Web sitem layer7 saldırısı yiyor

Tortue dedi:
Sitenin bir kaç üyesi var o yüzden hocam.
Genişletmek için tıkla...
Sen login koruması diyince olayı bayağı yanlış anlamışsın sanırım :)

Bahsettiğim mevzu şu ;) Doğrulama mesajına da tanımladığın kullanıcı adı ile şifreyi yazarsın. Siteye giren kutucuğa doldurup girer. Okuyunca anlarsın zaten.

blog.cliaweb.com

Htaccess İle Klasör Şifreleme

Htaccess İle Klasör Şifreleme, dizin şifreleme makalemiz.
blog.cliaweb.com
 
24099 dedi:
Sen login koruması diyince olayı bayağı yanlış anlamışsın sanırım :)

Bahsettiğim mevzu şu ;) Doğrulama mesajına da tanımladığın kullanıcı adı ile şifreyi yazarsın. Siteye giren kutucuğa doldurup girer. Okuyunca anlarsın zaten.

blog.cliaweb.com

Htaccess İle Klasör Şifreleme

Htaccess İle Klasör Şifreleme, dizin şifreleme makalemiz.
blog.cliaweb.com
Genişletmek için tıkla...

Evet hocam doğru anlamışım ama sadece tek bir kullanıcı giriş yapabiliyor diye biliyordum, eğer etkili olacaksa bunu da yapabilirim ama önceliğim saniyeler içerisinde gelen aşırı istekleri yollayan IP'yi .htaccess'a yazıp banlamak. :) Teşekkür ederim değerli yorumunuz için.
 
Tortue dedi:
Evet hocam doğru anlamışım ama sadece tek bir kullanıcı giriş yapabiliyor diye biliyordum, eğer etkili olacaksa bunu da yapabilirim ama önceliğim saniyeler içerisinde gelen aşırı istekleri yollayan IP'yi .htaccess'a yazıp banlamak. :) Teşekkür ederim değerli yorumunuz için.
Genişletmek için tıkla...
Tek kullanıcı girişi değil.

Bu kullanıcı adı ve şifreyi giremeyenler siteye erişemezler. E zaten kullanıcı adı ve şifreyi de açıklamaya yazacaksın. Gerçek insanlar giriş yapabilecek. Botlar ise şifre ve kullanıcı adı girişi yapamadığı için sıkıntı yaşayacak ve engellenecek. Yani etkili bir yöntem.

Dediğin yöntemle bu yöntem ikisi bir arada olabilir.
 
24099 dedi:
Tek kullanıcı girişi değil.

Bu kullanıcı adı ve şifreyi giremeyenler siteye erişemezler. E zaten kullanıcı adı ve şifreyi de açıklamaya yazacaksın. Gerçek insanlar giriş yapabilecek. Botlar ise şifre ve kullanıcı adı girişi yapamadığı için sıkıntı yaşayacak ve engellenecek. Yani etkili bir yöntem.

Dediğin yöntemle bu yöntem ikisi bir arada olabilir.
Genişletmek için tıkla...

Anladım hocam. Şu anda dediğim script'i hazırladım, aynı zamanda test amaçlı bir saldırı deniyorum fakat işe yaramadı sanırım. Dediğiniz yöntemi yapacağım gibi duruyor, script üzerinde bir kaç ayar daha yapıp çalıştırmayı deneyeceğim. Çalışmaz ise dediğiniz yöntemi yapacağım.
 
Tortue dedi:
Anladım hocam. Şu anda dediğim script'i hazırladım, aynı zamanda test amaçlı bir saldırı deniyorum fakat işe yaramadı sanırım. Dediğiniz yöntemi yapacağım gibi duruyor, script üzerinde bir kaç ayar daha yapıp çalıştırmayı deneyeceğim. Çalışmaz ise dediğiniz yöntemi yapacağım.
Genişletmek için tıkla...
Bekliyorum sonucu.

Buradan yazarsın duruma göre. Şimdilik ikinci bir mesaj yazma sonra bildirim gelmiyor çünkü yeni şeyler yazınca.
 
24099 dedi:
Bekliyorum sonucu.

Buradan yazarsın duruma göre. Şimdilik ikinci bir mesaj yazma sonra bildirim gelmiyor çünkü yeni şeyler yazınca.
Genişletmek için tıkla...

Hocam session oturumu başlamıyor bu yüzden çalışmamış. Doğrudan yazdırıyorum mesela session kontrolü yapmadan, istek yollayan kişinin IP adresini, bu şekilde başarılı şekilde yazıyor. Session şeklinde değil de JSON olarak kaydedeceğim ve bu şekilde kontrol edeceğim. Zamanlayıcı ile de belirlediğim saniye içerisinde IP adresi silinecek böylece isteği sıfırlanmış olacak.

Örnek verecek olursam 10 saniye içerisinde aynı IP adresi 200 kez yazıldı ise JSON dosyasına, bu kişiyi banlayacak. 10 Saniye içerisinde 200 isteğe ulaşmayan IP adresleri JSON dosyasından silinecek, normal kullanıcı olarak algılanacak. (%100 işe yarayacağından emin değilim, yaramayacak ama bir nevi yardımı olacağının kanaatindeyim.)

Bu şekilde düşünüyorum, MySQL'e yazdırmak aklıma geldi ama bu işleri çok çok daha kötü eder. :D

Adsız.png


Şu şekilde JSON dosyasına yazdırıyorum her istekleri, bitiminde tekrar ekleyeceğim.

1595198328580.png
 
Son düzenleme:
24099 dedi:
Basit bir stresser ile yapıyor bunu. Maalesef internet kullanımı arttıkça böyle lamerlar artıyor
Genişletmek için tıkla...

Aynen hocam maalesef. Biz siber güvenlikçilerin de başını en çok ağrıtan sorunlar DDoS ve spam mail. Her ikisinin de doğrudan çözümü yok.

Konuya gelirsek, CF arkasına site alındığı zaman saldırı denemeleri devam etmesine rağmen etkisi olmamış. Bu da demektir ki saldırı yapan kişi, karşısında CF olduğundan bile habersiz. Yüksek ihtimalle de IP spoof tekniği kullanıyor. Nmap veya hping gibi programlarla oldukça basit bir iş. Kaynak IP adresi değiştirilip paket gönderiliyor ve dolayısıyla cevap alamıyor. Tek amaç, sunucunun işlemci kullanımını yüzde 100'e çıkarmak.

CF bypass methodları olmasına rağmen basit bir script kiddy işi olduğu için endişe etmeye gerek yok. Yöntem öğretmek gibi olacağı için detay vermeyim. Fakat o methodlara karşı bile sunucu tarafına SSH ile bağlantı kurup snort kuralı ile engellemek mümkün (tabii hosting firması buna müsaade ediyorsa).
 
Son düzenleyen: Moderatör:
329088 dedi:
Fakat o methodlara karşı bile sunucu tarafına ssh ile bağlantı kurup snort kuralı ile engellemek mümkün (tabii hosting firması buna müsaade ediyorsa).
Genişletmek için tıkla...

SSH erişim izni vermiyorlar maalesef.

Son durum bu şekilde, JSON'a kaydediyorum o şekilde engelliyorum artık, tabii bu JSON dosyaları da sunucuda kalmıyor, belirlediğim süre boyunca otomatik siliniyor. Faydası olur umarım.

1595201273121.png

1595201200401.png
 
329088 dedi:
Aynen hocam maalesef. Biz siber güvenlikçilerin de başını en çok ağrıtan sorunlar DDoS ve spam mail. Her ikisinin de doğrudan çözümü yok.
Genişletmek için tıkla...
Maalesef. DDoS'da şöyle bir olay var. Diğer tarzdaki saldırıları (port taramaları, exploit taramaları) gibilerini az çok Firewall engelleyebiliyor. DDoS saldırısında ise binlerce bilgisayar üzerinden gelen sorgu var. Haliyle normal erişime benziyor.

Tortue dedi:
Bu şekilde düşünüyorum, MySQL'e yazdırmak aklıma geldi ama bu işleri çok çok daha kötü eder. :D
Genişletmek için tıkla...

Öyle bir hata yapayım deme sakın :)

329088 dedi:
Konuya gelirsek, CF arkasına site alındığı zaman saldırı denemeleri devam etmesine rağmen etkisi olmamış. Bu da demektir ki saldırı yapan kişi, karşısında CF olduğundan bile habersiz. Yüksek ihtimalle de IP spoof tekniği kullanıyor. Nmap veya hping gibi programlarla oldukça basit bir iş. Kaynak IP adresi değiştirilip paket gönderiliyor ve dolayısıyla cevap alamıyor.
Genişletmek için tıkla...

IP spoof yapmaya kalksa bile TCP üzerinden tam manasıyla paketi editleyip başarılı yapabildiği söylenemez yanlış bilmiyorsam. HyperText, TCP ile çalışıyor. UDP tabanlı bir şey olsaydı mümkün derdim. Eskiden mümkündü fakat günümüzde zor.

329088 dedi:
CF bypass methodları olmasına rağmen basit bir script kiddy işi olduğu için endişe etmeye gerek yok.
Genişletmek için tıkla...

Daha atan kişi CF olduğundan habersiz. Atağının çoğusu engelleniyor 😆 Eğer anlasaydı zaten önce CF geçmeye çalışırdı. Lamer uzun lafın kısası. Script kiddie olsa yine bir şeyler becerir az çok.

Tortue dedi:
SSH erişim izni vermiyorlar maalesef.

Son durum bu şekilde, JSON'a kaydediyorum o şekilde engelliyorum artık, tabii bu JSON dosyaları da sunucuda kalmıyor, belirlediğim süre boyunca otomatik siliniyor. Faydası olur umarım.

Eki Görüntüle 619351
Eki Görüntüle 619350
Genişletmek için tıkla...
Sürekli yazma silme işlemi sunucuyu aktif olarak yoracaktır ama bunu belirli periyotlara ayarlarsan sorun olmayacaktır diye düşünüyorum. Arama çubuğu varsa sitende kapat. Sürekli sorgu yaparak sıkıntı çıkarmasın.

Dediğimi de halen uygulamadın sanırım.
 
24099 dedi:
Sürekli yazma silme işlemi sunucuyu aktif olarak yoracaktır ama bunu belirli periyotlara ayarlarsan sorun olmayacaktır diye düşünüyorum. Arama çubuğu varsa sitende kapat. Sürekli sorgu yaparak sıkıntı çıkarmasın.
Genişletmek için tıkla...

Belirli periyotlara ayarlayabileceğimi düşünmüyorum hocam. Arama çubuğu yok ve evet sürekli yazma/silme işlemi mutlaka yoracaktır. Bu istek verilerini farklı şekilde tutma imkanımız var mı? Session oturumunda tutamıyoruz, bir web tarayıcısından istek gitmiyor çünkü yüksek ihtimalle bu yüzden çalışmadı ilk script. Ben de JSON'a yazdırdım IP'ye özel dosya üretiyor vesaire.

24099 dedi:
Dediğimi de halen uygulamadın sanırım.
Genişletmek için tıkla...

Şimdi denedim hocam aslında iyi bir fikir ama geçici süreliğine olarak kullanılabilir çünkü sitenin de açılması, içeriğinin misafirlere de gözükmesi lazım. :)

Bu işlemle sadece kullanıcı panelini korusak, diğer kısımlar yine erişilebilir, misafirlere gözükmesi gereken kısımlar olacak.

1595202600108.png



24099 dedi:
Öyle bir hata yapayım deme sakın :)
Genişletmek için tıkla...

Çok fena sonuçlar doğurur hocam, balon gibi şişer hosting. :D
 

Benzer konular

L
Web sitesinden oltalama saldırısı olur mu?
Mesaj
5
Görüntüleme
441
Şebnem Ferah
Şebnem Ferah
Alfirk
  • Çözüldü
Çözüldü  Sürekli aynı kişiden MITM saldırısı yiyorum
2
Mesaj
13
Görüntüleme
1B
Murat5038
Murat5038
F
Rootkit Saldırısı
2
Mesaj
14
Görüntüleme
2B
Ordinaryus007
Ordinaryus007
Recep Baltaş
Oltalama Saldırısı
Mesaj
3
Görüntüleme
1B
BatuKya
BatuKya
fryzen
VPNFILTER saldırısı
Mesaj
4
Görüntüleme
471
excess
E

Yeni konular

Yeni mesajlar

Geri
Yukarı