Etiket: trojan

güvenlik güvenlik nedir bu güvenlik ? bölüm 1 (trojanlar)

Bilgisayar ve internet kullanıcılarının artmasıyla bilinçsiz kullanıcıların zaaflarından faydalanıp bilgisayarlarındaki dosyalarını bozmak yada şifrelerini çalmak gibi eylemler son zamanlarda çığ gibi büyüyerek devam eden adeta bir sektör halini aldı. Hergeçen gün yeni bir strateji belirleyen kötü niyetli insanlardan korunmak gerçekten dikkat ve sabır istiyor tabiki ek yazılımlarda. Peki nedir bunlar? Bilmiyorum bizim ülkemizdemi böyle ama bir tıklama çılgınlığıdır gidiyor. Önümüze gelen her bannere her linke her resme kısacası tıklanabilecek herşeye amaçsızca tıklıyoruz. Peki neden tıklıyoruz? Bu sorunun bir sürü nedeni yok. Nedenlerin başında MP3 indirmek yada VİDEO indirmek geliyor. Özellikle internetin hızlanması ve ucuzlamasıyla birlikte bu tarz dosyaların indirilmesi bir nevi moda oldu. Zihniyet ise malesef ve malesef şu; madem var, madem sabit para ödüyorum neden indirmeyeyim.. Peki bukadar insan indiriyor hepsinemi virüs yada trojan bulaşıyor? Tabiki hayır genellikle www.google.com a girip xxx mp3 yazarak çıkan listedeki herhangi bir linke tıklayarak daha sonrasında açılan sayfada beliren onu yükleyin bunu yükleyin mp3 indirin tarzındaki linklere tıklarsanız malesef bir kaç dakika sonra şikayetiniz aynen bu şekilde olur. “İnternete giremiyorum, girsem bile sürekli acayip siteler açılıyor. Bilgisayarım acayip yavaşladı nerdeyse hiç bir şey yapmıyor vb..” Bu arada kesinlikle İnternetten mp3 indirmeyi kınıyoruz çünki insanların emekleri 3~4 dakika kadar kısa ve zahmetsiz değil. Yine son zamanlarda moda olan paylaşım programlarıda bu tarz olayların olmasına önemli ölçüde arttırıyor. Şöyle bir soru sorabilirsiniz. Benim bilgisayarımda virüs programı var işi ne bulsun silsin. Bende ozaman şöyle bir soru sorarım size virüs programınızın yapılandırılması ne kadar doğru ve virüs programınızın verdiği uyarıları nekadar dinliyor ve uyuyorsunuz? Unutmayınki herşeyin bir yolu yordamı kuralı vardır. 

Kimileride gülüyordur abi girerse girsin virüs C,D diye ikiye bölmüşüm önemli veriler D’de virüs girince 10 dakikada format atıp kurtuluyorum tüm dertlerimden. Bu tip kullanıcılar gerçek bir virüsle karşılaşmamış insanlardır. Bu tarz insanlar zaman zaman getiriyor bilgisayarını ve ekliyor yedeklerimi alın ve formatlayın çok gördük çok önemli verilerin virüsler tarafından bozulduğunu yada yıllar boyu arşivlediğiniz resimlerin sadece yarılarının görüntülenip diğer yarılarının görüntülenemediğini. Unutmayınki Virüslerin asıl amacı bir şekilde bilgisayarınıza zarar vermektir bu zararda genellikle sık kullanılan dosya formatları olan doc,xls,mp3,mpeg,zip,rar,exe vb.. dosyalarıdır.

Halbuki yukarda yazdıklarımla karşılaşmamak için sadece yukarda

da belirttiğim gibi dikkatli ve sabırlı bir internet gezintisi yetip artıyor bile. İnanın virüs programı dahi kullanmanıza gerek yok. Bazı şeyleri alışkanlık haline getirmeniz gerekiyor. Özellikle kursörünüz bir linkin üzerindeyken gözünüz bir yandanda durum çubuğunda olursa gideceğiniz adresi önceden anlayabilirsiniz. Yani linkin diğer ucunda bir exe mi var yoksa gerçekten aradığınız dosyamı. Bence birinci kural bu ikinci kural ise indirdiğiniz zipli(sıkıştırılmış) bir dosyayı açar açmaz içindekine tıklamayın bir düşünün ben ne indirmiştim. Bir mp3 mü yoksa bir resimmi eğerki bu iki dosya formatı türünden birşey indirmişseniz içeriğin kesinlikle .exe olmaması gerekir eğer .exe ise tereddüt etmeden o dosyayı silin. Zaten genellikle bu tarz dosyalar tahmin ettiğinizden çok daha kısa bir zamanda indirilir bu bile bir şüphe unusurudur. Ne olduğu belli olmayan banner yada benzeri reklam unsuru olan nesnelerden kursörünüzü uzak tutun unutmayınki herzaman tıklamak gerekmez üzerine gitmeniz dahi sizi tuzağa yönlendirebilir. Google da arama yaptığınızda çıkan sonuçların özet kısmına bir göz atın eğer aradığınız içeriği doğrulayan bir özet varsa linke tıklayın. Bilmediğiniz adreslerden gelen mailleri açmayın özellikle dosya ekiyle birlikte gelen mailleri bir an bile düşünmeden silin. Eğer virüs programı kullanıyorsanız otomatik güncelleştirme özelliği açık olsun bu işletim sisteminiz içinde geçerlidir. Virüs programınızın ayarlarını iyi yapın. Örneğin yüksek seviyeli tehditleri bana sormadan yoket gibi… Bu yazdıklarıma uyduğunuz takdirde güvenin bana problemleriniz %95 oranında azalacaktır %5′lik kısıma ise yapacak bişiy yok desek yeridir.

s.asde0msd.cn s.js ve Türevi Trojan Meselesi..

Virüs veya Trojan nedir ? Bilgisayarınıza veya ağınıza zarar vermek için giren ufak programcıklardır. Bir virüs programınız varsa ve güncelse birazda olsa güvencedesinizdir. Başıma gelen bir virüs trojan türevi bir tecrübeyi sizlerle paylaşmak istiyorum.

Şirketimizde ki ağda; 3 Adet Server, 17 Adetde Thin Client bulunuyor.
Bilmeyen arkadaşlar için Thin Client; Kabaca bildiğimiz bilgisayar, fakat fiziksel boyutları ve içindeki konfigürasyon epeyce bir küçük. Kullanıcılar server üzerindeki hesabına bu minik bilgisayarlar aracılığıyla oturum açıp işlerini görüyorlar. Oturumunu RDP (Uzak Masaüstü) veya farklı bir programla açıyor. Bu minik pc lerin içerisinde hiç bir veri saklanamıyor herşey serverimizin içinde barınıyor.
Serverlerimizin birinde web server, birinde mssql, birinde de uygulama kısmı bulunuyor yani kullanıcıların bağlanıp işlerini gördükleri kısım. Günlerden bir gün bayilerimizden sitenizde virüs var gibi uyarılarla karşılaşmaya başladık. İlkten bana çok saçma geldi çünki kodlarını benim yazdığım ve sadece benim erişebildiğim bir siteden nasıl olacakta bir trojan veya benzeri bir atak kullanıcı bilgisayarına zarar verecek. Kafadan çok saçma buldum. Şirket içinden sitemize girdiğimde böyle bir şeyin olmadığını gördüm, evden denedim aynı şekilde saat gibi işliyordu sistem. Zaman geçtikçe şikayetler arttı teşhis koymakta güçlük çekiyordum çünki bizim tarafta herşey normal görünüyordu, taki kişisel bilgisayarımdan www.google.com yazana kadar ! Kaspersky virüs uyarı verdi. Yuhaaa felan oldum google ve virüs ilkten durumu anlayamadım sonra tarayıya microsoft.com yazdım, oda ne durum orda da aynı ! Kaynağı görüntüle dediğimde en üste bir .js dosyasının .cn uzantılı bir domainden eklendiğini gördüm ve başladım gülmeye. Neden gülmeye çünki bize bulaşan virüsün bunlarada bulaştığını düşündüm arkama yaslanıp bunlara bile girdiyse bu virüs varsın bizede girsin dedim :D 1 gün sonra hiç bişiy yapmamama rağmen herşey düzelmişti, herşey bir kabus ve dün gördüklerimde hayaldi herhalde dedim kendi kendime. Artık bayilerden de ses çıkmıyordu. Herşey düzelmişti taaki aradan 1- 2 ay geçene kadar. Şikayetler tekrardan artmaya başladı ve artık tüm bilgisayarlardan direk alan adıyla bir siteye girdmeye çalıştığımızda bu olay tekrar ediyordu. Ip adresinden sitelere girdiğinizde olmuyor sadece domainden girince oluyordu, garip bir durum. Koyuldum bu trojanı araştırmaya, Google de çok çok az sonuç çıkıyordu, çıkan sonuçlarda genelde bu dertten müzdarip sitelerdi. Sonrasında keşvettimki script sürekli isim değiştiriyor, bu sayede bulunabilirliliği azalıyordu. Örneğin; bugün kendini www.asda.cn/asd.js olarak ekliyor yarın www.12sds.cn/as.js olarak ekliyordu. Symantec gibi firmaların bile forumlarında tam bir çözüm yoktu veya ben bulamadım. Komple ağdaki makinaları formatlayıp yeniden kurmaya kadar ilerledi iş. Bayramın 3. günü bu işe koyulduk sabaha kadar uraşlarımız sonucunda herşeyi hallettik. Herşey tıkır tıkır işliyordu. Sabah kullanıcılar makinalarını kullanmaya başladıklarında olayın tekrar ettiğini gördük. Resmen şok olduk. Şimdi muhtemelen basit bir internet kafe vakası gibi görüyor olabilirsiniz fakat olayı şöyle düşününce trojanın ne kadar akıllıca hazırlanmış olduğunu anlayacaksınız. Senaryolar;

  1. Dışardan web sayfamıza erişen kullanıcılar trojanla karşılaşıyor: Bu açıdan baktığınızda trojan kesinlikle web serverda gibi duruyor.
  2. Herhangi bir web sitesine girmeye çalıştığımızda da sorun devam ediyor: Bu açıdan bakıldığında ise terminallerde veya normal bilgisayarlarda sıkıntı var gibi görünüyor.

Şunu bile düşündük statik ip miz birinin elinde ve sistemdeki ciddi bir açıktan faydalanıp bu durum tekrar edilebiliyor, Telekom’ a başvurup ip mizin değişikliğini bile düşündük. Günler geçiyor sinirlerimiz iyice bozuluyorduki bir sabah şirkete erken geldim. Uykusuz geçen günlerin ardından kafam iyice durmuş sinirlerim bozulmuştu. Bilgisayarımı açıp sabah haberleri, mailler felan derken öylece internette dolaşıyordum. Birden dank etti, hiç bir sorun yoktu saat gibi işliyordu herşey. Personel geldikten sonra durum tekrar etmeye başladı ve dedimki kesinlikle açılan clientlerin birinde bu lanet olası adını koyamadığımz meret. Sonradan açılan 4 makina üzerinde yaptığımız deneme yanılma yönteminde, Depo da bulunan clientte sıkıntı olduğunu anladık. Sistemden çıkarınca hiç bir sorun kalmıyor herşey saat gibi çalışıyordu. Ama sadece o makinadaki bir trojan nasıl oluyordu da komple domain sistemini tepe taklak edebiliyordu, açıkcası hiç ama hiç düşünmedim. Araştırmadımda çünkü beni gerçekten yıkmış gündüzümü gecemi zindan etmişti. Aradan 4 gün geçti ve Allah’ a çok şükür en ufak bir sıkıntı yok. Resmen virüs domain sistemine ayarlanmış dışarıdan ve içeriden hertürlü şekilde kaynak kodlarına kendini eklemeyi başarabiliyordu. Çin’ lilerden de bu beklenirdi zaten. Verdiği zararlar ise; sitelerin aşırı geç açılması, sitelerin tasarımlarının tepe taklak olası ve belkide bir sürü etki..

Bu olaydan şu sonucu çıkardım, bu tarz durumlarda telaşlanmadan, akıllı hareket edip tespit işlemini gerekirse saatlerce düşünüp öyle yapmak. Sağa sola saldırıp formatlamak veya yapıyı değiştirmek kesinlikle çözüm değil. Offf ya kabus gibiydi paylaşmak istedim, belki birilerinin işine yarar ! Haa olayın sonunda deponun clientine ne mi oldu ? Onu bana bırakınnn. hiyaaaaaaaaaaaaaaaaaa küt !