Root > Documents > Web Güvenlik Açıkları > iRcde Saldiri Tipleri
Cyber-Warrior.Org \ Doküman \ Web Güvenlik Açıkları > iRcde Saldiri Tipleri
Madde
  Yazar : C-T-R
  Date : 09.10.2005 19:22:27
 
# iRcde Saldiri Tipleri
 

iRc’de Saldiri Tipleri

Bir kanali veya botu ele geçirmenin veya kullanilamaz hale getirmenin bir çok yolu mevcut. Bunlardan korunmanin en saglikli yolu ise bu saldirilarin nasýl yapildigi hakkinda bilgiye sahip olmak. Asagida anlatilanlar, bu saldiri yöntemlerinin çok sik kullanilanlari. Elbette farkli yöntemler kullanilarak bu saldirilar yapilabilir. Ne yazik ki bazi saldirilarin önüne geçmek bazi durumlarda imkansiz olabiliyor. Bu tip durumlarda kanali geçici olarak kapatmak en iyi çözüm olabiliyor.


Saldiri tiplerini kabaca genel saldirilar, eggdrop saldirilari, flood saldirilari ve sunucu saldirilari olmak üzere dört baslik altinda toplayabiliriz. Bu ana basliklari da kendi içinde dallandirmak mümkün.


1-) Genel Saldirilar

a) Op Saldirilari:

Bu saldirilar genelde kanalda kayitli bulunan oplardan gelir. Oplardan birisi sürekli diger oplari ve/veya botlari deop eder. Kanal oplarini ne kadar iyi seçerseniz bu saldiriyla karsilasma ihtimaliniz de o kadar azalir. Ayrica kanal oplarinin diger kullanicilara op vermemesini de saglamalisiniz.


b) Sifre Saldirilari:

Sifre çalinmasi oldukça büyük bir problem. Sifre çalmak için genelde üç yöntem kullanilir.

Bazi kullanicilar kendilerini bota tanitmak için otomatik mesaj gönderirler.(bazi mirc scriptlerinin sunucuya baglandiginda sizin nick sifrenizi göndermesi gibi) Sifreyi çalmak isteyen kisi botun nicki ile kanalda durmaktadir fakat nicki identify etmemistir. Kullanici otomatik olarak mesaj gönderdigi için bu nickin identify edilip edilmedigini denetlemez ve böylece sifresini kaptirmis olur. Bunu engellemek için biraz "uyanik" olmak yeterli.

Diger yöntem ise sifreyi çalmak için sniffer programlari kullanmak. Bu programlar bir dosyadaki kelimeleri sirayla deneyip sifreyi bulmaya çalisiyorlar. Bu dosyalar ise milyonlarca kelimeden olusuyor. Bu yöntem ile sifrenin bulunmasi bir kaç dakika da sürebilir birkaç yüz yil da. Sifreleriniz sadece alfabetik ve nümerik karakterlerden olusmasin. _ - [ gibi karakterleri de kullanmalisiniz. Bu sayede bu tür programlar ile sifrenizin bulunmasi zorlasir.(imkansiz demiyorum çünkü teorik olarak mümkün) Ayrica belirli periyotlarda (mesele ayda bir) sifrenizi degistirebilirsiniz.

Kullanilan diger bir yöntem ise brute-force saldirilari. Bu saldiriyi yapan birisi bota kayitli kullanicilarin sifresini ele geçirebilir. Bu sayede hem botu hem de kanali yönetebilir. Bu tip saldirilardan korunmak için botun flood ayarlarini oldukça iyi yapmak ve log dosyalarini denetlemek yeterlidir.


c)IP Saldirilari:
Bu saldiri aslinda oldukça üst düzey bir saldiridir. Kanal sahibi olarak bu tip bir saldiridan korunmak imkansiz.

Saldirgan irc sunucusu ile kanal sahibi arasindaki iletisimi engeller yada irc sunucusundan kanal sahibine giden bilgilere bazi hata mesajlari veya komutlar ekler. Böylece kanal sahibinin kullandigi irc istemcisi(mesela mirc) irc sunucu ile baglantiyi keser. Bundan sonra saldirgan kanal sahibinin ip adresini ve nickini alarak sunucu ile iletisime geçer.

Zaten bu tür bir durumda kanaldan çok sunucu tehlikede demektir. Bunu engellemek için irc sunucusu olarak kullanilan yazilimin standart disi olmasi gerekir. Standart disi derken mesela bir open-source irc sunucu yaziliminin bazi kisimlari degistirilerek kurulabilir. Böylece saldirgan sunucunun nasil isledigini bilemediginden saldiriyi gerçeklestiremeyecektir yada yazilimin gerekli yamalari yapilmalidir. Böylece saldirganin sunucu ile kullanici arasindaki iletisime erismesi engellenebilir

2-) Eggdrop Saldirilari

a) Hostmask Taklidi:

Bazi irc sunucularinda hostmask taklidi yapmak mümkün. Bu tip bir sunucuda saldirgan bota kayitli kullanicilardan birinin hostmakini alip botdan op alabiliyor. Bunu engellemek için bu tip sunucuda kullandiginiz botun +autoop ayarini kapatmak ve kullanicilara +a bayragini vermemek yeterli olacaktir.


b) Op Taklidi:

Bota kayitli kullanici bottan op istedigi anda saldirgan kullaniciya flood saldirisi yaparak baglantisinin kesilmesini sagliyor. Daha sonra kullanicinin nickini alarak bottan op almis oluyor.

Normal olarak bir botun kayitli bir kullaniciya op vermesi su sekilde gerçeklesir:

** Kullanici bota istek gönderir **
Kullanici: /MSG botadi op sifre
** Bot bir op istedigi alir ve kullanici dosyasindan bu kullaniciyi arar **
** Kullanicinin kaydini bulur ve op verir **
Bot: /MODE #kanal +o kullanici

Saldiri sirasinda ise sunlar olur:

** Kullanici bota istek gönderir **
Kullanici: /MSG botadi op sifre
** Bot bir op istedigi alir ve kullanici dosyasindan bu kullaniciyi arar **
** Kullanicinin kaydini bulur ve op verir **
** Bu arada saldirgan kullaniciya flood saldirisi yapar **
** Kullanicinin saldirgan nedeniyle baglantisi kesilir **
** Daha sonra saldirgan kullanicinin nickini alir **
saldirgan -> kullanici
Bot: /MODE #kanal +o kullanici

Böyle saldiri olmaz demeyin. Özellikle eggheads.org sitesine bu konuda oldukça fazla sikayet gelmis. Bu tip bir saldiri yasanmasinin iki nedeni vardir. Ya bot laga düsmüstür yada irc sunucusunun servisleri lagdadir. Normal sartlarda bu tip bir saldiri pek etkili olmaz.


c) Buglar ve Açiklar:

Simdiye kadar çikan eggdrop sürümlerinin hiç birinde bir bug yada açik nedeniyle saldirgana op verilmesi yada eggdropun ele geçirilmesi söz konusu olmamistir. Ancak yüklediginiz tcl scriptlerinde ve/veya modüllerde bu tip açiklar olabilir veya eggdropun çalistigi sisteme virüs ve/veya trojan bulasmis olabilir. Bu nedenle hem sistemi hem de scriptleri/modülleri iyi kontrol etmek gerekir.


d) Shell Saldirilari:

Eggdrop saglayan shell sunucusuna yapilacak bir saldiriyi dogal olarak sizin düsünmenize gerek yok. Sunucunun yöneticisi bu tip saldirilara yeteri kadar kafa yoruyordur zaten Ancak bazen onlar da çaresiz kalabiliyor ve sunucuya yapilan saldiri basarili olabiliyor. Bu durumda (yönetici zaten sizi sifrelerinizi degistirmeniz konusunda uyaracaktir) botunuzu durdurun ve sifrelerini degistirin. Tüm kullanicilari silip yeniden farkli sifreler almalarini saglayin.


e) Kullanici Dosyasi Desifrelemesi:

Kullanici dosyasinin bulundugu dizinin chmod ayarlari mutlaka 700 olmali. Bu sayede herhangi birinin kullanici dosyasini okumasi ve desifre etmesi engellenmis olur. Eger saldirgan kullanici dosyasini ele geçirirse dosyayi desifre etmesi en fazla bir iki gün sürer.


f) Netsplit Modlari:

Eger botunuz kullanicilarin kanalda ban/exempt/intive koymasina izin veriyorsa bir netsplit sirasinda op olan saldirgan bot(lar)a ban koyabilir. Netsplit kalktiginda ise bot(lar) sunucu tarafindan kanaldan atilacaktir. Bu tip saldirilardan korunmak için botlarin birbirlerini asla banlamamalarini veya atmamalarini saglamalisiniz.


g) Mod Listesi Saldirisi:

Bütün irc sunucularinin kanallar için belirli mod sayisi sinirlamasi vardir. Mesela IrcNet için kanal ban sayisi 30’dur. Bu sayi bir wingate, proxy veya vhost kullanilarak kolayca doldurulabilir. Eggdrop -1.4.0 versiyonundan beri- eger kanal mod listesi doluysa yenilerini eklemeye çalismaz ancak yeni bir tane eklenmesi gerektiginde de eskileri silmez. Bu tür saldirilarda kanali geçici olarak +i (invite only) moduna almak en pratik çözüm gibi gözüküyor. Bunun için eggdrop dagitimlariyla gelen "sentinel" scriptini kullanabilirsiniz.


h) Disk Doldurma Saldirilari:

Shell aldiginiz sunucuda, size ayrilan disk kapasitesi çok kisitliysa sik sik kullandiginiz miktari kontrol etmelisiniz. Eger limitinizi doldurursaniz botunuz kullanici dosyasini düzgün olarak kaydedemez. Eger bu durumu iki gün içinde fark edemezseniz kullanici dosyasinin yedegi de degistirilecegi için yedek dosyasini da kaybetmis olursunuz. Bu sirada botun yeniden baslatilmasi gerekirse botunuz hata verip kapanacaktir. Bu durumdan keep-all-logs ayarini sifir ve max-logsize ayarini uygun bir deger yaparak kurtulabilirsiniz.


i) Zayif Sifre Saldirilari:

Eggdropun 1.4.x ve 1.5.x serilerinde bu tip bir bug tespit edildi. Eger bir kullanici "aaaaa" veya "abcdabcd" gibi zayif sifre kullandiysa saldirgan sifre olarak "a" veya "abcd" kullanarak bota giris yapabiliyor. Kullanicilarinizi bu tip sifreler seçmemesi konusunda uyarin.


j) TCL Komut Isleme Saldirilari:

TCL’de bütün metinler parantez içinde kullanilir ve bu metinlere komutlar da dahildir. Bazi kötü kodlanmis scriptler nickleri ve metinleri, içerebilecekleri komutlara karsi denetlemezler. Örnegin yüklediginiz bir badnick scripti bu tür bir denetim yapmiyor ve gelen verileri oldugu gibi isliyor. Eger kanala ’NoT[die]’ nickli biri girerse bu scriptin yüklü oldugu tüm botlar kapancaktir. Çünkü nickin içinde botu kapatmaya yarayan "die" komutu geçmektedir. Bu tür script açiklari daha çok timer, utimer, expr ve eval komutlarini kullanan scriptlerde karsimiza çikmaktadir. Bu bir eggdrop açigi degildir.


k) Fake-Bot Saldirilari:

Eger saldirgan sizin botnet yapinizi biliyorsa, botunuzun çalistirildigi sunucu üzerinden kendine bir eggdrop saglayabilir(mesela ayni sirketten hesap satin alabilir) ve sizin botunuzu devre disi birakip, kendi botunu sizin botunuzun nicki ve ip adresiyle botnetinize baglar. Bu durumda sizin botunuzun sifresi olmadigindan diger botlar yeni sifre alirlar. Böylece fake-bot botnete sizmis olur. Senaryo daha da kötülesebilir. Sizin botunuzun yada saldirgan botun diger botlar ile degisen kullanici bilgilerini degistirmesi daha vahim sonuçlar doguracaktir.

Saldirgan bu tip uzun bir yöntem izlemeden de, botnete sizmasini istedigi botun ip adresini ip spoofing yaparak degistirip ayni saldiriyi yapabilir.

Derleyen : C-T-R
   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©