Forum
Bildirimler
Hepsini Temizle
Güvenlik Genel
9
Yazılar
3
Üyeler
0
Reactions
595
Görüntüleme
Konu başlatıcı
Üstadlar merhaba bir sorun var ki ne yapacağım bilmiyorum. Saldırıları engelliyorum ama sürekli olması canımı sıkıyor. Loglarda anlamını anlamadığım kısımlar var resimleri aşağıda paylaşıcam. Ne yapmam gerekiyor bunu komple engellemek için bir fikir verirseniz çok sevinirim.
2 hattımız var biri statik ipye sahip diğeri dinamik yani modemi aç kapa yapınca değişiyor. Modemi açıp kapatıyorum ip değişiyor ama yeni ipyi tekrar buluyor nasıl yapıyor bunu?
yani şuraya bakar mısınız bunun gibi daha yüzlerce bağlantı var. ddos yapıyor sanırım. Firewallın geolocation özelliği ile US, UK, TR, DE ülkeleri hariç diğer tüm ülkelere gelen giden bağlantıyı engelledim bu sefer bu ülke ip adresleri ile saldırı yapıyor ne yapacağımı şaşırdım.
bu log kaydında anlamadığım benim bilgisayarım firewall cihazına bu isteği neden yolluyor virüs taraması da yaptım eset ve malwarbytes ile temiz çıktı.
bu dinamik olan ipyi adresi her seferinde buluyor.
burada ise 10.0.0.240 benim modemlerden birinin local ipsi ve modemler bridge modda firewalla bağlı direk nasıl böyle bir istek oluşuyor?
en altta da serverdan yapılan bir bağlantı görünüyor. protocol olarak diğerlerin farklı bootpc/udp yazıyor.
bu kayıtta elemanın biri rdp yapmaya çalışıyor ip adresi endonezya görünüyor tabi ki gerçek ip değil.
Zor olduğunu biliyorum ama gerçek ipleri tespit edebilir miyim acaba?
Sabır gösterip okuduğunuz için teşekkür ederim..
Gönderildi : 08/02/2017 12:36
Mücahit bey,
yapılan ataklar basit ataklara benzemiyor ciddi bir tehdit gibi duruyor. dinamik ip'den dışarı çıkış yapıyormusunuz ?
çıkış varsa çıkışı kesip ip'i tekrar değiştirin. Eğer ataklar kesiliyorsa kesin virüs vardır ip tespitiniz o şekilde sağlanıyordur.
ayrıca kullanmadığınız tüm portları kapatabilirsiniz. Kullandığınız portlarada ip tanımlayabilirsiniz. Daha sağlıklı olacaktır.
Gönderildi : 08/02/2017 15:03
Konu başlatıcı
Hocam teşekkürler öncelikle.
Hem statik hem dinamik ipden çıkış yapıyoruz. Bu atakların %90lık kısmı statik ip üzerine yapılıyor hocam dinamik üzerinden değil.
Gereksiz portların hepsi kapalı zaten firewall ayarlarım düzgün yani.
Statik ipnin değişimi için başvurayım dedim ohal varmış yapamıyorlarmış!
Gönderildi : 08/02/2017 15:20
Konu başlatıcı
Dinamik ipyi değiştirip oradan gerçekleşen bağlantıları kapattım ama yeni ip üzerinden yine geliyor. Bilgisayarları taratıyorum virüs de çıkmıyor anlamadım ben bu işi. Uzman arkadaşların yardımını rica ediyorum.
Gönderildi : 08/02/2017 17:04
Virüs pclerde olmayabilir belki telefonlardadır onun için dinamik olan ipnizin dışarı çıkışını kesin firewalldan sonra ipsini değiştirin.
dinamik olan saldırı almıyorsa kesin içerde bir sıkıntı vardır.
ama diğer ipniz tespit edildiği için hep saldırı alacaksınız..
Gönderildi : 08/02/2017 20:32
Konu başlatıcı
Bende aynen öyle yaptım firewalldan kuralları ayarlayıp daha sonra değiştirdim ipyi ama olmadı öyle de.
Statik olanı da değiştiremedik bir türlü dediğim gibi. Firewall yanacak bu gidişle çok uğraşıyo bağlantıları reddedecek diye.
Gönderildi : 08/02/2017 21:02
Mücahit Bey,
Verdiğiniz LOG kayıtlarında kaynak neresi hedef neresi anlaşılmıyor, sadece en son kısımda verdiğiniz detail kısmında anlaşılabilir bir data var burada sanki sizin sistemden dışarıya 3389 yapılyor gibi dışardan size değil.
Log kranın tam ekranını verir ve sütun isimlerini görmemizi sağlarsanız dahakolay cevap verebiliriz. Fakat siz içeriye doğru bir NAT ( inbound NAT ) yapmadığınız sürece sonuçta bu istekler içerdeki cihazlarınıza gitmeyecektir. Router cihazınızın üzerinde telnet ve ssh portlarını WAN IP adreslerinde erişlebilir olmasnı kapatın saldırı kesilecektir.
Gönderildi : 08/02/2017 21:41
Konu başlatıcı
Hocam içeriden dışarıya değil dışarıdan içeriye oluyor, aşağıdaki resim istediğiniz şekilde. Zaten nat yok o yüzden içeriye hiçbir şekilde ulaşamıyor fakat firewallı yoruyor bu sefer.
Firewall üzerinde zaten telnet portu kapalı fakat WAN IP adreslerine erişimi nasıl kapatacağım mantığı nedir tam olarak?
burada birde modemden firewalla bir bağlantı çalışılıyor bu ne olabilir sizce?
ayrıca tek port ile de gelmiyor gördüğünüz gibi.
burada print server ne yapmaya çalışıyor acaba?
burada içeride bir router cihaz var ama görevi o değil ve firewalla bu istek gidiyor ondan normal mi?
Aslında rdpden kurtulmanın tek yolu ipyi değiştirmek ama şimdilik mümkün görünmüyor zaten çok fazla gelmiyor da ama diğer ataklar çok fazla.
Teşekkür ederim ilginiz için...
Gönderildi : 09/02/2017 12:20
hocam bütün portları denemesi normal büyük ihtimal çalıştırıyor programı git bütün portları dene diyor karşılık bulan portlar firewallda blok yiyor. Bu durumda firewall'u yoruyor tabiki, bir açık kapı bulsa içeri sızacak en azından güvenliğin sağlammış 🙂
Gönderildi : 09/02/2017 13:59
