/etc/apt/apt.conf dosyasi icine proxy ayarlarinizi şu sentaks ile giriniz.

ACQUIRE {
http::proxy “http://user name:passw@host:port/”
}

• RDP (Remote Desktop)
• VNC (Virtual Network Computing)
• ICA (Independent Computing Architecture)
• SSH (Secure Shell)
• Telnet (TELecommunication NETwork)
• HTTP/S (Hypertext Transfer Protocol)
• Rlogin (Rlogin)
• RAW

Kendilerini putty ssh istemcisine farkli uygulamalarla takla atirması ile tanidigim Murat Gökmen bey (Vodafone Unix admini) ile paylaştığımda;  haklı olarak genelde sadece ssh kullandığı için mremote’nin kendisi için çokta getirisi olan bir uygulama olmadigini. Bununlada yetinmeyip putty’yi unix adminleri için daha da kullanışlı kılan şu uygulamalari benimle paylaştı.

mremote andıran arayüzü ile multi ssh bağlantısına ihtiyaç duyanlar için  puttyCM

birde puttyCS yani Putty Commend Sender aynı anda birden fazla Unix sisteme ayni komutu yoluyabiliyorsunuz.  Onlarca sisteme aynı anda kurulum yapmak zorunda kaldiginiz ya da farklı sistemleri paralel monitor’edebilmek için kullanilabilecek bir uygulama.

Basit ssh bağlantıları için ise putty’e eklenen ek özelikleri ile gelen kitty incelenmesi gereken bir uygulama. Daha kullanadığım ancak ilk firsatda bakacağım.

benzer daha  pehlivan hastası oldugunuz uzaktan erişim uygulamalarınız varsa yorumlarınızı bekliyoruz efendim.

http://www.offensive-security.com/videos/backtrack-usb-install-video/backtrack-usb-install.html

Açık kaynak dünyasının çözümü olan ve dilediginizde Linux dağıtım versiyonlarını direk netden çekip usb üzerine kuran unetbootin tam bu sorun için düşünülmüş bir çözüm.

unetbootin hakkında çok şey anlatmaya gerek yok kullanım paneline bakınca kendini itirat eden bir uygulama.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

arada bir vmware ile usb diskinize bağlanıp kurcalamayi düsünüyorsaniz. yeni virtual server olusturup Custom (advanced) ayarlardan usb’nizi fiziki disk olarak secerek usb’nizden boot edebilirsiniz.

Examples of audit tests:
- Available authentication methods
- Expired SSL certificates
- Outdated software
- User accounts without password
- Incorrect file permissions
- Firewall auditing

daha fazla bilgi icin resmi sitesi: http://www.rootkit.nl/projects/lynis.html

Arada sirada /var/log/apache2/error.log
Dosyalarina göz atip durumun ne kadar ciddi oldugu konusunda ikna olabilirsiniz..
Asagida tipik bir deneme yanilma yönetimi ile phpmyadmin ara yüzü bulunmaya calisilmis..

[Sun May 06 14:24:35 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpMyAdmin
[Sun May 06 14:24:35 2007] [error] [client 82.61.230.210] File does not exist: /var/www/PHPMYADMIN
[Sun May 06 14:24:35 2007] [error] [client 82.61.230.210] File does not exist: /var/www/pma
[Sun May 06 14:24:35 2007] [error] [client 82.61.230.210] File does not exist: /var/www/PMA
[Sun May 06 14:24:36 2007] [error] [client 82.61.230.210] File does not exist: /var/www/PMA
[Sun May 06 14:24:37 2007] [error] [client 82.61.230.210] File does not exist: /var/www/mysql
[Sun May 06 14:24:37 2007] [error] [client 82.61.230.210] File does not exist: /var/www/admin
[Sun May 06 14:24:37 2007] [error] [client 82.61.230.210] File does not exist: /var/www/db
[Sun May 06 14:24:38 2007] [error] [client 82.61.230.210] File does not exist: /var/www/dbadmin
[Sun May 06 14:24:38 2007] [error] [client 82.61.230.210] File does not exist: /var/www/web
[Sun May 06 14:24:38 2007] [error] [client 82.61.230.210] File does not exist: /var/www/admin
[Sun May 06 14:24:39 2007] [error] [client 82.61.230.210] File does not exist: /var/www/admin
[Sun May 06 14:24:39 2007] [error] [client 82.61.230.210] File does not exist: /var/www/admin
[Sun May 06 14:24:39 2007] [error] [client 82.61.230.210] File does not exist: /var/www/mysql-admin
[Sun May 06 14:24:40 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpmyadmin2
[Sun May 06 14:24:40 2007] [error] [client 82.61.230.210] script ‘/var/www/mysqladmin/main.php’ not found or unable to stat
[Sun May 06 14:24:40 2007] [error] [client 82.61.230.210] File does not exist: /var/www/mysql-admin
[Sun May 06 14:24:41 2007] [error] [client 82.61.230.210] script ‘/var/www/main.php’ not found or unable to stat
[Sun May 06 14:24:41 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpMyAdmin-2.5.6
[Sun May 06 14:24:41 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpMyAdmin-2.5.4
[Sun May 06 14:24:42 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpMyAdmin-2.5.1
[Sun May 06 14:24:42 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpMyAdmin-2.2.3
[Sun May 06 14:24:42 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpMyAdmin-2.2.6
[Sun May 06 14:24:43 2007] [error] [client 82.61.230.210] File does not exist: /var/www/myadmin

DoS atagi engeliyebilecegimiz iptable yada pf gibi güvenlik duvarlari üzerinden yapabileceginiz gibi. Su sekilde de ssh servisini kismen güvence altina alabiliriz.
Bilindigi üzer ssh standart olarak 22 nolu portu dinler. Eger bu portu 1022 yaparsak
22 nolu porta baglanmaya calisan kullanici sonuc alamayinca vaz gecicektir.
Ilk önce 1022 portunuzun kullanilip kullanilmadigina göz atalim.

vs2052020:~# netstat -alnp | grep :22
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 29974/sshd
tcp 0 52 85.XX.XX.XX:22 89.56.XX.X:4392 ESTABLISHED18071/0

yukarida oldugu gibi 22 trafigi dinliyor. Hatta 4392’den ssh portuna uzaktan baglanmisim bilene.
Simdide 1022’ye bakalim. Evet orasi bos..

vs2052020:~# netstat -alnp | grep :1022
vs2052020:~#

vi /etc/ssh/sshd_config dosyasini acip
Port 22 yazili satirda gerekli degisikligi yaptikdan sonra ssh servisini yenden calistirmak kafi olucaktir.
/etc/init.d/sshd restart
bu arada ssh clientinizde standart 22 portunu 1022 yapmayi unutmayin.
Alernatif bir ssh güvenligi ise root kullanicisina ssh üzerinden baglanmayi engelemek süreci ile yapilabilir. Söyleki bir sisteme DoS atak ile ssh üzerinden baglanmaya calissaniz. Hangi kullanicin sifresini kirmayi denerdiniz tabiyki her sistemde olan ve en güclü kullanicinin yani root’un. Uzaktan erisimi sagliyabilmek icin ilk önce sisteminize 2. bir kullanici acin. ssh’ya daima bu kullanici ile baglanip sonra su – komutu ile root haklarini alin.
ssh’ya root olarak baglanmayi engelemek icin
vi /etc/ssh/sshd_config dosyasini acip
PermitRootLogin yes anahtarini no olarak degistirip
/etc/init.d/sshd restart
ssh hizmetini yeniden calistirmaniz kafi gelicektir.
Gelgelelim ftp hizmetimize. Proftp gibi ftp serverleri virtual ftp kullanicisi kullanma sansi taniyor. Mümkünse ftp serverinizi virtual ftp kullanicilari ile kullanin. Sistem kullanicilari ile ftp kullanicilarini ayni ise birde root ftp üzerinden sisteme baglaniyorsa. Hic hos olmayan durumlarla karsilasabilirsiniz.
Bunun ne kadar tehlikeli olabilecegini ngrep ile yapacagimiz ufak bir testle göstereyim. ngrep ile port 21 yani ftp komut portunu dinliyelim..

ngrep port 21
interface: venet0 (127.0.0.1/255.255.255.255)
filter: ip and ( port 21 )
#######
T 85.XX.XX.XX:21 -> 89.YY.YY.YY:3480 [AP]
220 ProFTPD 1.2.10 Server (ProFTPD) [85.25.52.20]..
#
T 89.YY.YY.YY:3480 -> 85.XX.XX.XX:21 [AP]
USER kara..
##
T 85.XX.XX.XX:21 -> 89.YY.YY.YY:3480 [AP]
331 Password required for kara…
#
T 89.56.135.77:3480 -> 85.XX.XX.XX:21 [AP]
PASS lahana..
#
T 85.XX.XX.XX:21 -> 89.YY.YY.YY:3480 [AP]
230 User kara logged in…

Peki yukarida ne oldu. Sirasi ile

1. client servere baglandi
2. client kullanici ismini yani kara’yi servere bildirdi
3. server parola talep etti
4. client parolayi yani lahana kelimesini bildirdi..
5. ve kara adli kullanici sisteme baglandi

Görüldügü gibi tüm sifre ve kullanici transferi acik olarak isliyor.
Client ile server arasindaki trafigi dinliyebilen herhangi birisi sisteminizin kullanici bilgileri ulasabilir. Dolayisi ile ftp ulasimi olan sistem kullanicilarini sisteme baglanmalarini engelememiz fayda var. Böylelikle ftp sifremiz bir sekilde ele gecirilmis olsa dahi budurum sistemimizin güvenligi icin sorun ihtiva etmez.
Simdi sistemimizin kullanici bilgilerini barindirildigi /etc/passwd dosyasini aciyoruz
Her kullanici icin bir satir oldugunu ve bagzi kullanicilarn /bin/false yada /bin/nologin gibi kabuklari kullandigini göreceksiniz. Bu kullanicilar sisteme baglanma haklari olmayan kullanicilardir. Örnek ftp kullanicimiz olan kara’nin da kabuk bilgisini asagida ki gibi /bin/false degistirince sisteme ssh üzerinden baglanmasini engelemis oluruz.
kara:x:65007:65007:,,,:/home/kara:/bin/false
Tabiyki sisteminize icin gerekli güvenlik önlemleri bunlarla sinirli degil. Bu yazida sadece kesinlikle bilinmesi gereken bir kac noktaya deyindim.
Fatih Ekrem Genc
Kaynakca:
http://www.fatihgenc.com/debian-uzerinde-apache2-icin-modsecurity-kurulumu/
http://www.sspace.de/archives/52-Mod-Security-Apache2-Debian-Sarge.html
http://www.google.com/support/webmasters/bin/topic.py?topic=8475
http://www.birumut.net/switch.php?modul=Parser

apt-get install mysql

root kullanicisina sifre verelim

mysqladmin -u root password “benimsifrem”

mysql root ile baglanip snort log dosyalari icin kullanacagimiz mysql veritabanini olusturalim.
mysql -u root -p

mysql root sifresi ile mysql baglanin.

ilk önce snort veritabanmizi olusturalim

create database snort;

mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE \
on snort.* to snort@localhost;

olusturdugumuz veritabani icin snort adinda birde user ekliyelim ve gerekli haklari verelim.
hali hazirda olan root kullanicisini bu veritabani icin kullanabilirdik ancak gereksiz haklarla php üzerinde veritabanina ulasmak güvenlik acisindan daima bir riskdir.
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE \
on snort.* to snort@localhost;

veritabanimiz ve ona ait bir kullanicimiz var. veritabanimizin gerekli olan yapisini olusturmak icin. snort ile birlikte gelen snort sql betigini kullanin.

cd /usr/share/doc/snort-mysql/

zcat create_mysql.gz | mysql -u root -p snort

mysql root sifresi sorulacaktir. sifreyi girin.

snort ciktilarini web arabiriminden incleyebilmek icin base paketini kurun.

apt-get install acidbase
acidbase kurulum esnasinda yardimci program size mysql root sifresini sorcaktir. sifreyi girdigiinzde snort user ve snort veritabani olsuturulmus oldugu icin islemi pass gecicektir.

php.ini icinde gerekli kisimlari aktif hale getirelim

vim /etc/php4/apache/php.ini

extension=mysql.so
extension=gd.so

acidbase dosyalari /usr/share/acidbase/ icine atilacaktir gerekli virtual host ayarlarini yapmayi unutmayin

http://localhost/acidbase  sisteminize dogru olan saldirilari inceliyebilirsiniz.

Sistem log dosyalari

Genelikle /var/log dizini altinda bulabileceginiz sistem üzerindeki degisikliklerin cetelesinin tutuldugu dosyalar size sisteminizdeki hatalar hakkinda fikir verecektir. Loglarda gördügünüz anormal satirlari google üzerinde arastirmanizda fayda var..
Örnek olarak beli bir ftp kullanicisinin ftp server üzerindeki tüm faliyetlerini incelemek istiyorsunuz. ftp serverimiz proftd olsun. Grep’e i parametesini yoluyarak ayrintili bir arama yapabiliriz grep fonksiyonlari hakkinda daha fazla bilgi edinmek icin man dosyalarini inceleyin.

grep –i fgenc /var/log/proftpd.xferlog
Sat Mar 31 12:12:57 2007 362 84.58.178.0 1815994 home/neu/update/15_neu_npm_ilan.pdf b _ o r fgenc ftp 0 * c
…

aktif olarak loglari incelemek. Loglara enson eklenen bilgileri edinmek istiyorsaniz tail’i -f secenegi ile kullanabilirsiniz. Bu sekilde shell’inizi acik biraktiginizda surekli iligli logda bir degisiklik oldugunda bunu gözlemliyebilirsiniz..

tail –f /var/log/proftpd.xferlog

bu sekilde shell’inizi acik biraktiginizda ftpserverinize olan herhangi bir aksiyondan direk habeeriniz olur.

Eger analize etiginiz proragmin yada serverin log sistemi syslog destegi varda ayarlanmamis ise bunu ayarlayin ilgili konfiguration dosyasi surada /etc/syslogd.conf bu konuda ayrintiya girmiyecegim syslogd ayarlanmasi kendi icinde bir konuyla ilgili surdaki yazidan faydanalabilirsiniz. http://fatihgenc.com/wiki/doku.php?id=syslog

dmesg
Sisteminiz boot ederken olusan hatalari dmesg programi ile gözlemliyebilirsiniz. Özelikle ag kartiniz yada sürücülerle ilgili sorunlari gözlemlemek icin faydali olabiliyor.

Hangi program ne kadar ram yiyor zombi modunda calisan bir proses varmi bunlari top adli programla gözlemliyebilirsiniz. Windows dünyasindan CTRL+ALT+DEL tuslarina basgitimizda karsimiza cikan proses menüsünü andiran bir sema cikicak karsiniza.

lsof
Yine olducak faydali bir program bir dosyaya hangi proseslerin yada hangi prosesin hangi dosylari degistirdigini anlik olarak gösteren hos bir program lsof.

lsof DOSYADI

yada

lsof –p PROSESNUMA’rasi seklinde kullanilabilir.

df
Bazen sabit diskimizde yer kalmadigi icin degisik hata mesajlari aliriz. Sabit diskimizde ne kadar yer kaldigini bilmke istiyorsaniz. df programini calistirin

Örnek:
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/vzfs 41943040 3914988 38028052 10% /
tmpfs 4072388 4 4072384 1% /dev/shm

which
sisteminizde php kurulumu kuruluysa versiyonu ney yada filanci program varmi. Varsa kütühaneleri nerede seklinde bir sorunuz varsa which komutu size fikir verebilir..

which python
/usr/bin/python

daha ayrintili bir arama icin locate’yi kullanabilirsiniz. Locate her gece sisteminizdeki dosyalarin bunulup bir dosyaya index’inin cikarilmasi sonucu olusturulan veritabanini kullanarak arama yapar. Dolayisi ile sisteminizde yeni olan bilgiler bu veritabaninda kayitli olmayabilir. Aktual aramalar icin find komutunu kullanin. Eger locate’nin veritabanini aktualize etmek istiyorsaniz shell’inize updatedb komutunu verin ve islemin sonlanmasini bekleyin.

strings
Sisteminizde süpelendiginiz calistirilabilir bir (trojana rootkit = redkit degil rootkit) dosya buldugunuzu varsayalim bu programin ne oldugu hakkin fikir edinmek istiyorsunuz string programi size bu konuda fikir verebilir. strings belibir binear dosya icindeki insan tarafadan okunabilir kisimlari bulur ve gösterir.

/proc dizini
/proc dizini bu dizin altinda sistemimizin donanimi hakkinda bilgi iceren bir cok dosya var. cpuinfo , version(linux ve dagilim versiyonunuz hakkinda fikir verir),uptime gibi eger domaniminizda acpi varsa ve bunu kullandiginiz kernel versiyonu destekliyorsa /proc dizin altinda acpi adi bir dizin ve donanimizi hakkinda bilgi iceren bir cok farkli dosya bulacaksiniz. Elimde kurulu acpi destegi olan sistem olmadigi icin bu konuda örnek veremeyecegim. Ancak islemcinin aktual isisindan ne kadar akkü bilgilerine kadar detayli bir cok bilgiye ulasabilirsiniz. Kisacasi donanimla ilgili bir bilgiye ulasmak istediginizde /proc dizinini aklinizda bulsun.

Örnek olarak ide diskleriniz hakkinda ayrintili bilgi icin
cd ide/hd? Seklinde dizinlerin icine bakin gerek sabit diskin modeli, sürücüsü hakkinda degisik bilgilere ulasabilirsiniz.

ping
Gel gelelim ag’la ilgili sistem sorunsallarina. Ilk önce ilgili bilgisayarin orda olup olmadigina ping ile göz atalim.

# ping ceviz.net
PING ceviz.net (89.149.202.121) 56(84) bytes of data.
64 bytes from 89-149-202-121.internetserviceteam.com (89.149.202.121): icmp_seq=1 ttl=56 time=4.76 ms

hping
evet ceviz.net ping’e acik. Ya pinge acik olmayan hostlari nasil pinglersiniz. Mesela superonline.com. Deneyin cevap vermedigini göreceksiniz. Ilk önce dig ile superonline.com ipye cevirelim.. Aranilan ip 62.146.28.82 (bu arada debian üzerinde hping yok hping3 var onu kurun). Superonline serverleri üzerinde www server oldugunu biliyoruz. Buda 80. portun acik olduguna isaret eder o halde su sekilde pingliyebiliriz.

hping3 62.146.28.82 -p 80
HPING 62.146.28.82 (venet0:0 62.146.28.82): NO FLAGS are set, 40 headers + 0 data bytes
len=40 ip=62.146.28.82 ttl=55 DF id=0 sport=80 flags=RA seq=0 win=0 rtt=8.0 ms
len=40 ip=62.146.28.82 ttl=55 DF id=0 sport=80 flags=RA seq=1 win=0 rtt=7.9 ms
len=40 ip=62.146.28.82 ttl=55 DF id=0 sport=80 flags=RA seq=2 win=0 rtt=7.2 ms

hping oldukca güclü bir programdir arastirin göreceksiniz.

bing
Birde pek bilinmeyen bing programi var. Buda ag üzerindeki biri yakin digeri uzak olmak üzere 2 nokta arasindaki baglanti bizini ölcmeye yarar. Tam bir sonuc vermesede hiz konusunda size fikir verebilir.

bing YAKINHOST UZAKHOST

Seklinde calistirin bir süre calistikdan sonra programi CRTL+C tuslari ile sonlandirin ve istatistikleri okuyun..

bing localhost web.de
BING localhost.localdomain (127.0.0.1) and web.de (217.72.195.42)
44 and 108 data bytes (1024 bits)
web.de: 3.241Mbps 0.316ms 0.308594us/bit
web.de: 6.206Mbps 0.165ms 0.161133us/bit
web.de: 13.128Mbps 0.078ms 0.076172us/bit
web.de: 15.515Mbps 0.066ms 0.064453us/bit
web.de: 16.000Mbps 0.064ms 0.062500us/bit
web.de: 17.965Mbps 0.057ms 0.055664us/bit
web.de: 5.689Mbps 0.180ms 0.175781us/bit
web.de: 15.284Mbps 0.067ms 0.065430us/bit
web.de: 16.254Mbps 0.063ms 0.061523us/bit
web.de: 16.787Mbps 0.061ms 0.059570us/bit
web.de: 14.629Mbps 0.070ms 0.068359us/bit
web.de: 11.770Mbps 0.087ms 0.084961us/bit
web.de: minimum delay difference is zero, can’t estimate link throughput
web.de: 19.321Mbps 0.053ms 0.051758us/bit
web.de: 22.261Mbps 0.046ms 0.044922us/bit
web.de: 20.480Mbps 0.050ms 0.048828us/bit

— localhost.localdomain statistics —
bytes out in dup loss rtt (ms): min avg max std dev
44 901 901 0% 0.026 0.035 0.097 0.009
108 901 901 0% 0.024 0.026 0.058 0.003

— web.de statistics —
bytes out in dup loss rtt (ms): min avg max std dev
44 900 900 0% 6.428 6.801 11.475 0.326
108 900 900 0% 6.478 6.837 12.249 0.358

— estimated link characteristics —
host bandwidth ms
warning: rtt big localhost.localdomain 0.024ms < rtt small localhost.localdomain 0.026ms
web.de 20.480Mbps 6.402

test etigim serverin web.de olan baglanti hizi 20.480Mbps …

telnet ile hizmet analiz
beli bir serverin calisip calismadigini test etmek istiyorsunuz telnet ile serverin ilgili portuna ulasip deniyebilirsiniz. Yine www serveri icin 80 portu deniyelim. Ve ceviz.net baglanalim..