Saldırı Senaryoları Sezimleme ?
Sistemlere atak yapılmadan önce genel olarak başlıbaşına incelenir ve bu incelemeler altta belirtiğim gibi birtakım incelemler ile anlaşılabilir.
-Nasıl bir Saldırı Senaryosu ?
-Sadece Script Kiddles'mı ?
-Sistemsel Faleyetlerde Nereye Kadar Gidilmiş ?
Sistemlere atak yapılmadan önce genel olarak başlıbaşına incelenir ve bu incelemeler altta belirtiğim gibi birtakım incelemler ile anlaşılabilir.
-Nasıl bir Saldırı Senaryosu ?
-Sadece Script Kiddles'mı ?
-Sistemsel Faleyetlerde Nereye Kadar Gidilmiş ?
Ne Tür Analizler Mümkün ?
-Çeşitli Acsses bilgileri
-Kullanılan cokkie'ler
-Haberleşme verileri
-Uygulamalar Ve Açıldığında Çeşitli Unpack İşlemleri
-Servislere yönelik versiyon bulma ve çıktılardan sürüm tespit etme çalışmaları
-Ağ inceleme seneryoları (Layer 7)
-Prosses İnceleme ve Port Haberleşmeleri
-Ram Analizleri
Başlıklarına ayırmak mümkün lakin herşeyden önce bir tabir vardır "Saldrımayı Bilmeyen Savunmayı Beceremez" önceliğiniz temel olarak saldırı methdoları ve analizleri olması gerek başarılı bir APT seneryosu nasıl işler ve sizlerin ve sistemin yapması gereken nedir ? tarzında soruları sentezleyip güvenliği 0 olan saldırıya açık sistemlerde analiz ve test yapmanız gerek tecrübe edinmenize gerek real world denilen kavrama adapte olmanıız sağlayacaktır.
Örneklemek gerekirse msf repostory'lerini okumak, CVE sitelerini takip etmek, Bilgi toplama tool'larından ne gibi saldırılara açık olduğunuzu izlemek, var olan güvenlik açığına yama yapabilmek.. Sistem analizlerinizi başıboş incelemeden ziyade sitematikleştirerek bir saldırı bütününü okumaya hedeflenmek demektir.
Linux Log İnceleme ?
En çok kullanılan ve Web Server alanında PHP gibi back end diller için bulunamaz bir nimet olan gün geçtikçe birçok kişinin Micorosft'u bırakıp linuxa geçmesi sistemin tam anlamı ile bilinmzse doğacak sorunlarda büyük olacaktır.
Günümüzde Linux kernelleri gün geçtikçe gelişiyor ve rootkit yani ring0'da çalışan zararlı uygulamalar azalıyor yerini daha güvenli ortamlar alıyor iken aynı oranda linux üzerinde bulunan birçok portlardan haberleşme sağlanabiliyor yetkinlik cabası..
Artık sistemler üzerinde oyun bilgileri paylaşmıyoruz gerek projelerimiz, gerek kişisel bilgiler, Kart bilgilerimiz, Özel hayatımız veya sistemimiz belirli birer markayı taşıyorsa gerçekten büyük tehlikeler taşıyabiliyor. (shh erişimleri bilgieri gibi)
Linux üzerinde /var/log/ klasörleri altında log dosyaları bulunmaktadır.
Ubuntu üzerinde find komutu kullanarak klasörlere bağlı dosyaları görüntüleyeceğiz. Detalı komut incelemeleri için man (komut) yazarak parametreleri ile beraberinde öğrenebilirsiniz.
Sitem Logları
Sistem içinde kullanılan logları sizler için derledim sistemim server tabanlı olmadığı için ayrıca aktif olarak servis kullanmadığımdan desktop üzerinde olan günlüklere bakacağım.
(var/log kalsörü altında çeşitli klasör ve log bilgileri bulunur samba gibi)
Kernel Log, çekirdek tarafından kaydedilen bilgilerdir.
Dmesg Log, boot günlük dosyasıdır halka tampon bilgisini içerir algıladığı donanım aygıtları çıktıları veriliyor.
Alternatif Log, aktif oturum bilgileri buraya kaydedilir.
/apt/history, apt paket günlükleridir.
Last, komut sistem içinde terminalde kullanıcıları ve zaman bilgilerini gösteriyor.
Ayrıca Lastb komutu başarısız oturum açma isteklerini gösterir ;
lyxg@root:/var/log$ sudo lastb
sudo: unable to resolve host root
lyxg :0 :0 Fri Nov 13 20:42 - 20:42 (00:00)
btmp begins Fri Nov 13 20:42:38 2020
Syslog, Sistem Günlüğüdür ;
Last, komut sistem içinde terminalde kullanıcıları ve zaman bilgilerini gösteriyor.
Ayrıca Lastb komutu başarısız oturum açma isteklerini gösterir ;
lyxg@root:/var/log$ sudo lastb
sudo: unable to resolve host root
lyxg :0 :0 Fri Nov 13 20:42 - 20:42 (00:00)
btmp begins Fri Nov 13 20:42:38 2020
Syslog, Sistem Günlüğüdür ;