ixirhost
14. YIL

BİLGİ MERKEZİ

Sizin için hazırladığımız makale, çözüm önerilerini bilgi merkezimizde bulabilirsiniz, sorununuzu aşağıda ki arama kutusuna yazarak arama yapabilir veya kategorilere göre seçim yaparak makalelerimize göz atarak sorununuza hızlı çözüm ve yanıt bulabilirsiniz.

BİLGİ

Centos Selinux Kapatma
Merhaba; Yeni kurduğunuz Centos sunucunuzda panelinizin ve servislerinizin doğru çalışması için selinux kapalı olması gerekiyor, ssh ‘dan setenforce 0 yaptığımızda server reboot edilene kadar pasif olan selinux reboot ile birlikte tekrar aktif olur, dolayısıyla aşağıda belirttiğimiz şekilde kapatmalısınız. SSH ile sunucunuza eriştikten sonra; nano /etc/selinux/config dosyasını nano ile açalım, isterseniz vi ile de açabilirsiniz, SELINUX=enforcing yazan kısmı, SELINUX=disabled  olarak değiştirip kaydedip çıkıyoruz. İşlem bu kadar,  selinux’u komple kapatmış oluyoruz. Faydası olması dileğiyle.
CSF Kurulum ve Ayarları
Merhaba Cpanel kullandığınız sunucu üzerinde, port kapatma, çeşitli kural zincirleri oluşturmak vb. işlemler için CSF kurabilirsiniz, CSF tamamen bir firewall vb. değildir sadece IPTABLES’i yönetebilen bir scripttir. CSF de yazacağınız, oluşturacağınız kuralların IPTABLES ‘e ekleneceğini unutmayın, ileri düzeyde kullanıcıysanız iptables ve ipset ikilisi ile daha verimli ve hızlı kural grupları oluşturabilirsiniz. CSF indirmek ve kurmak için öncelikle ssh ile sunucumuza bağlanalım ve aşağıdaki komutları sırasıyla verelim; wget http://www.configserver.com/free/csf.tgztar -xzf csf.tgzcd csfsh install.sh csf son versiyonu kurulmuş oldu,  IPTables modülleri varmı yok mu kontrol edelim; perl /etc/csf/csftest.pl herhangi bir hata yoksa CSF çalışacaktır. CSF’yi apf ile birlikte kullanmayın, her ikiside iptables’i kullanıyor üst üste çalıştığında sıkıntı oluyor. WHM panelinizden Plugin kısmından Configserver Security & Firewall ‘a girerek ayarları yapabilirsiniz, Cpanel portlarını otomatik ekliyor, farklı ssh, ftp portu vb. kullanıyorsanız TCP_IN’e eklemelisiniz. Firewall Configration’a girip ayarları yapabilirsiniz, bazı ayarlar, TESTING  > Tüm ayarları yaptıktan sonra test modundan çıkarmak için 0 yapmakta fayda var, aksi halde 5 dakikada bir iptables kuralları kaldırılacaktır. TCP_IN  > Gelen TCP portlarından hangilerine izin verecekseniz, 20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2082,2083,2086,2087,2095,2096 vb. gibiTCP_OUT > Dışarıya cevap verecek TCP portları 20,21,22,25,37,43,53,80,110,113,443,587,873,2087,2089,2703,7516,161,7080  gibi.. UDP_IN  > UDP gelen portlar; 20,21,53,161 gibiUDP_OUT > UDP giden portlar; 20,21,53,113,123,873,6277,161 gibi ICMP_IN  > Gelen Ping’e izin vermek istiyorsanız, 1 yapmalısınız, 0 yaparsanız ping request time out olacaktır. ping atılamayacaktır. CSF ana sayfasında quick allow, deny gibi kısımlardan kolayca IP engelleyebilir, IP engeli kaldırabilirsiniz,  SSH’dan ise aşağıdaki komutlarla kolayca işlem yapabilirsiniz; csf -a IP_ADRESI > Belirtilen IP adresine izin verir, ayarlı olan firewall kuralları bu IP adresine işlemez. csf -d IP_ADRESI > Belirtilen IP adresinin sunucuya erişimini keser. csf -r > CSF’yi restart eder csf -x > CSF’yi kapatır, devredışı eder. csf -e > CSF kapalı konumda iken aktifleştirir Configration sayfasında bir çok ayar mevcut, altlarında ne anlama geldiklerini de yazmışlar, oralardan yola çıkarak kendi yapınıza göre ayar yapabilirsiniz.
Linux Server Antivirus
Merhaba; Linux Serverlarınızda kullanabileceğiniz antivirüs programı olarak “Bit Defender Console” önerebiliriz. C99, R57 gibi  bir takım injecktion scriptleri tesbit edebiliyor. Download edelim, wget http://www.halil.org/download/BitDefender-Console-Antivirus-7.0.1-3.linux-gcc29x.i586.rpm Paketi Kuralım; rpm -i BitDefender-Console-Antivirus-7.0.1-3.linux-gcc29x.i586.rpm Kurulum Bittikten Sonra update edelim; komut ekranında : bdc –update bitdefender’i update ettikten sonra taratma yapabiliriz, taratma yaparken kullanacağımız komut; bdc –files /var/www/vhosts gibi kullanabilirsiniz, burda siteleri taratacağım ben, ama size bdc–files /usr/sbin ‘de taratabilirsiniz, nereyi taratmak istiyorsanız oranın path’ini yazmanız yeterli. Tarama sonuçlarında bulduklarını ekranda full path olarak listeleyecek, /var/www/vhosts/xyz.net.com.org/httpdocs/administrator/components/com_xmap/language/dutch.php infected: Backdoor.PHP.RST.H Bulduğumuz bu virüsü silmek için; bdc –delete /var/www/vhosts/xyz.net.com.org/httpdocs/administrator/components/com_xmap/language/dutch.php gibi kullanmamız gerekecek. Yardım almak için; bdc –help Kurulum sırasında hatalar;Kurulum sırasında hata verebilir, bu hataları aşmak için istediği paketleri kurmak lazım bunun kolay yolu ise, yum -y hataverenpaketadi şeklinde yükleyebilirsiniz.
Maldet ile Zararlı Dosyaları Tarama
Merhaba; Linux sunucularda en sık görülen, joomla, wordpress vb. hazır sistemlerin açıkları veya webmaster’in sağdan soldan bulup sitesine bilinçsizce yüklediği tema veya plugin’lerden kaynaklı shell kodları veya base64 ile kriptolanmış kod parçacıklarını kodların arasına yerleştirip, dışarıdan tetikletip spam, phising, sunucu içerisinden dışarı yönlü IRC, port vb. ataklar yaptırılmasıdır. Maldetect kısa adıyla Maldet bu konuda bize yardımcı oluyor, sunucunuzda tarama yaparak zararlı kodları buluyor, karantina ayarlarını da yaparsanız otomatik olarak zararlı dosyaları karantinaya alıyor vb. detaylı özellikleri mevcut. Kurulum için, ssh bağlantımızı sağladıktan sonra; Sırasıyla aşağıda ki komutları uyguluyoruz; wget http://www.rfxn.com/downloads/maldetect-current.tar.gztar zxvf maldetect-current.tar.gzcd maldet*sh install.sh Kurulum tamamdır, maldet kurulduktan sonra cron.daily altına görev ekliyor ve günlük olarak sunucunuzda tarama gerçekleştiriyor.  SSH’da maldet –reports diyerek günlük raporlara bakabilirsiniz. Hemen bir tarama yapmak istiyorsanız; maldet -a komutunu kullanabilirsiniz. Örneğin, Cpanel sunucuda public_html klasörlerinin altlarını taratmak istiyorsanız maldet -a /home/?/public_html Plesk yüklü sunucuda aynı işlemleri yapmak isterseniz; maldet -a /var/www/vhosts/?/httpdocs Komutuyla taramalar yapabilirsiniz, dosya sayısına göre işlem uzun sürebilir,
PTT Kargo, Turkcell Virüs Mailleri
Merhaba; Son günlerde kullanıcılarımızdan bu yönde bazı şikayetler aldık, her ne kadar 3 katmanlı inbound spam kontrolü yapsak da, spam göndericiler çok hızlı aksiyon alarak IP değişikliği, domain değişikliği yaparak spam filtrelerini aşmayı başarabiliyor dolayısıyla sızmalar olabiliyor. Daha önce Türk Telekom Fatura başlığıyla gönderilen mailler şuanda PTT Kargo veya TurkcellFatura olarak gönderiliyor,  resimde göreceğiniz üzere içerisinde size bir kargo geldiği ve teslim edilemediği ADRES DEĞİŞİKLİĞİ FORMUNU İNDİR linki ile de bu değişikliği yapmanız gerektiği gösteriliyor. Yapmadığınız takdirde 25 TL günlük tazminat isteneceği ile de tüketici korkutulup, mailde belirtilen görevi yaptırmaya zorlanıyor. Biraz uyanık bir şekilde detaylara bakarsak;– PTT bizim mail adresimizi nerden biliyor? Bu mümkün değil, hangi kargo gönderisinde E-Mail ile bilgi veriliyor, özellikle alıcı konumunda isek, özel kargo şirketleri belki diyebiliriz ama PTT ile bu mümkün değil.  Dolayısıyla dakika 1 gol 1. – PTT adres değişikliği diye bir form olabilir mi?  Eğer bir kargo varsa ve bize ulaşmadıysa, adres hatalıysa bu kargo göndericisine geri döner, adres doğru ve biz o anda o adreste bulunmuyorsa en yakın PTT şubesine bırakılır ve kapıya not iliştirilir.  Dakika 1 gol 2.     64493534 nolu hesabınıza ait MART-2015 Turkcell Faturanız başlığı ile gönderiyorlar, 644 93 534 gibi bir hesap nasıl olur? Cep telefonuna benzemiyor,meryem@turkcell-fatura.biz , Meryem hanım bana özel bir fatura mı gönderiyor? Hemde “turkcell-fatura.biz” alan adıyla.     – Benzer domainler?Hadi hepsini geçelim, PTT’nin kendi domaini “ptt.gov.tr”, fakat bize gelen mailler ptt-posta.org, ptt-posta.com, ptt-posta.info, ptt-posta.net, ptt-posta.biz vb.. dolayısıyla bu da bir algı yönetimi, fakat PTT size bu tarz mail göndermeyeceği gibi, gönderse dahi “ptt.gov.tr” den gönderir. Yine altını çizmekte fayda var PTT devlet kuruluşu ve mail vs. teknolojiden uzak durumdalar şuanda, bu da dakika 1 gol 3. Ne yapılmak isteniyor, Amaç Nedir?  Bu fake maillerde maksat şu; ilgili link veya mail ekinde fatura, form gibi görünen dosyayı açmanız hedefleniyor, bu dosya pdf gibi görünse de exejoiner ile birleştirilmiş bir EXE dosyası, yani bir uygulama, bu uygulama çalıştığı anda bilgisayarınızda dosyalar kriptolanıyor ve kullanılamaz hale geliyor.fiyatteklifi.xlsx.encrpyted gibi bir hal alıp kullanılamıyor. Amaç; bu dosyalar size lazım ve bunlara tekrar erişmeniz lazım, erişmeye çalıştığınızda “Dosyalarınız Cryptolocker virüsü tarafından şifrelenmiştir, şifre çözme yazılımı almak için tıklayın” uyarısıyla karşılaşıyorsunuz, sizden para koparmaya çalışan şark kurnazları ile karşı karşıya kalıyorsunuz. Nasıl korunabilirim;– PTT, Turkcell, Avea, Vodafone, Türk Telekom, Digiturk vb. size exe, jar, zip, rar, uzantılı mail göndermez, “pdf” formatında gönderirler, buna dikkat edin.– Mailin “kimden” geldiğine bakın, domain sizce gönderen kuruluşa mı ait?– Mailin içerisinde sizin TC kimlik numaranız veya adınız soyadınız veya telefon numaranız veyahut size ait özel/kişisel gerçek bir bilgi yer alıyor mu?– Mutlaka güncel, lisanslı, tam kapsamlı virüs ve internet security programları, firewall programlarını kullanın ve güncel tutun. PTT için yazılanlar, Turkcell faturaları içinde geçerlidir, hatta yarın öbürgün, vodafone, avea, digiturk vb. olarak bu kervan devam edebilir. Gönderen kişiler aynı, 178.x.x.x. IP adresleriyle gönderiyorlar ve biz bunları tesbit edip büyük IP aralıkları halinde derhal karalisteye alıyoruz. Bir kısım rapor/tespit edilmiş güncel domain listesi: https://www.usom.gov.tr/zararli-baglantilar/1.html adresinde görülebilir, takip edilebilir. Bu tarz maillerde ekstra dikkatli olmak faydanıza olacaktır.Saygılarımızla
R57, C99 Türü Zararlı Dosyaları Temizleme
Merhaba, Sitenizi oluşturmak için ücretsiz ulaşabileceğiniz CMS yazılımlar veya firmanız için yazdırdığınız web yazılımınızdaki açıklardan sitenize sızarak kullanmış olduğunuz hosting,sanal yada fiziksel sunucu kaynaklarını kendilerine tamamen açıp, toplu mail gönderimi veya bir çok zararlı eylemlerde kullanılmak üzere hazırlanmış shell kodları,dosyaları SSH üzerinden nasıl tesbit edip sileceğimizi ve bunlara karşı nasıl önlemler alabileceğinizi paylaşacağım. c99 ,r57 shell kodları kolay ulaşılabilir düzenlenebilir kodlardır. Genelde base64 ile şifrelenip sitenize bulaştırıla biliyor yada lisanslı yazılımları decode edip site dosyalarınızın satırları arasına bu kodlar ekleniyor ve sizden habersiz bir çok zararlı eylemler gerçekleştiriliyor. Bunlardan en çok sık yapılan Toplu mail gönderimi ve Phishing(kopyalanmış) site çalışmalarıdır. Ne tarz önlemler almalıyım? – En önemli ve keslinlikle uyulması gereken warez yani lisanssız yazılım kullanılmaması. – Sunucunuzda güvenlik ayarlarının yapılması. (custom php., disable_fuction gibi yapılandırıla bilir ayarlar.) – FTP, Yönetim paneli gibi sitenizin içeriğini yada hizmetinize ait web alanını yönetimi yaptığınız bölümlerde yönetici adlarını ve şifrelerini minimum %60 güvenlik derecesinde belirleyiniz. – – Hosting hizmetinde Sunucu güvenliği yer sağlayıcı firmanıza ait olduğu için 1. kurala hosting servisinden yararlanıyorsanız mutlaka uymanız gerekmektedir.Hizmetimde c99 veya r57 shell taraması nasıl yapabilirim? Linux bir sunucunuz var ise maldet ile shell taraması yapabilirsiniz. Zararlı dosyayı tespit edip düzenleyebilrisiniz. Diğer bir yöntem ise direk c99 ve r57 yi bulmak ve temizlemek,– PHP dosyalarınızda r57 shell araması yapmak için; find /home/domainname/ -name “*”.php -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d”:” -f1 | awk ‘{print “rm -rf ” $2}’ | uniq – r57 Shell txt dosya araması ; find /home/domainname/ -name “*”.txt -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d”:” -f1 | awk ‘{print “rm -rf ” $2}’ | uniq – PHP dosyalarınızda c99 shell araması yapmak için; find /home/domainname/ -name “*”.php -type f -print0 | xargs -0 grep c99 | uniq -c | sort -u | cut -d”:” -f1 | awk ‘{print “rm -rf ” $2}’ | uniq – c99 Shell txt dosya araması ; find /home/domainname/ -name “*”.txt -type f -print0 | xargs -0 grep c99 | uniq -c | sort -u | cut -d”:” -f1 | awk ‘{print “rm -rf ” $2}’ | uniq Yukardaki satırlar ile shell bulaşmış dosya tesbit edip silebilirsiniz. Sadece dosyayı tesbit etmek istiyorsanız awk ‘{print “rm -rf “ $2}’ | uniq “rm -rf” kalın yazılmış bölümü  kod satırlarından kaldırabilirsiniz. Böylelikle dosyanız silinmeyecek ekranınızda listelenecektir.
SSH Portu Değiştirmek
Merhaba; Güvenliği, izinsiz erişimleri ve brute force ataklarını engellemek, root giriş denemelerini en asgariye indirmek için Linux sunucularınızın SSH portunu değiştirmek gerekiyor. SSH Portunu değiştirmek için; nano -w /etc/ssh/sshd_config İle sshd config dosyamızı açıyoruz, #Port 22 Port 22 başındaki diyezi # kaldırıp, yeni bir port numarası veriyoruz, dikkat edilecek bir kaç unsur var, 1) Vereceğiniz port numarasını başka bir servisin kullanmıyor olması, 2) Eğer sunucu üzerinde veya network’de bir firewall’da port engellemesi varsa yeni ssh portunuza izin vermeleri veya sunucu üzerindeki firewall’da sizin bunu ayarlamanız gerekir. Portu değiştirdikten sonra /etc/rc.d/init.d/sshd restartveya service sshd restart komutlarıyla SSHD servisimizi yeniden başlatıyoruz ve artık yeni belirttiğimiz PORT üzerinden SSH erişimi sağlayacağız.
Uzak Masaüstü Port Değiştirme
Merhaba, Bu yazımızda windows sunucu güvenliği için uzak masa üstü portunuzu nasıl değiştireceğinizi anlatacağız. Windows işletim sistemi tercih ettiğiniz sunucularda gelen uzak masaüstü servisi portu standart olarak 3389 gelmektedir. Sunucunuza bağlantı kurmak istediğinizde sadece ip adresinizi yazmanız yeterli olacaktır. Güvenliğiniz için bu portu değiştirmeniz öneriyoruz. Değiştirmek için aşağıdaki adımları uygulayabilirsiniz. Öncelikle Başlat menüsünden Çalıştır bölümüne regedit yazıp enterlayın. 1. Start > Run > regedit Gelen ekranda sol bölümde aşağıda belirttiğimiz bölümü seçin. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber RDP-TcpPortNumber sağ tıklayıp edit yapıyoruz açılan ekranda ondalık (decimal) seçiyoruz ve yeni RDP port numaramızı yazıyoruz (vereceğimiz portun başka bir uygulamaya ait olmadığını araştırmalıyız ) örneğin 9009 veriyoruz tamam’a tıklayıp çıkıyoruz. Serveri reboot ettikten sonra yeni RDP port numaramızdan remote desktop bağlantısı sağlayacaz. RDP ye bağlanırken; x.x.x.x:PORT Şeklinde bağlanabilirsiniz.
Uzak Masaüstü Port Değiştirme
Merhaba, Bu yazımızda windows sunucu güvenliği için uzak masa üstü portunuzu nasıl değiştireceğinizi anlatacağız. Windows işletim sistemi tercih ettiğiniz sunucularda gelen uzak masaüstü servisi portu standart olarak 3389 gelmektedir. Sunucunuza bağlantı kurmak istediğinizde sadece ip adresinizi yazmanız yeterli olacaktır. Güvenliğiniz için bu portu değiştirmeniz öneriyoruz. Değiştirmek için aşağıdaki adımları uygulayabilirsiniz. Öncelikle Başlat menüsünden Çalıştır bölümüne regedit yazıp enterlayın. 1. Start > Run > regedit Gelen ekranda sol bölümde aşağıda belirttiğimiz bölümü seçin. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber RDP-TcpPortNumber sağ tıklayıp edit yapıyoruz açılan ekranda ondalık (decimal) seçiyoruz ve yeni RDP port numaramızı yazıyoruz (vereceğimiz portun başka bir uygulamaya ait olmadığını araştırmalıyız ) örneğin 9009 veriyoruz tamam’a tıklayıp çıkıyoruz. Serveri reboot ettikten sonra yeni RDP port numaramızdan remote desktop bağlantısı sağlayacaz. RDP ye bağlanırken; x.x.x.x:PORT Şeklinde bağlanabilirsiniz.
Windows Firewall Kullanmak
Windows sunucunuz üzerinde PLESK kontrol paneli kullanıyorsanız eğer, Windows Firewall’ı aktif hale getirip aşağıdaki portları izin listesine eklemeniz yararınıza olacaktır. TCP  80    | IISTCP  587 | SMTPTCP  110  | POP3TCP  21     | FTPTCP  8443 | PLESK-OVERSSLTCP 8880 | PLESK-NONSSLTCP  3389 | UZAKMASAÜSTÜ (Eğer uzakmasaüstü portunuz başka ise, kullandığınız portu giriniz!)TCP  53      | DNSUDP  53     | DNS Ek olarak:  “Add Program” ‘a tıklayıp C:\Windows\system32\inetsrv\inetinfo.exe dosyasını da izin listesine ekleyip Firewall’ınızı aktif hale getiriniz. Advanced sekmesinden ICMP kısmından ALLOW incoming echo request ‘de seçerseniz sunucunuzu ping’e açabilirsiniz, aksi halde ping’e kapalı kalacaktır. Neler sağlar; Güvenli erişim, çeşitli sistem açıklarından veya açık portlardan gelecek ataklar, virüsler, broadcast virüslerinden vb. korur.