SUSKUN
02-02-2006, 12:34 AM
MSADCS RDS Zayifligi:
Port: 80
Aciklama: Bu zayiflik hacker’a, server’e zarar verebilecek cesitli sistem komutlarini yurutme imkâni saglar.
URL: [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
(bir zamanlarin meshur msadc.pl ve msadc2.pl exploitlerini animsayalim!)
Zayifligin Giderilmesi: /msadc virtual klasorunu kaldirin yada microsoft’un sitesinden guncel MDAC pack’lerini indirip
bilgisayariniza yukleyin..
----------------------------
IIS Unicode Zayifligi:
Port: 80
Aciklama: Sozkonusu guvenlik acigi, sistemde shell’e dusme (spawning a shell),sistemdeki dosyalari browser’dan
goruntuleme/modifiye etme olanagi saglar.
URL: [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
veya
[Only Registered Users Can See Links] ([Only Registered Users Can See Links])
Zayifligin Giderilmesi: IIS ile birlikte default olarak gelen /msadc ve /scripts/ virtual klasorlerinin silinmesi,yada
guncel S.Pack’leri yukleme..
----------------------------
FTP Server Anonymous Giris Imkani:
Port: 21
Aciklama: Sistem’e FTP portundan Anonim giris, sistem hakkinda detayli bilgiler elde etmeyi saglayabilir.
URL: C:>ftp
ftp> open
Kime: localhost
Kullanici: Anonymous
Sifre: billgates@microsoft.com (billgates@microsoft.com)
Zayifligin Giderilmesi: Anonim giris gerekli degilse disable etmeniz onemle tavsiye edilir.Denetim Masasindaki Yonetimsel
Araclar’da bulunan Internet Hizmet Yoneticisi’nden FTP’ye sag tiklayip ozellikleri seciyoruz.Karsimiza ftp daemonumuzun
kontrol paneli geliyor."Guvenlik Hesaplari" Kartinda yer alan "Anonim Baglantilara Izin Ver" secenegini kaldiriyoruz.
----------------------------
IDA-IDQ ISAPI Root Dizini Saldirisi:
Port: 80
Aciklama: Sunucuya [Only Registered Users Can See Links] ([Only Registered Users Can See Links]) veya [Only Registered Users Can See Links] ([Only Registered Users Can See Links]) turu bir talepte bulunursak:
"c:inetpub[Only Registered Users Can See Links] not found." hatasiyla karsilasiyoruz.Dikkat ettiyseniz hata’da web’in root dizini de
ekranimiza geliyor.Boylelikle Web Server’imizin sistemdeki yolunu (path) ogrendik!
Zayifligin Giderilmesi: Denetim Masasindaki Yonetimsel Araclar’dan Internet Hizmet Yoneticisini acin.Korumak web’e sag
tiklayip ozellikler’i secin."Giris Dizini" kartina gelin."Yapilandirma" butonuna tiklayin. .ida uzantisina cift tiklayin.
"Dosyanin Varligini Denetle" secenegini isaretleyin.Tamam diyerek pencereleri kapatin.Ayni islemi .idq uzantisi icin de
yapmalisiniz..
----------------------------
eXtra:
1- Web’inizi kesinlikle C: uzerinden internete acmayin.En tehlikeli ve default dizin olan c:inetpub[Only Registered Users Can See Links] seceneginden
baska bir yol belirtmis olsaniz dahi (ornegin c:websitem, c:virtualhost...vs) harddisk’inizin C: bolumunde WINNT gibi
sisteminiz icin onemli sayilabilecek dizinlerin bulundugunu unutmamalisiniz.Saldirgan, ../../ (Hex : %2E%2E%2F%2E%2E%2F )
unicode mantigi ile browser uzerinden WINNT ve System32 dizinlerini yoklayabilir, cmd.exe yardimi ile sisteminize zarar
verebilir..Saldirilarin (unicode saldirilari) buyuk bir bolumunu onlemenin Tek cozum yolu Web’inizi D: , E: gibi extended
partitionlarda barindirmaniz...
2- Sisteminizdeki Administrator (Yonetici) sifrenizi gayet uzun ve BUYUK,kucuk,0..9 iceren karakterlerden yapmalisiniz.
Ornegin (aRHAz2359BAdjatAT41932ZsxQ gibi...)
3- Dosya Sisteminizi NTFS (New Technology File System) yapmalisiniz.Kota ve Kullanici/Dizin sinirlama,Streaming,yuksek
guvenlik gibi bircok ozelliklerinden dolayi sunucunuzun dosya sistemi NTFS olmalidir.Sayet Sisteminizin Partition’lari
FAT32 olarak bicimlendirilmis ise NTFS’e donusum icin MS-DOS ’ta:
Convert C: /FS:NTFS
komutu ile dosya sisteminizi NTFS yapabilirsiniz.Fakat bu komutu kullanmadan once verilerinizi yedeklemenizi tavsiye
ederim.
4- Sisteminizde yetkileri/dizinleri sinirlanmis bir kullanici hesabi acip(Web,WebServer,WebUser...gibi) Web Server’iniz
Online oldugu zamanlar bu kullanici ile bilgisayarinizi kullanmaniz yararinizadir...
5- Zaten bilgisayariniza fiziksel olarak erisebildiginizden dolayi IIS’in ftpd’sini kurmaya da gerek kalmayacaktir.
(Sayet uzaktan kontrol gerekmiyor ise) [Less Services=More Security!]
6- Sisteminize uygun/guncel Service Pack surumunu mutlaka Microsoft.com dan indirip kurmalisiniz..
7- Denetim Masasi > Yonetimsel Araclar > Hizmetler’i acin.(Sisteme ile birlikte calistirilmaya baslanan servislerin
listesi/yonetim menusu)kullanmadiginiz veya bilginiz disinda 3. parti yazilimlar tarafindan yuklenen servisleri
(Dialerlar,ICQ,MSN,Calendar.vs)iptal ederek hem sisteminizin acilis suresini hizlandirir,hemde CPU,RAM,SWAP’inizin daha
ekonomik bir bicimde kullanilmasini saglayip sistem kaynaklarinizi buyuk bir olcude rahatlatirsiniz.Bunun icin servis’e
sag tiklayip ozellikler’e geliyoruz.Hizmet Durumu: altinda ki "Durdur" butonuna tikliyoruz.Servisi durdurduktan sonra
Baslangic Turu: Pull Down menusunu indirerek "Devre Disi" secenegini seciyoruz.Pencereyi Tamam’layip kapatiyoruz.
8- Denetim Masasi > Yonetimsel Araclar > Internet Hizmet Yoneticisi’ni acin.Web’e tek tiklayin.Sagda virtual ([Only Registered Users Can See Links];da
bulunmayan+sanal+executable dosyalar iceren dizinler)dizinlerin listesi gelecektir.Buradan "Printers","Scripts","msadc",
"IISHelp" , "Help" olanlari delete tusuyla kaldiriniz...
9- Denetim Masasi > Kullanicilar Ve Parolalar’i aciyoruz.Once "Gelismis" kartina, daha sonra "Gelismis Kullanici Yonetimi"
altinda yer alan "Gelismis" Butonuna tikliyoruz.
"Yerel Kullanicilar ve Gruplar (Yerel)
Users
Gruplar"
ekrani geliyor..
Biz "Users" a tikliyoruz.Sag tarafa sistemimizdeki kullanici hesaplari geliyor.Guest hesabina sag tiklayip ozelliklere
geliyoruz."Hesap devre disi" ni isaretleyip "Tamam" diyerek pencereyi kapatiyoruz.
10- Sistemimizden,gereksiz sistem kaynaklari tuketen ve artik tarihe karismis OS/2 alt sistem destegini kaldiralim:
registry’den HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSe ssion ManagerSubSystemsOs2 dize degerini kaldiriyoruz.
Bu key, OS/2 dosyalarinin yolunu tutmaktadir.Daha sonra os2.exe, os2ss.exe ve os2srv.exe dosyalarini sistemden siliyoruz.
Bu dosyalar : %systemroot%system32 klasorunde yer almaktadirlar.OS2.exe, OS/2 altsistem client’i, os2srv.exe ise OS/2
altsistem server dosyalaridir...Son olarak %systemroot%system32os2 klasorunu tamamiyle siliyoruz.
Not: Ayni sekil POSIX destegini de kaldirabilirsiniz...
11- Registry’deki AutoAdminLogon ve DefaultPassword anahtarlari bilgisayariniza oturan her kisiye sorgusuz sualsiz
Administrator yetkisi verir.Regedit’den
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon altindan bu keyleri silebilirsiniz.
12- C[Only Registered Users Can See Links] dosyasi sistem tarafindan sanal bellek (virtual memory) icin kullanilan bir dosyadir.
Bu dosya, kullanici adlari, sifreler gibi hassas bilgiler barindirir.
Registry’den:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSe ssion ManagerMemory Management bolumundeki:
ClearPageFileAtShutdown DWORD Degerine cift tiklayip Deger Verisi olarak : 1 girersek Windows, Her restartlama yada
oturumu kapatmalarda pagefile dosyamizi temizleyecektir...
13- Sistemdeki Log dosyalari, bazen sadece Administratorler tarafindan bilinmesi gerekecek kadar onemli sistem bilgileri
icerebilir.Bu, guest gibi yetkisiz kullanicilara sistem hakkinda detayli bilgi verme imkâni yaratir.
Engellemek icin:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesE ventlogApplication
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesE ventlogSecurity
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesE ventlogSystem
anahtarlarina RestrictGuestAccess adinda bir DWORD Degeri eklenmeli ve deger olarak 1 verilmelidir...
----------------------------
--> SonSoz:
-> Bahsettigim Zayifliklar sadece en populer ve tehlikeli olan aciklardan bir kaci..Sisteminizi devamli
-> guvenli tutmak icin services pack’leri beklemenize gerek yok.Microsoft, cikan her yeni guvenlik aciklari
-> icin "Hotfix" dedigimiz minik yamalar (patch) gelistirmekte..Bunlari Sisteminizdeki "Windows Update" ile
-> takip edebilirsiniz.Ayrica guvenlik sitelerini sik sik takip etmelisiniz..Boylelikle en guncel aciklardan
-> erken haberdâr olur, sisteminize hackerlardan once kendiniz mudahale edip,veri kaybina engel olabilirsiniz.
-> Sisteminizde iyi bir Antivirus yazilimi ve Bir firewall olmali.
----------------------------
--> Konu ile ilgili Cesitli Linkler:
-> [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
-> [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
-> [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
-> [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
-> [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
-> [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
Port: 80
Aciklama: Bu zayiflik hacker’a, server’e zarar verebilecek cesitli sistem komutlarini yurutme imkâni saglar.
URL: [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
(bir zamanlarin meshur msadc.pl ve msadc2.pl exploitlerini animsayalim!)
Zayifligin Giderilmesi: /msadc virtual klasorunu kaldirin yada microsoft’un sitesinden guncel MDAC pack’lerini indirip
bilgisayariniza yukleyin..
----------------------------
IIS Unicode Zayifligi:
Port: 80
Aciklama: Sozkonusu guvenlik acigi, sistemde shell’e dusme (spawning a shell),sistemdeki dosyalari browser’dan
goruntuleme/modifiye etme olanagi saglar.
URL: [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
veya
[Only Registered Users Can See Links] ([Only Registered Users Can See Links])
Zayifligin Giderilmesi: IIS ile birlikte default olarak gelen /msadc ve /scripts/ virtual klasorlerinin silinmesi,yada
guncel S.Pack’leri yukleme..
----------------------------
FTP Server Anonymous Giris Imkani:
Port: 21
Aciklama: Sistem’e FTP portundan Anonim giris, sistem hakkinda detayli bilgiler elde etmeyi saglayabilir.
URL: C:>ftp
ftp> open
Kime: localhost
Kullanici: Anonymous
Sifre: billgates@microsoft.com (billgates@microsoft.com)
Zayifligin Giderilmesi: Anonim giris gerekli degilse disable etmeniz onemle tavsiye edilir.Denetim Masasindaki Yonetimsel
Araclar’da bulunan Internet Hizmet Yoneticisi’nden FTP’ye sag tiklayip ozellikleri seciyoruz.Karsimiza ftp daemonumuzun
kontrol paneli geliyor."Guvenlik Hesaplari" Kartinda yer alan "Anonim Baglantilara Izin Ver" secenegini kaldiriyoruz.
----------------------------
IDA-IDQ ISAPI Root Dizini Saldirisi:
Port: 80
Aciklama: Sunucuya [Only Registered Users Can See Links] ([Only Registered Users Can See Links]) veya [Only Registered Users Can See Links] ([Only Registered Users Can See Links]) turu bir talepte bulunursak:
"c:inetpub[Only Registered Users Can See Links] not found." hatasiyla karsilasiyoruz.Dikkat ettiyseniz hata’da web’in root dizini de
ekranimiza geliyor.Boylelikle Web Server’imizin sistemdeki yolunu (path) ogrendik!
Zayifligin Giderilmesi: Denetim Masasindaki Yonetimsel Araclar’dan Internet Hizmet Yoneticisini acin.Korumak web’e sag
tiklayip ozellikler’i secin."Giris Dizini" kartina gelin."Yapilandirma" butonuna tiklayin. .ida uzantisina cift tiklayin.
"Dosyanin Varligini Denetle" secenegini isaretleyin.Tamam diyerek pencereleri kapatin.Ayni islemi .idq uzantisi icin de
yapmalisiniz..
----------------------------
eXtra:
1- Web’inizi kesinlikle C: uzerinden internete acmayin.En tehlikeli ve default dizin olan c:inetpub[Only Registered Users Can See Links] seceneginden
baska bir yol belirtmis olsaniz dahi (ornegin c:websitem, c:virtualhost...vs) harddisk’inizin C: bolumunde WINNT gibi
sisteminiz icin onemli sayilabilecek dizinlerin bulundugunu unutmamalisiniz.Saldirgan, ../../ (Hex : %2E%2E%2F%2E%2E%2F )
unicode mantigi ile browser uzerinden WINNT ve System32 dizinlerini yoklayabilir, cmd.exe yardimi ile sisteminize zarar
verebilir..Saldirilarin (unicode saldirilari) buyuk bir bolumunu onlemenin Tek cozum yolu Web’inizi D: , E: gibi extended
partitionlarda barindirmaniz...
2- Sisteminizdeki Administrator (Yonetici) sifrenizi gayet uzun ve BUYUK,kucuk,0..9 iceren karakterlerden yapmalisiniz.
Ornegin (aRHAz2359BAdjatAT41932ZsxQ gibi...)
3- Dosya Sisteminizi NTFS (New Technology File System) yapmalisiniz.Kota ve Kullanici/Dizin sinirlama,Streaming,yuksek
guvenlik gibi bircok ozelliklerinden dolayi sunucunuzun dosya sistemi NTFS olmalidir.Sayet Sisteminizin Partition’lari
FAT32 olarak bicimlendirilmis ise NTFS’e donusum icin MS-DOS ’ta:
Convert C: /FS:NTFS
komutu ile dosya sisteminizi NTFS yapabilirsiniz.Fakat bu komutu kullanmadan once verilerinizi yedeklemenizi tavsiye
ederim.
4- Sisteminizde yetkileri/dizinleri sinirlanmis bir kullanici hesabi acip(Web,WebServer,WebUser...gibi) Web Server’iniz
Online oldugu zamanlar bu kullanici ile bilgisayarinizi kullanmaniz yararinizadir...
5- Zaten bilgisayariniza fiziksel olarak erisebildiginizden dolayi IIS’in ftpd’sini kurmaya da gerek kalmayacaktir.
(Sayet uzaktan kontrol gerekmiyor ise) [Less Services=More Security!]
6- Sisteminize uygun/guncel Service Pack surumunu mutlaka Microsoft.com dan indirip kurmalisiniz..
7- Denetim Masasi > Yonetimsel Araclar > Hizmetler’i acin.(Sisteme ile birlikte calistirilmaya baslanan servislerin
listesi/yonetim menusu)kullanmadiginiz veya bilginiz disinda 3. parti yazilimlar tarafindan yuklenen servisleri
(Dialerlar,ICQ,MSN,Calendar.vs)iptal ederek hem sisteminizin acilis suresini hizlandirir,hemde CPU,RAM,SWAP’inizin daha
ekonomik bir bicimde kullanilmasini saglayip sistem kaynaklarinizi buyuk bir olcude rahatlatirsiniz.Bunun icin servis’e
sag tiklayip ozellikler’e geliyoruz.Hizmet Durumu: altinda ki "Durdur" butonuna tikliyoruz.Servisi durdurduktan sonra
Baslangic Turu: Pull Down menusunu indirerek "Devre Disi" secenegini seciyoruz.Pencereyi Tamam’layip kapatiyoruz.
8- Denetim Masasi > Yonetimsel Araclar > Internet Hizmet Yoneticisi’ni acin.Web’e tek tiklayin.Sagda virtual ([Only Registered Users Can See Links];da
bulunmayan+sanal+executable dosyalar iceren dizinler)dizinlerin listesi gelecektir.Buradan "Printers","Scripts","msadc",
"IISHelp" , "Help" olanlari delete tusuyla kaldiriniz...
9- Denetim Masasi > Kullanicilar Ve Parolalar’i aciyoruz.Once "Gelismis" kartina, daha sonra "Gelismis Kullanici Yonetimi"
altinda yer alan "Gelismis" Butonuna tikliyoruz.
"Yerel Kullanicilar ve Gruplar (Yerel)
Users
Gruplar"
ekrani geliyor..
Biz "Users" a tikliyoruz.Sag tarafa sistemimizdeki kullanici hesaplari geliyor.Guest hesabina sag tiklayip ozelliklere
geliyoruz."Hesap devre disi" ni isaretleyip "Tamam" diyerek pencereyi kapatiyoruz.
10- Sistemimizden,gereksiz sistem kaynaklari tuketen ve artik tarihe karismis OS/2 alt sistem destegini kaldiralim:
registry’den HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSe ssion ManagerSubSystemsOs2 dize degerini kaldiriyoruz.
Bu key, OS/2 dosyalarinin yolunu tutmaktadir.Daha sonra os2.exe, os2ss.exe ve os2srv.exe dosyalarini sistemden siliyoruz.
Bu dosyalar : %systemroot%system32 klasorunde yer almaktadirlar.OS2.exe, OS/2 altsistem client’i, os2srv.exe ise OS/2
altsistem server dosyalaridir...Son olarak %systemroot%system32os2 klasorunu tamamiyle siliyoruz.
Not: Ayni sekil POSIX destegini de kaldirabilirsiniz...
11- Registry’deki AutoAdminLogon ve DefaultPassword anahtarlari bilgisayariniza oturan her kisiye sorgusuz sualsiz
Administrator yetkisi verir.Regedit’den
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon altindan bu keyleri silebilirsiniz.
12- C[Only Registered Users Can See Links] dosyasi sistem tarafindan sanal bellek (virtual memory) icin kullanilan bir dosyadir.
Bu dosya, kullanici adlari, sifreler gibi hassas bilgiler barindirir.
Registry’den:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSe ssion ManagerMemory Management bolumundeki:
ClearPageFileAtShutdown DWORD Degerine cift tiklayip Deger Verisi olarak : 1 girersek Windows, Her restartlama yada
oturumu kapatmalarda pagefile dosyamizi temizleyecektir...
13- Sistemdeki Log dosyalari, bazen sadece Administratorler tarafindan bilinmesi gerekecek kadar onemli sistem bilgileri
icerebilir.Bu, guest gibi yetkisiz kullanicilara sistem hakkinda detayli bilgi verme imkâni yaratir.
Engellemek icin:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesE ventlogApplication
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesE ventlogSecurity
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesE ventlogSystem
anahtarlarina RestrictGuestAccess adinda bir DWORD Degeri eklenmeli ve deger olarak 1 verilmelidir...
----------------------------
--> SonSoz:
-> Bahsettigim Zayifliklar sadece en populer ve tehlikeli olan aciklardan bir kaci..Sisteminizi devamli
-> guvenli tutmak icin services pack’leri beklemenize gerek yok.Microsoft, cikan her yeni guvenlik aciklari
-> icin "Hotfix" dedigimiz minik yamalar (patch) gelistirmekte..Bunlari Sisteminizdeki "Windows Update" ile
-> takip edebilirsiniz.Ayrica guvenlik sitelerini sik sik takip etmelisiniz..Boylelikle en guncel aciklardan
-> erken haberdâr olur, sisteminize hackerlardan once kendiniz mudahale edip,veri kaybina engel olabilirsiniz.
-> Sisteminizde iyi bir Antivirus yazilimi ve Bir firewall olmali.
----------------------------
--> Konu ile ilgili Cesitli Linkler:
-> [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
-> [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
-> [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
-> [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
-> [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
-> [Only Registered Users Can See Links] ([Only Registered Users Can See Links])