Sürekli yapıla...
 
Bildirimler
Hepsini Temizle

Sürekli yapılan saldırılar hakkında  

  RSS
Mücahit Yılmaz
(@mucahityilmaz)
Üye

Merhaba daha önce de yazmıştım ve hala durmuyorlar kim veya kimlerse artık bilemiyorum amaçları ne onu da anlamış değilim yani olmuyo giremiyosun işte defol git yani değil mi?

Neyse. Bugün yine trafiği takip ederken 7547 portunu yani tr-069 portunu deniyor birisi. Gelen ip üzerine traceroute yaptığımda aşağıdaki gibi ipler geliyor ve hepsi ülkemizi işaret ediyor. Benim tam olarak ne anlamam gerekiyor buradan acaba?

traceroute to 78.186.62.36 (78.186.62.36), 30 hops max, 40 byte packets
1 81.212.171.47 7 ms 7 ms 7 ms
2 93.155.0.133 9 ms 9 ms 10 ms
3 81.212.78.205 11 ms 10 ms 10 ms
4 * * *
5 81.212.203.22 21 ms 21 ms 21 ms

6 195.175.172.178 21 ms 21 ms 21 ms ---------- bu ip adresini sorguladığımda hostname olarak 195.175.172.178.00-gayrettepe-t3-6.00-gayrettepe-xrs-t2-1.statik.turktelekom.com.tr bunu görüyorum. sanki bir üniversite yerleşkesi gibi geliyor bana.

7 93.155.0.130 21 ms 21 ms 21 ms
8 10.0.0.37 37 ms 202 ms 152 ms
9 78.186.62.36 30 ms 31 ms 30 ms --------------------- asıl bağlantı yapılan ip bu

 

1-2-3 numaralı iplerin normal olması gereken olduğunu anladım fakat diğerleri kullanılan zombi pcler herhalde. birde en son localimden bir ip görünüyor ama bu ip hiçbir bilgisayara tanımlı değil çıktıda yer almasının sebebi ne olabilir?

Alıntı
Gönderildi : 02/03/2017 18:16
Mutlu Benmutlu
(@mutlubenmutlu)
Üye

Traceroute ile bahsettiginiz konunun pek alakasini kuramadim ben.

Traceroute komutu ile komutu kullandiginiz lokasyonla sorgu attiginiz lokasyon arasindaki hop noktalarini gosterir, yani o baglantiya giderken trafiginizin gectigi routerlardir. Dolayisiyla son IP harici digerleri zombie veya herahngi birsey degildir

Saldiri yapan IP'yi nasil tespit ettiginiz ve 7547 no'lu portu neden kullandiginiz veya disari actiginiz hakkinda bilgi verebilirseniz daha cok yardimci olabilcegimizi dusunuyorum.

 

CevapAlıntı
Gönderildi : 02/03/2017 20:53
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

merhaba,

Mutlu bey ile hemfikirim.

ek olarak bu tarz durumları sık sık yaşamanız normal.

önemli olan düzenli olarak bu tarz süreçleri kontrol edip, ülke veya ip bazlı kurallarınızı oluşturabilmeniz.

kullandığınız public gw üzerinde ips vb. güvenlik adımları mevcut ise, yapılandırmanızda da fayda var.

connection limit tanımlamanızda ciddi yarar sağlayacaktır.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 03/03/2017 00:30
Mücahit Yılmaz
(@mucahityilmaz)
Üye

 

Mutlu Hocam, sadece olabilir mi diye yazdım network konusunda ileri düzey bilgiye sahip değilim.

İpleri hem loglardan hemde trafik monitörden tespit ediyorum. Firewall olarak watchguard kullanıyorum. Bu port açık değil aksine kapalı gereksiz tüm portlar kapalı sürekli bu şekilde bağlantı yapılmaya çalışılıyor. Sadece bu değil sürekli telnet ile de bağlantı yapılmaya çalışılıyor. Engellemede sıkıntı yok firewall engelliyor ama gerçekten sıkıldım bu işten gördükçe tepem atıyor.

İnterneti türk telekomdan alıyoruz acaba arasam telnet portunu direk hat üzerinde devre dışı bırakma durumları olur mu münkün mü bu?

Yani hocam gerçekten sıkıldım yaklaşık 2 aydır hergün bu şekilde deneniyor. İp değiştireyim dedim tt diyor ohal var yeni ip talep etseniz dahi yine eski ipyi veriyorlar anlamadım gitti.

Teşekkür ederim ilginiz için.

Turan Hocam, ips tüm kurallarda aktif ama ayrıca ext. int. üzerinde nasıl aktif edilir firewallın altını üstüne getirdim böyle birşey bulamadım. Aslında geolocation özelliği var aktif edince biraz daha az bağlantı gerçekleşiyor ama bu sefer webblocker hata veriyor 🙂 Teşekkür ederim. 

CevapAlıntı
Gönderildi : 03/03/2017 02:41
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

ip değiştirmeniz bu tarz port taramaların önüne geçmeyecektir, bunu yapanlar genelde ip bloklarını hedef alıyorlar.

wg ile ilgili tecrübem yok, ancak ya genel int. üzerinde yada dnat kurallarınızda seçilebiliyordur diye düşünüyorum.

countryblock dnatlarınız için kullanmanız fayda sağlar.

nmap vb. toollar ile sizde public adresleriniz üzerinde port taraması gerçekleştirip, gözden kaçırdığınız kuralları düzenleyebilirsiniz.

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 04/03/2017 14:29
Mücahit Yılmaz
(@mucahityilmaz)
Üye

Hocam genel olarak default ddos veya port taramalarına yönelik engellemeye sağlanıyor orada bir sıkıntı yok.

Bende nmap ile yaptığım tarama sonucu ip adresimi blokladı firewall. Bu taramanın sonucunu sizlerle paylaşmada br sorun görmüyorum adresi buraya atacağım ama görüntüleme şifresini pm ile göndereceğim. Terminal server için 3389 portu açık bu yüzden onun ismini çözebiliyor sanıyorum.

nmap -v -A -sO -sV bu komutla yaptığım taramada

PROTOCOL STATE SERVICE
1 filtered icmp
6 open tcp
17 filtered udp

şöyle de bir sonuç çıkıyor port 6 açık değil aslında ama nasıl açık gösteriyor bilemedim.

Tarama Sonucu

CevapAlıntı
Gönderildi : 04/03/2017 16:58
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

komutu sadeleştirip, sadece port taraması yapmanız yeterli.

çıktıya göre tekrar kurallarınızı inceleyin.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 05/03/2017 01:51
alperen selçuk
(@alperenselcuk)
Üye

tüm dünya üzerinde herkes taranır ve boş portları aranır. bu sizin portlarınızın açık ya da kapalı olmasıyla alakası olmaz adam isteği gönderir ve siz de bunu FW nizde görürsünüz. geçer geçmez sizin kurallara bağlı. siz ciddi saldırı alsanız zaten FW niz patlar gelen ataklar 3-4G gelirse ve ISP nizden DDOS koruması almazsanız FW kaldıramadığından down olabilir.

eğer böyle bir durumunuz yoksa FW keser zaten. hattınızı sature edecek kadar trafik geliyorsa ISP nizden DDOS koruması temin edebilirsiniz.

 

dipnot: ISP ler sizin internetinize gelen portları kapamazlar böyle bir hizmetleri yoktur. size sadece interneti verirler gerisine karışmazlar.

dipnot2: DDOS korumaları ancak saldırı anında devreye girer, IPS gibi anlık koruma yapmazlar saldırı olduğunu düşünürse ona göre korur. benim şu portum dışarı kapansın DDOS da korunsun derseniz olmaz zaten (çoğu DDOS müşterisi yanlış bilir bu mevzuyu)

dipnot3: DDOS korumalarının en aktifi lokaline konacak privail cihazlardır bunlar aktif koruma yaparlar belli IP den çok istek geldiğini görürlerse IP yi blakcliste alırlar, kapasiteleri yüksektir o yüzden maliyeti yüksektir. 

CevapAlıntı
Gönderildi : 05/03/2017 03:56
Mücahit Yılmaz
(@mucahityilmaz)
Üye

Yaptığım taramalar sonucu hiçbir açık port yok smtp ve birkaç diğer port için filtered sonucunu verdi nmap. Bir sıkıntı görünmüyor ancak bunun belirli bir kişi tarafından yapıldığını düşünüyorum çünkü hiç kesilmiyor 7/24 kesintisiz deneniyor bir server üzerinden gerçekleşiyor sanırım ve ipler ise bildiğiniz gibi gerçek değil. Bir resim atayım bloklanan ipler listesini. 20dk süre ile blok atıyor cihaz, bu değeri uzun süreye çektiğimde kaydırma çubuğu 2mm oluyor 🙂

 

 bu değerler çok mu yüksek düşüreyim mi acaba?

CevapAlıntı
Gönderildi : 06/03/2017 12:32
Paylaş: