Selamlar, Yönetimini yaptığım bir sitede, bir anda online üye patlaması yaşadım. Loglara baktığımda aşağıdaki sonuçlara ulaştım. Saldırı sunucuyu kasmıyor, ama artarak devam ediyor. Saldırı google adwords'e reklam vermeye başladığımız anda başladı.
Yaptığım araştırmalarda öğrendim ki, google adwords 'de çıkmamızı bloke etmek için yapılırmış bu tarz saldırılar. Saldırıyı kökten engellemek için şöyle bir önlem aldım. *access_log* içinde *fx15diyet.com* geçen tüm satırları listelettim. O bağlantıyı yapan tüm ip adreslerini iptables ile bloklattım. Şu anda toplam 952 farklı ip adresi bloklanmış durumda. Bloklanan ip adresleri de durmadan artıyor :). Acaba herhangi bir şekilde bu işi önleyemezmiyiz ? Bir de sormak istiyorum, bu şekilde saldırı alan arkadaşlar hiç hukuksal yola başvurdular mı ? Sonuç alındı mı? Türkiye bu konuda yeteri kadar ileri mi? Eğer olumlu sonuç alınıyorsa, biz de savcılığa suç duyurusunda bulunabiliriz. # netstat -n | grep : | wc -l 278 # netstat -n | grep -iE 'SYN|FIN' | wc -l 34 # tail -f logs 78.191.235.148 - - [03/Oct/2009:23:36:54 +0300] "GET /son_dakika.php?encode=iso-8859-9 HTTP/1.1" 200 507 " http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 78.191.235.148 - - [03/Oct/2009:23:36:55 +0300] "GET /magazin_haber.php?encode=iso-8859-9 HTTP/1.1" 200 1854 " http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 88.253.173.113 - - [03/Oct/2009:23:36:56 +0300] "GET /son_dakika.php?encode=iso-8859-9 HTTP/1.1" 200 507 " http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 85.104.80.45 - - [03/Oct/2009:23:36:57 +0300] "GET /son_dakika.php?encode=iso-8859-9 HTTP/1.1" 200 507 " http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 85.104.80.45 - - [03/Oct/2009:23:36:57 +0300] "GET /magazin_haber.php?encode=iso-8859-9 HTTP/1.1" 200 1854 " http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 78.170.166.240 - - [03/Oct/2009:23:37:01 +0300] "GET /son_dakika.php?encode=iso-8859-9 HTTP/1.1" 200 507 " http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; .NET CLR 2.0.50727)" 92.44.122.180 - - [03/Oct/2009:23:37:02 +0300] "GET /son_dakika.php?encode=iso-8859-9 HTTP/1.1" 200 507 " http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6)" 92.44.122.180 - - [03/Oct/2009:23:37:02 +0300] "GET /magazin_haber.php?encode=iso-8859-9 HTTP/1.1" 200 1854 " http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6)"
_______________________________________________ Linux-guvenlik mailing list [email protected] http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
