Murat TATAR God saves lost souls , I save lost passwords

22Eki/120

“Saldırgan Site” olarak işaretlenmiş web sitelerini düzeltme/temizleme

Uzun bir süredir web sitelerine zararlı kodlar ekleyerek ziyaretçilerinize ve diğer sitelere bulaşmaya çalışan iframe virüsünden ve kurtulma yollarından daha önce bahsetmiştik.

Google ve diğer bazı güvenlik firmaları sayfalarda iframe ve benzeri zararlı kodlar bulunan web sitelerini "saldırgan site" olarak tanımlamakta ve girişlere izin vermemeye çalışmaktadır. Bundan kurtulmanın yolu öncelikle web sayfalarınızı bu gibi zararlı kodlardan temizlemek ve bu durumunun düzeltilmesi için ilgili firmaların prosodürlerini yerine getirmek.

Uygulanacak Adımlar

  1. Öncelikle yapmanız gereken web sayfalarını buradaanlatıldığı gibi bu gibi zararlı kodlardan temizleyiniz. Bu işlemi yapmadan ve sayfalarınızda zararlı kod bulunmadığından emin olmadan diğer adımlara geçmeniz bir çözüm sağlamaz!
  2. Google Webmaster Tools sayfasına giriniz.
  3. Sitenizi Ekleyin / Add Site Düğmesine tıklayıp sitenizi ekleyin.
  4. Devam / Contune düğmesine basarak devam edin. karşımızıza site doğrulaması çıkacak.
  5. Doğrulama yöntemi olarak "Meta Etiketi" veya "Html Dosyası" seçeneklerininden birini seçerek yönergeleri takip edin.
    Tercihimiz basit olması sebebi ile "Html Dosyası" doğrulamasını kullanmak. Bu seçeneği seçtiğimizde "google248ebc55e3180ajc.html" gibi bir dosya adı vererek sitemize bu sayfayı koymamız istenecek.
    Dosyayı oluşturmak için masaüstüne sağ tıklayıp yeni bir metin dosyası oluşturun. Bu dosyanın adını ve uzantısını google'un size verdiği dosya adıyla aynı yapın ve dosyası web sitenize gönderin.
  6. Sitemizi eklediğimizde google bize bu sitenin saldırdan site olarak tanımlanmış olduğunu gösteren bir uyarı gösterecek ve bu durumdan kurtulmak için önerilerde bulunacak.
  7. "Bu site kötü amaçlı yazılım dağıtıyor olabilir. Daha Fazla Bilgi" bu alandaki Daha Fazla Bilgi linkine tıklayarak "Kötü niyetli yazılımları veya kötü niyetli yazılım bağlantılarını sitemden StopBadware.org'un Web Siteleri için Güvenlik İp Uçları doğrultusunda kaldırdığımı onaylıyorum." yazısının yanındaki kutuyu işaretleyerek aşağıdaki kutucuğa "Web sitemden bulunana zararlı kodları temizledim, lütfen bu durumdan sitemi kurtarınız" yazıp  "İnceleme Talebinde Bulunun" düğmesine tıklayınız.
  8. Gerekli incelemenin ardından eğer web sitenizde zararlı kod bulunmuyorsa bu durumdan 3-5 saat içinde kurtulacaksınız.
22Eki/120

iframe virüsü ve temizleme yolları

Son zamanlarda ortaya çıkan ve bilginiz dahilinde olmadan FTP programınızı kullanarak adres listesindeki sitelere zararlı kod ekleyen bir çeşit virüs büyük hızla yayılmaya devam etmektedir.

Bu virüs bilgisayarınıza bulaştıkdan sonra o bilgisayarla hangi sitenin ftp'sini açarsanız açın girdiğiniz ftp bilgilerini kaydederek, sitelere girip index.php, index.html, index.htm, default.asp'in içlerine iframe kodu atiyor atılan iframe kodu şu şekildedir:

Örnek Bazı Virüs Kodları :

http://110.a38q.cn/lx.htm" width="100" height="0" frameborder="0">

veya

http://81.95.145.240/logo/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 />FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no>

veya

http:/logo/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no>

veya

http://*****.cn/in/" width=1 height=1 style="visibility: hidden">

bu kodların başlarında ve sonlarında iframe tagları bulunur

Nasıl Bulaşır

Virüs bulaşmış bir web sitesine girdiğiniz zaman ve bilgisayarınızda güncellenmiş ve bu virüsü tanıyan bir antivirüs programı yüklü değilse bu virüs sizede bulaşır.

Acil Önlem Paketi

1- Web sitenizi olduğu gibi bilgisayarınıza indirin.
2- Virüs bulaşmış sayfaları bulup içindeki virüs kodlarını silin. (Yukarıda virüs kodları verilmiştir.)
2- Web Sitenizin FTP Bilgilerini (Kullanıcı Adınızı veya Şifrenizi) değiştirin.
3- Bilgisayarınızı güncel bir antivirüs programları ile taratın. (Tavsiyemiz Kaspersky , nod 32 , antivir )
4- Eğer antivirüs programları bilgisayarınızda ilgili iframe virüsünü bulamamışsa bilgisayarınıza format atınız.
5- Bilgisayarınızın virüsten temizlendiğine emin olduysanız web sitenizi tekrar FTP ile sunucuya gönderebilirsiniz.

Iframe Virüsünden Korunma

1- PHP Siteler için: Web sitenizdeki tüm index.php ,index.htm, index.html dosyalarının chmod değerini 444 yapınız.
2- ASP siteler için: Web sitenizdeki tüm index.asp, default.asp, index.htm, index.html dosyalarını salt okunur yapın veya FTP User kullanıcısının yazma iznini kaldırın.
3- Ayrıca: FTP ile Dosya gönderme işleminiz bittiği zaman FTP şifrenizi hemen değiştirin.
4- Bilgisayarınıza güncel bir antivirüs programı bulundarmaya özen gösterin. Tavsiyemiz Kaspersky'dır.
5- Ad-Aware gibi trojan temizleme programları ile bilgisayarınız 2-3 günde bir taratın.

Incoming search terms:

www murattatar net iframe-virusu-ve-temizleme-yollari
4Tem/120

Plesk Panel Güvenlik Acıgı Ve Cözümü

Merhaba,

Plesk panel tarafından bir güvenlik açığı bulunmuş ve tüm müşterilerine  aşağıdaki gibi bir uyarı maili göndermiştir.http://kb.parallels.com/en/113321 makalesindede açığın nasıl kapatılacağına dair bilgilendirme bulunmaktadır.Güvenliğinizi elden bırakmamak adına aşağıdaki kısa çözümleri uygulamanız yeterlidir.

Aşagıdaki plesk panel versiyonlarındaki güvenlik aciklarını kapatmanız için micro güvenlik güncellemelerini yapmanız gerekmektedir. Acıktan etkilenen plesk panel versiyonları aşagıdaki gibidir.

  • Plesk 7.5.x Reloaded
  • Plesk 7.1.x Reloaded
  • Plesk 7.0.x
  • Parallels Plesk Panel 9.x for Linux/Unix
  • Parallels Plesk Panel 8.x for Linux/Unix
  • Plesk 7.x for Windows
  • Parallels Plesk Panel 9.x for Windows
  • Parallels Plesk Panel 8.x for Windows
  • Parallels Plesk Panel 10.3 for Windows
  • Parallels Plesk Panel 10.2 for Windows
  • Parallels Plesk Panel 10.1 for Windows
  • Parallels Plesk Panel 10.0.x for Windows
  • Parallels Plesk Panel 10.3 for Linux/Unix
  • Parallels Plesk Panel 10.2 for Linux/Unix
  • Parallels Plesk Panel 10.1 for Linux/Unix
  • Parallels Plesk Panel 10.0.x for Linux/Unix

Bu plesk panel versiyonlarından herhangi birisine sahipseniz aşagıdaki güncellemeleri hemen yapmanız gerekmektedir.

Plesk Version Windows Linux
Custom Fix Micro-Update Custom Fix Micro-Update
Plesk 8.1 KB112303 - KB113313 -
Plesk 8.2 KB112303 - KB113313 -
Plesk 8.3 KB112303 - KB113313 -
Plesk 8.4 KB112303 - KB113313 -
Plesk 8.6.0 KB112303 - - 8.6.0 MU#2
Plesk 9.0 KB112303 - KB113313 -
Plesk 9.2.x KB112303 - KB113313 -
Plesk 9.3 KB112303 - KB113313 -
Plesk 9.5 KB112303 9.5.5 MU#1 - 9.5.4 MU#11
Plesk 10.0.x KB112303 10.0.1 MU#13 KB113313 10.0.1 MU#13
Plesk 10.1 KB112303 10.1.1 MU#22 KB113313 10.1.1 MU#22
Plesk 10.2 KB112303 10.2.0 MU#16 KB113313 10.2.0 MU#16
Plesk 10.3.1 - 10.3.1 MU#5 - 10.3.1 MU#5

Updateleri yaptiktan sonra sunucunuzun patchinin işe yarayip yaramadıgını , sunucunuzdaki acigin kapanıp kapanmadıgını aşagıdaki adimlari izleyerek test edebilirsiniz.

Öncelikle bu scripti download etmeniz gerekmektedir. Download ettikten sonra aşagıdaki adimlari izlemeniz gerekmektedir. Scripti download etmeden ve caliştirmadan once nereye indirmeniz gerektigini secin , sonrasinda aşagıdaki komutları uygulayin.

Linux:

# php -d safe_mode=0 plesk_remote_vulnerability_checker.php
Windows:
"%plesk_dir%\additional\PleskPHP5\php.exe" -d safe_mode=0 plesk_remote_vulnerability_checker.php
scripti caliştirdiginizda sonuclar aşagidakilerden birisi olucaktir.
1. The patch has been successfully applied --  Eger düzgün bir şekilde yüklendiyse yazar
2. The file <missed file name> has not been found. Patch düzgün yapilmadıgında yazar , dosya yolunu bulamadıgından yada dosya olmadıgında
3. The patch has not been applied -- Güncelleme yüklü degilse bu uyari ile karşilaşirsiniz.
4. The file <version file name> has not been found -- Plesk versiyonunu belirten dosya bulunamadıgında yazar
5. Failed to get Plesk version from <version file name> -- Versiyon dosyanız okunamadıgında yazar.
6. Plesk is up to date -- Plesk panel versiyonunuz  10.4.x. ise cıkar

Bu güvenlik acıgını fixlediginizde sunucu üzerindeki tüm şifreleri degiştirmeniz gerekmektedir. Bununla ilgili bir sonraki makalede plesk paneldeki tüm şifreleri degiştirmekle ilgili bilgi vericem.

 

21Nis/110

Bir Saldırının Anatomisi

Bu bölümde bir cracker’ın planlı bir saldırıyı nasıl yaptığını adım adım inceleyeceğiz. Burada anlatılan işlemler bir saldırganın uzaktan bir sisteme nasıl saldırdığını anlatmaktadır.

Cracker’ların sisteme saldırıları nasıl yaptığını bilirsek bu şekilde kendi sistemlerimizde gerekli tedbirleri daha bilinçli olarak alarak sistemimizi daha iyi koruyabiliriz diye düşünüyorum. Bu nedenle konunun bundan sonraki kısmına planlı olarak yapılan bir saldırının aşamalarını göstermek istiyorum.

Genelde pratik olarak yapılan saldırılarda (daha çok aceleci olan script kiddie’ler tarafından yapılan saldırılardır bunlar) burada anlatılan aşamaların çoğu atlanabilmektedir.

Öncelikle saldırı yapılacak hedef sistemde herhangi bir firewall olmadığını var sayıyoruz. (Tabi artık günümüzde firewall network için vazgeçilmez bir araç haline gelmiştir ve gün geçtikçe Internet’e bir şekilde firewall kullanmadan bağlanan bir sistem bulmak imkansızlaşmaktadır.)

Burada anlatılacak olan teknikler cracking için genel bir yöntemdir. Yani her türlü sisteme saldırmak için kullanılabilir ancak biz UNIX sistemi açısından saldırıları inceleyeceğiz.

Şimdi ilk aşamadan başlayarak bir yetenekli ve kararlı bir cracker’ın bir sisteme nasıl saldıracağını inceleyelim:

1. Bilgi Toplama

Cracker’ın yapacağı ilk iş, saldırı yapılacak hedef sistemin kendisiyle doğrudan bir iletişime gerek duymaz! Yani cracker ilk olarak karşıdaki sistemin network tipini ve hedef makineler hakkında bilgi edindikten sonra, hedef sistemde uğraştığı kişiyi tanımak için onunla ilgili bilgi toplamaya çalışacaktır. Söz konusu kişi tabiki sistemin yöneticiliğini yapan root erişimine sahip yöneticidir.

Cracker sistem hakkında bilgi toplamak için aşağıdaki teknikleri kullanacaktır:

a-) Ağda bulunan tüm sistemlerle ilgili bilgi toplamak için host sorgusu çalıştıracaktır. host komutu domain adı sunucularını (DNS servers) sorgulayarak ağ hakkındaki bulunabilecek tüm bilgileri toplar.

Domain adı sunucusu o domainle ilgili bir çok bilgi tutarlar, asıl amacı alan adlarını IP numaralarına dönüştürmektir ancak aynı zamanda o sistemin donanım ve üzerinde çalışan işletim sistemi gibi bilgileri de saklarlar. nslookup komutu bir DNS sunucusunu sorgulamak için kullanılan komuttur. host komutu da nslookup komutuna benzer ama daha açıklayıcı ve ayrıntılı bilgi verir. Bu nedenle host komutu en tehlikeli on komut listesinde yer alır!

Örnek olarak bir domain sunucusuna yapılan bir host sorgusunun sonucuna bakalım:

host -l -v -t any bu.edu

...
bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/41 UNIX
PPP-77-25.bu.edu 86400 IN A 128.197.7.237
PPP-77-25.bu.edu 86400 IN HINFO PPP-HOST PPP-SW
PPP-77-26.bu.edu 86400 IN A 128.197.7.238
PPP-77-26.bu.edu 86400 IN HINFO PPP-HOST PPP-SW
ODIE.bu.edu 86400 IN A 128.197.10.52
ODIE.bu.edu 86400 IN MX 10 CS.BU.EDU
ODIE.bu.edu 86400 IN HINFO DEC-ALPHA-3000/300LX OSF1

...
STRAUSS.bu.edu 86400 IN HINFO PC-PENTIUM DOS/WINDOWS
BURULLUS.bu.edu 86400 IN HINFO SUN-3/50 UNIX (Ouch)
GEORGETOWN.bu.edu 86400 IN HINFO MACINTOSH MAC-OS
CHEEZWIZ.bu.edu 86400 IN HINFO SGI-INDIGO-2 UNIX
POLLUX.bu.edu 86400 IN HINFO SUN-4/20-SPARCSTATION-SLC UNIX
SFA109-PC201.bu.edu 86400 IN HINFO PC MS-DOS/WINDOWS
UH-PC002-CT.bu.edu 86400 IN HINFO PC-CLONE MS-DOS
SOFTWARE.bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/30 UNIX
CABMAC.bu.edu 86400 IN HINFO MACINTOSH MAC-OS
VIDUAL.bu.edu 86400 IN HINFO SGI-INDY IRIX
KIOSK-GB.bu.edu 86400 IN HINFO GATORBOX GATORWARE
CLARINET.bu.edu 86400 IN HINFO VISUAL-X-19-TURBO X-SERVER
DUNCAN.bu.edu 86400 IN HINFO DEC-ALPHA-3000/400 OSF1
MILHOUSE.bu.edu 86400 IN HINFO VAXSTATION-II/GPX UNIX
PSY81-PC150.bu.edu 86400 IN HINFO PC WINDOWS-95
BUPHYC.bu.edu 86400 IN HINFO VAX-4000/300 OpenVMS
....

Bu çıktıdan da görüldüğü gibi host komutu ağ ile ilgili olarak çok tehlikeli olabilecek sonuçlar vermektedir. Yukarıda ki satırlardan da görüldüğü gibi ağda bulunan makinelerin IP numaraları, işletim sistemi ve makinenin ne olduğu öğrenilebilmektedir.

DNS sunucusunun bu tür bilgileri Internet’te herkese vermesini engellemek için çeşitli önlemler alınabilir.
Bunun için firewall kullanılabilir.
Alan adı sunucu sorgularının sadece belli bir adres grubu tarafından yapılmasına izin verilebilir.
Yada bu sunuculara dışardan erişim tamamen engellenebilir.

DNS sunucusunun (BIND sunucusu) konfigüre etmek için /etc/named.conf dosyası kullanılmaktadır.

b-) Standart WHOIS sorgusu. Bu sorguyla cracker o sistemin teknik sorumlusunun bilgilerini almak için kullanır. Bu kişinin e-posta adresi fazla önemli gibi görünmese de bu adres sistem hakkında çok önemli bilgiler toplamak için kullanılabilir.

c-) Usenet ve Web sayfalarında arama yapmak. Cracker sisteme saldırmadan önce şimdiye kadar öğrendiği bilgiler doğrultusunda Internet’te o sistemle ilgili daha fazla bilgiye erişmek için aramalar yapacaktır. Yani Cracker eline geçirdiği sistem yöneticilerin yada teknik sorumluların e-posta adreslerini kullanarak bu kişilerim Usenet yada güvenlikle ilgili mail listelerinde görünüp görünmediklerini araştırır.

Cracker’ın ilk olarak sistem yöneticisi yada sorumlusunun e-posta adresini araması ve bu kişinin bu adresi Internet’te araması biraz anlaşılmaz gelebilir.

Ancak sistem yöneticisi sistemin günlük olarak yönetimini yapmaktadır ve sistemde çıkabilecek sorunlarla ilgili olarak Usenet haber gruplarına ve güvenlikle ilgili mail listelerine başvurmuş olabilir. Dolayısıyla cracker buralardan sistem yöneticisinin kendi sistemiyle ilgili olarak vermiş olabileceği her türlü bilgiyi toplamaya çalışmaktadır.

Bu konuda bariz bir örnek verecek olursak, bazen sistem yöneticileri o kadar dikkatsiz olmaktadırlar ki bir haber grubunda bir sounla ilgili olarak tartışırken sistemleri hakkında başkalarının bilmemesi gereken bilgileri bile verebilmektedirler.

Sistemlerinin root şifresini bile verenlere rastlanabiliyor. Bu şekilde, yani haber gruplarından ele geçirilen root şifreleriyle crack edilen bir sürü sistem vardır!

Ancak burda cracker için asıl zor olan kısım sistem yöneticisinin kullanıcı ID ve e-posta adresini doğru olarak ele geçirmesidir. Bunun için çeşitli yolları deneyecektir cracker.

Sistem yöneticisinin diğer network’larda bulunabilecek account’larını da takip edebilir. Bunu takip etmek için cracker finger ve ruser gibi komutları kullanabilir. Bildiğiniz gibi finger komutu sisteme logon olan kullanıcıları göstermektedir. Ayrıca finger sistemde logon olmayan bir kullanıcının en son nereden login olduğunu da gösterir. İşte yöneticinin en son login olduğu sistemlerdeki adresi de takip edilerek bu kişiyle ilgili diğer bilgilere erişmeyi deneyebilir.

Finger Sorguları : Finger sorguları bir cracker için yukarıda değindiğimiz gibi sistem hakkında çok fazla bilgi verebilir. Sistemde logon olmuş kullanıcı ID’lerini, isimlerini, en son login oldukları yeri, mail bilgileri gibi bir çok bilgi verir.

Cracker’ımız saldırdığı sistemde şüphe uyandırmamak için Internet’te yüzlerce sitede bulunabilecek “finger gateway” lerini kullanacaktır. Bu sunucular bir web sayfasından kullanıcıdan finger sorgusu gönderilecek olan sunucu adresini alır ve o sunucuya finger sorgusunu yollayarak yine sonuçları ekrana getirir. Böylece cracker kendi gerçek IP numarasının saldırdığı sistem loglarında görünmesini engelleyebilir.

Tabi aslında bu gerçek bir gizlilik sağlamaz, hedef sistemdeki sistem yöneticisi çok fazla paranoyaksa bu finger gateway sunucusunun sistem yöneticisi ile temasa geçerek cracker’ın gerçek IP adresini ele geçirebilir.

Bu şekilde çalışan diğer bir yöntemse finger yönlendirme işlemidir. Daha önceki bölümde gördüğümüz gibi, cracker bir finger

finger kullanıcı@gercek_sunucu.com@gecici_sunucu.com

Aslında finger bir sistemdeki kullanıcıların listesini çıkarmak için kullanılan tek yol değildir bundan başka güvenlik dünyasında çok fazla güvenlik açığı bulunmasıyla meşhur olan sendmail programı da kullanılabilir.

Bunu test etmek için bir SMTP sunucusuna telnet etmek yeterlidir. Örnek olarak;

telnet smtp_sunucusu.com 25

Bu komut smtp_sunucusu.com sunucusunun 25 numaralı portuna (yani SMTP portuna) telnet bağlantısı sağlar. SMTP mail göndermek için kullanılan bir protokoldür. Ancak telnet yapıldıktan sonra SMTP sunucusunun izin verdiği bir dizi komut kullanılabilir. mail from, rcpt to, data , quit gibi komutlar çalıştırılabilir. Ancak iki tane komut vardırki bunlar sistemdeki kullanıcılar hakkında bilgi vermektedir. Bunlar vrfy ve expn komutlarıdır. Bu komutlar sistemde bulunan bir kullanıcı ID’sini onaylamak için kullanılırlar.

telnet işlemini yaptıktan ve sunucuya bağlanıldıktan sonra telnet ekranında aşağıdaki gibi bir komut girilebilir:

vrfy osman
250 Osman Atabey

Buradaki 2. satır smtp sunucusunun bize gönderdiği cevap satırıdır. SMTP 250 dönüş değeri başarılı bir işlem olduğunu belirtir ve osman kullanıcısının gerçekten sistemde olduğunu ve gerçek isminin Osman Atabey olduğunu belirtir. Ayrıca satırın devamında bu kullanıcının email adresinin de vermektedir.

Eğer sunucuda bu kişi yoksa sunucu 550 dönüş değeriyle hata verecektir.

vrfy osman
500 osman... User unknown

Burdan da sistemde böyle bir kullanıcı olmadığı anlaşılır. Bu örnekten de anlaşıldığı gibi cracker’lar sistem hakkında bilgi toplamak için çok değişik yöntemleri denemektedirler.

sendmail’in bu özelliği genellikle sistem yöneticileri tarafından bilinmediği için hiç bir önlem alınmaz.

sendmail’in bazı sürümlerinde bu komutlar çalışmazken bazılarında bu komutlar sorgulanan kullanıcı ismini aynen getirmektedir.

Ancak kullanılan sendmail programının bu komutlara izin verip vermediği kontrol edilmelidir. Eğer izin veriyorsa bu komutların çalışması sendmail konfigürasyon dosyasından engellenmelidir. Bunun için /etc/sendmail.cf dosyasına aşağıdaki satırın girilmesi yeterli olacaktır.

O PrivacyOptions=goaway

Diğer yandan sendmail konusunda güvenlik yönünden yapılması gereken bir çok ayar vardır bunlar için sendmail’in dökümantasyonunda güvenlik konusuna bakılabilir. (sendmail sistemini ayrıntılı olarak anlatan O’REILLY’den “sendmail” adlı kitap yararlı olabilir.)

Cracker sistem hakkında bilgi toplamak için bilinen tüm yolları deneyebilir. Daha önce de değindiğimiz bu yöntemleri kısaca hatırlatmak için güvenlik dünyasında yazdıkları araçlarla çok ünlü olan Dan Farmer ve Wietse Venema’nın yazdığı bir makaleden (improving security by breaking into it) alıntı vermek istiyorum:

" ;İlk olarak saldırdığınız sistemle ilgili olarak mümkün olduğu kadar bilgi toplamaya çalışın. Bunun yapmak için kullanılabilecek çok zengin network servisleri vardır: finger, showmount, rpcinfo komutları iyi birer başlangıçtır. Ancak sadece bunlarla yetinmemelisiniz ayrıca DNS, whois, sendmail(smtp), ftp, uucp ve bulabildiğiniz tüm servisleri kullanmalısınız. "

Bu açıklamadan da anlaşıldığı gibi bir sistem hakkında edinilebilecek her türlü bilgi saldırı için işe yarayabilir.

2. İşletim Sisteminin Belirlenmesi

Cracker sistem yöneticisi ve ağ hakkında gerekli bilgileri topladıktan sonra saldıracağı ağda bulunan sistemlerde kullanılan işletim sistemlerini ve sürümlerini belirlemek için bir önceki kısımda anlatılan tekniklerin dışında çeşitli teknikleri deneyebilir.

Günümüzde artık ağlar daha fazla heterojen bir yapıya sahiptir. Aynı ağda çok değişik donanım ve işletim sistemleri kullanılabilmektedir. Ancak bu güvenlik yönünden çok daha fazla açık olmasına neden olacaktır. Ne kadar çok işletim sistemi varsa o kadar da güvenlik açığı olacaktır. Çünkü her sistem kendisine özgü güvenlik açıkları içerebilir ve bu şekildeki bir ağda cracker’ın bir güvenlik açığı bulması ve tüm ağ’ın güvenliğini tehlike altına atması kaçınılmazdır.

21Nis/110

Antivirusler Hakkında Bilmedikleriniz

Merhaba;

Bu yazımda antivirüs programlarının virüs & trojan vs...' ları nasıl yakaladığından bahsetmek istiyorum. Buna neden de bazı site ve forumlarda insanların başkalarına yanlış bilgiler vermeleridir. Genellikle bu konu hakkındaki yanlış bilgiler de en çok "Hangi AV (Anti Virüs Programı) en iyisi?" tarzındaki forum başlıklarında dolaşıyor.

Bazı kimseler diyor ki şu AV daha iyi. Bak bu şu şu virüsü-trojanı hemen yakaladı diğer AV yakalayamıyor. Aslında burada pek de yanlış bir durum yok gibi görünse de, en iyisi AV'lerin virüsleri nasıl yakaladığını öğrendikten sonra yorum yapmak. Yoksa ağzı olan konuşuyor gibi bir durum çıkıyor ortaya.

Peki AV'ler Virüsleri Nasıl Yakalıyor?

Şimdi öncelikle hiçbir AV sizin yeni yazmış olduğunuz bir virüsü, trojanı vs... yakalayamaz (tespit edemez). Çünkü AV'ler bir programın ne yaptığına, yapısına bakarak onun virüs olduğuna karar vermez (ascii formatında kodlanan bazı zararlı scriptler dışında)! Peki nasıl tanırlar? Öncelikle bir AV firması şüpheli dosya hakkında en az iki rapor almalıdır. Daha sonra ise bu dosyanın analizi yapılır ve bir virüs & trojan vs... olduğuna karar verilince, dosyadan hex imza alınır ve virüs veritabanlarına işlenir. AV programınız da tarama sırasında makinanızdaki programlarda bu veritabanına işlenen hex imzayı arar ve eşitlik sağlandığında dosyanın infecte bir dosya olduğuna karar verilir.

Yani program ister bilgisayara zarar veren bir virüs olsun, ister bilgisayarınızda arka kapılar (backdoor) açarak dışarıya veri sızdıran bir trojan & worm olsun, bunlar bir Av firmasına rapor edilip, firma tarafından analiz edilip veritabanlarına dahil edilene kadar asla bir AV tarafından tanınamaz. Fakat yukarıda da bahsettiğim gibi bazı zararlı scriptler ascii formatında (düz yazı - derlenmemiş) olduğundan AV bu dosyaya bakarak bazı belli rutinlere göre dosyanın şüpheli bir dosya olduğuna karar verebilir.

Bunun doğruluğuna inanmak için bilgisayara format atan bir program yazın ya da trojan serverı tarzı makinada port açan (sayısı önemli değil; ister 1 olsun ister100 olsun) ve dinlenen komutlara göre dışarıya bilgi sızdıran & makinada zararlı komutlar işleten bir program yazın. Bu programı herhangi bir AV'ye tarattığınızda göreceksiniz ki AV bu programı bir virüs vs... olarak tanıyamayacaktır.

Hadi şimdi biz de bir virüsden hex imza alalım :-))

Ben örnek olarak Lorez virüsünden bir hex imza aldım:

58 FF E0 8B 85 57 17 40 00
50 B9 78 56 34 12 FF 95 E6
16 40 00 89 85 53 17 40 00
83 F8 FF 75 01 C3 6A 20 8B

Şimdi örneğin C'de bir program yazdığımızı varsayalım ve Lorez virüsünden aldığımız bu hex imzayı da programda kullandığımızı düşünelim. Yine örnek vermek gerekirse BYTE tipinde bir diziye kodumuzu yerleştirelim:

BYTE lorez_virusu_imzasi[] = {0x58,0xFF,0xE0,0x8B,0x85,0x57,0x17,0x40,0x00,
0x50,0xB9,0x78,0x56,0x34,0x12,0xFF,0x95,0xE6,
0x16,0x40,0x00,0x89,0x85,0x53,0x17,0x40,0x00,
0x83,0xF8,0xFF,0x75,0x01,0xC3,0x6A,0x20,0x8B};

Bu kodu yazdığınız bir programa dahil edip windows altında derleyip kozan.exe diye bir dosya oluşturduğunuzu varsayalım. Büyük ihtimalle AV programınız kozan.exe dosyasına Win95.Lorez (ya da kendi veritabanlarına nasıl bir isimle kaydetmişlerse) virüsü bulaşmış diye bir uyarı verecektir. Ama siz bunun zararsız bir kod olduğunu anlamışsınızdır sanırım :-))

İşte AV yazılımları da aynı bu şekilde kendilerine rapor edilen dosyaları incelerler ve hex imza veritabanlar oluştururlar. Daha sonra da tarama işlemlerinde dosyalarda bu veritabanındaki imzaları ararlar ve dosyanın infecte olup olmadığına karar vererek disinfecte, silme, karantina vs işlemleri gerçekleştirirler.

Şimdi genel olarak bir AV'nin nasıl çalıştığını öğrenmiş olduk. Peki hangi AV'nin daha iyi olduğuna nasıl karar vereceğiz? Aslında her AV bu kısımda aynı işlemleri yaptığından fark burda yok aslında. Genel olarak AV'lerde sistemi aşırı yavaşlatmaması (Norton yüklü makinanın sürünmesi gibi) ve e-posta denetleme vs gibi ek özellikler ve en az sistem harcayarak en çok fonksiyonu en iyi şekilde başaran bir AV'yi iyi olarak nitelemek mümkün.

Ek olarak kendimce iyi bir AV'ye örnek vermem gerekirse Kaspersky AV'yi rahatlıkla söyleyebilirim. Bu yazılımın diğer AV'lere göre bir artısı daha var ki; o da bu virüslerden vs... alınıp veritabanına işlenen hex imzalara ek olarak, dosyayı birçok exe packer ile ayrı ayrı packlenmiş hallerinden de hex imza alarak veritabanına işlemeleri. Böylece örneğin tanınan bir trojanı (eğer packlenmişse unpack ederek başka bir packerla) packleyerek diğer AV'lere karşı tanınmaz hale getirseniz bile KAV bunu daha önceden kendisi de deneyip vertabanına eklemiş olabileceğinden, diğer AV'ler tanımazken KAV bu infecte dosyayı yine tanıyabilir.

21Nis/110

Adım Adım Trojan Silimi

Temizlik sırasında yapmanız gereken bir takım işlemler vardır. Daha az deneyimli kullanıcılar için, bu işlemlerin neler olduğunu ve nasıl yapılacağını bir kez gözden geçirelim.

l PC'yi MS-DOS Kipinde Başlatma: Bunun için görev çubuğunuzdan Başlat*Bilgisayarı Kapat komutuna tıklayın; ve karşınıza çıkacak menüde "MS-DOS Kipinde Başlat" seçeneğini işaretleyerek Tamam tuşuna basın.

l MS-DOS Komut İstemi Penceresi Açma: Yine görev çubuğunuzdan Başlat*Çalıştır komutuna tıklayın; ve açılan pencereye COMMAND yazın.

l DOS Ortamında Dosya Silme: Komut satırındayken,

DEL "SilinecekDosyanınAdı"

komutunu kullanmalısınız. Örnek olarak, Acid Shivers trojan dosyasını silerken

DEL "C:Windowsmsgsvr16.exe"

komutunu kullanıyoruz. Tırnak işaretlerini koymayı unutmayın; bu şekilde DOS'un desteklemediği uzun dosya isimleriyle karşı karşıya kaldığınızda başınız derde girmez.

l Windows Ortamında Dosya Silme: Bunu yapmak, DOS ortamında komut yazmaktan daha kolaydır. Windows Gezgini'nde silmek istediğimiz dosyayı işaretleyerek sağ fare tuşuna tıklayın ve SİL komutunu seçin. PC'miz bize gerçekten silmek isteyip istemediğimizi sorduğunda ise olumlu cevap verin.

l Registry Değeri Silme: Öncelikle Başlat*Çalıştır komutunu çalıştırarak REGEDIT yazın. Karşınıza çıkacak pencerenin sol tarafında silinecek değerin adresini bulun ve sağ tarafta söz konusu değeri işaretleyip klavyedeki DELETE tuşuna basın. Mesela BackDoor trojanı için HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun adresini açıp, sağ tarafta belirecek olan "icqnuke.exe" değerinden kurtulmanız gerekiyor.

DİKKAT EDİLMESİ

GEREKEN NOKTALAR

l Trojan temizliğine başlamadan önce, PC'nizdeki gizli ve sistem dosyalarınızın tümünü görünür hale getirin. Bunun için Windows Gezgini'nde Görünüm*Klasör Seçenekleri (View*Folder Options) menüsüne tıklayın; açılan pencerenin Görünüm (View) sekmesinde "Tüm Dosyaları Göster" (Show All Files) kutucuğunun işaretli olduğuna emin olun. Ayrıca altındaki "Bilinen Dosya Türlerinin Uzantılarını Gizle" kutucuğunun işaretini kaldırmanız da yararınıza olacaktır.

l Bazı trojan'ların açıklamalarında aynı ada ve farklı dizine sahip birden fazla dosyanın silinmesi gerektiği yazmaktadır. Eğer söz konusu dosya dizinlerden sadece birinde varsa, onu silmeniz de yeterli olacaktır.

l Unutmayın ki, trojanların isimlerini ve diğer bilgilerini değiştirmek pek zor değildir. Burada verdiklerimiz, taşıdıkları orijinal özelliklerdir. Adı değiştirilmiş bir trojan dosyasının yerini belirlemek biraz daha problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını inceleyebilirsiniz.

l Dosya veya Registry değeri silme işlemleri sırasında çok dikkatli olun. Özellikle Registry, Windows için hayati önem taşır. Yanlış bir şey silmeniz sisteminizde aksaklıklara yol açabilir.

TEMİZLİK ZAMANI!

ACID SHIVERS

Port Numarası: 10520

Dosya Adı: "msgsvr16.exe"

Boyutu: 186 Kb

Dizini: C:Windows

1. Registy'nizdeki HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Explorer | msgsvr16.

exe" kaydını silin.

2. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "Explorer | msgsvr16.exe" kaydını silin.

3. PC'nizi MS-DOS kipinde başlatın.

4. "C:Windowsmsgsvr16.exe" dosyasını silin.

5. PC'nizi yeniden başlatın.

BACK ORIFICE

Port Numarası: 31337

Dosya Adı: ".exe"

Boyutu: 122 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices ".exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. Windows Explorer'ı başlatın. Görünüm*Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun.

3. "C:WindowsSystem.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

BACKDOOR

Port Numarası: 1999

Dosya Adı: "icqnuke.exe"

Boyutu: 102 Kb

Dizini: C:Windows, C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "icqnuke.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsicqnuke.exe" ve "C:WindowsSystemicqnuke.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

BIG GLUCK

Port Numarası: 34324

Dosya Adı: "bg10.exe"

Boyutu: 100 Kb

Dizini: C:Windows, C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "bg10.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsbg10.exe" ve "C:

WindowsSystembg10.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

BLADE RUNNER

Port Numarası: 21, 5400, 5401, 5402

Dosya Adı: "server.exe"

Boyutu: 323 Kb

Dizini: C:Windows, C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "server.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsserver.exe" ve "C:

WindowsSystemserver.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

BUGS

Port Numarası: 2115

Dosya Adı: "bugs.exe"

Boyutu: 78 Kb

Dizini: C:Windows, C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "bugs.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsbugs.exe" ve "C:

WindowsSystembugs.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

DEEP BACK ORIFICE

Port Numarası: 31338

Dosya Adı: ".exe"

Boyutu: 122 Kb

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices ".exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. Windows Explorer'ı başlatın. Görünüm*Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun.

4. "C:WindowsSystem.exe" dosyasını silin.

5. PC'nizi yeniden başlatın.

DEEP THROAT

Port Numarası: 2140, 3150

Dosya Adı: "systempatch.exe"

Boyutu: 255 Kb

Dizini: ?

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını açın. "systemDLL32 | systempatch.exe" kaydının işaret ettiği dizini bir kenara not aldıktan sonra söz konusu kaydı silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. Not etmiş olduğunuz dizin altındaki "systempatch.exe" dosyasını silin. MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri kısaltılacağı için, "system~1.exe" veya benzeri ada sahip bir dosyayı aramalısınız. Eğer "system~" şeklinde başlayan birden fazla EXE dosyası varsa hangisinin trojan dosyası olduğundan emin olmadan silme işine girişmeyin.

4. PC'nizi yeniden başlatın.

DOLY TROJAN

Port Numarası: 1011, 21

Dosya Adı: "tesk.exe"

Boyutu: 169 Kb

Dizini: C:Wİndows , C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "tesk.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowstesk.exe" ve "C:WindowsSystemtesk.exe" dosyalarını silin.

4. PC'nizi yeniden başlatın.

GIRLFRIEND

Port Numarası: 21554

Dosya Adı: "windll.exe"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "windll.exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. "C:Windowswindll.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

HACK A TACK

Port Numarası: 31785, 31787

Dosya Adı: "expl32.exe"

Boyutu: 236 Kb

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Explorer32 | C:Window***pl32.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Window***pl32.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

INIKILLER

Port Numarası: 9989

Dosya Adı: "bad.exe"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Explorer" kaydını silin.

2. PC'nizi yeniden başlatın.

3. "C:Windowsbad.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

MASTERS PARADISE

Port Numarası: 3129, 40421, 40422,40423,

40426

Dosya Adı: "sysedit.exe", "keyhook.dll"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "sysedit.exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. "C:Windowssysedit.exe" ve "C:

Windowskeyhook.dll" dosyalarını silin.

4. PC'nizi yeniden başlatın.

5. Gerçek "sysedit.exe" dosyasını Windows CD'nizden veya güvendiğiniz bir arkadaşınızdan tekrar yükleyin.

NETBUS PRO

Port Numarası: 20034

Dosya Adı: "NBSvr.exe"

Boyutu: 599 Kb

Dizini: C:Windows , C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "NetBus Server Pro | nbsvr.exe" kaydını silin.

2. Registry'nizdeki HKEY_CURRENT_

USERNetBus Server anahtarını silin.

3. PC'nizi MS-DOS kipinde başlatın.

4. "C:WindowsNBSvr.exe" , "C:WindowsNBHelp.dll" , "C:WindowsLog.txt" dosyalarını silin. (Aynı dosyalar C:WindowsSystem dizininde de olabilir)

5. PC'nizi yeniden başlatın.

NETBUS

Port Numarası: 12345, 12346

Dosya Adı: "patch.exe"

Boyutu: 470 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "patch.exe" kaydını arayın. Söz konusu kaydı bulamazsanız trojan'ın adı değiştirilmiş demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:WindowsSystem dizinindeki EXE dosyalarıyla karşılaştırın. 470 KB boyutunda olan dosya, adı değiştirilmiş NetBus trojanıdır. Registry kaydını silin.

2. Bir MS-DOS Komut İstemi penceresi açın ve "C:WindowsSystempatch.

exe /remove" komutunu kullanın. (Trojanın adı değiştirilmişse, patch.exe yerine PC'nizdeki adını yazın.)

3. "C:WindowsSystempatch.exe" dosyasını silin.

NETSPHERE

Port Numarası: 30100, 30101, 30102

Dosya Adı: "nssx.exe"

Boyutu: 640 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "NSSX | C:WindowsSystemnssx.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsnssx.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

RAT

Port Numarası: 1095, 1097, 1098, 1099

Dosya Adı: " .exe", "mswinsck.ocx",

"wavestream.dll", "regsvr32.exe"

Boyutu: 298 KB, 99 Kb, 35 Kb, 20 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki şu anahtarları silin:

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Implemented Categories

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}

Implemented Categories{40FC6ED5-2438-11CF-A3DB-080036F12502}

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}InprocServer32

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}ProgID

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Programmable

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}TypeLib

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Version

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid32

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}TypeLib

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0HELPDIR

HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStream

HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStreamClsid

2) Registry'nizdeki şu kayıtları silin:

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} @="WaveStreaming.WaveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} InprocServer32@="C:WINDOWSSYSTEMWAVESTREAM.DLL"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} ProgID@="WaveStreaming.WaveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Version@="1.0"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} @="WaveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid@="{00020424-0000-0000-C000-000000000046}"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid32@="{00020424-0000-0000-C000-000000000046}"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLibVersion="1.0"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 @="MS Internet Audio Streaming Support"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32 @="C:WINDOWSSYSTEMWAVESTREAM.DLL"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS @="0"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 HELPDIR@="C:WINDOWSSYSTEM"

HKEY_LOCAL_MACHINESOFTWAREClassesWa...eStreaming.W aveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStreamClsid @="{925B0F6C-605D-11CF-BAEF-F89005C10000}"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun Explorer="C:WINDOWSsystem

MSGSVR16.EXE"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServicesDefault=" "

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunService***plorer=" "

3. PC'nizi MS-DOS kipinde başlatın.

4. "C:WindowsSystem .exe" , "C:WindowsSystemMSGSVR16.EXE" , "C:WindowsSystemwaveStream.dll" dosyalarını silin.

5. PC'nizi yeniden başlatın.

SUBSEVEN

Port Numarası: 1243, 1999, 6711, 6776

Dosya Adı:

1. Dosya: "server.exe", "rundll16.exe",

"systray.dl", "Task_bar.exe"

2. Dosya: "FAVPNMCFEE.dll",

""MVOKH_32.dll", "nodll.exe",

"watching.dll"

Boyutu: 328 Kb, 35 Kb

Dizini: C:Windows, C:WindowsSystem

1. "C:WindowsSystemSysEdit.exe" dosyasını çalıştırın. SYSTEM.INI dosyasının [boot] bölümündeki "shell=Explorer.exe" satırını inceleyin. Satırın sağına yukarıda adı geçen dosya adlarından biri eklenmişse, dosya adını bir kenara not edin ve satırı "shell=Explorer.exe" haline getirin.

2. Aynı penceredeki WIN.INI dosyasının [windows] bölümünde "run=" ve "load=" diye başlayan satırları inceleyin. Söz konusu satırlardan biri yukarıda adı geçen dosyalardan birine işaret ediyorsa, dosya adını not edin ve satırı silin.

3. Yapmış olduğunuz değişiklikleri kaydedip SysEdit penceresini kapatın.

4. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını inceleyin ve yukarıda adı geçen dosyalara işaret eden kayıtları silin. Herhangi bir kayıt bulamazsanız trojanın adı değiştirilmiş demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:Windows dizinindeki EXE dosyalarıyla karşılaştırın. 328 Kb boyutunda olan dosya, adı değiştirilmiş SubSeven trojanıdır. Registry kaydını silin.

5. PC'nizi yeniden başlatın.

6. C:Windows dizinindeki trojan dosyasını silin.

WHACK A MOLE

Port Numarası: 12361, 12362

Dosya Adı: "whack.exe"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki şu kayıtları silin:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "NetBuster"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "SysCopy"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll32"

2. Registry'nizdeki HKEY_CLASSES_

ROOT.dl_ anahtarını silin.

3. PC'nizi MS-DOS kipinde başlatın.

4. C:Windows dizini altındaki Şu dosyaları silin:

keyhook.dll

keyhook.dl_

nbsetup.reg

nb2setup.reg

ntsetup.reg

nt2setup.reg

rundll.dl_

whack.exe

5. PC'nizi yeniden başlatın.

WINCRASH

Port Numarası: 5742

Dosya Adı: "server.exe"

Boyutu: 290 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "MsManager | SERVER.EXE" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:WindowsSystemserver.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

Incoming search terms:

trojan türleritrojen türleritrojen çeşitleri
11Nis/110

Hackerlıgın kısa tarihi

Taş Devri

Her şey ilk telefon şirketinin, (Bell Telephone) kurulmasıyla başladı. O zamanlar acemi hacker'lar vardı. Tabi 1878'de daha onlara hacker denilmiyordu. Daha çok yerel santrallerde çalışmaları için tutulmuş muzip gençlerdi bunlar. Telefonları yanlış yönlendirmek, sevmedikleri müşterilere inanılmaz faturalar sağlamak gibi engel olamadıkları dürtüleri vardı (Santral, bu benim kuzenim Corc değil, beni kime bağladınız,... Alooo aloo!). Santral operatörlüğüne neden genç kızların konulduğu sorusu böylece cevaplanmış oluyor... İlk gerçek bilgisayar korsanlarının zamanına doğru hızlı ileri alalım.

69 Öncesi
Sene 1960'lar. MIT (Massachussets Institute of Technology) öğrencilerinin her şeyin nasıl çalıştığına dair inanılmaz merakları var. O zamanların milyon dolarlık bilgisayarları soğutulmuş odalarda saklı, kocaman dolaplardan oluşuyor. Ve veriler kartonlara delikler delerek saklanıyor. Programcıların bu dev dinozorlara erişimleri epey sınırlı ve akıllı olanları hack denilen program kısa yolları oluşturuyorlar. Tek amaçları yapılması gereken işi daha hızlı yapmak. Hack (doğramak) kelimesinin bilgisayarlarla alakalı ilk kullanılışı bu tarihlere rastlıyor.
Belki de bütün zamanların en iyi hack'i, 1969'da iki Bell Labs çalışanı Dennis Ritchie ve Ken Thompson, tarafından bilgisayarı işletmek için önü açık bir kurallar kümesi şeklinde yaratılıyor. İsmi UNIX ve ona artık hack değil işletim sistemi deniyor.

70-79 arası

70'lerde siber-topraklar daha keşfedilme aşamasında. Hacking dediğimiz şey, kurcalamak ve kablolu dünyanın nasıl çalıştığını çözmeye çalışmaktan ibaret. 1971'de John Draper isimli bir Vietnam gazisi Cap'n Crunch mısır gevreği kutularından çıkan düdüğün tam 2600 mHz'lik bir ses çıkardığını keşfediyor. Düdüğü bir telefon kulübesinde ahizeye öttürdüğünüzde makine ya da santral bir çeyreklik attığınızı zannediyor ve bedava konuşabiliyorsunuz. Bu yöntem, ABD'de hala yaygın olarak kullanılıyor. Tabii telefon şirketleri artık daha komplike sinyaller gönderiyorlar, ama bizim keratalar bu sinyalleri de kaydedip telefona geri dinletmeyi beceriyorlar (efsanevi hacker dergisinin adı bu yüzden 2600).

Karşı-kültür gurusu Abbie Hoffman, Vietnam gazisinin keşfini The Youth International Party Line dergisiyle bütün ABD'ye yayıyor. O zamanlar Phreaking (beleş telefon etme) işlemi nispeten zararsız olarak görülüyor, çünkü telefon şirketinden başka kimse zarar görmüyor ve şirketin zararı da kârdan zarar. Hoffman'ın ortağı Al Bell, derginin ismini TAP'a çeviriyor (Technical Assistance Program). Dergiye kalpten bağlanan koca bir güruh, karışık teknik makalelerle yirmi yıl boyunca ihya oluyorlar. Teknoloji ile yatıp kalkan insanlar çoğalmaya başlıyor.

Hacker aleminde artık tek eksik iyi hacker'ların buluşup sosyal güdülerini doyurabilecekleri ama bir yandan da anonim kalmayı becerebilecekleri sanal bir kulüp ortamı. 1978'de Chicagolu iki çocuk, Randy Seuss ve Ward Christiansen, kişisel bilgisayar üzerinde çalışan ilk BBS'i (bulletin board system) yaratıyorlar. BBS denilen şey, birkaç telefon hattına bağlı bir bilgisayar sistemi. Başka bir modemli bilgisayar onu arıyor, kullanıcısı içinde gezebiliyor, mesaj ve dosya alışverişi yapılabiliyor. O dönemler Amerika içi telefon konuşma ücretlerinin mesafe ve süre ile bağlantılı olmadığını ve istediğiniz yerden istediğiniz yere söz gelişi 10 cent karşılığında istediğiniz kadar telefon edilebildiğini de hatırlatırsak, o dönemin bütün hacker'larının bu BBS üzerinde buluştuğunu gözünüzün önüne getirebilirsiniz sanırız.
Böylece dünyanın ilk siberalemi (cyberspace) kurulmuş oluyor. Daha sonra bu BBS'ler çoğalıyor ve kendi aralarında mesajlar alıp verebilen koca bir ağ haline geliyorlar.

80-86
1981'de IBM, tamamen kişisel ilk bilgisayarı piyasaya çıkartıyor ve ismini PC koyuyor. Bu PC ile neredeyse her şey yapılabiliyor. Ama gençler yavaş yavaş Commodor 64, ZX Spectrum gibi daha ucuz makinelere kayıyorlar. Zira PC'ler çok pahalı.
1983'de piyasaya "WarGames" isimli bir film çıkıyor. Konusu Pentagon'un bilgisayarına girip bir savaş başlatmanın eşiğine gelen veletler. Film, bütün dünyayı "korsanlığın gizli yüzü" ile ve bebek diyebileceğiniz Metthew Broderick ile tanıştırıyor ve hacker'ların her bilgisayara girebilecekleri mesajını veriyor. Hacker'lar ise filmden bambaşka sonuçlar çıkarıyorlar: Sıkı bir hacker olabilirsen, kendine bir sevgili de bulabilirsin, hem de güzel bir sevgili.
Sahne yavaş yavaş değişiyor. Online dünyanın, gitgide daha çok sakini oluyor. Ordunun acil durumlarda veri aktarmak için icad ettiği ARPANET yavaş yavaş bildiğimiz Internet'e dönüşüyor. BBS'lerin popülaritesi patlama noktasına ulaşıyor. Milwaukee'de kendilerine 414'ler (telefon alan kodları) diyen bir grup hacker Los Alamos Laboratuarlarından (Alamos kalesini temsilen tabii), Manhatten Kanser Enstitüsü'ne kadar birçok resmi dairenin bilgisayarını kırıyor. Sonra polis onları yakalıyor.

Büyük Hacker Savaşı

Hacker Savaşının başı 1984'lere dayanıyor. Kendine Lex Luthor diyen bir korsan Legion of Doom (LOD) grubunu kuruyor. Grup çok başarılı ve her alanın en iyisini kendine çekmekle ünlü. Bir süre sonra Phiber Optik isimli genç gözdelerden biri, eski LOD üyesi Erik Bloodaxe ile takışıyor ve gruptan atılıyor. Phiber ve arkadaşları Masters of Deception (MOD) isimli bir karşı grup kurup savaşı başlatıyorlar. 1990'dan itibaren iki yıl boyunca LOD ve MOD grupları, telefon hatlarını karıştırma, yüksek faturalar ödetme, telefon dinleme, birbirlerinin bilgisayarlarına girme, BBS çökertme gibi saldırılarla birbirlerini eritmeye çalışıyorlar. Korsanlık felsefesinin "gizli bilgiye ulaşma"dan "karşı tarafa zarar verme"ye dönmesi bu tarihlere rastlıyor. Ve hala kullanımda olan kötülük yapma repertuarı gitgide artıyor. 92'de FBI, LOD üyelerinin ispiyonlaması sayesinde Phiber ve arkadaşlarını yakalıyor ve hapse tıkıyor. Büyük savaş dönemi sona eriyor.

Hacker Crackdown (86-90)

Ve hükümetin onlline olmasıyla eğlence sona eriyor. Ciddi olduklarını göstermek için çıkardıkları "Bilgisayarla dolandırıcılık ve kötüye kullanma" kanununun caydırıcı unsur olarak kullanılması planlanıyor. 1988'de efsanevi Robert Morris ve "Net Solucanı" ortaya çıkıyor. Net'e bağlı 6000 bilgisayarı aynı anda çökertmesi Morris'e yukarıdaki kanunun ilk kurbanı olma ayrıcalığını tattırıyor. 10.000 dolar ve saatlerce sosyal hizmet cezasıyla kurtuluyor. Bundan sonra tutuklamaların arkası çorap söküğü gibi geliyor. Kevin Mitnick, Digital'in bilgisayarlarına girmekten yakalanıyor. Bir sene hapis ve bir daha bilgisayarlara dokunmama cezası alıyor. Daha sonra Kevin#2 - Kevin Poulsen - telefon modifiye etmekle (aslında, yukarıda anlattığımız telefona para atıldı sesi çıkaran aletten yapmakla) suçlanıyor ve hakkında tutuklama kararı çıkıyor. Ama Kevin#2 kaçıp kurtuluyor.

Operasyon "Güneş Şeytanı" (90-)

ABD hükümetinin 90'daki hacker yakalama harekatının adı Operation SunDevil'di. Özellikle Legion of Doom üyelerinin üzerine fena halde gidildi ama başarısız oldular. Tahminen LOD üyelerinden alınan tüyolarla 4 MOD (Masters of Deception) üyesi yakalandı. Phiber Optik hapiste bir sene geçirdi. 1994 yazında Rus matematikçi Vladimir Levin tarafından yönetilen bir hacker grubu Citibank'ı 12 Milyon Dolar zarara uğrattı. Paranın hepsini çekemeden Vladimir, Londra Heathrow havaalanında Interpol tarafından yakalandı. Citibank 400.000 doları hariç kaybettiği bütün parayı geri aldı. Ancak bu birbirine bağlı makineler yüzünden neler yapılabileceğinin öğrenilmesi Net'te bir korku dalgası yarattı ve caydırıcı olması için cezalar korkunç derecede arttı.
Bazıları hatalarından hiç ders almıyorlardı. Kevin Mitnick 1995 Şubatı'nda 20.000 kredi kartı numarası çalmaktan tekrar tutuklandı. Mahkemeye bile çıkmadan "çok tehlikeli" suçlular için özel bir kanunla senelerce bekletildi. Mahkemesi yapılıp cezasını çektikten sonra, bilgisayarlara dokunması ve hacking hakkında konuşması yasaklanarak 2000 yılında salıverildi. Bu kısıtlamaların kalkması 2003 yılının ocağına kadar sürdü. Ayrıca 3 sene boyunca ABD devleti Mitnick'i taciz etmek için eline geçen her fırsatı değerlendirdi.
Kevin ve onu yakalayan Japon asıllı polis hacker'i Shimomura hakkında Miramax bir film yaptı. Kevin taraftarları, filmi inanılmaz taraflı ve yanlış buldular. Shimomura'nın senarist olarak da adının geçtiği film, gayet başarısız oldu.

Şu anda neler oluyor?

Mitnick'in zincirler içinde hapse götürülmesini seyretmek halkın hacker'lara bakış açısını iyice ekşitti. Net kullanıcılarını bir hacker fobisi sardı. Buna anarşinin sonu, Amerika'nın ikinci uyanışı (birincisi Jasse James gibi popüler kanun kaçakları yakalandığında olmuştu) gibi isimler takanlar oldu. Sonuçta hacker'lar artık romantik kanun kaçaklığı statüsünden sorunlu asalak, baş belası konumuna indirgendiler. Bunda kendine hacker diyen ve herkesin kullanabileceği programlar kullanarak sadece kötülük yapan şahısların çoğalmasının payı da büyük oldu. İş dünyasının da Net'e kayması, Net'in ekstra güvenli bir ortam olmasını gerektiriyordu. Ve halkın bakış açısı da buna göre ustaca yontuldu.
Peki ya şimdi,.. Şu anda scene'de/sahnede kimler var? Hacker'ların pek temkinli davranmaları üzerine söylemek zor... Script Kiddie'ler (kendileri pek bir şey yapmayan, bir takım basit araçlar kullanarak, icq numarası çalan, siteleri başka adreslere yönlendiren veletler) oldukça aktifler, hatta defacements adı altında hackledikleri sitelerin hacklenmiş hallerinin resimlerini birbirleri ile paylaşıp durmaktalar. Ama aslında onları pek ciddiye alan yok.
Eskisi gibi efsaneleşmiş isimler çıkmıyor ve eski efsane isimlerin çoğu kendi network güvenlik şirketlerini kurmuş, hayatlarını danışmanlık yaparak kazanıyorlar. Ama yine de hummalı çalışmalar sürüyor ve birileri illegal yollardan hayatlarını kazanmaya devam ediyorlar. Bilgisayar yeraltı dünyasında bir söz var: İyi bir hacker'san herkes kim olduğunu merak eder!

11Nis/110

HacK Tarihçesi

Hack kavramı ilk önce programcı dahilere verilen bir isimdi. Zamanla bu kavram anlamını değiştirdi. Peki o günden bu güne kadar neler yaşandı? İşte size hacker tarihi.

1960

Amerika’da ki MIT Laboratuarlarında araştırma görevlerileri FORTRAN’da hazırlanan programları geliştirenler için “hacker” deyimini kullanmaya başladılar. Bu deyim ilk kez, bir yazılım veya sistemin yapabileceklerini öteye taşımak anlamında kullanıldı. Halen birçok işem için aynı deyim kullanılmaya devam etmekle beraber zaman içerisinde anlamını değiştirerek, bir sisteme izinsiz girmek anlamına dönüştü.

1969

Arpanet’in kurulması ile birlikte ilk bilgisayar ağı da kurulmuş oldu. Bu primitif ağ yalnızca dört bağlantı noktasına sahipti ve kısıtlı erişim imkanları sunuyordu.

1971

İlk e-posta programı Ray Tomlinson tarafından yazıldı. Program sayesinde 64 bağlant noktasına sahip olan Arpanet üzerinden basit metin mesajları gönderilebilir hale geldi.

1972

Captain Crunch olarak da bilinen John Dra-per, şekerlemeler içinden çıkan bir düdüğün 2600 herzt ses verdiğini buldu. Bu sayede düdüğü telefona üşeyerek uzak mesafe görüşmeler için gerekli sinyali operatöre verebi-iyordu ve ücretsiz olarak telefon görüşmes yapıyordu.

1974

TCP Protokolü üzerinde çalışmalar yapan Vint Cerf ve Bob Kahn, ilk kez İnternet terimini kullandılar.

Dr. Robert M. Metcalfe, koaksiyel kablolar üzerinden veri taşınmasını sağlayan Ether-net’i geliştirir. Aynı yıl TCP/IP protokolü üzerinde denemeler yapılır ve Arpanet’te kullanılmaya başlanır.

1980

Kazara dağıtılan bir virüs sonucunda Arpanet kısa bir süre için çöktü.

1981

Usenet ve BBS’lere ilk hacker grupları oluşmaya başladı. Bu gruplar hem bilgisayar sistemlerine giriş hem de telefon sahteciliğ hakkında bilgi paylaşıyordu.

1983

Arpanet askeri ve sivil olmak üzere ikiye bölündü ve İnternet resmen doğmuş oldu. Hack konusunu işleyen ilk film olan War Ga-mes gösterime girdi. Film birçok hacker için lham kaynağı oldu.

1984

İlk hacker dergisi olan 2600 yayın hayatına başladı. Dergi içerisinde yeni hack yöntemleri anlatılmaya başlandı ve özellikle telefon sahteciliği hakkında ipuçları verildi.

1986

Hesaplarda meydana gelen 75 cent’lik hatanın nedenini araştıran Kaliforniya Üniversitesi network uzmanı Clifford Stool, bunun bir hata değil hacker işi olduğunu gördü. Araştırmalar sonucunda 5 Alman hacker tutuklandı. Aynı yıl Amerikan kongresi, bilgisayar sistemerine izinsiz girişi suç sayan yasayı onayladı.

1988

Üniversite öğrencisi Robert Morris, hazırladığ UNIX tabanlı bir solucanı internete gönderdi. Solucan bir anda 6.000 bilgisayara bulaştı ve tüm ağı iptal etti. Morris tutuklanarak 3 yıl hapis ve 10.000 dolar para cezasına çarptırıldı.

1989

Kevin Mitnick’in arkadaşları kendisine DEC firmasındaki bir telefon numarasını verdiler. Bu telefon numarasını kullanarak Mitnick, DEC’in Ark isimli bilgisayar sistemine girdi.

Arkadaşları Kevin Mitnick’in şifresini kullanarak sisteme girdiler ve işletim sistemi yazılımını çaldılar. Hemen ardından da polise Kevin Mitnick’i ihbar ettiler. Kevin Mitnick 1 yı hapis cezası aldı.

Aynı yıl Batı Almanya’da beş hacker, Amerikan devletinin sistemlerine girip değerli veri ve programları çalıp Sovyet KGB’ye satmakla suçlanıp hapse gönderildi.

1990

Sundevil isimli bir operasyon gerçekleştiren Amerikan gizli servisi, 14 farklı şehirdeki onarca hackerı ele geçirdi. Bu hackerlara vurulmuş en büyük darbe ve kendi aralarındaki en büyük çözülmeydi. Çünkü tutuklanan her hacker ceza indirimi almak için bir başkasın ihbar etti.

1993

Kevin Poulsen, Ronald Austin ve Justin Pe-terson ismindeki üç arkadaş bir radyonun telefon hatlarına sızıp yalnızca kendilerinden gelen telefonları aktif hale getirdiler. Bu şekilde radyonun düzenlemiş olduğu yarışmalara katılarak 2 Porsche, 20.000 dolar para ve Havai adalarında bir tatil kazandılar. Kafadarlar tutuklanarak cezaevine gönderildi.

İlk Def Con konferansı yapıldı. Aslında BBS’lere bir elveda demek için düzenlenen parti niteliğindeki toplantı daha sonradan gelenekselleşti.

1994

16 yaşındaki öğrenci Richard Pryce, Datastrem Cowboy nickini kullanarak yüzlerce bilgisayara girdi. Bunlar arasında askeri üsler, NASA ve Kore Atom Araştırma Enstitüsü bulunuyordu. Diğer arkadaşı Kuji ise asla bulunamadı.

Aynı yıl bir grup Rus hacker, Citibank’ın sistemine girerek müşteri hesaplarından 10 milyon dolar transfer etti. Citibank uzmanları bu paranın büyük bir kısmını kurtardılar ancak 400.000 dolarlık kısmı kayboldu.

1995

20.000 kredi kartı numarasını çalmakla suçlanan Kevin Mitnick ikinci kez tutuklanarak cezaevine gönderildi. Ancak yargılanmadan geçen 4 yıllık tutukluluk süresi onu bir kahraman yaptı.

Christopher Pile bir virüs yazıp internette dağıtmaktan ceza aldı ve 18 ay hapis yattı.
Yıl boyunca Amerikan Savunma Bakanlığına bağlı bilgisayarlara 250.000’den fazla saldırı yapıldığı bildirildi.

1996

Hackerlar dünyanın en popüler web sitelerine saldırıp ele geçirerek, Kevin Mitnick’in yargılanmadan cezaevinde tutulmasını protesto ettiler.

1997

AOHell isimli minik program internette terör estirmeye başladı. İlk kez bu şekildeki bir program sayesinde herhangi bir kod bilgisi olmayan kişiler AOL kullanıcılarına saldırabilir hale geldi. AOL kullanıcılarının adreslerine binlerce e-posta yağmaya başladı.

1998

Kendilerine “Cult of the Dead” ismini veren hacker grubu, tüm dünyanın başına bela olacak “Back Orifice” truva atını Def Con konferansında tanıtırlar. Bu program sayesinde Windows 95 ve 98 işletim sistemli bilgisayarlara rahatlıkla girilebiliyor ve sistem ele geçi-rilebiliyordu. Pentagon’a yapılan ciddi bir saldırıdan sonra Amerikan gizli servisi iz sürmeye başladı. 19 yaşındaki İsrail asıllı Ehud Tenebaum (The Analyzer kod isimli) tutuklandı.

1999

Kevin Mitnick yargılandı ve hapisten çıktı. Ancak uzun bir süre bilgisayar bileşenlerine dokunmama cezasına çarptırıldı. Mart ayında Melissa virüsü ile tüm dünyadaki bilgisayarlar ciddi zarar görür. Kısa bir araştırmadan sonra 29 yaşındaki bilgisayar programcısı David L. Smith tutuklanır.

2000

DDoS saldırılarının yılı. Özellikle Amazon ve Yahoo gibi sitelere bol miktarda istek gönderildi ve sitelerin yavaşlamasına neden oldu. ILOVEYOU virüsü internetten yayılarak tüm kullanıcıların başına bela oldu. Yıl içerisinde daha birçok ILOVEYOU çeşidi ortaya çıktı. Microsoft’un sunucularına sızan hackerlar, yeni Windows ve Ofis yazıımlarına ait kaynak kodları çaldılar.

11Nis/110

En meshur hackerlar , isimleri ve nickleri

Richard Stallman
Takma Adı:
Yok (saklayacak bir şey yok ki!)

Nasıl şöhret oldu ?
Eski hacker\'lardan Stallman* 1971\'de MIT\'in yapay zeka laboratuvarında işe girdi. O sıralarda Harvard Üniversitesi\'nde öğreciydi. Geliştirdiği yazılımın* kişisel haklara saldırıda kullanıldığı görüldü. Stallman* daha sonraları Free Software Foundation\'u (Bedava Yazılım Vakfı) kurdu.

Bilgisayarla nasıl tanıştı ?
1969 yılında* IBM\'nin New York Bilim Merkezi\'nde. O zamanlar* 16 yaşındaydı.

İlginç notlar:
Stallman* 1980\'lerin başında MIT ile kadrolu olarak çalışmayı bıraktı; fakat oradaki bir ofiste çalışmalarını sürdürmeye devam etti. O sıralarda GNU adında yeni bir işletim sistemi geliştirdi.

----------------------------------------------------------------------------------------------

Dennis Ritchie ve Ken Thompson
Takma adları:
Dmr ve Ken

Nasıl şöhret oldular?
Bilgisayar bilimlerinin efsanevi kalesi olan Bell Laboratuvarları\'nın yaratıcı gücü Ritchie ve Thompson* UNIX\'i 1969 yılında yarattı. Küçük bilgisayarlarda* genel hesaplama* kelime işlemci ve ağ kurma (general computing* word processing and networking) için kullanılan bu program* daha sonra standart bir dil haline geldi.

İlginç notlar:
Thompson\'un UNIX\'inden yola çıkarak yine Bell Laboratuvarları\'ndan Rob Pike* Plan 9 adlı yeni nesil işletim sistemini geliştirdi. Ritchie* her ne kadar C programlama dili yazarlarından olsa da; kendisinin en sevdiği dil Alef\'ti. Thompson ise bir seferinde MiG-29 ile uçmak için Moskova\'ya gitmiş amatör bir pilottu.

----------------------------------------------------------------------------------------------

John Draper
Takma Adı:
Kaptan Crunch

Nasıl şöhret oldu ?
Kaptan Crunch* 1970\'lerde bir mısır gevreği kutusundan çıkan plastik düdükle yaptığı araçla bedava telefon görüşmesi yapmayı başardı. Telefon şebekesi* düdükten çıkan 2600 Hertz\'lik sesi* sinyal olarak algılıyor ve bedava telefon görüşmesi yapılabiliyordu. Kaptan Crunch* interneti değil ama bugün onun bir parçası olan telefon hatlarını ilk hack eden isim olarak tarihe geçti.

İlginç notlar:
Silikon Vadisi\'nde çalışan Draper* geçtiğimiz aylarda telefon hatlarını nasıl hack ettiğini anlatmak üzere İstanbul\'a geldi.

----------------------------------------------------------------------------------------------

Mark Abene
Takma adı:
Phiber Optik

Nasıl şöhret oldu?
Masters of Deception adlı hacker grubunun kurucularından olan Phiber Optik* binlerce gencin Amerika\'nın telefon sistemini konusunda \"araştırmalar\" yapmasına esin kaynağı oldu. Amerikan federal mahkemesi* ibret olsun diye Abene\'yi* bir yıl hapse mahkum etti. Hapishanede* büyük bir ilgiyle karşılandı. New York Magazine ise* onu \"New York şehrinin en zeki 100 kişisinden biri\" olarak nitelendirdi.

İlginç notlar:
New York\'ta annesinin çalıştığı şirketin elektronik deposunda takılırken ilk defa Apple II* Tmex Sinclair ve Commodore 64 ile tanıştı. Kendisine ait ilk bilgisayarı ise Radio Shack TRS-80 idi.
Telefon alıcısı üzerine deneyler yapan Abene* alıcı üzerinde o kadar çok çalışma yaptı ki* aletin tellerinin bir arada durması için elektrik bandı ile sarılıp takviye edilmesi gerekti.

----------------------------------------------------------------------------------------------

Robert Morris
Takma adı:
rtm

Nasıl şöhret oldu ?
Babası* Amerikan Ulusal Güvenlik Bölümü\'ne bağlı Bilgisayar Güvenliği Merkezi\'de şef olarak çalışan Morris\'in 1988 yılında kazayla internet ortamına yayılan worm\'u (solucan) birçok bilgisayara bulaştı ve kullanılmaz hale getirdi. Bu kaza sayesinde* daha önceden belli bir kesim tarafından bilinen \"hacker\" terimi kitlelerin diline dolandı.

İlginç notlar :
Bilgisayarla evde tanıştı. Daha ilk gençlik çağında Morris\'in Bell Laboratuvarları\'nın bilgisayar ağında hesabı ve hacker akımına ilk katılanlardan olduğu için ayrıcalıklı kullanıcı statüsü vardı. 1990\'da Legion of Doom adlı bir hacker grubu üyesi olan Erik Bloodaxe\'in evine baskın düzenleyen polis* yaptığı aramalarda Morris\'in internet worm\'unun kaynak kodunun bir kopyasını buldu.

----------------------------------------------------------------------------------------------

Kevin Mitnick
Takma adı:
Condor

Nasıl şöhret oldu?
Mitnick* fotoğrafı FBI\'in \"En Çok Arananlar\" listesinde yer alan ilk hacker olarak kayıtlara geçti ve neredeyse listeden hiç eksik olmadı. \"İflah olmaz bir suçlu\" olan çocuk ruhlu Mitnick \"Sanal Dünya\'nın Kayıp Çocuğu\" olarak da tanındı. Büyük bir şirketi hack ederek milyonlarca dolara zarara uğrattığı için 5 yıl hapis cezası aldı.

İlginç notlar:
Bir bilgisayar almak için yeterli parası olmayan Mitnick* daha yeni yetme iken bir elektronik araç satan mağazalara takılır* orada sergilenen bilgisayar ve modemleri diğer bilgisayarlara bağlanmak için kullanırdı. FBI\'dan üç yıllık kaçışı boyunca arkadaşları ile haberleşmek için IRC\'yi kullandı. Mitnick* bir yargıcın kendisine koyduğu \"bilgisayar bağımlılığı\" teşhisinin tedavisi için 1 yıllığına rehabilitasyon merkezinde kaldı.

----------------------------------------------------------------------------------------------

Kevin Poulsen
Takma adı:
Dark Dante

Nasıl şöhret oldu ?
Poulsen* 1990 yılında Los Angeles\'ta* o andan itibaren kendilerini arayan 102. kişiye Porsche marka bir araba vermeyi vaadeden bir yerel radyo istasyonun telefon hatlarını kontrolü altına aldı. Başkalarının aramasına fırsat vermeden kendisini 102. arayan kişi olarak gösteren Poulsen* emeğinin karşılığında gıcır gıcır bir Porsche 955 S2 kazandı.

İlginç notlar:
Ailesinin kendisi için aldığı TRS-80* onun ilk bilgisayarıydı. Poulsen\'in telefon şirketinin treyler\'ine girmek için bir takım çilingir seti vardı. Bir arkadaşı Poulsen\'in telefon treyler\'inin kapısındaki kilitleri açarken çekilmiş resmini* bir başka arkadaşına gösterince Poulsen yakalandı. Teşkilatın yürüttüğü gizli operasyonların adını öğrenmek için* FBI\'nın sistemine girme iddiasıyla hakkında dava açıldı.

----------------------------------------------------------------------------------------------

Johan Helsingius
Takma adı:
Julf

Nasıl şöhret oldu ?
Penet.fi adında dünyanın en çok tutulan anonim remailer programını (gönderenin e-mail adresinin belli olmadığı bir sistem) yazdı. Fakat 1995 yılında Finlandiya\'da Scientology Tarikatı\'nın bu programı satın alan bir üyesinin* tarikatın sırlarını internet üzerinden yayınladığı tespit edildi. Finlandiya polisi bu olaydan dolayı ilgili kişinin kimliği açıklaması için Johan\'la irtibata geçti; ama istediği cevaba ulaşamadı. Bunun ertesinde* Finlandiya mahkemesinden Johan\'ın bu remailer programını kullanan kişilerin gerçek e-posta adreslerini açıklaması ile ilgili bir karar çıktı. Bu durumda Johan\'ın yapabileceği tek şey kalmıştı: O da 1996\'da programı kullanım dışı bıraktı.

İlginç notlar:
200 megabyte hard disk\'li bir bilgisayarda* dünyanın en çok kullanılan ve en hızlı remailer programını çalıştırdı.

----------------------------------------------------------------------------------------------

Vladimir Levin
Takma adı:
Bilinmiyor

Nasıl şöhret oldu?
Rusya\'nın St. Petersburg Üniversitesi\'nden matematik diploması olan Levin* Citibank\'ı internet sayesinde 10 milyon dolar dolandıran bir hacker grubunun lideri olduğu gerekçesi ile 1995 yılında Londra\'da Interpol tarafından tutuklandı.

İlginç notlar:
Bilgisayarla nasıl tanıştığı bilinmiyor. St. Petersburg\'da çalıştığı AO Saturn adlı şirketteki ofis bilgisayarı ile Citibank\'ın sistemine girmekle suçlandı. Evinde arama yapan Rus polisi* Levin\'in bilgisayarının* bilgisayar oyunlarının ve disketlerinin yanı sıra; video kamerasına* müzik hoparlörlerine ve televizyon setine de el koydu. Levin* kendisini savunmak için görevlendirilen tanınmış bir avukatın aslında FBI ajanı olduğu iddiasında bulundu.

Incoming search terms:

hacker isimlerihacker nicklerihack nicklerihacker adlarıyeni hacker nickleriEN MESHUR NICKLERhacker isimlertakma adlar nıcklerhackerların kullandığı nicklerhacker takma isimleri
11Nis/110

Hacker Terimleri

Sniffer:Bilgisayar ağlarında veri trafiğini kontrol altında bulundurun bir araçtır.Atak yapan
kişi gizlice veri akışını izler ve gerektiğinde bu paketleri handle edebilir.Bu sayede birçok
metin şifreler snifferı kullananın eline geçer.

Spam Tool:Bir kullanıcıya isteği olmadan gönderilen reklam veya diğer amaçları gerçekleş-
tirmek üzere geliştirilmiş kimden gönderildiği kullanıcı tarafından anlaşılamayan emaillar
yollayan bir program türüdür.

Spoofer:Hackerların systemlere yetkili bir kullanıcıymış gibi kendilerini göstermelerini
yarayan bir programdır.Ençok kullanılan spoofing yöntemi smurfs ataklarıdır.Kullanıcı
iplerine durmadan paketler yollayan ve cevap aldığında o ip altına giremeye yarar.Ama
internet trafiğini gönderdiği flood(aşırı veri trafiği) sayesinde yavaşlatır.

War Dialer:Eskiden sık kullanılan telefon hatlarını tarayıp açık bulduğuna bağlanabilen
bu sayede hattın takılı olduğu modeme direk bağlanabilen bir araçtır.

Port Scanner:65536 tane porta bağlanma girişiminde bulunup hedef bilgisayarın
portlarının durumlarını hackerlara bildirmeye yarayan bir araçtır.

Word List: Brute Force uygulanan bir bilgisayara karşı denenecek şifrelerin bulunduğu
bir metin dosyasıdır.

Brute Force: Yetkisiz kullanıcıların giremediği bir şifreli sisteme hackerın elindeki wordlist
aracılığı ile şifreleri deneyerek bulmaya çalışan bir password cracking yöntemidir.

Flooder: internet bağlantısını hızlı pingler atarak yavaşlatan ve DoS atağına neden bir programdır.

Hijacker: kullanıcın browserındaki homepage olarak ayarlanan bölümleri porno siteler tarzı
site linklerini veren ve bunların değiştirilmesini önleyen bir nevi trojandır.

Keylogger: kendini startup a yerleştiren ve bazen gizleyen bir programdır.Amacı ise
bilgisayarınızda klavye kullanarak yazdığınız herşeyi bilgisayarınızda gizli bir text dosyasına
kopyalayan ve sonra bu keylogger ı size bulaştıran sahibine bu text dosyasını email olarak
yollaan bir programdır.

Packerosyaları sıkıştırmayan yarayan ve headerlarını şifrelemeye yarayan böylelikle trojan
serverlarının anti-virus ve anti-trojan programlarından koruyan bir araçtır.

MailBombers:Kullanıcının email kutusuna binlerce email atabilen ve gönderenin kaynağının
tam olarak görülmemesini sağlayan bir araçtır.

Worm:Türkçe anlamı solucan olan bu programlar tıpki virusler gibidir.Programcısının hayal
gücü ile sınırlı işler yapabilirler.Bu wormu yazan adamın bulduğu bir açık sayesinde kodlağı
bir worm kendisini bu açık sayesinde ve bu açığın olduğu bütün makinelere kopyalar verileri
silebilir,şifrelerinizi sahibine yollayabilir vs.......

Hostile Script: VBS, .WSH, .JS, .HTA, .JSE, .VBE dosya uazantılarina sahip bir text dosyasıdır.
çalıştırıldığı systemde istenmeyen çeşitli sorunlara yol açabilir.

Hostile ActiveX: kullanıcıların haberi olmadan yada bilinçsizce kabul ettikleri internetten sitelerden
bilgisayara yerleşip habersizce çalıştırılabilen hostile activexler harddiski silmeden,şifrelerin çalınmasından
ve daha bir çok sorunundan sorumlu olabilirler.

Exploit:Sistem açığı olarak bilinir.Hackerlar tarafından keşfedilen bu exploitler;güvenlik konsepti
yazıf sistemlere sızmayı sağlayan bir yoldur.Bu yolu kullanabilmek için yazılan script ve master program
ları ile exploitler lamerların ve script kiddieslerin kullanımına sunulur.

Dropper: kullanıcının bilgisayarında ftp server ı açarak çeşitli trojan ve viruslerin kullanıcın haberi
olmadan bilgisayarına inmesini sağlayan bir araçtır.

RAT: Türkçesi 'uzaktan yönetim aracı' olarak bilinen programlar kötü niyetli kullanıcılar tarafından
geliştirilerek kullanıcılardan habersiz barınabilen server dosyaları ile kullanıcının bilgisayarına tam
erişim sağlar.Hacker bu tip bir bağlantı sağlayabildiyse istediği türde bir zarar verebilir(donanımsal,
veya yazılım bazında)

DoS(Denial Of Service): bir programın veya bir sistemin askıya alınması yada komple kilitlenmesini
amaçlayan bir exploittir.Tutulabilecek paket sayısından çok daha fazla paket yollayarak(flood) yada
bozuk ve beklenmeyen yönlerde yollanarak sistemin devre dışı kalmasını sağlayan bir atak türüdür.
Genelde DoS, nuke olarak bilinir.

Malware:Kullanıcı bilgisi olamadan bilgisyarda çalışan bilgisayara zarar vermek amacı güden her
programa verilen genel bir addır.

Proxy:belirli servis sağlıyıcıları yada bizzat bir kullanıcın ip sine 80,8080 gibi portlardan bağlanıp
üstümüze geçirdiğimiz kullanıcın ip sine proxy denir.

Java: webmasterların sıkça kullandıkları java appetlerini çalıştırmaya yarayan bir programdır.

Cookie:Web sayfaları tarafından bilgisayarımıza habersizce bırakılan ve bir dahaki girişimizde
sayfanın bizi tanımasını sağlayan küçük txt dosyalarıdır.

P2P software: Kazaa,İmesh tarzı programlara verilen ve kullanıcıların karşılıklı birbirlerine
bağlanarak dosya alışverişinde bulunmalarını sağlayan bir program türüdür.

Kriptografi:Genel şifreleme olarak bilinir.

Stenanografi: taşıyıcı dosyada bulunun boşluklardan faydalanarak bu kısımlara dosyaları şifreleyerek
saklama yöntemidir.taşıyıcı resim ve müzik dosyası olabilir.Taşınan dosyanın ne olacağı önemsizdir.

Lag: daha çok IRC ortamlarında duyduğumuz yavaşlama,gecikme olaylarına verilen addır.

Adware: Reklam amaçlı olan kullanıcılara istekleri olmadan sitelerı açan homepage ı değiştiren ve
bunun gibi daha birçok sinir bozucu olaylara neden olan bir programdır.

Fake Mail: Kullanıcıları yanıltmaya yönelik düzenlenen tamamen sahte bir formdur.Güvenerek
kişisel bilgilerinizi ve şifreleriniz girdiğiniz bu tip maillar tamamen sahtedir ve her yazdığınız bilgi
aynen bunun size yollyan hackerın eline geçecektir

Incoming search terms:

hacker sözleri
Copy Protected by Chetan's WP-Copyprotect.