İnsanlar bazı zamanlar iletişim için interneti daha çok kullanmakta, bu da çeşitli sıkıntılara yol açmaktadır.

Günümüzde insanlar, “eğlence sitesi, güvenli site” dediği birçok sitenin kendilerini takip ettiğinden habersiz. Ya da kullandıkları IM araçlarını iletişim için çok güvenli sanıyorlar. Şunu akıldan çıkarmamak gerek : İnternette mouse ile tıkladığınız her bir link bile sizin kimliğiniz altında kayıt edilmektedir (Bu kaydı yapan devlet tabii, birde bunu yapan özel şirketler var).

Önce Facebook ve Twitter’dan başlayalım. Facebook hakkınızda nasıl bilgi topluyor ?

Birçok websitesinde “Bu siteyi beğen, Bunun tweet’le” şeklinde Facebookve Twitter imzalı bir tablo görürsünüz. Website sahipleri bunu çok pratik bulduklarından, hemen websitelerinde bu aracı kullanırlar. Burada Facebook ve Twitter’ın amacı websitesine kolaylık sağlamak mı ? Tabii ki de hayır.

Facebook ve Twitter websitesine eklettirdiği o araç ile aslında sizi takip ediyor.

Nasıl mı ?

Siz Facebook ve Twitter’dan çıkış dahi yapmış olsanız. Tarayıcılarınız çerez (cookies) denilen bilgiler depolar. Bu bilgiler sizin Facebook hesabınız ile bağlantılıdır. Siz o tabloyu ekleyen bir websitesine giriş yaptığınızda Facebook ve Twitter, çerez bilgilerinizi alıp hangi websitesinde olduğunuzu tespit ediyor ve kayıt altına alıyor. Yani Facebook ve Twitter girdiğiniz hersiteyi hemen hemen biliyor, çünkü günümüzde birçok websitesi bu aracı kullanmaktadır.

Facebook ve Twitter’ın izlemesini nasıl engellerim ?

Facebook ve Twitter’dan çıkar çıkmaz tarayıcınızdan çerezleri silmelisiniz. Ancak kullanıcılar için bu çok zahmetli bir iş tabii ki de, zahmetli olan çerezleri silmek değil, her çıkışında çerezleri silmek haliyle kullanıcıyı rahatsız eder. Onun için ya sadece bu ve benzeri sitelerini ziyaret etmek için farklı tarayıcı (browser) kullanın ya da kullandığınız tarayıcı için çerezleri otomatik silen bir eklenti edinin (Firefox kullanıcıları bunu kullanabilir : BetterPrivacy).

Bilinçsiz Kullanım

Bunun haricinde bilinçlenmesini istediğim ayrı bir konu ise Sosyal Ağların ve IM (anlık mesajlaşma) araçlarının bilinçsiz kullanılması.
Facebook ve benzeri siteler gönderip sildiğiniz, mesajları, videoları, fotoğrafları kayıt altında tutmaya devam ediyor. Günümüzdeki kaset olayları ile bağlantı kurmak istiyorum ; bugünkü içinde bulunduğunuz durum ile 5-10 yıl sonra içinde bulunduğunuz durum aynı olmayacaktır. Onun için bu sitelerde gönderdiğiniz mesajların, videoların, fotoğrafların gizliliği var ise kesinlikle göndermeyin. İleride başınızı ağrıtabilir. Aynı şey Msn türü araçlar için de geçerli, görüşmelerinizin gizliliği var ise bu araçları kullanmayın, kendinize alternatif araçlar edinin ya da görüşmeleri karşı tarafa şifreli ileten araçlar kullanın (Örneğin : Secway) .

Mail içerisindeki ekleme butonları yada arkadaş talebine onay butonları gerçek adrese gitmez. Siz o linke tikladiginizda saldirganin hazirlamis oldugu sahte bir siteye girersiniz. Birde saldirgan site adini facebook a benzer bir isimde almissa ve biraz dalginsaniz vay halinize Genelde bu sayfada şifrenizi girmenizi ister. Şifrenizi girip login olduğunuzu sanarsınız fakat şifreleriniz çoktan saldırganın eline düşmüş olur.

Bu tip saldırılar internetin en popüler saldırılarından bir tanesidir. Bu şekilde bilinçsiz kullanıcılar avlanır ve şifreleri çalınır. Biraz önce aldığım mail de aynı şekildeydi.

Resimde de görebileceğiniz gibi “Arkadaşı Onayla” butonuna bastığınız zaman gerçek Facebook sayfasına yönlendirme olmaz. Yönlendirme direk olarak saldırganın internet sayfasına gider.

Normalde çok dikkatli olsanız da dahi yinede insanın dalgın bir anına denk gelebiliyor.

Lütfen bağlantılara tıklamadan önce nereye gittiğine dikkatle bakınız. Yada tıkladığınızda en azından adres satırında nereye yönlendiğine dikkat ediniz.

Benden size en saglam cozum : Girmek istediginiz sitelere kesinlikle maildeki linklerden girmeyin.  Siteye kendiniz giris yapip gelen mailin dogrulugunu kontrol etmek icin. Eger bir aktive islemi icin uretilmis ozel bir link var ise bu linke sag tik yapip “kisayolu kopyala” deyig, adres cubunuguna linki yapistirin ve gercek bir link oldugundan emin olun.

SQL Injection

Hakkında : SQL Injection her türlü uygulama-veritabanı ilişkisine sahip her sistemde bulunabilir.  Popülerliğini kaybetmek üzere olan bir açık. Bu açıktan korunmak geliştiricinin görevidir. SQL Injection saldırıyı yapan kişinin query i kırması sonucunda meydana gelmektedir.

Örnek Saldırı : Query şu şekilde olsun  ;
select * from users where username=’#username#’ and password=’#password#’
Bu sorgudan sonra gelen veri boş ise giriş yapılmasın username ve password değişkenleri textbox dan gelmiş olsun. Buna göre ; gelen veri dolu ise, boş değil ise kullanıcı giriş yapmış olsun.  Kullanıcının textbox a ‘or 1=1 girdiği varsayalım,  gelen değerlere göre sorgunun son hali şöyle olacak;
select * from users where username = ‘’or 1=1 and password=’’ or 1=1
Görüldüğü üzere, sql sorgumuz çatladı. Saldırgan kişinin istediği şekli aldı ve giriş yaptı.

Diğer bir saldırı da linklerden gelen saldırılardır. Bunların da çalışma mantığı aynıdır.

Önlem :

• Parametrik sorgu kullanılmalı.
• Linkten gelen anahtar kelimeler (select,insert,update,delete,union,where,*,@@) engellenmeli.

Information Leakage (Bilgi sızdırma)

Uygunsuz hata yönetimi sonucunda ortaya çıkar. Örneğin : Kullanıcı giriş panelinde, “Kullanıcı adı veya şifre hatalı” mesajı yerine “Yanlış şifre girdiniz.” Hatası verilmesi gibi. Böyle bir hatada saldırı yapan kişi kullanıcı adını tutturduğunu anlar, kullandığı araç var ise bu aracı, şifreyi deneme  amaçlı kullanarak zaman kazanabilir ve amacına ulaşmada önemli yol kat etmiş olur.

Bunun haricinde sayfalarda oluşan hataların olduğu gibi kullanıcıya gösterilmesi, önemli derecede tehlike arzetmektedir. Hata özelleştirilip, bir hata sayfasına yönlendirilmel.

Dikkat Edilmesi Gereken Diğer Önemli Konular

• Resim yüklenirken, yüklenen resmin uzantısına değil, metadata’sına bakılmalı.
  Coldfusion örnek kod :
  <cffileaction=”UPLOAD”filefield=”photo”destination=”#upload_folder#”mode=”777″nameconflict=”MAKEUNIQUE” accept=”image/pjpeg,image/jpeg,image/jpg,image/gif,image/png” >
• Kullanıcılardan gönderilen dosyalar önce dosyayı görüntüleyecek kişinin bilgisayarına indirip, ardından açması daha güvenlidir.
  Coldfusion örnek kod :
  <cfheader value=”attachment;filename=dosya_adi”>
  <cfcontent file=”dosya_yolu” type=”application/octet-stream” deletefile=”no”>
• Yönetici giriş sayfalarına güvenlik kodu (captcha) konulması, gelebilecek brute-force saldırılarından koruyacaktır.
• Şifrelerde en az 2 rakam ve en az 1 tane özel karakter bulunmalı.
• Yönetici paneline erişimi olan kişilerin şifrelerini sık sık zorunlu olarak değiştirilmeli.

Hakkında : Günümüzün en kullanışlı açığıdır, bu açık ile birçok “Banka şifreleri, mail şifreleri, para transfer uygulamaları” tehlike altındadır. Açık ile kullanıcı bilgileri uzaktan direkt olarak değiştirilir. Herhangi bir veri çekme söz konusu değildir. Açığın amacına ulaşması için kurban kişinin sistemde online olması gerekmektedir.

İşlemin yapıldığı formda; işlemler hiçbir doğrulama ve kontrole uğramadan gerçekleştiriliyorsa CSRF açığı var demektir.
Saldırı iki çeşitte gerçekleştirilir
-Link yoluyla,
-Form yoluyla.

Örnek saldırı : Bir sistemde para transferi işlemi şu şekilde gerçekleşsin varsayalım ; bank.com/transfer?acc=ali&to=veli&miktar=1000&m=$ (ali veli’ye 1000 $ göndermek istediğinde bu parametreleri girmesi yeterli), hacker veli yerine kendi kullanıcı adını yazar ve kurban bu linke girerse ne olur ? Tabii ki de 1000$ hackera gider. Ancak kullanıcı böyle bir linke girmez, çünkü parametrelerden bir saldırı olduğunu anlayabilir. İşte burada hacker şöyle bir yola başvuracaktır ;
<img src=http://bank.com/transfer?acc=ali&to=hacker&miktar=1000&m=$> img tagına para transfer linki ekleniyor, arka planda parametreler gönderiliyor (resim kaynağı olarak hedef linke giden browser parametreleri istemese de gönderiyor.) ve 1000$ hackerın hesabına gidiyor. Tabii ki kullanıcı sistemde online ise bu işlem gerçekleşecektir.

Şimdi form yolu ile nasıl saldırı yapılıyor onu inceleyelim. Bir form düşünelim ve formda şifre değişikliği esnasında ek bir doğrulama istenmiyor, şifre değişikliğinde sadece yeni şifre girmek yeterli. Bunu farkeden hacker hazırladığı formu kullanıcıya göndermek isteyecektir. Hazırladığı form şöyle ; ek bir doğrulama istenmediğinden, hacker bir form oluşturup, input ların değerlerini kendisi girecektir. JavaScript ile submit işlemini otomatik olarak gerçekleştirecektir ve kurbanın bilgileri artık formda inputlara girilen veriler ile değiştirilmiş olacaktır.

Önlem :
- Get metodu yerine Post metodu kullanılabilir.

- İşlemin yapıldığı sayfaya basitte olsa bir güvenlik kodu konulabilir.

- Değişikliğin yapıldığı sayfada, kullanıcının mevcut şifresi istenebilir.

- İşlemin yapıldığı sayfada referans kontrolü yapılabilir.
– Şifre değişikliği /sifreDegistir.cfm sayfasında gerçekleştiriliyor ise önceden belirlediğimiz bir referanstan gelip gelmediği kontrol edildikten sonra işlem gerçekleştirilmeli.

- Anti XSRF Nonce Token (en etkili metoddur)
– Kullanıcı giriş yaptıktan sonra formda hidden türünde bir input girilir, değer olarak da dinamik bir değer atanır, bu değer kullanıcıya giriş yaptığında özel olarak atadığımız bir cookie ile aynı değerde olmalıdır, işlem gerçekleştirilmek istenildiğinde, hidden daki değer ile cookie değeri aynımı değil mi, eğer aynı değilse işlem gerçekleştirilmemeli.

Günümüzde saldırılar incelediğimizde çoğunlukla 3 alandan gelmektedir.
Web siteye yapılan saldırılar, Sosyal Mühendislik saldırıları ve Server’a direkt olarak yapılan saldırılar.

Web Siteye yapılan saldırılar nelerdir? Ne gibi önlemler alınmalı?

Web Sitelerine yapılan saldırılar incelendiğinde, Hackerlar günümüzde çoğunlukla şu açıkları kullanarak saldırıları gerçekleştirmektedir; XSS (Cross-Site-Script), CSRF(Cross-Site-Request-Forgery), Sql Injection, Information Lekage (Bilgi sızdırma) ve diğer zafiyetler (yazının devamında ele alınmıştır).

XSS (Cross Site Script) Açığı ve Engellenmesi

Hakkında  : Günümüzün en tehlikeli açıkların başında gelmektedir. HTML kod tabanlı bir saldırıdır. Saldırı JavaScript kodları ile gerçekleşir.  Hacker bu açık ile daha kolay olduğu için çoğunlukla kurbanın oturum(session) bilgilerini çalmayı tercih eder. Bunun dışında bu açık ile kurbanın bilgisayarına virüs, keylogger, trojan benzeri zararlı yazılımlar yükleyebilir.
Get yada Post metodu ile gelen verinin hiçbir kontrole uğramadan ekrana basılması sonucunda oluşur. Saldıran kişi genelde deneme-yanılma yöntemi ile açığı bulur.

Örnek saldırı ; Arama kısmında yapılan sorgu sonucunda kullanıcı site.com/ara.aspx?q=nd  sayfasına yönlendirildi. Arama yapılmak istenen veri eğer hiçbir kontrole uğramadan ekrana yazılmış ise, XSS açığı sistemde oluşur. Hacker bunu anlamak için HTML/JavaScript kodlarının çalışıp çalışmadığı kontrol eder ve site.com/ ara.aspx?q=”>

[/code]

gibi bir sorgu gerçekleştirir.
Açığı fark eden hacker saldırıyı çeşitli yollar izleyerek gerçekleştirebilir;
-JavaScript kodu ile cookie bilgilerinizi çalmak isteyebilir,
-JavaScript kodu ile bilgisayarınıza zararlı bir yazım indirmek isteyebilir.

Önlem :

• Get ve Post metodu ile gelen veri her zaman Encode işlemine tabi tutulmalı.
• Linkte “<,>,%3c,%3e,script” kelimeleri engellenmeli.

Ben daha çok önem verdiğim kişisel güvenli üzerinde duracağım, yapılması ve yapılmaması gereken noktalar üzerinde yol göstereceğim,

1. Güncel bir antivirüs yazılımı : Unutmayın ki, sadece antivirüs kullanarak tam güvenlik sağlayamazsınız, hergün yeni virüsler, trojanlar, truva atları çıkıyor, siz bunların önüne antivürüs kullanarak geçemezsiniz, çok tanınmış bir virüs bile olsa, özel yazılımlarla bu virüsün; antivirüs tarafından görülmesi engellenebilir. Antivirüs gerekli bir yazılımdır ancak çok iyi bir kullanıcı da antivirüs yazılımı kullanmadan da kendi güvenliğini sağlayabilir.

2. Dosya indirme/Dosya aktarımı : Kaynağını bilmediğiniz ve programın kim tarafından yazıldığını bilmediğiniz yazılımlarda çok ama çok seçici olun, basit örnek vereyim : bir forumda kaskersky yazılımı verilmiş ardından yazılımın keyi verilmiş olsun, ama yazılımı adam rapidshare.com a yüklemiş (?), neden dersiniz ? Sizce de bi çelişki yok mu ? Çünkü kaspersky yazılımı resmi sitesinden veriliyor zaten, adam niye indirip uğraşıp, dosya paylaşım sitesine göndersin ki, hemen şüphelenmelisiniz. Sadece dosya aktarımını sırasında değil, son senelerde internet sayfalarından bulaşanlar da çoğaldı/çoğalıyor. Ağırlıklı olarak Virüsler, Trojanlar/Truva Atları, hakkında bilgi vericem, yazının son kısmında güvenliğini nasıl alabileceğimizi anlatacağım.

• Virüsler : Her ne kadar yüzlerce fikir olsa da “Neden virüs yazarlar?” sorusu hakkında, bence tek amaçları, kendilerini kanıtlamak, egolarını tatmin etmek Virüslerin genelde belli hedefleri olmaz, yani birine gitsin de kime giderse gitsin mantığı vardır.Flash diskler, cd, ağ paylaşımı ve Internet(e-posta, dosya aktarımı) ile yayılırlar. İstedikleri zaman çalışabilirler, kodlayan kişi 2010 Şubat’ta çalışsın diye kodlayabilir. Kendilerini sürekli başka yerlere kopyalamak isterler. Amaçları sisteme zarar vermektir,  her an her yerden çıkabilir tiptendir Tek başına bir programcık olacağı gibi, başka bir programa da yamalanmış olabilir, genelde yamalanmış şekildedirler.
  • Wormlar/Solucanlar : Worm teriminin Türkçe karşılığı Solucandır. Virüslerin bir alt kategorisi olduğu için çoğu özelliği virüsler ile örtüşür. En önemli özellikleri kendilerini çokça çoğaltma becerileridir.  Örneğin, kendilerini adres defterinizdeki kişilere gönderebilirler, bu internet ağınızın yavaşlanmasına, kilitlenmesine sebep olabilir. Olasılıkla sizin ve başkalarının internet sayfalarını görüntülerken uzun süre beklemenize neden olur.
• Trojanlar/Truva Atları : Truva Atı, trojan teriminin Türkçe karşılığıdır.Truva Atlarının amacı, kurban kişinin bilgilerini çalmaktır. Yarısı virüslerdeki gibi dağılmacı değildir. Diğer yarısı ise dağılmacı özellik gösterir, gene kime olursa olsun, bana bilgileri gelsin de.. Kredi kartı bilgilerinin, mail şifrelerinin vs çalınmasında, en çok kullanılan yöntemlerdendir. Bunlar virüsler gibi başka programlar ile birlikte gelebilir. Bu atlar belkide şuan bilgisayarınızda cirit atıyor, haberiniz yoktur Sürekli çalışma zorunluluğu olduğundan (bilgi gönderecekleri için) kendilerini çoğu zaman başlangıç programlarına kopyalarlar. Bilgisayarınıza bulaştığı an, saldırgan kişi hertürlü bilginize ulaşabilir, bilgisayarınızdan dosya çalabilir, kameranızı açabilir (Eğer kameranızın çalışıyor ışığı yanıyorsa hemen şüphelenin ), bilgisayarda mevcut tüm şifreleri görebilir. Çok tehlikelidirler bu yüzden zeki olmak gerekiyor.
• Keylogger : İsminden de anlaşıldığı üzere, bilgisayarınızda klavyeniz ile yaptığınız tüm işlemleri sürekli takip edip, karşı tarafa gönderir, truva atından daha mı zararsız ? Evet, çünkü amacı sadece klavyenizi takip etmektir. Bu da çok tehlikelidir, sonuçta her türlü bilgiyi klavyenizden giriyorsunuz , sadece klavyenizin değil, farenizin hareketlerinizi de takip edebilirler, tıkladığınız linkler vs. gibi.

Nasıl Korunurum ?

Başta demiştim ya “Çok iyi bir kullanıcı antivirüs kullanmadan da güvenliğini sağlayabilir” bunun temelinde yatan şey, tehlike daha gelmeden önlem almaktır.
“Nasıl” sorusuna cevap vermeden güvenliğinizi tam alamazsınız, bu yüzden yukarıda yazdığım şeyleri okumadan burayı okumanızı tavsiye etmiyoum .

• İnternette saçma sapan internet sitelerinde fazla dolaşmayın, salakça dosyaları kesinlikle indirmeyin
• İnternet Explorer gerekli olmadığı sürece kullanmayın, diğer tarayıcılar  çok daha güvenli, en çok kullanılan iki tarayıcı Firefox, İnternet Explorer olduğu için, saldırılar bunları kullananlar yönünde oluyor, her zaman tarayıcınızın en son versiyonunu kullanın, javascript kodları ile bir internet sayfasına girdiğinizde arkaplanda o yazılım çoktan bilgisayarınıza indirilmiş olabilir.
• Online virüs tarama siteleri var, var taramaları yapmanızda fayda var.
• Kullandığınız mail servis sağlayıcılarının kaliteli olduğundan emin olun, çünkü bahsettiğim gibi mail sunucunuz iyi değilse virüs ve spam ile dolu bir mailiniz olur.
• Yardım edecek diye, güveninden emin olmadığınız kimselerle şifrelerinizi, bilgilerinizi paylaşmayın, bu çok ince bir konu, bu yüzden “Sosyal Mühendislik” başlığı altında ayrı bir konu yazarım ilerleyen günlerde
• Facebook tarzı sitelerde uygulamaları yüklemeyin “aa bu kadar kullanıcı sayısı var” da demeyin, o uygulamalarda ne virüsler, trojanlar dolaşıyor, ki bu uygulamaları ben çok gereksiz görüyorum.

Bu yazılımlar kendilerini başka yerlere kopyalamak ister ve bunu yapabilmeleri içinde sürekli aktif olmaları gerekiyor, bunuda bilgisayarınızın başlangıcına kendilerini kopyalayarak yaparlar. Eğer bilgisayarınızda bu tür yazılımın olduğundan eminseniz;

• Görev yöneticisinde işlemler kısmında şüphelendiğiniz yazılımın işlemini sonlandırabilirsiniz. Dosyanın yolunu sağ tuş tıklayarak Dosya konumunu aç derseniz yazılım bulunduğu dizinde seçilmiş olarak gelir.Buradan onu silin.
• Başlat>Çalıştır> msconfig - başlatma menüsüne geldiğinizde, şüphelendiğiniz illa bir dosya olması gerekiyor, dosyanın kaynağına bakın  o listeden, ardından bulunduğu dizine gidip silebilirsiniz. Tavsiyem, size başlangıçta lazım olmayan bütün programları pasif bırakın, bu hem bilgisayarınızın daha hızlı çalışmasına yardımcı olur.
  • Silinmiyor mu?
    Eğer dosyanın konumunu öğrendiğiniz halde silemiyorsanız, bilgisayarınızı yeniden başlatıp Windows logosu gelmeden f8 tuşuna basın, çıkan listeden Güvenli Mod‘u seçin. Güvenli mod yabancı tüm yazılımların bilgisayar başlangıcında pasif bırakılmasını sağlar. Bilgisayarınız açıldığında dosya konumuna gidip silme işlemini gerçekleştirin

Bu yazıda kişisel güvenlik üzerine durdum, bir dahakine site güvenliğinden devam ederim. Herkese güvenli günler

Diğer bir metod ise direk Google’ın domainini (alan adını) direk olarak ele geçirip yönetmek için yapılan bir saldırıdır. Bunun ise Google ile aslında hiçbir alakası yoktur diyebilirim, çünkü bu tamamen Google’ın domainini barındırdığı şirketin sistemine bağlıdır. Ama şu son zamanlar Google’ın resmi sitelerinin anasayfası çok hacklendi, bunun Google ile hiçbir alakası yoktur, yöntemi size şöyle açıklayayım;

Ele aldığımız site google.com olsun bu domain nic.com da barınır, bu domainin uzantısına göre değişiklik gösterebilir (Örn: google.com.tr nic.tr) saldıran kişi nic.com a girer ve sitede açık aramaya başlar (buna hiç girmeyeceğim, girsem konu çok dağılır). Bazı şirketler öyle bir sistem yazmışlardır ki uğraşıldıktan sonra gerçektende çok basit yöntemlerle tüm domainleri yönetebilecek yetkiyi kapabilirsiniz. İşte bu yöntemlerden biri ile saldıran kişi nic.com da google.com domain hesabınını yöneten kişinin bilgilerini veritabanından çeker (Bu saldıran kişinin yöntemine göre değişebilir, şifresini sıfırlayabilir, admin bilgilerini direk alabilir vs.). Şimdiye kadar anlattığım yöntemlerin Google ile uzaktan yakından bir alakası yoktur, bu tamamen Google’in domaininin barındırdığı şirketin hatasıdır. Yani aslında nic.com u hackliyor ama nic.com yüzünden masum Google’da arada kaynıyor. Domain yönetim hesabını ele geçirdikten sonra artık koskocaman google.com’un yönetimi hackleyen kişinin elindedir. Tabi bu bahsettiğim yönetim sadece domain yönetimidir, Google sistemine herhangi bir şekilde erişim sağlayamaz. Domain yönetimini ele geçirdikten sonra dns adreslerini değiştirdikten sonra domaini babasının malıymış gibi kullanabilir (ta ki adamlar anlayana kadar dicemde 1 saati geçmez sanırım ).

Evet konuyu toparlayayım şöyle ki ; bu bahsettiğim örnek Google içindir, Yahoo, Microsoft.com filan hacklendiğindede tamamen aynıdır Domainin nasıl hacklendiğini anlarım derseniz; Eğer sitenin anasayfası hacklenmişse domain ele geçirilmiştir.

İşin özü için kısaca bir örnek daha  : ndemir.com domainimi barındırdığım yer olan isimtescil.net hackleniyor ve isimtescil.net te barınan domainim ele geçiriliyor gibi Google vs. de aynen böyledir yani

Evet bir elveda daha diyorum ve herkese sağlıklı,mutlu günler diliyorum. Hoşçakalın.

Vesselam.

Save as you work. You should always save your work as you go and learn how to use the ‘auto-save’ features in your application.

Make a backup. Before you make changes to critical data always make a duplicate. Even if you just made a backup yesterday – make another.

Keep a copy of your data offsite. Diligently backing up your data is good practice but keep a copy of your data offsite. If there were a fire or other disaster your onsite data backup could be lost as well.

Refresh your archives. Years ago you archived your data to a zip drive. Now you decide to use that data as a baseline – are you sure there is still a zip drive that can read your data? As technology changes, it is a good idea to transfer your data to a current data storage standard so that you aren’t stuck with irretrievable data. IST provides a backup service.

Never open email attachments by habit. If your email reader has an option to automatically open attachments you should disable that feature. Always run any attachments and downloaded files through a virus scanner first.

Never trust disks from other people. Anytime you receive a file on any type of media check it first for viruses!

Update! Make sure you have the latest updates for your software – especially for your virus checking software. Make it a habit to regularly check for updates and enable automatic updates for software that offers that feature.

Protect your passwords. Your USERID is your identity. The key to your identity is your password. Anytime your account accesses the network you are responsible for any activity from that account! (See UW Usage Policy). Remember: change your password on a regular basis

Protect your computer. Use a secure operating system which requires users to be ‘authenticated’. As an added benefit these operating systems also restrict what individual users can see and do on the system

Perform regular maintenance. Learn how to use the utilities that diagnose your system for problems. It is a good idea to run a disk-scanning program, defragment your harddrive, or whatever else your system might need. These utilities can prevent little problems from becoming big problems, and will keep your system running at top speed. If you need help with a big problem IST has a Hardware Repair Service.

mkdir /usr/local/apache
cd /usr/local/apache
mkdir bin conf logs
chown 0 . bin conf logs
chgrp 0 . bin conf logs
chmod 755 . bin conf logs
It is assumed that /, /usr, and /usr/local are only modifiable by root. When you install the httpd executable, you should ensure that it is similarly protected:
cp httpd /usr/local/apache/bin
chown 0 /usr/local/apache/bin/httpd
chgrp 0 /usr/local/apache/bin/httpd
chmod 511 /usr/local/apache/bin/httpd
You can create an htdocs subdirectory which is modifiable by other users — since root never executes any files out of there, and shouldn’t be creating files in there.

If you allow non-root users to modify any files that root either executes or writes on then you open your system to root compromises. For example, someone could replace the httpd binary so that the next time you start it, it will execute some arbitrary code. If the logs directory is writeable (by a non-root user), someone could replace a log file with a symlink to some other system file, and then root might overwrite that file with arbitrary data. If the log files themselves are writeable (by a non-root user), then someone may be able to overwrite the log itself with bogus data.

——————————————————————————–

Server Side Includes
Server Side Includes (SSI) present a server administrator with several potential security risks.

The first risk is the increased load on the server. All SSI-enabled files have to be parsed by Apache, whether or not there are any SSI directives included within the files. While this load increase is minor, in a shared server environment it can become significant.

SSI files also pose the same risks that are associated with CGI scripts in general. Using the “exec cmd” element, SSI-enabled files can execute any CGI script or program under the permissions of the user and group Apache runs as, as configured in httpd.conf. That should definitely give server administrators pause.

There are ways to enhance the security of SSI files while still taking advantage of the benefits they provide.

To isolate the damage a wayward SSI file can cause, a server administrator can enable suexec as described in the CGI in General section.

Enabling SSI for files with .html or .htm extensions can be dangerous. This is especially true in a shared, or high traffic, server environment. SSI-enabled files should have a separate extension, such as the conventional .shtml. This helps keep server load at a minimum and allows for easier management of risk.

Another solution is to disable the ability to run scripts and programs from SSI pages. To do this, replace Includes with IncludesNOEXEC in the Options directive. Note that users may still use <–#include virtual=”…” –> to execute CGI scripts if these scripts are in directories designated by a ScriptAlias directive.

——————————————————————————–

Non Script Aliased CGI
Allowing users to execute CGI scripts in any directory should only be considered if;

You trust your users not to write scripts which will deliberately or accidentally expose your system to an attack.
You consider security at your site to be so feeble in other areas, as to make one more potential hole irrelevant.
You have no users, and nobody ever visits your server.

——————————————————————————–

Script Aliased CGI
Limiting CGI to special directories gives the admin control over what goes into those directories. This is inevitably more secure than non script aliased CGI, but only if users with write access to the directories are trusted or the admin is willing to test each new CGI script/program for potential security holes.

Most sites choose this option over the non script aliased CGI approach.

——————————————————————————–

CGI in General
Always remember that you must trust the writers of the CGI script/programs or your ability to spot potential security holes in CGI, whether they were deliberate or accidental.

All the CGI scripts will run as the same user, so they have potential to conflict (accidentally or deliberately) with other scripts e.g. User A hates User B, so he writes a script to trash User B’s CGI database. One program which can be used to allow scripts to run as different users is suEXEC which is included with Apache as of 1.2 and is called from special hooks in the Apache server code. Another popular way of doing this is with CGIWrap.

——————————————————————————–

Other sources of dynamic content
Embedded scripting options which run as part of the server itself, such as mod_php, mod_perl, mod_tcl, and mod_python, run under the identity of the server itself (see the User directive), and therefore scripts executed by these engines potentially can access anything the server user can. Some scripting engines may provide restrictions, but it is better to be safe and assume not.

——————————————————————————–

Protecting System Settings
To run a really tight ship, you’ll want to stop users from setting up .htaccess files which can override security features you’ve configured. Here’s one way to do it.

In the server configuration file, put
AllowOverride None

This prevents the use of .htaccess files in all directories apart from those specifically enabled.

——————————————————————————–

Protect Server Files by Default
One aspect of Apache which is occasionally misunderstood is the feature of default access. That is, unless you take steps to change it, if the server can find its way to a file through normal URL mapping rules, it can serve it to clients.

For instance, consider the following example:

# cd /; ln -s / public_html
Accessing http://localhost/~root/
This would allow clients to walk through the entire filesystem. To work around this, add the following block to your server’s configuration:
Order Deny,Allow
Deny from all

This will forbid default access to filesystem locations. Add appropriate blocks to allow access only in those areas you wish. For example,
Order Deny,Allow
Allow from all

Order Deny,Allow
Allow from all

Pay particular attention to the interactions of and directives; for instance, even if denies access, a directive might overturn it.

Also be wary of playing games with the UserDir directive; setting it to something like “./” would have the same effect, for root, as the first example above. If you are using Apache 1.3 or above, we strongly recommend that you include the following line in your server configuration files:

UserDir disabled root

İlk önce genel yöntemlerden başlıyayım ;

1. Domain paneli sizin yönetiminiz altında bulunsun ve şifreleri kesinlikle kimseyle paylaşmayın.
2. Host firmanız yerli ise Faaliyet Belgesinin olmasına kesinlike dikkat edin
3. Şifrenizi oluştururken şifrenizin içinde !’^+%&/()#=*.: türü karakterler bulundurun ve şifrenizi 6 karakterden fazla yapmaya çalışın.
4. Admin panelinizi /admin /yonetici değilde daha özel şeyler girerek admin panelinin bulunmasını en aza indirin ve yapabiliyorsanız yönetici panelini siteden bağımsız yapın yani herhangi bir yazıyı düzenlemek için vs link koymayın, eğer bu sizin işinizi zorlaştırıcaksa ve bunu yapamayacaksanız admin panelinize kesinlikle dizin şifrelemekoyun. Bunu Plesk, Cpanel ve Directadmin panellerinden yapabilirsiniz. Eğer nasıl yapabileceğiniz hakkında bir bilginiz yoksa Buradan bakabilirsiniz, eğer bu tür sistemlerin kullanmıyorsanız, .htaccess içerisinden de bunu yapabilirsiniz.
5. Websitenizde kullanacağınız dosyaları kaynağı güvenilir yerlerden indirip kullanın. Neden derseniz, basit bir örnek vereyim ; bir get.php dosyasını karşı taraftan aldınız ve siz kodları vs. hiç kontrol etmeden sitenize attınız bunu yapmakla aslında koskocaman 2 tane yol açtınız sitenize girilmesi için peki bunlar ne ; 1. Siz o dosyayı websitenizde çalıştırır çalıştırmaz karşı tarafa bazı bilgiler gider (Ne gibi bilgiler : Dosyanın tam url adresi, sizin cookie adresiniz, IP adresiniz vs.)  cookie karşı tarafa gittimi zaten hacklenmeniz çok yüksek. 2. İse karşı taraf get.php içerisine bir kod koymuştur bu kod sayesinde Uzaktan Dosya Çağırma (Remote File Include) ile ftp i kontrol edebilir veritabanınızdan bilgi değiştirebilir ve bütün dosyalarınızın kaynak kodlarını görebilir ve bu yöntem ile sadece sizin değil eğer serverda biraz güvenlik sorunu varsa serverdaki bütün siteler hacklenebilir.
6. Eğer kullandığınız script hazır ise veritabanı adini/yolunu kesinlikle değiştirin. Örneğin veritabanı yolu /db/forumwww.mdb ise siz bunu /kimsin/nurullah.mdb gibi değiştirin.
7. FTP Sunucunuzda Anomizer Login’e izin vermeyin. Özellikle WinNT yada Win2000 kullaniyorsanız.
8. İletişim kısmından atılan mesajlar admin panelden değil de daha çok mailden kontrol edilsin, yani iletişim kısmından gönderilen formlar mailinize gönderilsin ve Outlook & Windows Live Mail gibi programlar kullanarak mailinizi kontrol etmeniz daha faydalı.

Zaman kısıtlılığı nedeniyle şimdilik bu kadar yazıyorum ilerleyen zamanlarda inş. devam edeceğim

Selametle