THT DUYURU

Sosyal medya ve Sosyal Platformlar Sosyal Medya Ve Sosyal Platformlar Hakkında Her şey.

takipci
chat
Seçenekler

Irc saLdıRı teknikLeRi !

BurakK0SE - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2009
Mesajlar:
302
Konular:
109
Teşekkür (Etti):
7
Teşekkür (Aldı):
340
Ticaret:
(0) %
2
1057
26-12-2009 18:53
#1
Irc saLdıRı teknikLeRi !
Bir kanalı veya botu ele geçirmenin veya kullanılamaz hale getirmeninbir çok yolu mevcut. Bunlardan korunmanın en sağlıklı yolu ise busaldırıların nasıl yapıldığı hakkında bilgiye sahip olmak. Aşağıdaanlatılanlar, bu saldırı yöntemlerinin çok sık kullanılanları. Elbettefarklı yöntemler kullanılarak bu saldırılar yapılabilir. Ne yazık kibazı saldırıların önüne geçmek bazı durumlarda imkansız olabiliyor. Butip durumlarda kanalı geçici olarak kapatmak en iyi çözüm olabiliyor.


Saldırı tiplerini kabaca genel saldırılar, eggdrop saldırıları, floodsaldırıları ve sunucu saldırıları olmak üzere dört başlık altındatoplayabiliriz. Bu ana başlıkları da kendi içinde dallandırmak mümkün.


1-) Genel Saldırılar

a) Op Saldırıları:

Bu saldırılar genelde kanalda kayıtlı bulunan oplardan gelir. Oplardanbirisi sürekli diğer opları ve/veya botları deop eder. Kanal oplarınıne kadar iyi seçerseniz bu saldırıyla karşılaşma ihtimaliniz de o kadarazalır. Ayrıca kanal oplarının diğer kullanıcılara op vermemesini desağlamalısınız.


b) Şifre Saldırıları:

Şifre çalınması oldukça büyük bir problem. Şifre çalmak için genelde üç yöntem kullanılır.

Bazı kullanıcılar kendilerini bota tanıtmak için otomatik mesajgönderirler.(bazı mirc scriptlerinin sunucuya bağlandığında sizin nickşifrenizi göndermesi gibi) Şifreyi çalmak isteyen kişi botun nicki ilekanalda durmaktadır fakat nicki identify etmemiştir. Kullanıcı otomatikolarak mesaj gönderdiği için bu nickin identify edilip edilmediğinidenetlemez ve böylece şifresini kaptırmış olur. Bunu engellemek içinbiraz "uyanık" olmak yeterli.

Diğer yöntem ise şifreyi çalmak için sniffer programları kullanmak. Buprogramlar bir dosyadaki kelimeleri sırayla deneyip şifreyi bulmayaçalışıyorlar. Bu dosyalar ise milyonlarca kelimeden oluşuyor. Bu yöntemile şifrenin bulunması bir kaç dakika da sürebilir birkaç yüz yıl da.Şifreleriniz sadece alfabetik ve nümerik karakterlerden oluşmasın. _ -[ gibi karakterleri de kullanmalısınız. Bu sayede bu tür programlar ileşifrenizin bulunması zorlaşır.(imkansız demiyorum çünkü teorik olarakmümkün) Ayrıca belirli periyotlarda (mesele ayda bir) şifrenizideğiştirebilirsiniz.

Kullanılan diğer bir yöntem ise brute-force saldırıları. Bu saldırıyıyapan birisi bota kayıtlı kullanıcıların şifresini ele geçirebilir. Busayede hem botu hem de kanalı yönetebilir. Bu tip saldırılardankorunmak için botun flood ayarlarını oldukça iyi yapmak ve logdosyalarını denetlemek yeterlidir.


c)IP Saldırıları:
Bu saldırı aslında oldukça üst düzey bir saldırıdır. Kanal sahibi olarak bu tip bir saldırıdan korunmak imkansız.

Saldırgan irc sunucusu ile kanal sahibi arasındaki iletişimi engelleryada irc sunucusundan kanal sahibine giden bilgilere bazı hatamesajları veya komutlar ekler. Böylece kanal sahibinin kullandığı ircistemcisi(mesela mirc) irc sunucu ile bağlantıyı keser. Bundan sonrasaldırgan kanal sahibinin ip adresini ve nickini alarak sunucu ileiletişime geçer.

Zaten bu tür bir durumda kanaldan çok sunucu tehlikede demektir. Bunuengellemek için irc sunucusu olarak kullanılan yazılımın standart dışıolması gerekir. Standart dışı derken mesela bir open-source irc sunucuyazılımının bazı kısımları değiştirilerek kurulabilir. Böylecesaldırgan sunucunun nasıl işlediğini bilemediğinden saldırıyıgerçekleştiremeyecektir yada yazılımın gerekli yamaları yapılmalıdır.Böylece saldırganın sunucu ile kullanıcı arasındaki iletişime erişmesiengellenebilir

2-) Eggdrop Saldırıları

a) Hostmask Taklidi:

Bazı irc sunucularında hostmask taklidi yapmak mümkün. Bu tip birsunucuda saldırgan bota kayıtlı kullanıcılardan birinin hostmakını alıpbotdan op alabiliyor. Bunu engellemek için bu tip sunucudakullandığınız botun +autoop ayarını kapatmak ve kullanıcılara +abayrağını vermemek yeterli olacaktır.


b) Op Taklidi:

Bota kayıtlı kullanıcı bottan op istediği anda saldırgan kullanıcıyaflood saldırısı yaparak bağlantısının kesilmesini sağlıyor. Daha sonrakullanıcının nickini alarak bottan op almış oluyor.

Normal olarak bir botun kayıtlı bir kullanıcıya op vermesi şu şekilde gerçekleşir:

** Kullanıcı bota istek gönderir **
Kullanıcı: /MSG botadi op şifre
** Bot bir op istediği alır ve kullanıcı dosyasından bu kullanıcıyı arar **
** Kullanıcının kaydını bulur ve op verir **
Bot: /MODE #kanal +o kullanıcı

Saldırı sırasında ise şunlar olur:

** Kullanıcı bota istek gönderir **
Kullanıcı: /MSG botadi op şifre
** Bot bir op istediği alır ve kullanıcı dosyasından bu kullanıcıyı arar **
** Kullanıcının kaydını bulur ve op verir **
** Bu arada saldırgan kullanıcıya flood saldırısı yapar **
** Kullanıcının saldırgan nedeniyle bağlantısı kesilir **
** Daha sonra saldırgan kullanıcının nickini alır **
saldırgan -> kullanıcı
Bot: /MODE #kanal +o kullanıcı

Böyle saldırı olmaz demeyin. Özellikle eggheads.org sitesine bu konudaoldukça fazla şikayet gelmiş. Bu tip bir saldırı yaşanmasının ikinedeni vardır. Ya bot laga düşmüştür yada irc sunucusunun servislerilagdadır. Normal şartlarda bu tip bir saldırı pek etkili olmaz.


c) Buglar ve Açıklar:

Şimdiye kadar çıkan eggdrop sürümlerinin hiç birinde bir bug yada açıknedeniyle saldırgana op verilmesi yada eggdropun ele geçirilmesi sözkonusu olmamıştır. Ancak yüklediğiniz tcl scriptlerinde ve/veyamodüllerde bu tip açıklar olabilir veya eggdropun çalıştığı sistemevirüs ve/veya trojan bulaşmış olabilir. Bu nedenle hem sistemi hem descriptleri/modülleri iyi kontrol etmek gerekir.


d) Shell Saldırıları:

Eggdrop sağlayan shell sunucusuna yapılacak bir saldırıyı doğal olaraksizin düşünmenize gerek yok. Sunucunun yöneticisi bu tip saldırılarayeteri kadar kafa yoruyordur zaten Ancak bazen onlar da çaresizkalabiliyor ve sunucuya yapılan saldırı başarılı olabiliyor. Bu durumda(yönetici zaten sizi şifrelerinizi değiştirmeniz konusunda uyaracaktır)botunuzu durdurun ve şifrelerini değiştirin. Tüm kullanıcıları silipyeniden farklı şifreler almalarını sağlayın.


e) Kullanıcı Dosyası Deşifrelemesi:

Kullanıcı dosyasının bulunduğu dizinin chmod ayarları mutlaka 700olmalı. Bu sayede herhangi birinin kullanıcı dosyasını okuması vedeşifre etmesi engellenmiş olur. Eğer saldırgan kullanıcı dosyasını elegeçirirse dosyayı deşifre etmesi en fazla bir iki gün sürer.


f) Netsplit Modları:
Eğer botunuz kullanıcıların kanalda ban/exempt/intive koymasına izinveriyorsa bir netsplit sırasında op olan saldırgan bot(lar)a bankoyabilir. Netsplit kalktığında ise bot(lar) sunucu tarafından kanaldanatılacaktır. Bu tip saldırılardan korunmak için botların birbirleriniasla banlamamalarını veya atmamalarını sağlamalısınız.


g) Mod Listesi Saldırısı:

Bütün irc sunucularının kanallar için belirli mod sayısı sınırlamasıvardır. Mesela IrcNet için kanal ban sayısı 30'dur. Bu sayı birwingate, proxy veya vhost kullanılarak kolayca doldurulabilir. Eggdrop-1.4.0 versiyonundan beri- eğer kanal mod listesi doluysa yenilerinieklemeye çalışmaz ancak yeni bir tane eklenmesi gerektiğinde deeskileri silmez. Bu tür saldırılarda kanalı geçici olarak +i (inviteonly) moduna almak en pratik çözüm gibi gözüküyor. Bunun için eggdropdağıtımlarıyla gelen "sentinel" scriptini kullanabilirsiniz.


h) Disk Doldurma Saldırıları:

Shell aldığınız sunucuda, size ayrılan disk kapasitesi çok kısıtlıysasık sık kullandığınız miktarı kontrol etmelisiniz. Eğer limitinizidoldurursanız botunuz kullanıcı dosyasını düzgün olarak kaydedemez.Eğer bu durumu iki gün içinde fark edemezseniz kullanıcı dosyasınınyedeği de değiştirileceği için yedek dosyasını da kaybetmiş olursunuz.Bu sırada botun yeniden başlatılması gerekirse botunuz hata veripkapanacaktır. Bu durumdan keep-all-logs ayarını sıfır ve max-logsizeayarını uygun bir değer yaparak kurtulabilirsiniz.


i) Zayıf Şifre Saldırıları:

Eggdropun 1.4.x ve 1.5.x serilerinde bu tip bir bug tespit edildi. Eğerbir kullanıcı "aaaaa" veya "abcdabcd" gibi zayıf şifre kullandıysasaldırgan şifre olarak "a" veya "abcd" kullanarak bota girişyapabiliyor. Kullanıcılarınızı bu tip şifreler seçmemesi konusundauyarın.


j) TCL Komut İşleme Saldırıları:

TCL'de bütün metinler parantez içinde kullanılır ve bu metinlerekomutlar da dahildir. Bazı kötü kodlanmış scriptler nickleri vemetinleri, içerebilecekleri komutlara karşı denetlemezler. Örneğinyüklediğiniz bir badnick scripti bu tür bir denetim yapmıyor ve gelenverileri olduğu gibi işliyor. Eğer kanala 'NoT[die]' nickli birigirerse bu scriptin yüklü olduğu tüm botlar kapancaktır. Çünkü nickiniçinde botu kapatmaya yarayan "die" komutu geçmektedir. Bu tür scriptaçıkları daha çok timer, utimer, expr ve eval komutlarını kullananscriptlerde karşımıza çıkmaktadır. Bu bir eggdrop açığı değildir.


k) Fake-Bot Saldırıları:

Eğer saldırgan sizin botnet yapınızı biliyorsa, botunuzunçalıştırıldığı sunucu üzerinden kendine bir eggdrop sağlayabilir(meselaaynı şirketten hesap satın alabilir) ve sizin botunuzu devre dışıbırakıp, kendi botunu sizin botunuzun nicki ve ip adresiyle botnetinizebağlar. Bu durumda sizin botunuzun şifresi olmadığından diğer botlaryeni şifre alırlar. Böylece fake-bot botnete sızmış olur. Senaryo dahada kötüleşebilir. Sizin botunuzun yada saldırgan botun diğer botlar iledeğişen kullanıcı bilgilerini değiştirmesi daha vahim sonuçlardoğuracaktıR


Beğendiysen Teşekkür Et Butununa Basman YETER!:inv
--------------------- Beğendiysen Teşekkür Etmen YETER!:inv


Unutmayın!

Biz,Siz Sokağa Çıkarken
Annelerinizin Uyardığı o Kötü
Çocuklarız...


Eméqé Sayqı.. Alttaki Buton Lütfen

buraq312, kopracı111 Teşekkür etti.
buraq312 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2009
Mesajlar:
8
Konular:
2
Teşekkür (Etti):
29
Teşekkür (Aldı):
1
Ticaret:
(0) %
26-12-2009 18:54
#2
Biliyordum ama bilmeyenler icin güseş bişi.
BurakK0SE - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2009
Mesajlar:
302
Konular:
109
Teşekkür (Etti):
7
Teşekkür (Aldı):
340
Ticaret:
(0) %
26-12-2009 19:35
#3
Evet güzeL
--------------------- Beğendiysen Teşekkür Etmen YETER!:inv


Unutmayın!

Biz,Siz Sokağa Çıkarken
Annelerinizin Uyardığı o Kötü
Çocuklarız...


Eméqé Sayqı.. Alttaki Buton Lütfen

kopracı111 Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler





1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291