Hacker'lardan Korunma Yolları 



Bilgisayariniza Hacker'lar mı Dadandı !!!

Son zamanlarda, IRC uzerinden karşi tarafin PC'sine bir trojan yollayarak portlarindan birinde açik sağlamak ve bu portu kullanan bir program vasitasiyla PC'ye tamamen hukmetmek tehlikeli derecede yaygin bir hal aldi. Siz IRC'de keyifle sohbet ederken bir hacker,(biz bunlara lammer diyoz..) haberiniz bile olmadan bilgisayarinizda geziniyor veya bazi şahsi bilgilerinizi çaliyor olabilir.

Bu yazimda hack edildiğinizi anlamanin yollarindan ve anlayinca bunun onune nasil geçebileceğinizden bahsedeceğim.

Bilgisayarinizin Girildiğinin İşaretleri 

1.
Bilgisayarinizi açtiğinizda karşilaştiğiniz mesajlar.

Etraftaki birinin size şaka yapmadiğindan eminseniz ve bilgisayarinizi açtiğinizda "Bilgisayariniz hack edilmiştir" tarzi bir mesajla karşilaşiyorsaniz, bu mesaji kimin biraktiği açiktir.

2. Harddiskten gelen alişilmadik sesler.

Internete bağli olduğunuz sure zarfinda, siz birşey yapmamaniza rağmen harddiskinizden birşey yukleniyormuş gibi surekli olarak gelen sesler, bir hackerin o sirada harddiskinizdeki bazi dosyalari kariştirdiğina gosterge olabilir. Tabii burada bir internet sayfasi açarken, karşidan dosya yuklerken veya bir program bir dosyayi açarken gelen doğal seslerden bahsetmiyorum; bilgisayarini uzun sure kullananlar bu doğal sesleri zaten tanirlar.

3. Disket surucusunun çikarttiği sesler.

O anda kullandiğiniz hiçbir program disket surucusune ulaşmaya çalişmamasina rağmen disket surucusu içinde bir disket varmiş gibi sesler çikartiyorsa, bu PC'nize sizmiş bir hackerin surucude disket aradiğini gosterebilir.

4. CD-ROM surucunuzun açilip kapanmasi.

Bu, hackerlarin en sık yaptiği "Espri"lerden biridir. Siz fiziksel olarak veya bir program araciliğiyla hiçbir mudahele yapmamiş olmaniza rağmen CD-ROMunuz açilip kapaniyorsa, muhtemelen bir hacker size "şaka" yapiyordur. Gulumseyin!!!

5. Kendi kendine kaybolan dosyalar.

Bir takim ozel dosyalariniz esrarengiz şekilde kaybolduysa ve onlari Geri Donuşum Kutusu'nda bile bulamiyorsaniz, bir hackerin kotu niyetinin kurbani olduğunuzdan şuphelenebilirsiniz. Tabii bir hackera suç atmadan once kendinize sormaniz gereken bazi sorular var. Bilgisayarinizi en son kapattiğinizda Windows'unuzu normal şekilde mi "Shutdown" ettiniz? Çok sık olmasa da, Windows'un alişilmadik şekilde kapanmasi bazi dosyalara (veya FAT'lara) zarar verebiliyor. Bilgisayari en son kapatmanizdan once hiçbir program hata mesaji verdi mi? Hata mesaji vererek kapanan programlar, kendileriyle ilgili dosyalara zarar vermiş veya onlari silmiş olabilirler. Mesela Word'unuz alişilmadik hata mesajlariyla kapanmişsa ve bilgisayari tekrar açtiğinizda uzerinde en son çaliştiğiniz .doc dosyalarini bulamiyorsaniz, bunun suçlusu Word olabilir. Bilgisayari ortak kullandiğiniz kişiler kaybolan dosyalari silmiş olabilirler mi? Eski surumlu bir program yuklemeyi denediniz mi? Bilgisayariniza yukleyeceğiniz eski versiyonlu bir program, kendi eski sistem dosyalarini sizinkilerin uzerine kopyalayabilir. Bu durumda daha yeni versiyonlu programlar eski sistem dosyalariyla çalişamayacaklardir ve size bazi sistem dosyalarinin eksik olduğuna dair mesaj verebilirler. Bu da bir hackerin değil, eski surumlu programinizin suçudur. Sisteminizden paylaşimli sistem dosyalari kullanan bir programi tamamen kaldirdiniz mi? Programlarin ortak kullandiklari sistem dosyalari vardir.

"Program Ekle/Kaldir"i kullanirken , silmek istediğiniz programin diğer programlarla ortak kullandiği sistem dosyalarini da silmiş olabilirsiniz. Bilgisayariniz paylaşilan bir sistem dosyasini silmeden once bu konuda sizden onay alir; sozkonusu sistem dosyasinin silinmesini onaylamişsaniz ve onu kullanan başka programlar "Sistem dosyasi bulunamadi" hatasini veriyorsa, bunun suçlusu bir hacker değildir.

Bilgisayarinizda o anda davetsiz bir misafirin gezindiğini anladiğinizda, yapmaniz gereken ilk şey internet bağlantinizi kesmektir. Eğer internette onemli bir işiniz olduğu için bağlantinizi bir hackerin hedefi olduğunuzdan tamamen emin olmadan kesmek istemiyorsaniz, şu yolu izleyin.

1. BAŞLAT-->PROGRAMLAR menusunden MS-DOS Komut İstemi penceresini açin.

2. MS-DOS Komut İstemi penceresinde netstat -a yazin. Bu, bilgisayarinizin o anda hangi IP adresinlerine hangi portlardan bağli olduğunu gosterir. Eğer doğal olarak bağli olduğunuz yerlerin dişinda (mesela IRC serverlari, ICQ serveri, DCC Chat-ICQ Chat bağlantilari, WEB siteleri, FTP serverlari, vs.) başka bağlantilara rastlamazsaniz, korkacak birşey yoktur.

Peki, netstat komutuyla rastladiğimiz bir bağlantinin doğal olup olmadiğini nasil anlayacağiz?

1. oncelikle bağlantilarin portlarini gozden geçirin.

İnternet uzerinde en çok kullanilan protokoller ve kullandiklari portlar şunlardir:
  • 80 http (WEB sayfalarina bağlanmak için )
  • 21 ftp (FTP serverlarina bağlanmak için )
  • 23 telnet (Telnetle sistemlere bağlanmak için )
  • 25 mailto (E-mail atmak için kullanilan port)
  • 110 POP3 (E-mail almak için kullanilan port)
  • 6660-7000 IRC (IRC serverlarinin genel portlari)
  • 4000 ICQ (ICQ, bağlanirken ki server portlari )
  • 1000-1080 ICQ (ICQ, servera bağlandiktan sonraki)
PC'niz bir proxy, yerel ağ, vs. uzerinde yer almiyorsa veya bu tur ağlar için kullanilan programlardan birini çaliştirmiyorsa, bu portlarda gozuken bağlantilarda genelde tehlikeli bir durum sozkonusu değildir. Ancak hackerlarin sık sık kullandiklari portlardan birinden yapilmiş bir bağlantiniz varsa (456, 31337, 12345,30303 gibi), davetsiz bir misafirinizin olma ihtimali çok yuksektir.

Tehlikeli bir port gozukmemesine rağmen bir bağlantidan şuphelenirseniz, şuphelendiğiniz bağlantinin karşisinda yazan IP adresini bir yere not alin. Sozkonusu IP adresinin 195.175.44.120 olduğunu farz edersek, mIRC uzerinden bir IRC serverina bağliyken /dns 195.175.44.120 komutunu kullanmaniz gerekir. Bu komut, size o adresin açilimini verecektir (mesela dialup03.ant.net.tr, hotmail.com, microsoft.com, vs.). Eğer adresin açilimi o anda bağli olduğunuz bir IRC, ICQ, WEB, FTP, vs. serveri ise herşey yolundadir. Ancak bir İSS (İnternet Servis Sağlayicisi) ismi içeren bir adresle karşilaşirsaniz, bu internet uzerinde bulunan başka bir PC ile bağlanti halinde olduğunuz anlamina gelir (Eğer o anda bir arkadaşinizla dosya transferi yapiyorsaniz, mIRC içinde aktif DCC Chat pencereniz varsa veya ICQ Chat tarzi bir sohbet ortamindaysaniz, bu bağlantinin olmasi doğaldir). Bu durumda, o IP adresinin sahibini tespit etmelisiniz. Eğer şuphelendiğiniz kişi ICQ'da Online ise, ICQ listesinde o kişinin nickinin uzerine tikladiğinizda açilan menude INFO komutunu seçin, bu size o kişinin IP adresini verir. mIRC'de ise, /dns NICKNAME komutunu kullanarak şuphelendiğiniz kişilerin IP adresini oğrenebilirsiniz. Eğer mIRC'de şuphelendiğiniz belli biri yoksa, sadece IP adresinin sahibinin o anda sizin bulunduğunuz IRC serverinda olup olmadiğini gormek istiyorsaniz, /who 195.175.44.120 /who dialup03.fornet.tr komutlarini kullanarak STATUS başlikli pencerenizi izleyin (tabii buradaki IP adresi ve açilimi sadece ornek, siz netstat penceresinde gorduğunuz IP adresini ve açilimini kullanmalisiniz). Aradiğiniz IP adresinin sahibi ile ayni IRC serverindaysaniz, mIRC bunu size soyleyecektir. PC'nizle bağlanti kurmuş kişiyi tespit ettikten sonrasi size kalmiş. Onunla konuşabilirsiniz, konuşmadan bağlantinizi kesebilirsiniz, ya da bağlantilarinizda neden onun adresinin gozuktuğunu sorabilirsiniz (belki de sadece Ident'inize bakan iyi niyetli biridir).

PC'nizin hack edildiğinden eminseniz, bağlantinizi kestikten sonra hack edildiğiniz açiği kapatmadan Chat ortamina yeniden girmemenizi oneriyorum. Mutlaka girmeniz gerekiyorsa da, butun kimlik bilgilerinizi değiştirmeyi ihmal etmeyin (Bunu daha ilerideki yazilarimdan birinde daha ayrintili olarak anlatacağim).

Standart bir Windows 95 kullaniciysaniz, IRC hackerlari PC'nize sizmak için genelde iki açik ararlar: Dosya Paylaşimi ve Trojan. oncelikle, sisteminizde bunlardan hangisinin yer aldiğini bulmaniz gerekir.

Dosya paylaşiminizin açik olup olmadiğini gormek için, BAŞLAT-->AYARLAR-->DENETİM MASASI-->menusunu açin. Açilan ekranda "Dosya ve Yazici Paylaşimi" yazan ikona basin ve karşiniza çikacak menudeki iki kutucuğun boş olduğundan emin olun. Eğer kutucuklar dolu ise, bu başkalarina erişim hakki verdiğinizi gosterir.

 Dolu kutucuklari boşalttiktan sonra, PC'niz Windows 95 CD'nizi bazi sistem dosyalarini yuklemek uzere isteyebilir (DİKKAT: Eğer ağ, proxy, vb. gibi bir sistem uzerindeyseniz, "Dosya Paylaşimi"nin açik olmasi gerekiyor olabilir. Bu durumda sistem yoneticinizle konuşun).

Sisteminizde trojan aramak ise biraz daha uzun bir işlemdir. oncelikle BAŞLAT-->BUL-->DOSYALAR VEYA KLASORLER menusune girin. AD kutucuğuna *.exe yazin, KONUM kutucuğuna ise harddisklerinizin isimlerini yazarak hepsini aratmalisiniz. Tek harddiskiniz varsa KONUM kutucuğuna c: yazarak; iki harddiskiniz varsa once c: sonra d: yazarak aratmaniz gerekir.

Aramanin sonucu olarak karşiniza birçok .exe dosyasi çikacaktir. Bu konumda, dosyalarin başlarinda yer alan ikonlara dikkat etmelisiniz.

Trojanlar genelde iki ikonla kendilerini belli ederler:

1. Meşale ikonu.

Mavi bir daire uzerinde yer alan eğri bir meşale ikonu gorurseniz, bu ikonun sahibi çok yuksek ihtimalle bir trojandir.

2. Boş ikon. Eğer bir .exe dosyasinin ikonu yoksa, bu da muhtemelen Back Orifice trojanidir.

Eğer sisteminizde trojan bulamazsaniz, IRC hackerlarinin çok yuksek bir yuzdesinden korkmaniza gerek yok demektir. Çunku çoğu sistemi bilmeden, sadece ellerine geçen 1-2 programda mouse klikleyip sisteminizde hakimiyet kurarak egolarini tatmin eden kişilerdir. Trojani veya dosya paylaşim açiği olmayan bir Windows 95 makinasina sizmak, bu kişiler için mumkun değildir.

PC'nizde boş ikonlu bir Back Orifice trojani bulursaniz (bu dosyanin ismi herhangi birşey olabilir), hemen sitemizin hack arşivindeki BoDetect programiyla sisteminizi tarayin. Trojan dosyasini silmeniz asla yeterli olmayacaktir, Back Orifice'dan tamamen kurtulmak için BoDetect'i kullanmalisiniz (NOT: SniperOld'un bana verdiği bilgiye gore IRC ortaminda aslinda Back Orifice trojaninin ta kendisi olan sahte BoDetect dosyalari elden ele iletiliyormuş, bu yuzden başkalarindan gelen BoDetect programlarina guvenmeyin).

PC'nizde meşale ikonlu bir trojana rastlarsaniz, bu NetBus veya Hackers Paradise turu tek port kullanan bir programa ait demektir. Bulduğunuz trojan dosyasinin isminin PATCH.EXE olduğunu farz edersek, ondan kurtulmak için şu yolu izlemelisiniz.

1. oncelikle Patch.exe 'yi ve diğer butun meşale ikonlu dosyalari silin.

2. BAŞLAT-->AYARLAR-->GOREV ÇUBUĞU-->BAŞLAT MENÜSÜ PROGRAMLARI-->GELİŞMİŞ menusunu açin. Açilan pencerede PROGRAMLAR-->BAŞLANGIÇ ve PROGRAMLAR-->STARTUP klasorlerinde meşale ikonlu herhangi bir kisayol olup olmadiğina bakin; varsa hemen silin.

3. BAŞLAT-->ÇALIŞTIR menusune girerek regedit yazin ve TAMAM ikonunu klikleyin. Açilan pencerede DUZEN-->BUL menusune girerek Anahtarlar, Veriler ve Değerler kutucuklarinin işaretli olduğundan emin olduktan sonra ARANAN: kismina Patch.exe yazarak Sonrakini Bul ikonuna basin. Registrynizde her bulacağiniz Patch.exe dosyasini silin, ve sildikten sonra F3 tuşuna basarak aramaya devam edin. Windows "Kayit İçinde Arama Tamamlandi" mesajini verdiğinde, butun Patch.exe verilerini sildiğinizden eminseniz Registry Editor pencerenizi kapatin.

4. BAŞLAT-->ÇALIŞTIR menusune girerek c:\windows\system\sysedit.exe yazin. Açilan pencerelerin hiçbirinin Patch.exe ile ilgili kayit içermediğinden emin olun, olan kayitlari da sildikten sonra DOSYA-->KAYDET ikonunu tiklayin.

Bunlari yaptiktan sonra trojandan kurtulmuş olmalisiniz. Tabii trojan dosyasinin ismi herhangi birşey olabilir, Patch.exe 'yi yalnizca ornek olsun diye verdim.

Ayrica, çok populer olarak kullanilan ICQkill adli program da aslinda bir trojandir. Bir kere bu programi çaliştirdiysaniz, 

c:\windows\system\explorer.exe dosyasini silerek etkisiz hale getirebilirsiniz. 

Sisteminizi guvenli hale getirdikten sonra guvenli kalmasi için ise, başkalarindan gelen .exe veya .com dosyalarindan hiçbirini kabul etmemeyi unutmayin.
arrow
arrow
    全站熱搜

    PixPara 發表在 痞客邦 留言(0) 人氣()