11 Aralık 2013 Çarşamba

Adamlar hacklenmiş haberleri yok

Merhaba arkadaşlar bu sabah uyandım maillerime bakıyorum hoppa bir mail gelmiş xxxxClick adresinden :) herçey iyi güzelde Kime bölümüne bir baktım mail adresi dolu :) sonra dedim ya bende üyeydim buna banalım mail adresim varmı CTRL+F mail adresim çıktı benim sisteme kayıt ettiğim arkadaşlarımda var :) zibil gibi alt alta sonra dedim ya kos koca xxxxclick nasıl yapar bu hatayı neyse biraz kızdım duruma sonra mailin devamını okudum.Aşağıdaki gibi

xxxxclick Programı İle Daha Çok Para Kazanabilirsiniz. Program İşlemlerinizi Otomatik Hale Getirir ve Daha Çok Para Kazanmanızı Sağlar. Aşağıdaki Linke Tıklayarak Programı İndirebilirsiniz. 

https://www.xxxxxx.com/?j773de5qo4737j5 

Adamlar linki yapıştırmış hizmet güzel gibi otomatik para kazancaz hemen indirdim :D kasper ile tarattım hobaaa darkkomet var içinde çok sağlam bir trojan iyi gizlense hayatta bulamazsınız adamlar sizin kameranızdan tutunda bütün şifrelerinizi herbirşeyinizi görürler.

Neyse bende firmayı aradım adamlar uyarayımda bari durumu kurtarsınlar bütün üyelerine trojan bulaşmasın :) Hemen aradım telefonu açtılar durumu anlattım hala bir dönüş olmadı.

Şimdi durum analizi yapmak lazım tabi

 Bu mail adresleri nasıl başkalarının eline geçti?
  1. Yönetim panelini kullanan arkadaşın pc sine trojan bulaşmış trojani alan kişi başka kişilerede trojan bulaştırmak istemiştir.Mailin hazırlanış ve yollanış şekline bakarsak acemi işi hemen mailleri armış BCC bile yapmamış pek özensiz birde trojeni ücretsiz upload sitesine gömmüş UD bile yapmamış.
  2. Sunucu üzerinde ciddi bir güvenlik açığı var zaten php sistemlere asla güvenmem adamlar db yi almışlar hadi çakalım hepsine trojeni gibi bir mantık yürütmüşler buda olası bir durum gibi
  3. Kod içinde bir açık var ve üye listesine erişilebiliyor listeyi almışlar trojeni basmışlar.
Yazdıklarım arasında 1. madde en akla yatkın olan gibi peki yazılımınızda bu tarz bir sıkıntılar varsa ne yapılmalı.

  1. Şirket içinde ip adresi haricinde hiçbir yerden panele girilememeli şirket ip adreside sabit olmalı.Eğer bir yöneticinin evinden çalışması gerekli ise ona ya uzak masaüstü erişimi açılmalı yada ev ip adresi sabit yapılıp pc sinin güvenli oladuğuna emin olunmalıdır.
  2. Kodlama kısmında her kullanıcı login olduğunda benzersiz bir kod db ye yazılmalı ve bu benzersiz kod aynı anda cookie içerisinede gömülmeli kullanıcı eğer çıkış yaparsan benzersiz kod db de sıfırlanmalı bu sayede cookie çalındığında benzersiz kod tutmadığı için o cookie kullanılmaz olacakdır.Arka planda bir windows servis ile kullanıcıların son aktiviteleri izlenerek aktivite gostermeyen kullanıcıların benzersiz kodları sıfırlanmalı ayrıca her akşam mesai bitimindede bu işlem yaptırılmalıdır.
  3. Kodlama mümkünse Asp.net ile yapılmalı kodlar sizin sunucunuz haricinde hiçbir yerde çalışmayacak şekilde ayarlanmalıdır.Kodlarınızı publish ettiğinizde .net obfuscator programı ile kodları karıştırmalısınız.Ve db üzerinde tutulan önemli bilgiler mail adresi gibi bunları AES ile şifrelemelisiniz sadece kullanılacağı zaman sizin kodunuzun içerisindeki bir key ile açılmalı saldırgan databasenize ulaşsa dahi bunları okuyamamalı.
  4. Php kullanılmamalı uzak durulmalı mümkünse unutulmalı.
 

Hiç yorum yok:

Yorum Gönder