Çeşitli Saldırı Tipleri – 2


Bir kanalı veya botu ele geçirmenin veya kullanılamaz hale getirmenin bir çok yolu mevcut. Bunlardan korunmanın en sağlıklı yolu ise bu saldırıların nasıl yapıldığı hakkında bilgiye sahip olmak. Aşağıda anlatılanlar, bu saldırı yöntemlerinin çok sık kullanılanları. Elbette farklı yöntemler kullanılarak bu saldırılar yapılabilir. Ne yazık ki bazı saldırıların önüne geçmek bazı durumlarda imkansız olabiliyor. Bu tip durumlarda kanalı geçici olarak kapatmak en iyi çözüm olabiliyor.

Bu yazının ilk bölümüne buradan ulaşabilirsiniz.

2-) Saldırıları

a) Hostmask Taklidi:
Bazı sunucularında hostmask taklidi yapmak mümkün. Bu tip bir sunucuda saldırgan bota kayıtlı kullanıcılardan birinin hostmakını alıp botdan op alabiliyor. Bunu engellemek için bu tip sunucuda kullandığınız botun +autoop ayarını kapatmak ve kullanıcılara +a bayrağını vermemek yeterli olacaktır.

b) Op Taklidi:
Bota kayıtlı kullanıcı bottan op istediği anda saldırgan kullanıcıya flood saldırısı yaparak bağlantısının kesilmesini sağlıyor. Daha sonra kullanıcının nickini alarak bottan op almış oluyor.

Normal olarak bir botun kayıtlı bir kullanıcıya op vermesi şu şekilde gerçekleşir:

** Kullanıcı bota istek gönderir **

Kullanıcı: /MSG botadi op şifre

** Bot bir op istediği alır ve kullanıcı dosyasından bu kullanıcıyı arar **

** Kullanıcının kaydını bulur ve op verir **

Bot: /MODE #kanal +o kullanıcı

Saldırı sırasında ise şunlar olur:

** Kullanıcı bota istek gönderir **

Kullanıcı: /MSG botadi op şifre

** Bot bir op istediği alır ve kullanıcı dosyasından bu kullanıcıyı arar **

** Kullanıcının kaydını bulur ve op verir **

** Bu arada saldırgan kullanıcıya flood saldırısı yapar **

** Kullanıcının saldırgan nedeniyle bağlantısı kesilir **

** Daha sonra saldırgan kullanıcının nickini alır **

saldırgan -> kullanıcı

Bot: /MODE #kanal +o kullanıcı

Böyle saldırı olmaz demeyin. Özellikle eggheads.org sitesine bu konuda oldukça fazla şikayet gelmiş. Bu tip bir saldırı yaşanmasının iki nedeni vardır. Ya bot laga düşmüştür yada irc sunucusunun servisleri lagdadır. Normal şartlarda bu tip bir saldırı pek etkili olmaz.

c) Buglar ve Açıklar:
Şimdiye kadar çıkan eggdrop sürümlerinin hiç birinde bir bug yada açık nedeniyle saldırgana op verilmesi yada eggdropun ele geçirilmesi söz konusu olmamıştır. Ancak yüklediğiniz tcl scriptlerinde ve/veya modüllerde bu tip açıklar olabilir veya eggdropun çalıştığı sisteme virüs ve/veya trojan bulaşmış olabilir. Bu nedenle hem sistemi hem de scriptleri/modülleri iyi kontrol etmek gerekir.

d) Shell Saldırıları:
Eggdrop sağlayan shell sunucusuna yapılacak bir saldırıyı doğal olarak sizin düşünmenize gerek yok. Sunucunun yöneticisi bu tip saldırılara yeteri kadar kafa yoruyordur zaten 🙂 Ancak bazen onlar da çaresiz kalabiliyor ve sunucuya yapılan saldırı başarılı olabiliyor. Bu durumda (yönetici zaten sizi şifrelerinizi değiştirmeniz konusunda uyaracaktır) botunuzu durdurun ve şifrelerini değiştirin. Tüm kullanıcıları silip yeniden farklı şifreler almalarını sağlayın.

e) Kullanıcı Dosyası Deşifrelemesi:
Kullanıcı dosyasının bulunduğu dizinin chmod ayarları mutlaka 700 olmalı. Bu sayede herhangi birinin kullanıcı dosyasını okuması ve deşifre etmesi engellenmiş olur. Eğer saldırgan kullanıcı dosyasını ele geçirirse dosyayı deşifre etmesi en fazla bir iki gün sürer.

f) Netsplit Modları:
Eğer botunuz kullanıcıların kanalda ban/exempt/intive koymasına izin veriyorsa bir netsplit sırasında op olan saldırgan bot(lar)a ban koyabilir. Netsplit kalktığında ise bot(lar) sunucu tarafından kanaldan atılacaktır. Bu tip saldırılardan korunmak için botların birbirlerini asla banlamamalarını veya atmamalarını sağlamalısınız.

g) Mod Listesi Saldırısı:
Bütün irc sunucularının kanallar için belirli mod sayısı sınırlaması vardır. Mesela IrcNet için kanal ban sayısı 30”dur. Bu sayı bir wingate, proxy veya vhost kullanılarak kolayca doldurulabilir. Eggdrop -1.4.0 versiyonundan beri- eğer kanal mod listesi doluysa yenilerini eklemeye çalışmaz ancak yeni bir tane eklenmesi gerektiğinde de eskileri silmez. Bu tür saldırılarda kanalı geçici olarak +i (invite only) moduna almak en pratik çözüm gibi gözüküyor. Bunun için eggdrop dağıtımlarıyla gelen “sentinel” scriptini kullanabilirsiniz.

h) Disk Doldurma Saldırıları:
Shell aldığınız sunucuda, size ayrılan disk kapasitesi çok kısıtlıysa sık sık kullandığınız miktarı kontrol etmelisiniz. Eğer limitinizi doldurursanız botunuz kullanıcı dosyasını düzgün olarak kaydedemez. Eğer bu durumu iki gün içinde fark edemezseniz kullanıcı dosyasının yedeği de değiştirileceği için yedek dosyasını da kaybetmiş olursunuz. Bu sırada botun yeniden başlatılması gerekirse botunuz hata verip kapanacaktır. Bu durumdan keep-all-logs ayarını sıfır ve max-logsize ayarını uygun bir değer yaparak kurtulabilirsiniz.

i) Zayıf Şifre Saldırıları:
Eggdropun 1.4.x ve 1.5.x serilerinde bu tip bir bug tespit edildi. Eğer bir kullanıcı “aaaaa” veya “abcdabcd” gibi zayıf şifre kullandıysa saldırgan şifre olarak “a” veya “abcd” kullanarak bota giriş yapabiliyor. Kullanıcılarınızı bu tip şifreler seçmemesi konusunda uyarın.

j) TCL Komut İşleme Saldırıları:
TCL”de bütün metinler parantez içinde kullanılır ve bu metinlere komutlar da dahildir. Bazı kötü kodlanmış scriptler nickleri ve metinleri, içerebilecekleri komutlara karşı denetlemezler. Örneğin yüklediğiniz bir badnick scripti bu tür bir denetim yapmıyor ve gelen verileri olduğu gibi işliyor. Eğer kanala ”NoT[die]” nickli biri girerse bu scriptin yüklü olduğu tüm botlar kapancaktır. Çünkü nickin içinde botu kapatmaya yarayan “die” komutu geçmektedir. Bu tür script açıkları daha çok timer, utimer, expr ve eval komutlarını kullanan scriptlerde karşımıza çıkmaktadır. Bu bir eggdrop açığı değildir.

k) Fake-Bot Saldırıları:
Eğer saldırgan sizin botnet yapınızı biliyorsa, botunuzun çalıştırıldığı sunucu üzerinden kendine bir eggdrop sağlayabilir(mesela aynı şirketten hesap satın alabilir) ve sizin botunuzu devre dışı bırakıp, kendi botunu sizin botunuzun nicki ve ip adresiyle botnetinize bağlar. Bu durumda sizin botunuzun şifresi olmadığından diğer botlar yeni şifre alırlar. Böylece fake-bot botnete sızmış olur. Senaryo daha da kötüleşebilir. Sizin botunuzun yada saldırgan botun diğer botlar ile değişen kullanıcı bilgilerini değiştirmesi daha vahim sonuçlar doğuracaktır.

Saldırgan bu tip uzun bir yöntem izlemeden de, botnete sızmasını istediği botun ip adresini ip spoofing yaparak değiştirip aynı saldırıyı yapabilir.

VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)
Be Sociable, Share!

, , , , , , , ,

  1. Henüz hiç yorum yok.
(yayınlanmayacak)


SetTextSize SetPageWidth