Üye Girişi
x

Giriş Başarılı.

Yanlış Bilgiler.

E-mail adresinizi doğrulamalısınız.

Facebook'la giriş | Kayıt ol | Şifremi unuttum
İletişim
x

Mesajınız gönderildi.

Mesajınız gönderilemedi.

Güvenlik sorusu yanlış.

Kullandığınız Sosyal Medyayı Seçin
Yeni Klasör 8 yıldır sizin için en güvenli hizmeti veriyor...

Teknoloji dünyasındaki son gelişmeler ve sürpriz hediyelerimiz için bizi takip edin.

Bilgisayarınıza Hacker'mı Dadandı?

> 1 <

Transillivanya

grup tuttuğum takım
Teğmen Grup
Hat durumu Cinsiyet Özel mesaj 809 ileti
Yer: Antartika
İş: yeniklasor.com
Kayıt: 05-02-2006 11:24

işletim sistemim [+][+3][+5] [-]
kırık link bildirimi Kırık Link Bildir! #4380 16-03-2006 18:42 GMT-1 saat    
Bilgisayarınıza Hacker'larmı Dadandı

Son zamanlarda, IRC üzerinden karşı tarafın PC'sine bir trojan yollayarak portlarından birinde açık sağlamak ve bu portu kullanan bir program vasıtasıyla PC'ye tamamen hükmetmek tehlikeli derecede yaygın bir hal aldı. Siz IRC'de keyifle sohbet ederken bir hacker,(biz bunlara lammer diyoz..) haberiniz bile olmadan bilgisayarınızda geziniyor veya bazı şahsi bilgilerinizi çalıyor olabilir.
Bu yazımda hack edildiğinizi anlamanın yollarından ve anlayınca bunun önüne nasıl geçebileceğinizden bahsedeceğim.

Bilgisayarınızın Girildiğinin İşaretleri

1. Bilgisayarınızı açtığınızda karşılaştığınız mesajlar.
Etraftaki birinin size şaka yapmadığından eminseniz ve bilgisayarınızı açtığınızda "Bilgisayarınız hack edilmiştir" tarzı bir mesajla karşılaşıyorsanız, bu mesajı kimin bıraktığı açıktır.

2. Harddiskten gelen alışılmadık sesler.
Internete bağlı olduğunuz süre zarfında, siz birşey yapmamanıza rağmen harddiskinizden birşey yükleniyormuş gibi sürekli olarak gelen sesler, bir hackerın o sırada harddiskinizdeki bazı dosyaları karıştırdığına gösterge olabilir. Tabii burada bir internet sayfası açarken, karşıdan dosya yüklerken veya bir program bir dosyayı açarken gelen doğal seslerden bahsetmiyorum; bilgisayarını uzun süre kullananlar bu doğal sesleri zaten tanırlar.

3. Disket sürücüsünün çıkarttığı sesler.
O anda kullandığınız hiçbir program disket sürücüsüne ulaşmaya çalışmamasına rağmen disket sürücüsü içinde bir disket varmış gibi sesler çıkartıyorsa, bu PC'nize sızmış bir hackerın sürücüde disket aradığını gösterebilir.

4. CD-ROM sürücünüzün açılıp kapanması.
Bu, hackerların en sık yaptığı "Espri"lerden biridir. Siz fiziksel olarak veya bir program aracılığıyla hiçbir müdahele yapmamış olmanıza rağmen CD-ROMunuz açılıp kapanıyorsa, muhtemelen bir hacker size "şaka" yapıyordur. Gülümseyin!!!

5. Kendi kendine kaybolan dosyalar.
Bir takım özel dosyalarınız esrarengiz şekilde kaybolduysa ve onları Geri Dönüşüm Kutusu'nda bile bulamıyorsanız, bir hackerın kötü niyetinin kurbanı olduğunuzdan şüphelenebilirsiniz. Tabii bir hackera suç atmadan önce kendinize sormanız gereken bazı sorular var. Bilgisayarınızı en son kapattığınızda Windows'unuzu normal şekilde mi "Shutdown" ettiniz? Çok sık olmasa da, Windows'un alışılmadık şekilde kapanması bazı dosyalara (veya FAT'lara) zarar verebiliyor. Bilgisayarı en son kapatmanızdan önce hiçbir program hata mesajı verdi mi? Hata mesajı vererek kapanan programlar, kendileriyle ilgili dosyalara zarar vermiş veya onları silmiş olabilirler. Mesela Word'ünüz alışılmadık hata mesajlarıyla kapanmışsa ve bilgisayarı tekrar açtığınızda üzerinde en son çalıştığınız .doc dosyalarını bulamıyorsanız, bunun suçlusu Word olabilir. Bilgisayarı ortak kullandığınız kişiler kaybolan dosyaları silmiş olabilirler mi? Eski sürümlü bir program yüklemeyi denediniz mi? Bilgisayarınıza yükleyeceğiniz eski versiyonlu bir program, kendi eski sistem dosyalarını sizinkilerin üzerine kopyalayabilir. Bu durumda daha yeni versiyonlu programlar eski sistem dosyalarıyla çalışamayacaklardır ve size bazı sistem dosyalarının eksik olduğuna dair mesaj verebilirler. Bu da bir hackerın değil, eski sürümlü programınızın suçudur. Sisteminizden paylaşımlı sistem dosyaları kullanan bir programı tamamen kaldırdınız mı? Programların ortak kullandıkları sistem dosyaları vardır. "Program Ekle/Kaldır"ı kullanırken , silmek istediğiniz programın diğer programlarla ortak kullandığı sistem dosyalarını da silmiş olabilirsiniz. Bilgisayarınız paylaşılan bir sistem dosyasını silmeden önce bu konuda sizden onay alır; sözkonusu sistem dosyasının silinmesini onaylamışsanız ve onu kullanan başka programlar "Sistem dosyası bulunamadı" hatasını veriyorsa, bunun suçlusu bir hacker değildir.
Bilgisayarınızda o anda davetsiz bir misafirin gezindiğini anladığınızda, yapmanız gereken ilk şey internet bağlantınızı kesmektir. Eğer internette önemli bir işiniz olduğu için bağlantınızı bir hackerın hedefi olduğunuzdan tamamen emin olmadan kesmek istemiyorsanız, şu yolu izleyin.
1. BAşLAT-->PROGRAMLAR menüsünden MS-DOS Komut ıstemi penceresini açın.

2. MS-DOS Komut ıstemi penceresinde netstat -a yazın. Bu, bilgisayarınızın o anda hangi IP adresinlerine hangi portlardan bağlı olduğunu gösterir. Eğer doğal olarak bağlı olduğunuz yerlerin dışında (mesela IRC serverları, ICQ serverı, DCC Chat-ICQ Chat bağlantıları, WEB siteleri, FTP serverları, vs.) başka bağlantılara rastlamazsanız, korkacak birşey yoktur.
Peki, netstat komutuyla rastladığımız bir bağlantının doğal olup olmadığını nasıl anlayacağız?

1. Öncelikle bağlantıların portlarını gözden geçirin.
ınternet üzerinde en çok kullanılan protokoller ve kullandıkları portlar şunlardır:

80 http (WEB sayfalarına bağlanmak için )
21 ftp (FTP serverlarına bağlanmak için )
23 telnet (Telnetle sistemlere bağlanmak için )
25 mailto (E-mail atmak için kullanılan port)
110 POP3 (E-mail almak için kullanılan port)
6660-7000 IRC (IRC serverlarının genel portları)
4000 ICQ (ICQ, bağlanırken ki server portları )
1000-1080 ICQ (ICQ, servera bağlandıktan sonraki)

PC'niz bir proxy, yerel ağ, vs. üzerinde yer almıyorsa veya bu tür ağlar için kullanılan programlardan birini çalıştırmıyorsa, bu portlarda gözüken bağlantılarda genelde tehlikeli bir durum sözkonusu değildir. Ancak hackerların sık sık kullandıkları portlardan birinden yapılmış bir bağlantınız varsa (456, 31337, 12345,30303 gibi), davetsiz bir misafirinizin olma ihtimali çok yüksektir.
Tehlikeli bir port gözükmemesine rağmen bir bağlantıdan şüphelenirseniz, şüphelendiğiniz bağlantının karşısında yazan IP adresini bir yere not alın. Sözkonusu IP adresinin 195.175.44.120 olduğunu farz edersek, mIRC üzerinden bir IRC serverına bağlıyken /dns 195.175.44.120 komutunu kullanmanız gerekir. Bu komut, size o adresin açılımını verecektir (mesela dialup03.ant.net.tr, hotmail.com, microsoft.com, vs.). Eğer adresin açılımı o anda bağlı olduğunuz bir IRC, ICQ, WEB, FTP, vs. serverı ise herşey yolundadır. Ancak bir ıSS (ınternet Servis Sağlayıcısı) ismi içeren bir adresle karşılaşırsanız, bu internet üzerinde bulunan başka bir PC ile bağlantı halinde olduğunuz anlamına gelir (Eğer o anda bir arkadaşınızla dosya transferi yapıyorsanız, mIRC içinde aktif DCC Chat pencereniz varsa veya ICQ Chat tarzı bir sohbet ortamındaysanız, bu bağlantının olması doğaldır). Bu durumda, o IP adresinin sahibini tespit etmelisiniz. Eğer şüphelendiğiniz kişi ICQ'da Online ise, ICQ listesinde o kişinin nickinin üzerine tıkladığınızda açılan menüde INFO komutunu seçin, bu size o kişinin IP adresini verir. mIRC'de ise, /dns NICKNAME komutunu kullanarak şüphelendiğiniz kişilerin IP adresini öğrenebilirsiniz. Eğer mIRC'de şüphelendiğiniz belli biri yoksa, sadece IP adresinin sahibinin o anda sizin bulunduğunuz IRC serverında olup olmadığını görmek istiyorsanız, /who 195.175.44.120 /who dialup03.fornet.tr komutlarını kullanarak STATUS başlıklı pencerenizi izleyin (tabii buradaki IP adresi ve açılımı sadece örnek, siz netstat penceresinde gördüğünüz IP adresini ve açılımını kullanmalısınız). Aradığınız IP adresinin sahibi ile aynı IRC serverındaysanız, mIRC bunu size söyleyecektir. PC'nizle bağlantı kurmuş kişiyi tespit ettikten sonrası size kalmış. Onunla konuşabilirsiniz, konuşmadan bağlantınızı kesebilirsiniz, ya da bağlantılarınızda neden onun adresinin gözüktüğünü sorabilirsiniz (belki de sadece Ident'inize bakan iyi niyetli biridir).
PC'nizin hack edildiğinden eminseniz, bağlantınızı kestikten sonra hack edildiğiniz açığı kapatmadan Chat ortamına yeniden girmemenizi öneriyorum. Mutlaka girmeniz gerekiyorsa da, bütün kimlik bilgilerinizi değiştirmeyi ihmal etmeyin (Bunu daha ilerideki yazılarımdan birinde daha ayrıntılı olarak anlatacağım).
Standart bir Windows 95 kullanıcıysanız, IRC hackerları PC'nize sızmak için genelde iki açık ararlar: Dosya Paylaşımı ve Trojan. Öncelikle, sisteminizde bunlardan hangisinin yer aldığını bulmanız gerekir.
Dosya paylaşımınızın açık olup olmadığını görmek için, BAşLAT-->AYARLAR-->DENETıM MASASI-->Ağ menüsünü açın. Açılan ekranda "Dosya ve Yazıcı Paylaşımı" yazan ikona basın ve karşınıza çıkacak menüdeki iki kutucuğun boş olduğundan emin olun. Eğer kutucuklar dolu ise, bu başkalarına erişim hakkı verdiğinizi gösterir. Dolu kutucukları boşalttıktan sonra, PC'niz Windows 95 CD'nizi bazı sistem dosyalarını yüklemek üzere isteyebilir (DıKKAT: Eğer ağ, proxy, vb. gibi bir sistem üzerindeyseniz, "Dosya Paylaşımı"nın açık olması gerekiyor olabilir. Bu durumda sistem yöneticinizle konuşun).
Sisteminizde trojan aramak ise biraz daha uzun bir işlemdir. Öncelikle BAşLAT-->BUL-->DOSYALAR VEYA KLASÖRLER menüsüne girin. AD kutucuğuna *.exe yazın, KONUM kutucuğuna ise harddisklerinizin isimlerini yazarak hepsini aratmalısınız. Tek harddiskiniz varsa KONUM kutucuğuna c: yazarak; iki harddiskiniz varsa önce c: sonra d: yazarak aratmanız gerekir.
Aramanın sonucu olarak karşınıza birçok .exe dosyası çıkacaktır. Bu konumda, dosyaların başlarında yer alan ikonlara dikkat etmelisiniz.

Trojanlar genelde iki ikonla kendilerini belli ederler:

1. Meşale ikonu.
Mavi bir daire üzerinde yer alan eğri bir meşale ikonu görürseniz, bu ikonun sahibi çok yüksek ihtimalle bir trojandır.
2. Boş ikon.
Eğer bir .exe dosyasının ikonu yoksa, bu da muhtemelen Back Orifice trojanıdır.
Eğer sisteminizde trojan bulamazsanız, IRC hackerlarının çok yüksek bir yüzdesinden korkmanıza gerek yok demektir. Çünkü çoğu sistemi bilmeden, sadece ellerine geçen 1-2 programda mouse klikleyip sisteminizde hakimiyet kurarak egolarını tatmin eden kişilerdir. Trojanı veya dosya paylaşım açığı olmayan bir Windows 95 makinasına sızmak, bu kişiler için mümkün değildir.
PC'nizde boş ikonlu bir Back Orifice trojanı bulursanız (bu dosyanın ismi herhangi birşey olabilir), hemen sitemizin hack arşivindeki BoDetect programıyla sisteminizi tarayın. Trojan dosyasını silmeniz asla yeterli olmayacaktır, Back Orifice'dan tamamen kurtulmak için BoDetect'i kullanmalısınız (NOT: SniperOld'un bana verdiği bilgiye göre IRC ortamında aslında Back Orifice trojanının ta kendisi olan sahte BoDetect dosyaları elden ele iletiliyormuş, bu yüzden başkalarından gelen BoDetect programlarına güvenmeyin).
PC'nizde meşale ikonlu bir trojana rastlarsanız, bu NetBus veya Hackers Paradise türü tek port kullanan bir programa ait demektir. Bulduğunuz trojan dosyasının isminin PATCH.EXE olduğunu farz edersek, ondan kurtulmak için şu yolu izlemelisiniz.
1. Öncelikle Patch.exe 'yi ve diğer bütün meşale ikonlu dosyaları silin. 2. BAşLAT-->AYARLAR-->GÖREV ÇUBUğU-->BAşLAT MENÜSÜ PROGRAMLARI-->GELışMış menüsünü açın. Açılan pencerede PROGRAMLAR-->BAşLANGIÇ ve PROGRAMLAR-->STARTUP klasörlerinde meşale ikonlu herhangi bir kısayol olup olmadığına bakın; varsa hemen silin.
3. BAşLAT-->ÇALIşTIR menüsüne girerek regedit yazın ve TAMAM ikonunu klikleyin. Açılan pencerede DÜZEN-->BUL menüsüne girerek Anahtarlar, Veriler ve Değerler kutucuklarının işaretli olduğundan emin olduktan sonra ARANAN: kısmına Patch.exe yazarak Sonrakini Bul ikonuna basın. Registrynizde her bulacağınız Patch.exe dosyasını silin, ve sildikten sonra F3 tuşuna basarak aramaya devam edin. Windows "Kayıt ıçinde Arama Tamamlandı" mesajını verdiğinde, bütün Patch.exe verilerini sildiğinizden eminseniz Registry Editor pencerenizi kapatın.
4. BAşLAT-->ÇALIşTIR menüsüne girerek c:\windows\system\sysedit.exe yazın. Açılan pencerelerin hiçbirinin Patch.exe ile ilgili kayıt içermediğinden emin olun, olan kayıtları da sildikten sonra DOSYA-->KAYDET ikonunu tıklayın.
Bunları yaptıktan sonra trojandan kurtulmuş olmalısınız. Tabii trojan dosyasının ismi herhangi birşey olabilir, Patch.exe 'yi yalnızca örnek olsun diye verdim.
Ayrıca, çok popüler olarak kullanılan ICQkill adlı program da aslında bir trojandır. Bir kere bu programı çalıştırdıysanız, c:\windows\system\explorer.exe dosyasını silerek etkisiz hale getirebilirsiniz.
Sisteminizi güvenli hale getirdikten sonra güvenli kalması için ise, başkalarından gelen .exe veya .com dosyalarından hiçbirini kabul etmemeyi unutmayın




Bunu ilk beğenen siz olun

Hata Oluştu


> 1 <