İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Hack, trojan, güvenlik, network ile ilgili dokümanlar alıntıdır

04-12-2009 22:23
#1
lordtube - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2009
Nereden:
C:Windows
Mesajlar:
442
Teşekkür (Etti):
16
Teşekkür (Aldı):
406
Konular:
88

1) Trojanlar hakkında hersey

Burda Trojan lar hakkında öğrenmek istediğiniz herşeyi öğrenebilirsiniz.Trojanları kullanmayı da Trojanların tehlikeleride burda
Trojan Nedir?
Trojan (Truva Atı) kısaca ;bir bilgisayarın,başka bir bilgisayara girmesinde ,onu ele geçirmesinde kullanılan bir programdır
Trojanların genel olarak mantığı nasıldır?
Her trojanın bir client.exe si ve birde server.exe si vardır (bu dosyaların isimlerin farklıda olabilir tabiki,örneğin server.exe nin ismini fotolarım.exe olarakta değiştirebilirsiniz). Girmek istediğiniz bilgisayarın sizin gönderdiğiniz server.exe yi alması ve çalıştırması zorunludur,alsa dahi çalıştırmassa trojanı karşı bilgisayara bulaştırmanız imkansızdır. Karşıdaki bilgisayarın server dosyasını çalıştırmasından sonra,siz de bilgisayarınızda client.exe yi çalıştırıp, karşıdaki bilgisayarın ip numarasını client.exe ye girmeniz yeterlidir. .Yani bir trojanı birine bulaştırmak için,bulaştıracağınız kişinin server dosyasını çalıştırması ve onun ip numarasını bilmeniz yeterlidir.
Trojanları neden öğrenmeliyim?
Trojan (Truva Atı) denilen bu program türünü bilmek çok önemlidir.Çünkü bu programlar virüslerden daha tehlikelidirler. Bir virüsün yapabileceği en kötü şey bilgisayarınıza format atmaktır.Ancak size trojan bulaştırmış bir kişi,sizin şifrelerinizi,kişisel dosyalarınızı hatta kredi kartı numaralarınızı bile alma ihtimali vardır.Bundan dolayı trojan kullanan biri olmasanız dahi internete giren biri olarak bu programlar hakkında herşeyi bilmelisiniz.Çünkü ISS şifreniz(internet bağlantı şifreniz) çok önemlidir. İnsan ne yazık ki ancak başına gelince; uzaktan bakıp güldüğü, "Nasılsa bana denk gelmez" dediği olayların aslında ne kadar ciddi olduğunu anlıyor. PC'nizin iç güvenliği yeterince iyi değilse, dış güvenlik kesinlikle yeterli değildir. Trojan kullanmak hacker lık değildir,trojanı her bilgisayar kullanmasını bilen kullanabilir,Trojan Programlarıyla ve Windows 'la hacker olamazsiniz. Ayrica web sayfalarinda dolasarakta hacker olamazsiniz. Linux kurun(exploitler için), TCP/IP ögrenin, sonra zaten mantiginiz size yol gösterecektir.Ancak trojan kullanarak portlar,dosya güvenliği,sistem güvenliği ve firewall lar hakkında birçok şey öğrenebilirsiniz
Trojanlar geçmişi nedir? Trojanlar neden ortaya çıktılar
Trojanların ilk çıkışı sanıldığı gibi kötü niyetli olmamıştır.90 lı yılların başlarında,şirketler de çalışan bazı kişiler, akşama kadar işlerini bitiremedikleri için evde de bilgisayar başında çalışmaları gerekmiştir.Ancak tüm muhasebe kayıtları, şirket bilgileri şirketlerdeki bilgisayarlarda kaldığından dolayı o bilgilere devamlı ulaşmak istemişlerdir.Yani her gün işde ki bilgisayarını eve taşıması yerine ,evdeki bilgisayarından iş yerindeki bilgisayarına bağlanıp işlerini evdende devam etmek istemiştir.Bundan dolayı iş deki bilgisayarını açık bırakıp trojanın serverını çalıştırıp,eve gidincede client ini çalıştırıp bağlanmışlardır.Fakat sonraları,bu bilgisayarlara kaçak olarak başka kişilerin girmesiyle trojanlar bu günkü hallerini almışlardır. Geçmişte basit yapıda olan trojanlar,günümüzde bilgisayarlarda ki hızlı gelişmeye paralel olarak gelişmiş ve bir çok kişi tarafından kullanılır hale gelmiştir.Tabiki bu bir çok kişi içinde kötü niyetlilerde vardır.
Trojan bilgisayara nasıl bulaşıyor?
Bir bilgisayara trojanın bulaşması için server dosyasının çalıştırılması zorunludur demiştik.Ancak bu server dosyası salt bir server.exe olmayabilir.İsmini değiştirebilirsiniz(Örneğin:Server.exe nin ismini gönderdiğiniz kişinin istediği bir program isminede çevirebilirsiniz). En çok kullanılan bir yöntemde server ı başka bir dosya ile birleştirmektir. Geçmiş yıllardaki basit trojanlarla bu yapılamıyordu fakat günümüzdeki trojanların bir çoğuyla bu yapılabiliyor.Birleştireceğiniz dosyanın resim dosyası(jpg,gif,bmp),video dosyası(mpeg,avi) veya program dosyası(exe) olmasıda hiç önemli değildir,tüm uzantılı dosyalarla server ı birleştirebilirsiniz,ancak hangi dosya ile birleştirirseniz birleştirin,birleştirilmiş bir server ın uzantısı exe olması zorunludur.Yani bir trojanın gif,avi,jpg vb. formatlarda olması imkansızdır.Bir jpg ile birleştirilmiş bir server ı girmek istediğniz bilgisayar çalıştırırsa,o sadece resmi görecektir ama arka planda trojanda çoktan bulaşmış olacaktır. Trojan bulaşırken iki işlem gerçekleştirir.
  • 1.işlem ; windows un her açılışında otomatik olarak çalışacak şekilde trojan kendini açılışa koyacaktır.Bir dosyanın windowsun her açıldığında otomatik olarak çalışması için win.ini,system.ini,autoexec.bat,config.sys veya regedit dosyalarından birinin belirli yerine,kendini her açılışta çalışacak şekilde kayıt ettirmesi gereklidir.Trojan da bunu yapar ve bu dosyalardan birine kendini kayıt ettirir.Böylece windows her açıldığında trojan otomatik olarak arka planda çalışacaktır. Trojanın bu özelliği sayesinde, karşı bilgisayara bir kere değilde,o PC her online olduğunda girebilme şansınız vardır.
  • 2.işlem ; Trojanın bulaşırken gerçekleştirdiği 2. işlemse kurban bilgisayarın bir portunu açmaktır.Portun ne olduğunu bilmeyenler için portun ne olduğunu kısaca söyleyelim.İnternete girmek için kullandığınız Modem lerin 65536 tane portu vardır, bunlar sanaldır,yani modemin içinde sadece tek bir çıkış ve tek bir giriş vardır ancak internetteyken yapılan işlemleri karıştırmamak için bu portlar kullanılır,çünkü siz internete girdiğinizde aynı anda hem explorer kullanıyosunuz, icq ya bağlanıyosunuz,hemde mp3 indirebiliyosunuz,bu işlemlerin karışmaması içinde modem gelen-giden byte ların yerini karıştırmamak için bu portları kullanır,mesela explorer 80. portu kullanır,ICQ 1029,FTP(Dosya transferi) 21. portu kulanırlar,böylece internet trafiği karışmamış olur.yani modemlerin sanal olarak 65536 tane portu vardır. Siz de trojan kullanarak karşı bilgisayara girerken bir porttan girmeniz gerekli,bu portun hangi port olacağı trojana göre değişir(örn:netbus 1234. portu kullanır,Blade runner trojanı ise 5401. portu kullanır).Şimdiki trojanların çoğunda istediğiniz portuda seçebiliyosunuz.
Trojan bu iki işlemi arka planda yapar ve bu yazdığımız uzun işlemler saniye bile sürmez.Bu iki işlem her trojanın yaptığı işlemlerdir,bunların yanında trojanların kendilerine has bulaşınca yaptığı işlemler vardır,örneğin bazı trojanlar bulaşınca kurbanın ISS (internet bağlantı) şifrelerini sizin e-mail adresinize gönderir.
Trojanların Kullanım amaçları
Trojanların kullanım amaçları çok fazladır.Katagorilere ayırırsak
A ) Çalma Amaçlı
  • a.Net Account,Icq Password,e-mail şifresi.
  • b.Çeşitli Dosyalar (Kurbanın dosyalarını download ve upload etme, silme, değiştirme)
B ) Eğlence Amaçlı
  • a.Fiziksel Eğlenceler (CD-ROM, Monitor, Mouse)
  • b.Programsal Eğlenceler (Kurbanla chat, Matrix)
  • c.Görüntüsel Eğlenceler (Desktop Capture, )
C ) Casusluk
  • ****eylogging
  • b. ICQ spy
Kaç tane trojan vardır? En çok kullanılanları hangileridir?
Sayısı tam olarak bilimemekle birlikte yüzlerce trojan vardır ve her geçen gün bunların sayısı artmaktadır.Sayıları arttıkça özellikleride artmaktadır.En çok raslanan trojanlar ; BO(back Orifice),Subseven,Sokets des troie,ftp ,Blade runner,Netbus Trojanlarıdır.Türkler tarafından yapılmış trojanlarda vardır:Truva atı,Schoolbus,Thief ve CAsus da türkler tarafında yapılan bazı trojanlardır.

2) Hacker, Lamer, Newbie nedir?

Bu sayfada sadece teorik temel bilgi verilecek. Bilinmesi gereken teknik terimler anlatılacaktır.
  • Hacker : Bilgisayar sistemlerinin açıklarını iyi bilen, bu açıkları kullanmak için gerekli programları yazabilen ve bunu sadece zevk için yapan insanlardır. İyi bir hackerın işletim sistemleri ve programcılıkta uzman olması gerektiği gibi telefon şebekesinden de anlaması gerekir. Hackerlar siyah ve beyaz olarak ikiye ayrılır. Siyahların tek amacı karşı tarafa zarar vermektir, varlıklarını belli edecek notlar bırakırlar. Beyazlar ise gözönünde bulunmazlar, sistemlerde gördükleri açıkları sistem yöneticilerine bildirirler. Gerçek hacker'lar devamli yeni seyler ögrenme yolunda önüne geçilmez bir istege sahiptirler ve korkunç bir sekilde ayrintiya önem verirler.Hacker'larin sayesinde sistemler daha da güvenli hale gelmeye basladi Programlarla ve Windows 'la hacker olamazsiniz. Ayrica web sayfalarinda dolasarakta hacker olamazsiniz. Linux kurun(exploitler için), TCP/IP ögrenin,sonra zaten mantiginiz size yol gösterecektir.Sitemizi düzenli takip etmenizi öneririm.
  • Lamer : Hacker özentisi diyebiliriz. Birkaç trojan ve nuke programıyla etrafa saldırıran tiplerdir.Hem amatör hemde hacker lık konusunda kendini geliştiremeyenlere verilen addır.Tarih boyunca hackerlar lamerlarla alay etmiştir.
  • Newbie : Hacker Lamer arası bir düzeydir. Lamer gibi zibidilikler yerine kendini hacking konusunda geliştirmeye adamıştır. Hacker olmanın ilk kurallarından biri olan "ne bulursan oku" evresindedir.
  • Bir kaç tavsiye; Yukarıdakilerden Lamer olmamaya özen gösterin,kendinize göre kesin kurallarınız olsun,örn; asla devletin resmi sitelerine saldırmayın,kredi kartı olaylarına hiç girmeyin(demir parmaklıkların içinde olmayı istemezseniz tabi), başkalarının bilgisayarına girince dosyalarını silmek gibi zararlı şeyler yapmayın.

3) Trojan kullanıcıları neler yaparak bilgisayarlara girerler?

Trojan Kullanarak neler yaparlar?
Bir trojan kullanicisi,trojani herhangi bir bilgisayara bulastirmak isterse bunu yapmasi imkansiz degildir. Bu trojani kullanarak,bulasan bilgisayara girmek ise cocuk oyuncagidir.Simdiye kadar bir trojani hic kullanmadiysaniz veya tum ozellikleriyle kullanmadiysaniz hep sunu merak etmissinizdir : Trojan Kullananlar bir bilgisayara girince neler yaparlar? Bu dokümandada trojan kullanan kisilerin,trojani birine nasil bulastirdiklarina ve neler yaptiklarina deginicem
Trojan kullanicilarini iki gruba ayirmak lazim
  • 1)Caylaklar
  • 2)Profesyoneller
CAYLAKLAR
Bir trojani kullanmak cok cok kolay bir istir.Klavye ve mouse kullanmasini bilen herkes trojan kullanabilir.Cünkü illa birine trojan bulastirmayada gerek yoktur,trojan bulasmis kisileri bulup (Trojanlarin IP scanner özellikleriyle) bile trojan kullanilabilir. Caylak lar trojan konusunda pek bilgisi olmayan kisilerdir,ingilizce bilmiyorsa türkce trojanlar kullanirlar. Bir trojani bulaştirma konusunda yetersizdirler.Bir bilgisayara girdikleri zaman girdikleri bilgisayarin ISS sifrelerini alirlar,dizinlerde biraz gezinirler,girdikleri bilgisayarin CD sini acip-kapama,karsidakine mesaj gönderme gibi eglence araclariyla karsidakiyle dalgasini gecerler. Boyle kisilerin bulastirdiklari trojanlarinda farkedilme olasiligi Profesyonel lere göre daha yüksektir.Fazla bilgiye sahip olmamalarindan dolayi yaptiklari sınırlıdır
PROFESYONELLER
Bunlar internette güvenlik,trojanlar konusunda kendini yetistirmis kisilerdir ve piyasadaki ünlü tüm trojan türlerini bilirler.Dünyada yüzlerce trojan var ama en önemli Trojanlarin aralarindaki farklari bildikleri icin amaclari icin en uygun trojani secebilirler. Bir bilgisayara girdikleri zaman CAYLAKLAR gibi hemen sifrelere yönelmezler,ilk yaptiklari is tekrar bu bilgisayara girmek icin programlar yüklemek veya gerekli ayarlari yapmaktir.Simdi adim adim bir PROFESYONEL in bir bilgisayar girisine bakalim ;
ILK ADIM SERVER DOSYASININ BULASTIRILMASI
Trojanlarin iki kisimdan olustugunu diger dökümalarimizda söylemistik,Client ve Server.Server girilecek bilgisayarda calistirilmasi gerekli dosya,client de bulasmis bilgisayara girilmesi icin gereken programdir. En önemli olay server dosyasinin bulastirilmasidir.Trojan kullanan kisi,eger server dosyasini bulastirabilirse hersey cok basittir. ICQ,IRC,MSN mesanger, gibi chat programlarinda dosya alis-verisleriyle ,mail e trojanli dosyanin gönderilmesiyle server bulastirilabilir.Hickimse "al bu trojanli dosya" diye dosya göndermez.Cesitli kandirmaca yöntemler kullanirlar. Server dosyasini göndermeden önce iconunu degistirirler,bu icon gönderilme amacina göre degisir.Mesela birine resim dosyasi gönderiyorum diyerek trojan göndermek isteyen biri JPG iconlu bir trojan olusturur.AMA SUNU SAKIN UNUTMAYIN:Trojanlar kesinlikle exe,com,bat veya dll olmak zorundadirlar,hiçbir trojan jpg,avi gib, formatlarda olamaz. Eger birine cok güzel bir windows oyunu veya kagit oyunu maksadiyla server gönderecek biri iconuda bir oyun iconu yapabilir. Icon konusunda Bu örnekleri cogaltmak mümkündür. Iconu degistirildikten sonra,server dosyasi baska bir dosya ile birlestirilir.Yeni nesil trojanlarin dosya birleştirme özellikleri hat safhadadir.Bir server la jpg,bmp,avi,exe gibi hertürlü uzantili dosya birlestirilebilir.Hangi dosya ile birlestirildiyse ,server calistirildiginda o dosya ekranda calisir ama arka planda trojan coktan bulasmis olur.Örnegin,server la jpg dosyasi birlestirildiyse,server calistirildigi zaman jpg resmi ekranda cikar,avi ise activemovie ile avi gösterilir.Yani server i calistiran kisi birsey anlamaz.Server dosyasi emirlere hazirdir.Simdiki adim SERVER dosyasini göndermektir. Server bir dosya ile birlestirilip iconu degistirildikten sonra ICQ,IRC veya messanger programlarinda server li dosya göndermek en favori gönderme seklidir.Web sayfalariylada server bulastirilabilir.Bir kac uygulama örnegine deyineyim;
1)Biri size "resimlerim.exe" diye bir dosya gönderirse bunu anlayabilirsiniz ama "aysegül___benim__resimlerim__slaytlar.exe" gibi bir dosya gönderildiginde,bu dosyanin exe oldugu acik olarak belli olmaz. cünkü isim bilerek uzun tutulmustur,bundan dolayi uzantisi ekranin sol unda belli olmaz. Bu dosyayi alan kiside,dosyanin bulundugu dizine gittiginde JPG iconunu görünce hemen o dosyayi acmak icin tiklayacaktir. Bunu biraz internette güvenlik ve trojanlardan anlayan biri tabiki yapmaz,hemen dosyaya sag tiklayip "özellikler" den dosyanin exe oldugunu anlar ama bu konularda bilgisizler o kadar cok ki.
2)Diger bir yol zip uzantili dosyalarla trojan bulastirmadir.Schoolbus trojaninin 1.5 versiyonunu server dosyasi zip uzantili bir dosyadir.Bu zip li dosyayi alan kisi zip i acmak icin tikladiginda winzip karsisina cikacaktir ve "I agree" ile devam etmek istediginde trojan bulasmis olacaktir.Bu yöntemi caylak bir trojan kullanicisi bilmez.Bu yönteme cogu kisi aldanabilir.Cünkü zip uzantili bir dosya ile direk trojan bulasabilecegini ummazlar.Burda winzip in bir acigindan faydalanilmaktadir.Eger Server ın ismi setup.exe diye yazılıp zip lenirse.Karşı taraf bunu açarken winzip i çalıştırır.Eğer winzip "wizard" ise setup.exe yi bir kuruluş programı olarak algılayıp siz "Next" dedikten sonra server otomatik olarak açılacaktır.Winzip "Classic" modunda ise Dosyanın ismini size direk göstereceği için bunun bir exe dosyasını anlarsınız. .Winzip i "wizard" modunda olanların yutacağı bir yöntemdir.
3)Bu yolda zip li dosyalarla server yedirilir.Ama yukardaki yönemden farklidir.Trojan hazirlayan kisi 5 tane jpg uzantili resim bulur. Server dosyasininda adini degistirir ve iconunu jpg iconu yapar,5 resmin icinde dikkat cekmiyecek sekilde saklanabilir. Bu 6 resim(aslinda biri trojan) zip lenerek gönderilir.Alan kisi zip liyi acarken icinde bir exe dosyasi oldugu anlamasi zor degildir ama biraz dikkatsiz davranirsa buna aldanir.Alan kisi sirayla bu jpg leri acarken bu exe yide calistirir.Böylece server bulasir.
4)Bu yöntem web sayfalari araciligiyla server bulastirmadir.Sitesinde cok güzel bir program oldugunu iddia ederek veya normal bir proramin icine trojan bulastirarak sitesine koyabilir.Biri de bu programi siteden indirip calistirildiginda trojan bulasir.Bundan dolayı taninmamis ve guvenli oldugundan emin olmadiginiz sitelerden dosya indirmeyin derim.Size hemen bir ornek vereyim.Bir yabanci internet sitesinden "ResourceHacker" isimli bir programi download ettim ve programi kullanmaya basladim .(Programin ismi=ResHacker.exe) ama raslanti eseri bu programin icinde sinsi bir "sifre çalıcı" bir program oldugunu farkettim.İcindeki şifre çalıcı program,benim şifreleri her internete girdiğimde bir e-mail adresine gönderiyodu.Hemen bilgisayari temizledim tabiki.Sonrada programin yapımcısına sövdüm,saydım maille.Ama herkes benim gibi şanslı olmayabilir.Adam bilgisayarımada girebilirdi.Bundan dolayı internetten dosya alırken dikkatli olun.

4) Exploitler nedir?

Exploit Nedir, Nasıl Kullanılır ?
İşletim sistemlerin çok kullanıcılı sistemlerde kullanılmaya başlamasıyla birlikte sistemlerde kullanıcıların yetkisi de sözkonusu olmuştur. Kişisel işletim Sistemlerinde (örneğin DOS) sistemi aynı anda tek kullanıcı kullandığı için bütün dosyalara erişebilir, okuyabilirdi Ancak aynı anda pek çok kişi tarafından kullanılan İşletim sistemlerinde sistemin bir yöneticisi olmak zorundadır.Yönetici Novell'de "supervisor", Unix ve Linux de "root", NT'de "administrator" olarak adlandırılır İşte bu çok kullanıcılı sistemlerde yetkisini artırmak isteyen normal kullanıcılar sistemde daha yetkili hale gelebilmek için "exploit" dediğimiz programlar yazmışlardır. Exploitler işletim sistemi üzerindeki herhangi bir programın eksikliğinden ve bug lardan(sistem açıkları) yararlanarak kullanıcıyı daha yetkili hale getirmeye yararlar. Exploitler local ve remote olarak ikiye ayrılır.
  • Local exploitler: işletim sisteminin bir kullanıcısıyken uygulanabilir,
  • Remote exploitler: Sistemin bir kullanıcısı olmanıza gerek yoktur.
Sistem açıkları ve bu açıkları kullanmak için yazılmış exploitler günden güne artmakta ve her sistem açığı için patch'ler(yama) yazılmakta. Exploit lerle çalışmak zevklidir.Zevkli olduğu kadar da sabır ister, bir trojanı kullanmak kadar kolay değildir,hatta trojanlar la Exploit leri aynı cümle içinde kullanmak Exploit lere hakaret bile sayılabilir.Her Exploit e karşı bir süre sonra Patch(yama) çıkarılabilir.Bundan dolayı bu güvenlik açıklarını sürekli takip etmelisiniz (Novell,NT,Linux un güvenlik açıklarının yazıldığı ve sürekli güncellenen siteleri sık sık ziyaret ederek bunu yapabilirsiniz,Bilgisayar dergilerinde falan aramayın böyle şeyleri).Size bu dökümandaki bazı kelimeler yabancı gelebilir,bu doğaldır çünkü windows komutlarını sadece biliriz,diğer işletim sistemelerini(özellikle çok kullanıcı işletim sistemleri:Linux,unix,FreeBSD,Novell vb. bilmek gerekir. Bu konularda daha iyi olmak istiyorsanız bu işletim sistemlerini bilgisayarınıza kurmayı deneyin(Linux tamamen bedavadır,CDsini bulmanız yeterli)
Bazı İşletim Sistemleri için örnek exploitler:
FreeBSD işletim şistemi için "overflow" exploiti (FreeBSD'de lprm açığı): Bu exploit Pointer artimetiğini kullanarak (Pointer değişkenler değişkenin içindeki bilgiyle birlikte bellek adresini de tutarlar) tampon belleğe (buffer) bir string kopyalayarak taşma oluşturur. Sistemdeki lprm komutunu kullanır. lprm komutu uzaktaki bir yazıcıya gönderilen bir işi iptal etmeye yarar. "lprm -P bloggs" komutuyla iş iptal edilebilirken kuyruktaki ikinci bir iş aynı anda "lprm -P bloggs bloggs" la iptal edilebilir. Bu da buffer owerflow hatası meydana getirir. Bu sayede "root" erişimi sağlanır. Lokal bir exploittir.
Microsoft'un FrontPage Server Extensions'unda karşılaşılan açıklar:Frontpage extensions'un kullanıldığı web sitelerinde pek çok açık bulmak mümkün, örneğin Frontpage 98'de dizin erişim hakları iyi düzenlenmediği için _vti_pvt dizininde "service.pwd" dosyası vardır ve buna herkes erişebilir. "service.pwd" dosyasında şifreler tutulmakta
Linux işletim sisteminde X11Amp Programı açığı :X11Amp çalıştırıldığında ~./X11amp isminde bir dosya oluşturur. Bu hatayı linux'ta şöyle kullanabilirsiniz:
  • mkdir ~/.x11amp
  • ln -s /etc/shadow ~/.x11amp/ekl
Bu komutları yazdıktan sonra X11Amp'i çalıştırıp "ekl" 'yi seçin bütün girişleri seçip silin. Program çakılacak ve /etc/shadow dosyasını alabileceksiniz
Solaris işletim sisteminde "gcc tempfile" açığı :Gcc derleyicisinin 2.7.2.x ve önceki sürümlerinde /tmp dizinine (geçici işlemlerin yürütüldüğü dizin. Windows dizini altındaki temp dizini gibi) sembolik link (bir dosyaya ya da dizine ulaşabilmek için konan linkler. Windows'taki .lnk dosyaları gibi) oluşturulur ve bu linkten yararlanarak lokal root hakkı alınır.
Sİtemizde ilerleyen günlerde exploit örneklerini çoğaltıcaz(özellikle NT açıkları ve exploitleri yayınlamaya devam edicez)

5) Unix sisteminde hack

UNIX i ayrıntılı biçimde öğrenin (yaklaşık 3000 komut ) sonrada networking ve protokollerini kavrayın, temel olarak unixi öğrendikten sonra yazılar arasında olan tcp/ip yi bir okuyun sonra daha ayrıntılı öğrenebilirsin, Unix işletim sistemi,çok kullanıcılı sistemlerde en çok tercih edilen işletim sistemlerinden biridir. Linux,SunOS,Convex0S,Ultrix ve UNICOS ,Unix türevleridir.
Sisteme girince ne yapacağını bilmelisin,burada sadece biraz unixi kavramanız için bilgiler verilmiştir terminal için başlangıç olarak okumalısınız. shell e düştüğün zaman ilk olarak password dosyasını kendi bilgisayarınıza almalısınız. passwd dosyası Login isimleri ve şifreleri icerir. şifreler kodlanmiştir. UNIX de passwd dosyasını almak icin, bulundugunuz UNIX`e ve protokole bagli olarak, aşagidaki komutlardan birini yazabilirsiniz:
  • /etc/passwd
  • get /etc/passwd
  • get /etc/shadow
  • cat /etc/passwd
yukardaki ilk komut standart bir komuttur. Ama bu dosyayi almanin daha bircok yolu vardir. Dosyayi alip baktiginizda şoyle birşey goreceksiniz:
  • tur:z{_L89M.:23:0:Metin Mert:/users/mcan:/bin/csh
Bunlari şu şekilde aciklayabiliriz:
  • Kullanici Ismi: tur
  • Kodlanmis Sifre: z{_L89M
  • Kullanici Numarasi: 23
  • Grup Numarasi: 0
  • Diger Bilgi: Metin Mert
  • Home Directory: /users/mcan
  • Shell tipi: csh
Password dosyası bunun gibi ise crackerjack gibi programlarla kırabilirsiniz ve sisteme öyle login olabilirsiniz.Eğer dosya XaX:/www/users/trc:/bin/bash gibiyse shadow lanmıştır. (www kısmı şifre shadow dur(gölgelenmiştir),burası **** gibide olabilir) Yani şifre gölgelenmiştir.Eger şifre dosyasi shadowed ise, bulundugunuz UNIX`e göre aşagidaki yazili yerlerden birinde bulabilirsiniz:
  • UNIX Sistem Tipi : Path : Karakter:
  • AIX 3 /etc/security/passwd !
  • A/UX 3.Os /tcb/files/auth/*
  • BSD4.3-Reno /etc/master.passwd *
  • ConvexOS 10 /etc/shadpw *
  • Convex0S 11 /etc/shadow *
  • DG/UX /etc/tcb/aa/user *
  • EP/IX /etc/shadow x
  • HP-UX /.secure/etc/passwd *
  • IRIX 5 /etc/shadow x
  • Linux 1.1/2.2 /etc/shadow *
  • OSF/1 /etc/passwd[.dir|.pag] *
  • SCO UNIX #.2.x /tcb/auth/files/(first letter of username)/(username) *
  • SunOS 4.1+c2 /etc/security/passwd.adjunct ##
  • SunOS 5.0 /etc/shadow
  • System V 4.0 /etc/shadow x
  • System V 4.2 /etc/security/* database
  • Ultrix 4 /etc/auth[.dir|.pag] *
  • UNICOS /etc/udb *
Eğer shadowed(gölge) password dosyasını basariyla aldıysan cracker jack ,john gibi programlar yardimiyla kırabilirsin, iyi bir word list yardımıyla şifeyi bu programlarla kırabilirsiniz.Root olarak login olduysan sisteme istediğini yaparsın. Yeni Unix sistemlerinde password leri almak çok zordur,direk almak çok çok zordur.Ama Exploit ler yardımıyla yeni unix lerde açıklar bulabilirsiniz.Ayrıca c,c++,perl gibi bir programlama diline başlamalısınız,sonrada exploitlerin mantığını kolayca kavrayabilirsiniz.
DİKKAT: Çok kullanıcı sistemlerde(özellikle Unix de) sistemdeki hareketleriniz log lara kayıt edilir ve password dosyasını almaya teşebbüsleriniz bile log lara kayıt edilir.Başarısız girişleriniz bile kayıt altına edilir.Bundan dolayı devlete bağlı kuruluşların web sitelerini ve bilgisayarlarına sakın bulaşmayın.Hemen enselenirsiniz.Diğer bilgisayar ve web sitelerinede zarar vermeyin,sadece girdiğinizi kanıtlamak için bir kaç dosya alın ve bir daha girmeniz için düzenleme yapın.Hiç bir zarar vermeyin.

6) Unixde Shadowed Password Dosyası ve TCB

Unix işletim sisteminde normalde bildiğimiz passwd /etc/passwd'dir.Bu password dosyasının içinde nelerin bulunduğunu örnek vererek gösterelim:
  • root:rWHUACG8GU5wU:0:0:KoK:/root:/bin/bash
  • ahmet:5VLy2.CJvETV2:501:100:Ercan Altuntas,497Y065:/uyeler/ercan:/bin/bash
  • lale:1KRz2oc7rqYS.:502:100:Esin Tolga
  • Lale,494204,Compclub,6030,2230468,:/uyeler/akay:/bin/bash
Yukarıda tipik bir şifre dosyası görüyorsunuz. Bildiğiniz gibi ikinci alan şifrelenmiş bölümdür (encrypted password). Peki ya girdiğiniz sistemdeki bu alanda *** işaretiyle karşı karşıyaysanız? Bunun passwd dosyasının shadowed, yani gölgelenmiş dir.. Fakat başka bir olasılık daha var ve o da TCB yani Trusted Computing Base dir. Fakat başka bir olasılık daha var ve o da TCB yani Trusted Computing Base metodunun kullanılıyor olmasıdır. Gördüğünüz her * işareti taşıyan /etc/passwd'nin gölgelenmiş olduğunu sanmayın. Ek olarak bazıları da kullanıcı hesaplarını geçersiz hale getirmek için * (asterisk) işaretini kullanırlar. Gölgelenmiş dosyanın dizinleri aynen şöyle olur:
  • # ls -l /etc/shadow -r-------- 1 root auth 678 Oct 13 0:08 /etc/shadow
Bunun anlamı şudur; bu dosyayı sadece root okuyabilir. Trusted Computing Base (TCB) aslında C2 seviyesindeki Unix sistemlerinin bir bölümüdür(C2 bir güvenlik seviyesidir). Güvenliği büyük ölçüde arttırır ve bizim işimizi zorlaştırır ve adamı fitil eder Aslında TCB'nin çalışma biçimi o kadar da karmaşık eğildir. TCB /etc/passwd dosyasının parçalarını bazı bilgiler ekleyerek sistemde başka yerlere taşır. Bu demek oluyor ki değişik yerlere taşınmış parçaları elle değiştirmek sistemde ciddi problere yol açabilir. Bunu hex editörleri veya bunun gibi editörlerle değiştirmelisiniz Aynı shadowed yani gölgelenmiş bir şifre dosyasında olduğu gibi, kullanıcı isminden sonraki bölüme bir asterisk işareti yerleştirilir. Bunun nedeni gerçek bilginin Trusted Computing Base'de saklanmasıdır.
NOT:Unix'in bazı sistemlerinde, C2 seviye güvenlik kullanılmasa da, TCB kullanılır.
  • /etc/auth/subsystems/ Korunan Altsistem Veritabanı:The Protected Subsystem Database
  • /etc/auth/systems/ttys Terminal Kontrol Veritabanı:The Terminal Control Database
  • /etc/auth/system/default Sistem İlk Durum Veritabanı:The system Defaults Database
  • /etc/passwd Sistem Şifre Dosyası:The system Password File
  • /etc/auth/systems/files Dosya Kontrol Veritabanı:The File Control Database
  • /tcb/auth/files/ Korunan Şifre Veritabanı:The Protected Password
Yukarıdaki dizinler TCB'in bölümlerini oluşturuyor. Ayrıca tabii ki TCB'in bakımını yapmak için değişik araçlar da var. Ama ben şimdi TCB kullanan bir sistemde genelde bulunan tipik bir kullanıcı kaydına örnek vereceğim. Bu tür bir kayıt asla elle değiştirilmemelidir.Hex editörleri gibi programlar kullanılmalıdır
  • hamza:u_name=ceylan:\ -->1
  • :u_id#687:\ -->2
  • :u_pwd=5VLy2.CJvETV2:\ -->3
  • :u_type=general:\ -->4
  • :u_succhg#726505612:\ -->5
  • :u_unsucchg#726505345:\ -->6
  • :u_pswduser=ceylan:\
  • :u_suclog#748076546:\ -->7
  • :u_suctty=tty07:\ -->8
  • :u_unsuclog#748976789:\ -->9
  • :u_unsuctty=tty9:\ -->10
  • :u_numunsuclog#234:\ -->11
  • :u_lock@:\ -->12
1)Kullanıcı ismi, burada "hamza" dır.
2)Kullanıcı IDsi, şimdiki durumda 687.
3)Şifrelenmiş parola:5VLy2.CJvETV2
4)Kullanıcı tipi.
5)En son yapılan başarılı parola değişimi. (NOT:Şimdi "bu garip sayıda ne???" diyeceksiniz. Unix tarihi 1 Ocak 1970 tarihinden itibaren saniyeleri sayarak tutar.Garip ama gerçek
6)En son gerçekleştirilen başarısız parola değişimi.
7)En son gerçekleştirilen başarılı giriş.
8)Girişin başarılı yapıldığı tty (terminal) numarası, yani Hamza tty07'den giriş yapmış.
9)En son gerçekleştirilen başarısız giriş.
10)Başarısız girişin terminal numarası.
11)Başarısız girişlerin sayısı......Gördüğünüz gibi bu kullanıcı tam 234 başarısız giriş yapmış......
12)Kilit durumu.
İşte göründüğü gibi TCB kullanan bir sistemde, kırmaya çalıştığınız kullanıcının kayıtlarında ne gibi değişiklere yol açabileceğinizi artık biliyorsunuz ya da tekrar etmiş oldunuz. Karşınıza gölgelenmiş gibi görünen bir şifre dosyası çıkarsa, aldanmayın! Ve sistemin ne kadar ayrıntılı kayıtlar tuttuğunu bilin.

7) Unix de Finger komutuyla hacking

Bazı sistem yöneticileri finger servisini kapalı tutarlar,bu durumda bu komutu kullanamayız.Ancak bazı sistem yöneticileri finger komutunun açık bırakılmasının güvenlik açısından hiç bir tehlikesi olmadığını ileri sürmektedirler.Bu kişiler bir cracker’ın çok büyük bir sistemdeki tüm kullanıcı ve process’lerin listesini çıkarmak için yıllarca uğraşmak zorunda olduklarını ve bu tekniğin çok zor olduğunu savunmaktadırlar. Ancak gerçekte böyle değildir!
Normal olarak finger sunucusuna gönderilen bir sorgu, kullanıcı ismini ve sunucu ismini içerir;Bu komut root kullanıcısı hakkında bazı bilgiler verir. Yukarıdaki örnek komutun çıktısı aşağıda verilmiştir:
  • Login: root Name: root
  • Directory: /root Shell: /bin/bash
  • On Since Tue Feb 27 08:18 (EET) on tty1 (messages off)
  • Mail last read Tue Feb 27 08:25 2001 (EET)
  • No Plan.
Çıktıdan da görüldüğü gibi root kullanıcısının kullandığı shell, dizin ve en son mail’i ne zaman okuduğu gibi bazı bilgilere erişilebiliyor. Ayrıca 3. satıra dikkatle bakacak olursak root kullanıcısının 27 Şubat saat 08:18’den beri sistemde login olduğunu görmekteyiz!!!Bu finger komutuyla yukardaki gibi bilgiler elde etmek bazıları için bir şey ifade etmez. Diğer yandan finger komutu bir cracker için çok şey ifade edebilir.
Finger komutunda eğer sunucu önüne herhangi bir kullanıcı ismi konmazsa o sistemde login olan tüm kullanıcılar listelenir.
  • finger @sunucu.com
komutu sunucu.com sunucusundaki o anda login olan kullanıcıları listelemektedir.
Eğer kullanıcı ismi verilirse ve bu kullanıcı sistemde varsa o kullanıcı login olmasa bile onunla ilgili bilgiler de verilecektir. Finger komutu üzerine bir sürü saldırı teknikleri de vardır. Örnek verecek olursak finger redirection (yönlendirme) özelliği olan bir finger sunucusuna denial-of-service saldırısı düzenlenebilir. Yönlendirme yapan bir finger sunucusu üzerinden başka bir finger sunucusundan bilgi alınabilir. Örnek olarak çok güzel bir örnek vericez
  • finger @sunucu1.com@sunucu2.com
komutu önce sunucu1.com’a gidecek ordan da sunucu2.com sistemine giderek bu sunucu üzerindeki kullanıcıları listeleyecektir. burada sunucu2.com üzerinden bilgileri toplayan adres artık saldırganın adresi değil sunucu1.com’un adresidir. Bu şekilde kendisimizi saklayabiliriz.
Diğer yandan yönlendirme yapan bir sunucuya ayrıca aşağıdaki gibi bir komut gönderilerek DoS saldırısı düzenlenebilir:
  • finger @@@@@@@@@@@@@@@@@@@@@@@@@sunucu.com
Bu komut saldırılan sunucu.com sunucusunun kendi kendine defalarca finger isteği göndermesine neden olacaktır bu da gereksiz yere bellek ve disk kullanımına neden olacaktır!
finger saldırılarına karşı yine saldırgan bir tavırla cevap vermek için çeşitli teknikler geliştirenler de olmuştur. Mesela finger saldırısı yapan kişinin IP numarası alınarak aynı saldırıyı karşı tarafa otomatik olarak yapmak gibi.
Ya da uzun bir .plan dosyası kullanarak saldırganın sisteminde çok yoğun bir ağ trafiği oluşturmak gibi. Finger komutunun çıktısına bakarsanız yukarıda en son satırda No Plan. Satırını görebilirsiniz. Bu o kullanıcının bir .plan dosyasının olmadığını gösterir. Kullanıcı hom
Kullanıcı İmzası
2 Ay Boyunca No İnternet
NoBoDy İs PeRFeCT So My NaMe İs NoBoDy....
EFSANE_03 Teşekkür etti.


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı