Kavga, Dövüş, Güvenlik

Etiketler hayat, guvenlik, hoyt ulen, 16.09.2009

Son bloglarımda belirttiğim gibi bu ara işlerim ekstra yoğun, bir kaç gün önce de Meşgul bir sahur isimli yazı yazmıştım.

Yazının yazılma sebebi benim bulunduğum ve iki arkadaşımla paylaştığım sunucuya birilerinin girmiş olmasıydı, girmişler sonra da oradan benim sitemin ana sayfa dosyasına ulaşmışlar, değiştirmişler. Ben önce konu hakkında kısa bir şey yazmıştım, sonra prim vermeyeyim dedim, daha sonra herkes anlat anlat diye tutturunca FriendFeed’ de anlattım şimdi de burada anlatayım.

Olayın teknik detayına inersek:

  • Bir kaç sene önce sunucuya arkadaşlarımdan biri bir güvenlik açığı olan bir script yüklemiş, tabii ki güvenlik açığı olduğunu bilmeden
  • Bu sırada biz kullanıcı hakları birbirlerine erişemesin diye kullanıcı haklarını düzenlemiştik, ancak bu arkadaş bir de arada kendi IIS kullanıcısını admin kullanıcısı haline getirmiş. Benim de bundan haberim yoktu.
  • Daha sonradan bu arkadaşlar da benim sitemi hacklemek isteyince direk sunucudaki diğer siteleri araştırmaya başlamış. Komiktir benim siteye saldırmayı denememişler bile, direk diğer sitelere saldırmışlar.
  • Ondan sonra bu güvenlik açığı olan ASP dosyası üzerinden, birinden çarpma bir ASP shell yükleyip onunla sunucudaki diğer sitelere erişmişler. Erişebilmişler çünkü script saçma bir şekilde “yönetici hakları” ile çalışıyormuş.
  • Tam onlar dosyaya eriştiler ben zaten sunucuyu bastım, durumu toparladım ama arada sanırım 15-25 dk. kadar o dosyalar o şekilde kaldı.
  • Sistemin log analizlerini yaptık, IP leri aldık, ne yaptıklarını inceledik, nerelerine eriştiklerine baktın, sistemleri düzelttik ve sahurumun içine ettikleri için bu arkadaşlara küfür edip, hayatımıza geri döndük.

Dedikodulara cevap vermek gerekirse:

  • Evet hacklendim, 8 seneden sonra bu da başımıza geldi, sunucuyu paylaştığım arkadaşlar sağolsun!
  • Hayır benim kodumda güvenlik açığı yoktu (olamaz değil, o da olur ama bu saldırı tamamen başkasının, eski ve salakça yazılmış bir ASP kodunun eseridir)
  • Hayır onları ya da TTNet’ i hacklemeyeceğim (gerçi başkaları onları hacklemiş bile)
  • Evet bende de büyük eşşeklik var, 3 senedir Shared Hosting’ ten çıkacağım deyip çıkmadığım için, düzenli olarak sistemdeki hakları kontrol etmediğim için.

Günün sonunda çıkarılacak dersler:

  • Güvenlik sistemin en zayıf halkası kadardır, bu zayıf halka sizden başka biri olabilir
  • Derinlemesine defans’ ı boş vermemek lazım
  • Güvenmediğiniz sistemlere kişisel data koymamak çok mantıklı bir hareket olduğunu tekrar öğrendik

Şimdik, nerede kalmıştık?

Yazıcı Versiyonu Yazıcı Versiyonu
«« - « Geri 1 - 2