Merhabalar,
Bir fiziksel veya sanal sunucumuz var fakat saldırı almaktayız. Saldırı yapan kişi/kişilerin bilgilerine erişmemiz mümkünmüdür?
Tabiki'de bu çok zor değildir! Önemli olan bunu yapabilmek için bir kaç bilgiye sahip olmamız yeterli olucaktır.
Ufak ufak başlayalım o halde; Sunucuya yapılacak saldırılar için SSH'ya login olmamız gerekiyor.
SSH nedir? Detaylı bilgi için lütfen tıklayınız.
SSH Putty İndirmek için lütfen tıklayınız.
SSH'ya login olduk'dan sonra size vereceğim komutları lütfen yazalım.
Yanların'daki sayı ne kadar yüksek ise eğer'ki bu saldırı o kadar şiddetli demektir. Büyük ihtimal ile apache düşecek ve siteler'de erişime kapanacaktır.
SYN Saldırıların'da CPU ve RAM kullanımı kesinlikle yükselmez. Anlamak pek basit değildir fakat bu bir gerçektir.
UDP saldırıların'da ise sunucu CPU ve RAM NETWORK kullanımı oldukça yükselir. İşlemci tavan yapar bu tür saldırları anlamanın zor olmadığını zaten biliyoruz.
Netstat -n komutuyla baktığımız'da time_wait çok fazla ve aynı IP adresinden ise UDP'dir.
UDP saldırıları ayırt edilebilir özelliklerde'dir.
Site odaklı saldırılar;
Site odaklı saldırıları anlamak pek kolay olmayacaktır.
Eğer sunucunuz'da bir çok site var ise siteleri tek tek host ettiğiniz IP adresinden alarak farklı bir IP adresine taşımanız gerekicektir.
Bu süreç içerisinde taşımadan sonra sunucunuzun normale döndüğünü gözlemlersiniz.
Saldırılan siteyi'de akabinde bulmuş ve zafere ulaşmış olursunuz.
Genelleme olarak size vereceğim WHM'de 3 bölümden çok faydalanabilirsiniz.
1.) Apache Status
2.) CPU/Memory/MySQL Usage
3.) Service Status
Servis, statüsünden işlemci ve RAM kullanımını öğrenebilirsiniz.
CPU Memory, bölümünden hangi sitenin hangi servisin hangi dosyanın ne kadar kaynak tükettiğin buna göre hareket edebilirsiniz.
Apache Status, kısmından ise hangi sitelere bağlantı yapılmış ne kadar sürmüş hangi IP'den yapılmış ve benzeri istatistlikleri görebilirsiniz.
Aynı IP'den yapılacak bir çok bağlantı saldırı işaretçisidir.
Veya aynı dosya'ya bir çok yer'den giriş yapılması buna bir örnek olabilmektedir.
Size kısa bir çözüm önerini sunmak istiyorum;
Sunucunuza ve sitelerinize yapılacak saldırıları önlemek için bir takım basit yazılımlar mevcuttur'ki bunu bir çok arkadaşımız zaten fazlasıyla biliyor.
Bunlar'dan en çok bilineni ise " APF BFD ve CSF LFD " ikilisidir. Bunlar çok ağır saldırılar karşısında etkisiz kalacaktırlar.
Sadece basit saldırıları engelleyebilirler. Bu ikili'den CSF'yi tavsiye edeceğim. Çünkü APF WHM'ye entegre olmaması ve hostname banlandığı zaman kilitlenmesi ile iki adım geride kalmaktadır.
CSF ise WHM üzerinden kontrol edilebilen çok kullanışlı bir azılımsal firewall'dir.
Bunun yanında kesin olmasa'da en az % 50 oranın'da sizi koruyacak donanımsal firewall'ler bulunmaktadır.
Bunları sunucunuzu aldığınız veri merkezi ile görüşerek temin edebilirsiniz.
CISCO bunlar'dan en iyi bilinen ve kaliteli firmalar arasın'da gelen en güvenli olanıdır.
NOT : Emek vererek yazmış olduğum içerik/döküman/makale her ne olur ise olsun emeğe saygısı olan insan / delikanlı olan adamdır. Paylaşım yaparken lütfen kaynak belirterek / göstererek paylaşımlarınızı yapınız. Iyinet.com'a hazırlanan bu dökümanların diğer forum ve forumlar'da paylaşımları kaynak belirtilmeksizin paylaşılması söz konusu değildir.
Lütfen emeğe saygılı olalım, Teşekkür ederim.
SSH Putty İndirmek için lütfen tıklayınız.
SSH'ya login olduk'dan sonra size vereceğim komutları lütfen yazalım.
Komutu kullandık'dan sonra şayet ki boş çıkıyorsa SYS saldırısı yok demektir. Fakat yanında 2, 5, 78, 345 gibi sayılar olan IP adresleri eğer'ki çıkmaktaysa SYN saldırısı alıyorsunuz.
Yanların'daki sayı ne kadar yüksek ise eğer'ki bu saldırı o kadar şiddetli demektir. Büyük ihtimal ile apache düşecek ve siteler'de erişime kapanacaktır.
SYN Saldırıların'da CPU ve RAM kullanımı kesinlikle yükselmez. Anlamak pek basit değildir fakat bu bir gerçektir.
UDP saldırıların'da ise sunucu CPU ve RAM NETWORK kullanımı oldukça yükselir. İşlemci tavan yapar bu tür saldırları anlamanın zor olmadığını zaten biliyoruz.
Netstat -n komutuyla baktığımız'da time_wait çok fazla ve aynı IP adresinden ise UDP'dir.
UDP saldırıları ayırt edilebilir özelliklerde'dir.
Site odaklı saldırılar;
Site odaklı saldırıları anlamak pek kolay olmayacaktır.
Eğer sunucunuz'da bir çok site var ise siteleri tek tek host ettiğiniz IP adresinden alarak farklı bir IP adresine taşımanız gerekicektir.
Bu süreç içerisinde taşımadan sonra sunucunuzun normale döndüğünü gözlemlersiniz.
Saldırılan siteyi'de akabinde bulmuş ve zafere ulaşmış olursunuz.
Genelleme olarak size vereceğim WHM'de 3 bölümden çok faydalanabilirsiniz.
1.) Apache Status
2.) CPU/Memory/MySQL Usage
3.) Service Status
Servis, statüsünden işlemci ve RAM kullanımını öğrenebilirsiniz.
CPU Memory, bölümünden hangi sitenin hangi servisin hangi dosyanın ne kadar kaynak tükettiğin buna göre hareket edebilirsiniz.
Apache Status, kısmından ise hangi sitelere bağlantı yapılmış ne kadar sürmüş hangi IP'den yapılmış ve benzeri istatistlikleri görebilirsiniz.
Aynı IP'den yapılacak bir çok bağlantı saldırı işaretçisidir.
Veya aynı dosya'ya bir çok yer'den giriş yapılması buna bir örnek olabilmektedir.
Size kısa bir çözüm önerini sunmak istiyorum;
Sunucunuza ve sitelerinize yapılacak saldırıları önlemek için bir takım basit yazılımlar mevcuttur'ki bunu bir çok arkadaşımız zaten fazlasıyla biliyor.
Bunlar'dan en çok bilineni ise " APF BFD ve CSF LFD " ikilisidir. Bunlar çok ağır saldırılar karşısında etkisiz kalacaktırlar.
Sadece basit saldırıları engelleyebilirler. Bu ikili'den CSF'yi tavsiye edeceğim. Çünkü APF WHM'ye entegre olmaması ve hostname banlandığı zaman kilitlenmesi ile iki adım geride kalmaktadır.
CSF ise WHM üzerinden kontrol edilebilen çok kullanışlı bir azılımsal firewall'dir.
Bunun yanında kesin olmasa'da en az % 50 oranın'da sizi koruyacak donanımsal firewall'ler bulunmaktadır.
Bunları sunucunuzu aldığınız veri merkezi ile görüşerek temin edebilirsiniz.
CISCO bunlar'dan en iyi bilinen ve kaliteli firmalar arasın'da gelen en güvenli olanıdır.
NOT : Emek vererek yazmış olduğum içerik/döküman/makale her ne olur ise olsun emeğe saygısı olan insan / delikanlı olan adamdır. Paylaşım yaparken lütfen kaynak belirterek / göstererek paylaşımlarınızı yapınız. Iyinet.com'a hazırlanan bu dökümanların diğer forum ve forumlar'da paylaşımları kaynak belirtilmeksizin paylaşılması söz konusu değildir.
Lütfen emeğe saygılı olalım, Teşekkür ederim.
ddos engellenir ama botnet engellenmesi mümkün değildir.