0
EXE RANK
Lєυтηαηт `
Fexe Kullanıcısı
Merhaba arkadaşlar,
Paylaşacaklarım bir haftadır yaşadığımız botnet saldırısı ile amatörce mücadelemizi içermektedir. Bu konuda paylaşımlarınızı ve deneyimlerinizi bekliyorum.
Son bir haftadır bir müşterimizin eticaret sitesi botnet saldırısı yüzünden sıkıntıda. Bize ilk başvurduğunda sayfası kaliteli bir datacenterda bulunan bir vps üzerinden yayın yapmaktaydı. Bir yıldır kullandığı VPS den herhangi bir şikayeti olmamıştı. Ancak botnet saldırısı sırasında sayfa açılış hızı düşüyor hatta bazen sunucu servis dışı kalıyordu. Müşterimiz için son derece önemli olan sitesi için neler yaptık basamak basamak anlatalım.
1. Öncelikle sitenin tüm sayfalarına istatistik - ver madenciliği - amaçlı olarak basit bir istatistik kodu yerleştirdik. Özellikle önerdiğim StatCounter Free invisible Web tracker, Hit counter and Web stats ' a üye olarak sitenizi tanıtmanız ve aldığınız kodu sitenizin altına eklemeniz . Böylece saldırı aldığınız ip leri görebilir hatta saldırının çeşidi hakkında detaylı bilgi edinebilirsiniz.
![url]](/proxy.php?image=http%3A%2F%2F%5Burl%5Dhttp%3A%2F%2Fwww.mehmetsari.tk%2Fresim%2Fist1.png%5B%2Furl%5D&hash=0bed10a18de71721b132201d7d10fc6a)
2. Grafikte de görüldüğü gibi 200-500 bin tekil kullanıcının saldırısına uğrayan bir sitemiz vardı. Normalde günlük 300 civarında ziyaretçisi olan bir site için 200-500 binlik bir ziyaretçi sayısı sitemizi sıkıntıya sokuyordu. Bu grafikten hareketle ziyaretçilerimizin www . saldirialasitemiz . com / index.php sayfasından giriş yaptıklarını sitede 0 sn durduklarını gözlemledik. En basit çözümümüz index.php dosyamızın adını değiştirmekti. Bu önlemini işe yaramayacağını biliyorduk zaten öylede oldu 1 saat içerisinde saldırı yeni isim verdigimiz index1.php ye yönlendi. Yani saldırı rastgele yapılan bir saldırı değildi. Botnetmaster saldırıyı takiip ediyordu ve aldığı parayı hak etmek için elinden geleni yapıyordu.
3. İstatistik tutmaya başlayışımızın birinci saatinde VPS in barındığı datacenter ile görüştük. Yardım konusunda pekte istekli değilllerdi ve bize dedicated sunucuya geçmemizi firewall kurabileceklerini söylediler. Ancak bu bir botnet saldırısıydı. Siteye giriş yapan ip lerin normal müşteri ip lerinden bir farkı yoktu. Tamamı bot etkisindeki gerçek kullanıcıların bilgisayarlarıydı. Başka bir datacenter ile görüştük ve 10mbit bir dedicated-linux kiraladık. Beşinci saatin sonunda sitemiz yeni sunucumuzda yayındaydı. Saldırı şiddeti artıyordu ancak az bir yavaşlama dışında site açılış hızına etkisi olmuyordu. Bu arada müşterimiz sıkıntısının çözüldüğünü düşünerek bizlere teşekkür üstüne teşekkür ediyordu ancak biz bunun bir çözüm olmadığını biliyorduk.
4. Ertesi gün uyandığımızda site açılış hızının çok yavaşladığını ve gelen tekil ip nin bir önceki güne göre 3 kat arttığını gördük. Artık yapılacak tek bir şey vardı : Biraz kodlama. Sitemizin bütün alt sayfalarına cookie denetimi getirdik ve alt sayfalara direkt erişim durumunda giris.php ye yönlenmelerini sağladık. Giris.php sayfasında ziyaretcilerimize siteye giris yapmaları için bir üst satırda verilen güvenlik kodunu yazmalarını istedik. giris.php sayfamız 1kb lık bir sayfaydı ve zombi bilgisayarlar (botnbet kurbanları) sadece sayfaya giriyorlar , index.php ye ulaşamıyorlar ve böylece serverımızı hem bant olarakhemde işlemci kullanımı olarak yormuyorlardı. Ancak bununda tam bir çözüm olmadığını biliyor , saldırganın vazgeçmesi için dua ediyorduk.
5. Ertesi gün sunucumuzda herşey yolundaydı. Ancak istatistikleri incelediğimizde %10-20 lik bir zombinin index.php ye ulaşmayı başardığını gördük. Bu gelecek günlerde önlememizin etkisiz kalacağının işaretiydi. Bunda güvenlik kodunu random oluşan text karakter olarak yazılan formdan resim formuna dönüştürdük ve index'e sızan zombileri de engelledik. Ancak büyük bir sıkıntımız vardı. Siteye gelen müşterilerin bir kısmı güvenlik kodunu yazmakta zorlanıyor yada korkup siteden çıkıyorlardı. Müşterimiz ile tekrar görüştük ve site ziyaretçilerinin %90 nının google reklamları ile siteye ulaştıklarını öğrendik. Bu bizim için çok ama çok önemli bir bilgiydi. Ufak bir kod değişikliği ile alt sayfalarımızın tamamına ziyaretçilerin google.com , google.com.tr den gelmesi durumunda sayfaları görüntülemeleri eğer direkt siteye ulaştılar ise giris.php den onay kodunu yazmalarını sağlayan bir kod yerleştirdik. Böylece google.com / com.tr den gelen ziyaretçi siteyi direkt görebiliyordu. Saldırı ise doğrudan yapıldığı için zombiler 1 kb lık giris php dosyamızda takılıp kalıyorlardı.
6. Şu anda site 2 milyon üzeri bir saldırı alıyor ancak trafiğimizden çok az harcıyor ve site açılış hızımız gayet iyi. Ayrıca google üzerinden gelen müşterilerimiz doğrudan sayfayı görüntüleyebiliyor.
7. Biraz rahatlamanın verdiği keyifle saldırı ip dökümlerini aldık ve tek tek incelemeye başladık. Sadece 10 dakika içerisinde 3 özel firmaya ait statik ip ve bir de şahıs adına alınmış ip tesbit ettik. (xxxx tld sti , hayri botnet, zzzz demir celik gibi) Bu kayıtlara istatistik tuttuğumuz satatcounter.com sitesinden ulaştık. Google üzerinde firmalar hakkında ufak bir araştırma ile sitelerine ve oradan da telefon numaralarına ulaştık. Aynı anda da şahsa ait ip de yazan isim ve il adından telekom kayıtlarından kişinin numarasını bulduk.
8. Bu firmalar ve şahısla yaptığımız görüşmelerde ilgili bilgisayarlarda mirc scriptinin kurulu olduğunu ve belirli bir siteden indirdiklerini öğrendik.
9. Ve sonunda saldıyı yapan kişi artık elimizdeydi. Gerekli kanıtlarla savcılığa başvurduk.
Bu yaptıklarımız botnet ile amatörce başa çıkma çabamızdır. Botnet saldırısı ile ilk kez uğraşıyorum ve karşı tarafın taklarına göre gard almaktan başka birşey yapamıyoruz. Ancak tıpta "semptomatik tedavi" adı verilen bir tedavi şekli vardır. Yani hastalık sonucu ortaya çıkan belirtileri önlemek kısacası. Ateşi çıkarsa ateşi düşürülecek, kusması varsa o engellenecek gibi. Ancak sonuçta başarılıda olunur.
Botnet' e etkili bir çözüm bulunması dileğiyle...
Paylaşacaklarım bir haftadır yaşadığımız botnet saldırısı ile amatörce mücadelemizi içermektedir. Bu konuda paylaşımlarınızı ve deneyimlerinizi bekliyorum.
Son bir haftadır bir müşterimizin eticaret sitesi botnet saldırısı yüzünden sıkıntıda. Bize ilk başvurduğunda sayfası kaliteli bir datacenterda bulunan bir vps üzerinden yayın yapmaktaydı. Bir yıldır kullandığı VPS den herhangi bir şikayeti olmamıştı. Ancak botnet saldırısı sırasında sayfa açılış hızı düşüyor hatta bazen sunucu servis dışı kalıyordu. Müşterimiz için son derece önemli olan sitesi için neler yaptık basamak basamak anlatalım.
1. Öncelikle sitenin tüm sayfalarına istatistik - ver madenciliği - amaçlı olarak basit bir istatistik kodu yerleştirdik. Özellikle önerdiğim StatCounter Free invisible Web tracker, Hit counter and Web stats ' a üye olarak sitenizi tanıtmanız ve aldığınız kodu sitenizin altına eklemeniz . Böylece saldırı aldığınız ip leri görebilir hatta saldırının çeşidi hakkında detaylı bilgi edinebilirsiniz.
2. Grafikte de görüldüğü gibi 200-500 bin tekil kullanıcının saldırısına uğrayan bir sitemiz vardı. Normalde günlük 300 civarında ziyaretçisi olan bir site için 200-500 binlik bir ziyaretçi sayısı sitemizi sıkıntıya sokuyordu. Bu grafikten hareketle ziyaretçilerimizin www . saldirialasitemiz . com / index.php sayfasından giriş yaptıklarını sitede 0 sn durduklarını gözlemledik. En basit çözümümüz index.php dosyamızın adını değiştirmekti. Bu önlemini işe yaramayacağını biliyorduk zaten öylede oldu 1 saat içerisinde saldırı yeni isim verdigimiz index1.php ye yönlendi. Yani saldırı rastgele yapılan bir saldırı değildi. Botnetmaster saldırıyı takiip ediyordu ve aldığı parayı hak etmek için elinden geleni yapıyordu.
3. İstatistik tutmaya başlayışımızın birinci saatinde VPS in barındığı datacenter ile görüştük. Yardım konusunda pekte istekli değilllerdi ve bize dedicated sunucuya geçmemizi firewall kurabileceklerini söylediler. Ancak bu bir botnet saldırısıydı. Siteye giriş yapan ip lerin normal müşteri ip lerinden bir farkı yoktu. Tamamı bot etkisindeki gerçek kullanıcıların bilgisayarlarıydı. Başka bir datacenter ile görüştük ve 10mbit bir dedicated-linux kiraladık. Beşinci saatin sonunda sitemiz yeni sunucumuzda yayındaydı. Saldırı şiddeti artıyordu ancak az bir yavaşlama dışında site açılış hızına etkisi olmuyordu. Bu arada müşterimiz sıkıntısının çözüldüğünü düşünerek bizlere teşekkür üstüne teşekkür ediyordu ancak biz bunun bir çözüm olmadığını biliyorduk.
4. Ertesi gün uyandığımızda site açılış hızının çok yavaşladığını ve gelen tekil ip nin bir önceki güne göre 3 kat arttığını gördük. Artık yapılacak tek bir şey vardı : Biraz kodlama. Sitemizin bütün alt sayfalarına cookie denetimi getirdik ve alt sayfalara direkt erişim durumunda giris.php ye yönlenmelerini sağladık. Giris.php sayfasında ziyaretcilerimize siteye giris yapmaları için bir üst satırda verilen güvenlik kodunu yazmalarını istedik. giris.php sayfamız 1kb lık bir sayfaydı ve zombi bilgisayarlar (botnbet kurbanları) sadece sayfaya giriyorlar , index.php ye ulaşamıyorlar ve böylece serverımızı hem bant olarakhemde işlemci kullanımı olarak yormuyorlardı. Ancak bununda tam bir çözüm olmadığını biliyor , saldırganın vazgeçmesi için dua ediyorduk.
5. Ertesi gün sunucumuzda herşey yolundaydı. Ancak istatistikleri incelediğimizde %10-20 lik bir zombinin index.php ye ulaşmayı başardığını gördük. Bu gelecek günlerde önlememizin etkisiz kalacağının işaretiydi. Bunda güvenlik kodunu random oluşan text karakter olarak yazılan formdan resim formuna dönüştürdük ve index'e sızan zombileri de engelledik. Ancak büyük bir sıkıntımız vardı. Siteye gelen müşterilerin bir kısmı güvenlik kodunu yazmakta zorlanıyor yada korkup siteden çıkıyorlardı. Müşterimiz ile tekrar görüştük ve site ziyaretçilerinin %90 nının google reklamları ile siteye ulaştıklarını öğrendik. Bu bizim için çok ama çok önemli bir bilgiydi. Ufak bir kod değişikliği ile alt sayfalarımızın tamamına ziyaretçilerin google.com , google.com.tr den gelmesi durumunda sayfaları görüntülemeleri eğer direkt siteye ulaştılar ise giris.php den onay kodunu yazmalarını sağlayan bir kod yerleştirdik. Böylece google.com / com.tr den gelen ziyaretçi siteyi direkt görebiliyordu. Saldırı ise doğrudan yapıldığı için zombiler 1 kb lık giris php dosyamızda takılıp kalıyorlardı.
6. Şu anda site 2 milyon üzeri bir saldırı alıyor ancak trafiğimizden çok az harcıyor ve site açılış hızımız gayet iyi. Ayrıca google üzerinden gelen müşterilerimiz doğrudan sayfayı görüntüleyebiliyor.
7. Biraz rahatlamanın verdiği keyifle saldırı ip dökümlerini aldık ve tek tek incelemeye başladık. Sadece 10 dakika içerisinde 3 özel firmaya ait statik ip ve bir de şahıs adına alınmış ip tesbit ettik. (xxxx tld sti , hayri botnet, zzzz demir celik gibi) Bu kayıtlara istatistik tuttuğumuz satatcounter.com sitesinden ulaştık. Google üzerinde firmalar hakkında ufak bir araştırma ile sitelerine ve oradan da telefon numaralarına ulaştık. Aynı anda da şahsa ait ip de yazan isim ve il adından telekom kayıtlarından kişinin numarasını bulduk.
8. Bu firmalar ve şahısla yaptığımız görüşmelerde ilgili bilgisayarlarda mirc scriptinin kurulu olduğunu ve belirli bir siteden indirdiklerini öğrendik.
9. Ve sonunda saldıyı yapan kişi artık elimizdeydi. Gerekli kanıtlarla savcılığa başvurduk.
Bu yaptıklarımız botnet ile amatörce başa çıkma çabamızdır. Botnet saldırısı ile ilk kez uğraşıyorum ve karşı tarafın taklarına göre gard almaktan başka birşey yapamıyoruz. Ancak tıpta "semptomatik tedavi" adı verilen bir tedavi şekli vardır. Yani hastalık sonucu ortaya çıkan belirtileri önlemek kısacası. Ateşi çıkarsa ateşi düşürülecek, kusması varsa o engellenecek gibi. Ancak sonuçta başarılıda olunur.
Botnet' e etkili bir çözüm bulunması dileğiyle...