Merhaba Bünyamin kardeşim bu tip saldırıları ISP olarak aldık, önlemenin tek yolu sunucunun önüne juniper tarzı bir firewall yerleştirmek bu şekilde bir nebzede olsa çözüm saglamış olduk. Savcılıga suç duyurusunda bulunabilirsin fakat bu sure çok uzun bir süreç olucak, yapan şahıslar yakalansada daha sonra bu tarz şeyler yeniden başına gelebilir. ----- Original Message ----- From: Bünyamin To: [email protected] ; [email protected] Sent: Sunday, October 04, 2009 12:10 AM Subject: [Linux-guvenlik] google üzerinde saldırı
Selamlar, Yönetimini yaptığım bir sitede, bir anda online üye patlaması yaşadım. Loglara baktığımda aşağıdaki sonuçlara ulaştım. Saldırı sunucuyu kasmıyor, ama artarak devam ediyor. Saldırı google adwords'e reklam vermeye başladığımız anda başladı. Yaptığım araştırmalarda öğrendim ki, google adwords 'de çıkmamızı bloke etmek için yapılırmış bu tarz saldırılar. Saldırıyı kökten engellemek için şöyle bir önlem aldım. access_log içinde fx15diyet.com geçen tüm satırları listelettim. O bağlantıyı yapan tüm ip adreslerini iptables ile bloklattım. Şu anda toplam 952 farklı ip adresi bloklanmış durumda. Bloklanan ip adresleri de durmadan artıyor :). Acaba herhangi bir şekilde bu işi önleyemezmiyiz ? Bir de sormak istiyorum, bu şekilde saldırı alan arkadaşlar hiç hukuksal yola başvurdular mı ? Sonuç alındı mı? Türkiye bu konuda yeteri kadar ileri mi? Eğer olumlu sonuç alınıyorsa, biz de savcılığa suç duyurusunda bulunabiliriz. # netstat -n | grep : | wc -l 278 # netstat -n | grep -iE 'SYN|FIN' | wc -l 34 # tail -f logs 78.191.235.148 - - [03/Oct/2009:23:36:54 +0300] "GET /son_dakika.php?encode=iso-8859-9 HTTP/1.1" 200 507 "http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 78.191.235.148 - - [03/Oct/2009:23:36:55 +0300] "GET /magazin_haber.php?encode=iso-8859-9 HTTP/1.1" 200 1854 "http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 88.253.173.113 - - [03/Oct/2009:23:36:56 +0300] "GET /son_dakika.php?encode=iso-8859-9 HTTP/1.1" 200 507 "http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 85.104.80.45 - - [03/Oct/2009:23:36:57 +0300] "GET /son_dakika.php?encode=iso-8859-9 HTTP/1.1" 200 507 "http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 85.104.80.45 - - [03/Oct/2009:23:36:57 +0300] "GET /magazin_haber.php?encode=iso-8859-9 HTTP/1.1" 200 1854 "http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 78.170.166.240 - - [03/Oct/2009:23:37:01 +0300] "GET /son_dakika.php?encode=iso-8859-9 HTTP/1.1" 200 507 "http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; .NET CLR 2.0.50727)" 92.44.122.180 - - [03/Oct/2009:23:37:02 +0300] "GET /son_dakika.php?encode=iso-8859-9 HTTP/1.1" 200 507 "http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6)" 92.44.122.180 - - [03/Oct/2009:23:37:02 +0300] "GET /magazin_haber.php?encode=iso-8859-9 HTTP/1.1" 200 1854 "http://www.google.com.tr/search?hl=tr&q=fx15diyet.com&btnG=Ara&meta="; "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6)" ------------------------------------------------------------------------------ _______________________________________________ Linux-guvenlik mailing list [email protected] http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik __________ NOD32 4478 (20091003) Information __________ This message was checked by NOD32 antivirus system. http://www.eset.com
_______________________________________________ Linux-guvenlik mailing list [email protected] http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
