Çözüldü Port tarama saldırısı

24099 dedi:

Port taraması genelde uzaktaki hedef sistemi açık ve kapalı portları tarayarak bilgi toplama amaçlı bir işlemdir.

Kötü amaçlı kullanılmaması açısından burada işlevine yönelik daha fazla bilgi vermiyorum.

Neden size yapıldığına ve sebeplerine gelecek olursak;

• VPN yüzünden olabilir. (Büyük ihtimalle.)
• IP statik ise IP adresinin birisi tarafından bilinmesi.
• Bahsedildiği gibi ISS firmanızın olma ihtimali.
• Modeminiz veya network içinde kullandığınız cihazlardan birindeki güvenlik açıkları.
• Hedef olmanız. (En düşük ihtimal verdiğim.)

Sebepleri tahminen bunlar olabilir. Bu tarz saldırılar ilk ve tek değil ama. Çokça kez böyle saldırılar yapılıyor.

Nasıl engelleyeceğinize gelecek olursak;

• Modem ve diğer ağ cihazlarınızın resetlenmesi ve firmware güncellemesi yapılması.
• ICMP, FTP, Telnet, SNMP, uzaktan modem erişimi ve varsa dinamik DNS gibi protokol ile servislerin kapatılması.
• Modem güvenlik duvarının yeterli düzeyde açık tutulması.
• VPN kullanmamak. (Piyasadaki birçok ücretli ve ücretsiz VPN saldırılara uğrayabiliyor.)
• Modemde açılan portlar ve port yönlendirmeleri varsa kapatılması.
• Bilgisayarınızda ve ağdaki diğer cihazlarınızda güncel ve iyi bir IS bulundurulması

Bunları yaparak öncekine nispeten önlem alabilirsiniz.

Genişletmek için tıkla...

Değerli yanıtınız için öncelik çok teşekkür ediyorum ve yavaş yavaş sorulara geçiyorum tekrardan .

Şimdi ilk olarak kafama benim IP adresim sürekli aynı kalıyor bildiğim kadarıyla o yüzden bunların devamı gelir mi sıkıntıda mıyım diye düşünüyorum (dediğiniz önlemleri alsam da). Acaba bu böyle mi kalacak?

İkinci olarak dediğiniz gibi bir av kurdum ve taramalarımı yaptım, ilaveten modemi resetleyip firewall ile alakalı şeyleri kontrol ettim (firewall açık yazıyor). Lakin gelin görün ki 1 saat önce şu şekilde tarama yapılmış: 2020-05-15T18:48:42Z [Alert] firewall security alert![Port Scan] attack,Remote (source) address:80.82.77.221, dest address:benim IP, source port:57675, dest port:7757.[Appear 72 times]

Bunun üzerine ne yapmamı önerirsiniz? Hedef olabilmek için 23 Nisan'dan bu güne ne yapmış olmam lazım da 55 tane port tarama saldırısı yemiş olayım? Gerçekten şaşırdım. Bahsettiğiniz portlar vesaire ile ilgili aksiyonları nasıl alabilirim acaba çok bilgim olmayan bir konu, belirli bir rehber var mı? Dediklerinizi port kapatma harici (ki açık olan var mı bilmiyorum) yaptım. Ne önerirsiniz?

Son olarak sizce tedirgin olmalı mıyım ve bunun neden, nasıl evdeki hangi cihaza karşı yahut hangi cihazdaki açıktan dolayı yapıldığını öğrenebilir miyim? En önemlisi bu sorunu çözebilir miyim sizce?


İki de fotoğraf ekliyorum arayüz'den belki işe yarar ama sanmıyorum .

Teşekkürler

Size taramada bulunan adres hakkında AbuseIPDB üzerinde 1034 rapor bulunuyor.


Sadece size değil başka kişilere de aynı kaynaktan port taraması yapılmış.

Tahminim interneti otomatik olarak tarayıp exploit denemesi yapan lanet botlardan biri. (Ben güvenlik yazılımı kullanmıyorum kendimi koruyorumcular dikkat etsin bu kısma.)

IP adresiniz dediğiniz gibi statik ise ve siz bunu bilerek almadıysanız müşteri hizmetleri ile görüşmenizde yarar var. Dediklerim dışında yapmanız gereken dinamik IP adresine geçiş yapmanızdır.

Port kapatma işlemini siz açtıysanız kapatın demiştim. Önceden açtığınız portlar yoksa kapatmayla uğraşmayın.

Gerekli dediğim güvenlik önlemlerini aldıysanız dinamik IP adresine geçtikten sonra modemi kapatıp açın.

Bilinmeyen linklere tıklamayın, VPN yazılımlarından uzak durun. İşletim sisteminizi ve yazılımlarınızı güncel tutun. Dinamik IP geçiş yapıp değiştirin IP adresinizi.

Bu arada bundan kaçarız ama tedbir almadan önüne geçemeyiz. Yapmamız gereken önceki mesajda yazdıklarıma ek olarak sistemlerimizi güncel tutup, iyi bir IS, modemde iyi bir yapılandırmaya sahip firewall kullanmak ve sistemimizdeki zafiyetleri tespit edip gerekli güncellemeleri yaparak kapatmak alınabilecek tedbirlerdir.

Ev kullanıcıları kendi sistemleri için basit zafiyet taramasını aşağıdaki araçla yapabilirler.


Ek olarak çok sevdiğim bir siber güvenlik uzmanı olan Mert Sarıca'nın buna benzer bir konu ile alakalı aşağıdaki yazısını da okuyabilirsiniz.

24099 dedi:

Size taramada bulunan adres hakkında AbuseIPDB üzerinde 1034 rapor bulunuyor.

80.82.77.221 | FiberXpress BV | AbuseIPDB

www.abuseipdb.com

Sadece size değil başka kişilere de aynı kaynaktan port taraması yapılmış.

Tahminim interneti otomatik olarak tarayıp exploit denemesi yapan lanet botlardan biri. (Ben güvenlik yazılımı kullanmıyorum kendimi koruyorumcular dikkat etsin bu kısma.)

IP adresiniz dediğiniz gibi statik ise ve siz bunu bilerek almadıysanız müşteri hizmetleri ile görüşmenizde yarar var. Dediklerim dışında yapmanız gereken dinamik IP adresine geçiş yapmanızdır.

Port kapatma işlemini siz açtıysanız kapatın demiştim. Önceden açtığınız portlar yoksa kapatmayla uğraşmayın.

Gerekli dediğim güvenlik önlemlerini aldıysanız dinamik IP adresine geçtikten sonra modemi kapatıp açın.

Bilinmeyen linklere tıklamayın, VPN yazılımlarından uzak durun. İşletim sisteminizi ve yazılımlarınızı güncel tutun. Dinamik IP geçiş yapıp değiştirin IP adresinizi.

Bu arada bundan kaçarız ama tedbir almadan önüne geçemeyiz. Yapmamız gereken önceki mesajda yazdıklarıma ek olarak sistemlerimizi güncel tutup, iyi bir IS, modemde iyi bir yapılandırmaya sahip firewall kullanmak ve sistemimizdeki zafiyetleri tespit edip gerekli güncellemeleri yaparak kapatmak alınabilecek tedbirlerdir.

Ev kullanıcıları kendi sistemleri için basit zafiyet taramasını aşağıdaki araçla yapabilirler.

Güvenlik Açığı Tarama ve Düzeltme

1: Anasayfa 2: Tarama sonuçları 3: Ayarlar 4: Lisans bilgisi, kalan lisans zamanı vs. 5: Veritabanı güncelleme butonu 6: Sistem tarama 7: Yazılımsal olarak bulunan güvenlik açıkları 8: İşletim sistemi açıkları 9: Tespit edilen yazılımsal açıkları 10: İşletim sisteminde tespit edilen güvenlik...

www.technopat.net

Ek olarak çok sevdiğim bir siber güvenlik uzmanı olan Mert Sarıca'nın buna benzer bir konu ile alakalı aşağıdaki yazısını da okuyabilirsiniz.

Sanal Kuşatma | Hack 4 Career

Hatırlarsanız penetrasyon testi için firma seçiminde honeypot kullandığımdan bahsetmiştim. Honeypot'u hazırlarken zaman zaman internet üzerinden erişime açıyordum. Dikkatimi çeken bir nokta, erişime açar açmaz yaklaşık 3 saat içerisinde Çin ve Rusya kaynaklı IP adreslerinden önce SSH bağlantı...

www.mertsarica.com

Genişletmek için tıkla...

Hocam size gerçekten çok teşekkür ediyorum konu ile ilgili aktardığınız bilgiler çok değerli. Bununla beraber ben de nihai bir sonuca varınca burada her şeyi baştan sona açıklayıp insanlar için fikir oluşturacak bir konu olmasını istiyorum. Mümkünse konu adına bir de parantez içinde "port scan attack" eklersek bu şekilde arama yapanlar da ulaşabilir diye düşündüm.

Konuya dair ekleme yapacağım sizi de yoruyorum ama kusuruma bakmayın lütfen. Şimdi ben internete iki cihaz vasıtasıyla bağlanıyorum. Birinci cihaz ZTE marka modem ve ikincisi ona kablo ile bağlı olan TP-Lin marka acces point.

Bu işlerden pek anlamadığım için yanlış bilgi aktarmış olabilirim ama sanırım benim modem arayüzünde gözüken IP adresim dinamik oluyor. Yani IP türü DHCP yazıyor. Modemi açıp kapattığımda da bu IP adresi değişiyor bunu kontrol ettim. İlk başta kontrolü detaylı yapmadığım için IP değiştiğini fark etmedim, çünkü başı 78 ile başlıyordu aa aynı işte oldu muhtemelen kafamda.

Şimdi ben belirli aralıklar ile ZTE modemi açtım kapattım IP değişti ama modem başladıktn 4 dakika sonra saat 03:26'da Kazakistan'dan şu: WHOIS 178.91.222.79 | Metro Ethernet Network | AbuseIPDB adres port tarama yapmış. Görünüşe göre bir siteye ait IP ki alakam yok.

Acaba bu IP adresleri mi diyeyim kurumlar mı bilemiyorum sıra sıra IP adreslerini tek tek deniyorlar da bana mı denk geliyor?

Acces pointimi kurarken seçtiğim static IP (TP-Link kurulum videosunda böyleydi) seçeneğinden mi kaynaklı (hep acces pointin sağladığı ağa bağlıyım ve oradan sorgulatsam da IP modem yeniden başlatıldığında değişiyor)?

Biri bana kafayı mı taktı diyeceğim ama mesela hiçbir IP adresi aynı anda 2 kere saldırıp vazgeçmekten öteye gitmemiş. Yani her saldırıda yeni bir arkadaşla yüz yüzeyim. Bunun sebebini bir bulabilsem içim rahatlayacak dediğiniz önlemleri anladığım kadarıyla elimden geldiğince aldım ama bir hatam varsa da bilemiyorum.

Secpodu kurdum tarama yaptım, Kaspersky kurulu ve aktif önüme gelen her güncellemeyi yapıyorum. Bu saldırılardan modem arayüzünde gözükenler dışında başarılı olmuş ve bilgisayara, ağıma sızmış olan var mıdır diye de çekiniyorum açıkçası.

Modemin arayüzünde de güncelleme yahut bir firewall yapılandırması göremedim orayla alakalı bir durum da yoktur diye düşünüyorum. İlginç olan ise bu hususta konu sayısı 10U geçmiyor, ama benim sürekli IP adresi değişen, daha 1 ay önce kurulmuş internetime her yerden port taraması yapılıyor.

Mustafa Yalçınkaya dedi:

Hocam size gerçekten çok teşekkür ediyorum konu ile ilgili aktardığınız bilgiler çok değerli. Bununla beraber ben de nihai bir sonuca varınca burada her şeyi baştan sona açıklayıp insanlar için fikir oluşturacak bir konu olmasını istiyorum. Mümkünse konu adına bir de parantez içinde "port scan attack" eklersek bu şekilde arama yapanlar da ulaşabilir diye düşündüm.

Genişletmek için tıkla...

Etiketlere "port scan attack" ekledim şimdilik. Uygun olursa başlığı da değiştiririm sonra.

Mustafa Yalçınkaya dedi:

Konuya dair ekleme yapacağım sizi de yoruyorum ama kusuruma bakmayın lütfen.

Genişletmek için tıkla...

Estağfurullah. Zaten soru cevaplamak ve sormak için buradayız.

Bu sana özgü bir durum veya interneti bağlamanla sadece sende başlayan bir şey değil. Dediğim gibi interneti tarayan ve uygun portlar, yazılımlar ve sistem hakkında bilgi edindikten sonra exploit denemesi yapan botlar bunlar çoğunlukla.

Gerekli önlemleri ve dediklerimi zaten anlattığınız kadarıyla yapmışsınız. Bunun dışında yapacağınız bir şey yok. Zaten bu işin iyi yanına bak ki modem güvenlik duvarın bunu engelliyor ki sen görüyorsun engellediğini.

Mert Sarıca'nın dediği gibi. Sanal kuşatmadayız hepimiz.

24099 dedi:

Port taraması genelde uzaktaki hedef sistemi açık ve kapalı portları tarayarak bilgi toplama amaçlı bir işlemdir.

Kötü amaçlı kullanılmaması açısından burada işlevine yönelik daha fazla bilgi vermiyorum.

Neden size yapıldığına ve sebeplerine gelecek olursak;

• VPN yüzünden olabilir. (büyük ihtimalle.)
• IP statik ise IP adresinin birisi tarafından bilinmesi.
• Bahsedildiği gibi ISS firmanızın olma ihtimali.
• Modeminiz veya network içinde kullandığınız cihazlardan birindeki güvenlik açıkları.
• Hedef olmanız. (en düşük ihtimal verdiğim.)

Sebepleri tahminen bunlar olabilir. Bu tarz saldırılar ilk ve tek değil ama. Çokça kez böyle saldırılar yapılıyor.

Nasıl engelleyeceğinize gelecek olursak;

• Modem ve diğer ağ cihazlarınızın resetlenmesi ve Firmware güncellemesi yapılması.
• Icmp, FTP, telnet, snmp, uzaktan modem erişimi ve varsa dinamik DNS gibi protokol ile servislerin kapatılması.
• Modem güvenlik duvarının yeterli düzeyde açık tutulması.
• VPN kullanmamak. (piyasadaki birçok ücretli ve ücretsiz VPN saldırılara uğrayabiliyor.)
• Modemde açılan portlar ve port yönlendirmeleri varsa kapatılması.
• Bilgisayarınızda ve ağdaki diğer cihazlarınızda güncel ve iyi bir ıs bulundurulması.

Bunları yaparak öncekine nispeten önlem alabilirsiniz.

Genişletmek için tıkla...

Merhaba gelen erişim engellerinden sonra VPN sık sık kullanıyorum ve her VPN kullandığımda internet 1 2 saniyeliğine gidiyor ve oyundan atıyor loglarda ise bu tarz şeyler yazıyor çözümü varsa lütfen anlatır mısınız?