Penetration testlerin son ve en önem arzeden aşaması şüpesiz raporlamadır.
Aşağıdaki adreste, offensive-security nin hazırladığı örnek penetration test raporuna göz atabilirsiniz.

http://www.offensive-security.com/offsec-sample-report.pdf

Daha güzel raporlar hazırlamanız dileğiyle…

Bilgi işlem ve Bilgi Güvenliği çalışmalarını yürüttüğüm Kamu Kurumunun, network sorunu için küçük bir çalışma yaptım.

Kurumda, Metro Internet kullanılmasına ve yerel ağdaki bilgisayarların yarısına yakınının internete çıkma izinlerinin olmamasına rağmen internette kopukluklar oluyor ve network aşırı yavaş işliyordu.

Aklıma ilk gelen ağda bir veya birden çok makinaya bulaşan bir virüsün networkdeki diğer bilgisayarlara bulaşma riskiydi.
Bir diğeri ise, birilerinin yaramazlık yapıp sniffing yada mitm saldırısı yapıyor olma olasılığı…

Laptop ile network’e dahil olup, WireShark ile kısa bir süre networkü izledim.
Gereksiz trafik üreten veya saldırı izi taşıyan bilgisayarları tespit etmek için WireShark, filtreleme özelliği ile  bu konuda oldukça işlevsel !

Bu işlem çok çabuk sonuç verdi, gözlemlediğim kadarıyla yaşanan sorun ;
bir makinaya bulaşan solucanın bulunduğu network aralığını (10.0.0.0-10.255.255.254 = oluşan trafiği siz hesaplayın ) tarayarak bulduğu bilgisayarlara kendini kopyalamaya çalışması ve arp spoof yapmasıydı.

WireShark ile tespiti ve çözümü ise şu şekilde ;

A class ında bulunan 10.0.0.x li bir networkün varsayılan subnetmask değeri 255.0.0.0 dır.

Oysa 180 bilgisayardan fazla bulunmayan bir network için A class ındaki bu ip aralığı için subnet değeri 255.255.255.0 olarak tanımlanması broadcast ve arp spoof paketlerinin daha dar bir ortama yayılmasını dolayısıyla  networkün trafik yükünün daha aza inmesini sağlardı

Çözüm; Arp Spoofing ve/veya Broadcast yapan gereksiz trafik üreten bilgisayarın tespit edilip incelenmesi…

180 üzeri bilgisayarın bulunduğu büyük bir networkdü, yaklaşık 9 pc tespit edip virüs taramasından geçirdim , farklı nedenlerden dolayı yeniden kurulması gerekenlerde oldu.Antivirüs o kadar çok virüs buldu ki, hangisi bu olaya sebebiyet veriyor araştırmak vakit alacağından, bunu son yapılacak işlem sırasına yazdım : (
Virüs imzasını bulunca buradan ayrıca paylaşıcam…

Ardından, arp spoof yapan makinayı tespit etmek “arp -a” ile kolay oldu.

Peki bu zımbırtı , networke nasıl yayılıyordu bunuda firewall söyledi : )

Bu gibi network vakalarında, alınabilecek en çabuk önlem zararlı yazılımın trafik ürettiği portu tespit edip fw den kapamak.
Ardından makinelerin ağ kablosunuz çekip, zararlı yazılımları temizlemek olucaktır malum iş yükünün fazla olduğu bir networkde türlü atraksiyonlar deneyemez veya fantazi yapamazsınız ?

Planladığım üzre geniş bir çalışma yürütüp, virüs/worm ve casus yazılımlara karşı defans alıp, bu koca networkü VLAN’lara ayırıp güvenli ve yönetilebilir bir sistem oluşturmayı amaçlıyorum.

Buraya kadar yazımı okuyan arkadaşlara teşekkürler ve network güvenliği için değerli yorumlarını paylaşmalarını rica ediyorum…

Not: Bu yazıyı hazırladığım zaman yoğunluktan yayımlamaya fırsat bulamamıştım.Konuyu kısa süre sonra toparlicam.

Güvenli Günler.

Cpanel kullanıyor ve hosting hizmeti veriyorsanız başınız dertten kurtulmaz.
Cpanel ile yaşadığım sorunlardan biri, php ile çalışan sitelerin tümünün “Internal Server Error” hatası vermesiydi.

Bu gibi hatada sistem yöneticilerinin uygulayacağı adımlar belli ;
Önce sorunun kaynağını hata loglarında aramak. Alınan hataya dair bir kayıt yoksa Apache, php ve mysql servislerini kontrol etmek …

Bu iki satır ile yazdığım işlemler müşterilerin yoğun baskısı ve susmayan telefonlarla birlikte saatler alabiliyor.

Benim yaşadığım bu sorunun kaynağı Cpanelin otomatik güncellemelerinin açık olması ve cpanelin suphp güncellemesini eksik yapıp varolan serviside bozmasıydı.

Çözüm için öncelikle cpanelin otomatik güncellemelerini kapatın, ardından root dizininde bulunan “/scripts/upcp” scriptini çalıştırarak manuel güncelleme işlemini bitirin.

“Internal Server Error” hatası devam ediyorsa, php’yi cgi ile çalıştırın.