iRc de saldiri tipleri buyuk dokuman!!!

20-09-2019, 16:24:31

#1
Pluvious

Açık Profil bilgileri

Özel Mesaj Gönder

Pluvious tarafından gönderilen tüm mesajları bul

Pluvious'ı arkadaş olarak ekle

Genel Moderatör
iRc De Saldiri Tipleri

Bir kanalı veya botu ele gecirmenin veya kullanılamaz hale getirmenin bir cok yolu mevcut. Bunlardan korunmanın en sağlıklı yolu ise bu saldırıların nasÃ½l yapıldığı hakkında bilgiye sahip olmak. Aşağıda anlatılanlar, bu saldırı yontemlerinin cok sık kullanılanları. Elbette farklı yontemler kullanılarak bu saldırılar yapılabilir. Ne yazık ki bazı saldırıların onune gecmek bazı durumlarda imkansız olabiliyor. Bu tip durumlarda kanalı gecici olarak kapatmak en iyi cozum olabiliyor.

Saldırı tiplerini kabaca genel saldırılar, eggdrop saldırıları, flood saldırıları ve sunucu saldırıları olmak uzere dort başlık altında toplayabiliriz. Bu ana başlıkları da kendi icinde dallandırmak mumkun.

1-) Genel Saldırılar

a) Op Saldırıları:

Bu saldırılar genelde kanalda kayıtlı bulunan oplardan gelir. Oplardan birisi surekli diğer opları ve/veya botları deop eder. Kanal oplarını ne kadar iyi secerseniz bu saldırıyla karşılaşma ihtimaliniz de o kadar azalır. Ayrıca kanal oplarının diğer kullanıcılara op vermemesini de sağlamalısınız.

b) Şifre Saldırıları:

Şifre calınması oldukca buyuk bir problem. Şifre calmak icin genelde uc yontem kullanılır.

Bazı kullanıcılar kendilerini bota tanıtmak icin otomatik mesaj gonderirler.(bazı mirc scriptlerinin sunucuya bağlandığında sizin nick şifrenizi gondermesi gibi) Şifreyi calmak isteyen kişi botun nicki ile kanalda durmaktadır fakat nicki identify etmemiştir. Kullanıcı otomatik olarak mesaj gonderdiği icin bu nickin identify edilip edilmediğini denetlemez ve boylece şifresini kaptırmış olur. Bunu engellemek icin biraz "uyanık" olmak yeterli.

Diğer yontem ise şifreyi calmak icin sniffer programları kullanmak. Bu programlar bir dosyadaki kelimeleri sırayla deneyip şifreyi bulmaya calışıyorlar. Bu dosyalar ise milyonlarca kelimeden oluşuyor. Bu yontem ile şifrenin bulunması bir kac dakika da surebilir birkac yuz yıl da. Şifreleriniz sadece alfabetik ve numerik karakterlerden oluşmasın. _ - [ gibi karakterleri de kullanmalısınız. Bu sayede bu tur programlar ile şifrenizin bulunması zorlaşır.(imkansız demiyorum cunku teorik olarak mumkun) Ayrıca belirli periyotlarda (mesele ayda bir) şifrenizi değiştirebilirsiniz.

Kullanılan diğer bir yontem ise brute-force saldırıları. Bu saldırıyı yapan birisi bota kayıtlı kullanıcıların şifresini ele gecirebilir. Bu sayede hem botu hem de kanalı yonetebilir. Bu tip saldırılardan korunmak icin botun flood ayarlarını oldukca iyi yapmak ve log dosyalarını denetlemek yeterlidir.

c)IP Saldırıları:
Bu saldırı aslında oldukca ust duzey bir saldırıdır. Kanal sahibi olarak bu tip bir saldırıdan korunmak imkansız.

Saldırgan irc sunucusu ile kanal sahibi arasındaki iletişimi engeller yada irc sunucusundan kanal sahibine giden bilgilere bazı hata mesajları veya komutlar ekler. Boylece kanal sahibinin kullandığı irc istemcisi(mesela mirc) irc sunucu ile bağlantıyı keser. Bundan sonra saldırgan kanal sahibinin ip adresini ve nickini alarak sunucu ile iletişime gecer.

Zaten bu tur bir durumda kanaldan cok sunucu tehlikede demektir. Bunu engellemek icin irc sunucusu olarak kullanılan yazılımın standart dışı olması gerekir. Standart dışı derken mesela bir open-source irc sunucu yazılımının bazı kısımları değiştirilerek kurulabilir. Boylece saldırgan sunucunun nasıl işlediğini bilemediğinden saldırıyı gercekleştiremeyecektir yada yazılımın gerekli yamaları yapılmalıdır. Boylece saldırganın sunucu ile kullanıcı arasındaki iletişime erişmesi engellenebilir

2-) Eggdrop Saldırıları

a) Hostmask Taklidi:

Bazı irc sunucularında hostmask taklidi yapmak mumkun. Bu tip bir sunucuda saldırgan bota kayıtlı kullanıcılardan birinin hostmakını alıp botdan op alabiliyor. Bunu engellemek icin bu tip sunucuda kullandığınız botun +autoop ayarını kapatmak ve kullanıcılara +a bayrağını vermemek yeterli olacaktır.

b) Op Taklidi:

Bota kayıtlı kullanıcı bottan op istediği anda saldırgan kullanıcıya flood saldırısı yaparak bağlantısının kesilmesini sağlıyor. Daha sonra kullanıcının nickini alarak bottan op almış oluyor.

Normal olarak bir botun kayıtlı bir kullanıcıya op vermesi şu şekilde gercekleşir:

** Kullanıcı bota istek gonderir **
Kullanıcı: /MSG botadi op şifre
** Bot bir op istediği alır ve kullanıcı dosyasından bu kullanıcıyı arar **
** Kullanıcının kaydını bulur ve op verir **
Bot: /MODE #kanal +o kullanıcı

Saldırı sırasında ise şunlar olur:

** Kullanıcı bota istek gonderir **
Kullanıcı: /MSG botadi op şifre
** Bot bir op istediği alır ve kullanıcı dosyasından bu kullanıcıyı arar **
** Kullanıcının kaydını bulur ve op verir **
** Bu arada saldırgan kullanıcıya flood saldırısı yapar **
** Kullanıcının saldırgan nedeniyle bağlantısı kesilir **
** Daha sonra saldırgan kullanıcının nickini alır **
saldırgan -> kullanıcı
Bot: /MODE #kanal +o kullanıcı

Boyle saldırı olmaz demeyin. Ozellikle eggheads.org sitesine bu konuda oldukca fazla şikayet gelmiş. Bu tip bir saldırı yaşanmasının iki nedeni vardır. Ya bot laga duşmuştur yada irc sunucusunun servisleri lagdadır. Normal şartlarda bu tip bir saldırı pek etkili olmaz.

c) Buglar ve Acıklar:

Şimdiye kadar cıkan eggdrop surumlerinin hic birinde bir bug yada acık nedeniyle saldırgana op verilmesi yada eggdropun ele gecirilmesi soz konusu olmamıştır. Ancak yuklediğiniz tcl scriptlerinde ve/veya modullerde bu tip acıklar olabilir veya eggdropun calıştığı sisteme virus ve/veya trojan bulaşmış olabilir. Bu nedenle hem sistemi hem de scriptleri/modulleri iyi kontrol etmek gerekir.

d) Shell Saldırıları:

Eggdrop sağlayan shell sunucusuna yapılacak bir saldırıyı doğal olarak sizin duşunmenize gerek yok. Sunucunun yoneticisi bu tip saldırılara yeteri kadar kafa yoruyordur zaten Ancak bazen onlar da caresiz kalabiliyor ve sunucuya yapılan saldırı başarılı olabiliyor. Bu durumda (yonetici zaten sizi şifrelerinizi değiştirmeniz konusunda uyaracaktır) botunuzu durdurun ve şifrelerini değiştirin. Tum kullanıcıları silip yeniden farklı şifreler almalarını sağlayın.

e) Kullanıcı Dosyası Deşifrelemesi:

Kullanıcı dosyasının bulunduğu dizinin chmod ayarları mutlaka 700 olmalı. Bu sayede herhangi birinin kullanıcı dosyasını okuması ve deşifre etmesi engellenmiş olur. Eğer saldırgan kullanıcı dosyasını ele gecirirse dosyayı deşifre etmesi en fazla bir iki gun surer.

f) Netsplit Modları:

Eğer botunuz kullanıcıların kanalda ban/exempt/intive koymasına izin veriyorsa bir netsplit sırasında op olan saldırgan bot(lar)a ban koyabilir. Netsplit kalktığında ise bot(lar) sunucu tarafından kanaldan atılacaktır. Bu tip saldırılardan korunmak icin botların birbirlerini asla banlamamalarını veya atmamalarını sağlamalısınız.

g) Mod Listesi Saldırısı:

Butun irc sunucularının kanallar icin belirli mod sayısı sınırlaması vardır. Mesela IrcNet icin kanal ban sayısı 30’dur. Bu sayı bir wingate, proxy veya vhost kullanılarak kolayca doldurulabilir. Eggdrop -1.4.0 versiyonundan beri- eğer kanal mod listesi doluysa yenilerini eklemeye calışmaz ancak yeni bir tane eklenmesi gerektiğinde de eskileri silmez. Bu tur saldırılarda kanalı gecici olarak +i (invite only) moduna almak en pratik cozum gibi gozukuyor. Bunun icin eggdrop dağıtımlarıyla gelen "sentinel" scriptini kullanabilirsiniz.

h) Disk Doldurma Saldırıları:

Shell aldığınız sunucuda, size ayrılan disk kapasitesi cok kısıtlıysa sık sık kullandığınız miktarı kontrol etmelisiniz. Eğer limitinizi doldurursanız botunuz kullanıcı dosyasını duzgun olarak kaydedemez. Eğer bu durumu iki gun icinde fark edemezseniz kullanıcı dosyasının yedeği de değiştirileceği icin yedek dosyasını da kaybetmiş olursunuz. Bu sırada botun yeniden başlatılması gerekirse botunuz hata verip kapanacaktır. Bu durumdan keep-all-logs ayarını sıfır ve max-logsize ayarını uygun bir değer yaparak kurtulabilirsiniz.

i) Zayıf Şifre Saldırıları:

Eggdropun 1.4.x ve 1.5.x serilerinde bu tip bir bug tespit edildi. Eğer bir kullanıcı "aaaaa" veya "abcdabcd" gibi zayıf şifre kullandıysa saldırgan şifre olarak "a" veya "abcd" kullanarak bota giriş yapabiliyor. Kullanıcılarınızı bu tip şifreler secmemesi konusunda uyarın.

j) TCL Komut İşleme Saldırıları:

TCL’de butun metinler parantez icinde kullanılır ve bu metinlere komutlar da dahildir. Bazı kotu kodlanmış scriptler nickleri ve metinleri, icerebilecekleri komutlara karşı denetlemezler. Orneğin yuklediğiniz bir badnick scripti bu tur bir denetim yapmıyor ve gelen verileri olduğu gibi işliyor. Eğer kanala ’NoT[die]’ nickli biri girerse bu scriptin yuklu olduğu tum botlar kapancaktır. Cunku nickin icinde botu kapatmaya yarayan "die" komutu gecmektedir. Bu tur script acıkları daha cok timer, utimer, expr ve eval komutlarını kullanan scriptlerde karşımıza cıkmaktadır. Bu bir eggdrop acığı değildir.

k) Fake-Bot Saldırıları:

Eğer saldırgan sizin botnet yapınızı biliyorsa, botunuzun calıştırıldığı sunucu uzerinden kendine bir eggdrop sağlayabilir(mesela aynı şirketten hesap satın alabilir) ve sizin botunuzu devre dışı bırakıp, kendi botunu sizin botunuzun nicki ve ip adresiyle botnetinize bağlar. Bu durumda sizin botunuzun şifresi olmadığından diğer botlar yeni şifre alırlar. Boylece fake-bot botnete sızmış olur. Senaryo daha da kotuleşebilir. Sizin botunuzun yada saldırgan botun diğer botlar ile değişen kullanıcı bilgilerini değiştirmesi daha vahim sonuclar doğuracaktır.

Saldırgan bu tip uzun bir yontem izlemeden de, botnete sızmasını istediği botun ip adresini ip spoofing yaparak değiştirip aynı saldırıyı yapabilir.
__________________