...
Mesajı Yazan: farinelli
15 Kasım 2003 saat 18:02 - Kayıtlı IP
arkadaşlar ben en son hacklediğim siteyi anlatmak istiyorum... Ki sadece programlama bilmek yetmiyor anlaşılsın... www.XXXXX.com
[url]https://tik.lat/PHGyO
yazdığınızda* e-hack.org’un dosyalarının bulunduğu bilgisayara yönlenirsiniz. Bir sitenin domain’ini hack’lediğinizde* o domain’i sizin "hacked by xxx" yazan sayfanıza yönlendirirsiniz ve bu şekilde siteyi hack’lemiş olursunuz. Hosting hack’te ise* direkt olarak sitenin içeriğini değiştirir* Admin kullanıcısının ayarları ile oynar* yönlendirme ile filân uğraşmazsınız.
Şimdi yöntemlerden bahsedeyim...
Mail-hack: Domain hack için kullanılan en önemli yöntemlerden birisi mail hack’tir. Önce www.arama.com/domain.php3 [url]https://tik.lat/q0qrF daki_Kullanici_Adiniz/kayit.asp" şeklinde ayarlarsanız* sonuç alırsınız. Veya hiç uğraşmadan da hazır fake sitelerini kullanabilirsiniz... Bir kaç tanesi:
https://tik.lat/lPpEC -
www.siberkorsan.net/fake/index.php [url]https://tik.lat/AvW4i
https://tik.lat/3843E
www10.brinkster.com/Dostturk/fake.htm
www.kingsoffalcons.com/fake/index.php [url]https://tik.lat/8NCOA
Fake konusu biraz da sizin yaratıcılığınıza bağlı... Temel olarak mantığı yukarıdaki gibi...
Tabii ki fake atarken kullanılan dilin resmî ve nazik olması önemli. Bunun yanında sonuna "Mynet A.Ş."* "Hotmail"* "Yahoo! Member Services" gibi şeyler yazarsanız daha inandırıcı olur. Lâkin Doktor’a gönderilen fake(!)’deki gibi "saygılarımızla yahoo a.ş." yazarsanız millet sadece sizinle dalga geçer...)
Bu arada* fake’inizde adamın mail’inin alınmış olduğu şirketin sürekli kullandığı logosuna* resimlerine* linklerine de mail’iniz içerisinde yer verirseniz daha inandırıcı olur... ("Acaba onu Nası yapacam?" demeyin* hiç olmazsa HTML’i öğrenin be arkadaşlar! Tabii ki <img> ve <a> etiketleriyle))
2. Gizli soru tahmini:
Eğer şansınız varsa en zahmetsiz ve risksiz yöntem diyebilirim. Bilirsiniz ki çoğu mail şirketi üye olurken "şifreni unutursan girer ve şifreni değiştirirsin" düşüncesiyle bir gizli soru ve cevap belirlemenizi isterler sizden... Ve bazı kullanıcılar gizli soruları ve cevaplarını basit seçerler: "adın ne"* "en sevdiğin içecek ne" vs. İşte böyle durumlarda ya atmasyon yaparsınız* ya da adamla dostane bir şekilde irtibat kurar* bir süre konuştuktan sonra çaktırmadan gizli sorusunda saklı olan bilgiyi sorar ve öğrenirsiniz. Sonra da mail’ini alırsınız ve şifreyle birlikte gizli soruyu da değiştirip mail’in sizin elinizde devamlı kalmasını sağlarsınız.
Hotmail’de gizli soruya ulaşmak için aşağıdaki adresteki* xxx************* ile gösterilen yere kullaniciadi************* veya kullaniciadi********* yazarak adamın gizli sorusuna ulaşabilirsiniz* eğer mail’i alan kimse ülke seçilen bölümde Türkiye’yi seçtiyse. Eğer Türkiye seçili değilse -tıpkı benim mail’imdeki gibi-* sizden bir eyalet veya başka bir ülke seçmenizi isteyecektir hotmail. Eğer adam kayıt olurken Amerika’yı seçtiyse yandınız* çünkü ülke+eyalet+posta kodu’nu doğru girmeniz gerekiyorki bu da imkânsız.
Mynet’te ise Mynet Brutus programını kullanabilirsiniz. İlk versiyonda bazen atlayabiliyor* ama ikinci versiyonu sadece Windows XP’de çalıştığı için deneyemedim -yalnız herkes sorunsuz çalıştığını söylüyor-. Bu programı kullanarak adamın doğum tarihini buluyorsunuz* sonra Mynet’e gidip gizli soruya ulaşmaya çalıştığınızda "doğum tarihini girmeden geçemezsin!" dediği zaman brutus’le öğrendiğimiz doğum tarihini giriyor ve gizli soruya ulaşıyoruz. Sonrası* sizin yaratıcılığınıza kalmış bir şey... Allah yardım etsin...
Yahoo!’da ise "forgot password"le hiç uğraşmayın* arasında postal code’un da olduğu bir takım bilgileri girmeniz gerekiyor. Bu da sallamayla tutturulacak bir şey olmadığına göre*......
3. Database Hack:
Bir siteye üye olurken kullandığı şifreyi* mail* hatta web sitesi şifresi olarak kullanan insanlar %85’lik bir orana sahiptir nereden baksanız. Eğer elinize bir şekilde bir sitenin database’i geçerse* adamın şifresini ve mail adresini oradan öğrenir* sonra da gider mail adresi üzerinde o şifreyi denersiniz. Muhtemelen hack’lersiniz!.. Buradan* oraya-buraya üye olurken mail/FTP/internet account şifrelerimizi kullanmamamız gerektiğini de çıkartmış olmalısınız. Ayrıca Database hack kısmına ikinci derste değineceğim.
4. Keylogger programlar:
Casus programlar olarakta adlandırılan bu keylogger’ların mantığı şudur: Bir bilgisayarda yapılan işlemleri* basılan tuşları şifreleyip sizin mail’inize daha önceden belirlediğiniz zaman aralıklarıyla rapor etmesidir. Adam bilgisayarını kullanırken arada bir* -mail/FTP/internet account dahil- herhangi bir platformdaki üyelik hesabına girmek için kullanıcı adı ve şifresini kullanacağından ve bu bilgilerde size rapor edilenler arasında bulunacağından* aldığınız şifreyi kullanmak yoluyla adamın mail ve sitelerini hack’lemek şansı elinize geçecek. Amma.... Bunu yapmanızı önermem; çünkü bu yöntemle alacağınız mail’ler genellikle zararsız* kendi hâlinde* masum kimselerin olacaktır. Eğer okulda veya herhangi bir internet kafede kafayı taktığınız* mutlaka mail’ini veya sitesini almak istediğiniz birisi varsa* bu programları onun bilgisayarına kurun/kandırarak kurdurun ve onun bilgilerini kullanın. Masumlara dokunmayın!..
Bu programların isimlerini araştırarak bulabilirsiniz ama XPCSpy ve Invisible Keylogger isimli programların iyi keylogging yaptığını duymuştum. Serial falan isterlerse crackfind.com gibi crack arama motorlarını kullanarak serial’larına ulaşabilirsiniz. Bu arada bu tip keylogger’ları hedef bilgisayara siz kuruyorsanız şuna dikkat edin; keylogger’ları kurarken size "nereye kurayım?" dediğinde "crogram filesaccessoriesHyperTerminal" gibi kimsenin bakmak aklına gelmeyecek yerlere kurun ve eğer varsa başlat’taki* masaüstündeki program kısayollarını kaldırın ki* bulunmaası çok zorlaşsın...
5. Chat Ortamında Şifre İstemek:
Evet* bu tip insanlarda var. Yani kız taklidi yapıyorsunuz* birkaçta resim atıyorsunuz* sonra biraz nazlanarak mail şifresini istiyorsunuz. Verme ihtimali var* eğlence/mizah/geyik bölümünde böyle bir olayın örneğine rastlayabilirsiniz! )
6. Trojan:
Adamın mail adresine veya MSNM gibi dosya paylaşımı yapılan ortamlarda bu Truva Atlarını yolluyorsunuz. Kurban bu programları bilgisayarına kabul edip çalıştırdığı zaman (server.exe genelde)* bilgisayarı bazı portlarda açık oluşturuyor ve sizin bilgisayarınızdaki ana program vasıtasıyla bu portları kullanarak hedefteki bilgisayara bağlanıyorsunuz* o bilgisayar sizin kontrolünüz altına giriyor. İsterseniz tüm şifrelerine el koyabilir* isterseniz de sistemine çeşitli zararlar verebilirsiniz. Keylogger’ları devreye sokabilir* kurbanla chat yapabilir* ona mesajınızı gösterebilir* CD-Rom’unu açmak gibi oyunlar oynayabilir* aklınıza gelmeyen pek çok şey yapabilirsiniz... Ama bizim derdimiz kesinlikle adamın bilgisayarına zarar vermek değil* şifrelerine ulaşmak (bilgi paylaşımı ) ). Çoğu trojanda otomatik olarak "şifreleri getir" anlamına gelen işlevler / keylogger sistemleri olur ve siz bunları aktif hale getirdiğinizde kurbanın şifrelerine sahip olursunuz. Yalnız çok bilinen trojanların büyük bir bölümü anti-virüslerce de bilindiği için* kandırdığınız adamın anti-virüsü feryad-u figâna başladığı an (hele carspersky’nin bir bağırışı varki evlere şenlik ) şaklaban olursunuz. Yani bu tip dezavantajları da var. Bunun için bilinmeyen ve yeni çıkmış* taptaze* sımsıcak programları kullanmak her zaman için daha iyi sonuçlarla karşılaşmanıza sebeptir. Ve bazı trojan’ların kullanımları birbirini tutmuyor* aslında mantık aynı olsa da. Siz elinizdeki asıl programla (client.exe) server.exe gibi bir progr***** oluşturur ve bunu karşı tarafın bilgisayarında çalıştırmasını 8 gözle beklersiniz... Veya karşının IP numarasını trojandaki ilgili yere yazıp açıklardan içeri dalabilirsiniz (R3X mantığı)... Aklıma gelen birkaç trojan: SubSeven* ProRat (Türkçe)* Turkojan (Türkçe)* Pro Aigent* netbus* schoolbus... Fakat bilinmeyen trojanların kullanımı daha iyidir...
7. Saksıyı çalıştırmak:
"Şimdi bu ne demek istemiş?" diyen birileri çıkacaktır eminim... Evet benim çok dikkatimi çekti ve gerçekten çok beğendim bunu...
Farinelli abinin forumlarda yazdığı bir mesajını aynen aşağıya alıyorum...
Mesajı Yazan: farinelli
15 Kasım 2003 saat 18:02 - Kayıtlı IP
arkadaşlar ben en son hacklediğim siteyi anlatmak istiyorum... Ki sadece programlama bilmek yetmiyor anlaşılsın... www.XXXXX.com
lazim
