Davetsiz misafirleri nasil tesbit eder ve onlardan nasil kurtulabiliriz
1. Bilgisayarimizdaki Davetsiz Misafirleri Nasil Tesbit Ederiz ve
Onlardan nasil Kurtuluruz?
Sunus
Internet G端venligi (Internet Security) konusu oldugu kadar PC G端venligi (PC Security &
Protection) konusuda o derece 旦nemlidir. Aslinda ikisini bir birinden ayirmak 巽ok zordur. Evet
Internet te gezinirken (surfing) yada belli a巽ik ortamlarda muhabbete ederken (chatting) g端venli
omak istiyoruz ama risk altinda olan hep bilgisayarimiz. K旦t端 kodlamalar hep hedef olarak
bilgisayarimizi se巽iyorlar. Bireysel kullanici olarak, evlerimizde kullandigimiz bilgisayarlari
kastediyorum. Elbette, bir 巽ok sistem, 旦zel ve kamu kurumlarinin Agsebekelerinin (Network)
ardinda 巽alisan bilgisayarlarda ayni tehdit altindadir. Ama sirketler bir sekilde gerekli 旦nlemlerini
almakta ve parasal olarak bir sorun yasamamaktadirlar. Ama kisisel bilgisayarlarimiz 巽旦kerse bu
bize pahaliya patlayabilir.
A巽ik Ortamlar
S旦z端n端 ettigimiz a巽ik ortamlar hangileri oldugu konusunda bir fikrimiz var elbette, degilmi? En
eski ve yaygin kullanilan IRC (Internet Relay Chat= Eszamanli Internet Muhabbeti), mIRC, IRC
ye rakip olarak piyasaya s端r端len ve olduk巽ada taraftar bulan benzer program. http://www.irchelp.org/
adresinde hem IRC ile hemde mIRC ile ilgili yardim (help) ve dizinler ve se巽me belgeler
bulabilirsiniz. ICQ (I seek You= Seni Ariyorum). Bir zamanlar benimde begenerek kullandigim bir
program. Son s端r端mlerinde isi olduk巽a ileri g旦t端rm端sler, pek 巽ok 旦zellik eklemisler. Programin ana
sayfasi su adreste: http://www.icq.com/download/. AOL firmayi devralinca kadar olduk巽a temiz bir
ortami vardi. Iki Israil li gencin kurup gelistirdikleri bir muhabbet ortami idi. AOL Instant
Messenger pek tutmayinca AOL bu firmayi tamamen satinaldi. AOL Messenger da aslinda benzer
hedefleri ama巽liyordu ama Yahoo Messenger kadar taraftar bulamadi. AOL Instan messenger su
adresten y端klenebilir: http://download.cnet.com/downloads/0-10145-100-1751948.html yada MSN 端n kendi
sitesinden. Yahoo Instant Messenger da: http://www.yahoo.com un ana sayfasindan bulunabilir. Bu
t端r programlari 巽alistirmak i巽in mutlaka PC mize y端klememiz gerekiyor. Bir 巽ok 旦zellikleri var,
g端venlik ayarlari ve kisisel tercihler en 旦nemli olan kisimlardir. Bilgisayarimizi her a巽isimizda
hangisi y端kl端 ise kendiliginden devreye giriyor ve 巽alismaya basliyor. Tabii 巽alismalari i巽in her
birisinin farkli kurlum, Kullanici Kimligi (UserID) ve Sifreleme (PassWord) 旦zellikleri var. Bu t端r
programlar Java programi ile yazilmis programlardir. Iki sekilde 巽alismaktalar. Ya bilgisayarimiza
bu Java 旦zellikli platformalrini tanitan dosyalar yada ufak programlar y端kleyerek ardindan
sunucularina baglanirlar. Bunlara Yahoo Instant Messanger, ICQ 旦rnek verilebilir. Yada dogrudan
kendi platformalrina baglanip muhabbet ortamini oradan saglarlar. Bunlarada IRC ve mIRC 旦rnek
verilebilir. Bu t端r yazilimlarin nasil tasarlanip hazirlandigi gibi bilgiler, ayri bir yazi konusu
olabilir. Ama su anda bu bizi pek ilgilendirmemektedir.
Iste bu ortamlardan k旦t端 niyetli kisilerin en fazla tercih ettikleri ortam IRC, mIRC ve ICQ basta
gelmektedir. Neden tercih ediyorlar diye sorarasaniz, bu ortamlarin sagladigi belli olanaklar var
hackerlar i巽in. Bu programlarin yazilimlarinda ciddi g端venlik bosluklari bulunmaktadir. Yada
kullanicilar g端venlikle ilgili pek duyarli degildirler. Hackerlar bu programlarla karsi tarafin
bilgisayarina UYA (Uzaktan Y旦netim Programlari) g旦nderiyorlar. G旦derilen programla, 巽ogunlukla
Truva Ati (Trojan Horse) dur, bu protlari kullanarak karsi tarfin bilgisayarini kendi denetimleri
altina aliyorlar. Kolay bir olaydan bahsediyor degilim, hackerlarin karsi tarafin bilgisayarina bir
Truva Ati g旦ndermeleri o kadar kolay degil. Bu programlari kullanan herkesde kurban (victim)
olacak degil. Hackerlarin isini kolaylastiran bazen kullanicilarin kendileri oluyor bazende
kullandiklari programin g端venlik ayarlarini ve kisisel tercihlerini dikkatlice yapmamis olmalari.
Hackerlarin bilgisayarimiza hangi y旦ntemlerle, Truva Ati yada Uzaktan Y旦netim Ara巽lari
g旦nderdiklerini biraz irdelersek, nerelerde hataya d端st端g端m端z g旦r端l端cektir. ICQ ortaminda, bazi
Prepared By Erkan Kiraz
2. Bilgisayarimizdaki Davetsiz Misafirleri Nasil Tesbit Ederiz ve
Onlardan nasil Kurtuluruz?
k旦t端 niyetli kisilerin, bilgisayarimiza bir Truva Ati yollayip, bu programla portlarimizdan birisinde
gedik saglamalari ve bilgisayarimiza tamamen hakim olmalari m端mk端nd端r. Bundan bizim hi巽
haberimiz de olmayabilir. Hacker bazi gizli ve 旦zel bilgileri, Internet sifrelerimizi aparabilir.
Bilgisayarimiza sizildigini anlamanin ip u巽larindan ve bunu 旦grendigimizde ne gibi 旦nlemler yada
karsi 旦nlemler alabilecegimizden s旦z edelim:
Bilgisayarimizda UYA (Uzaktan Y旦netim Ara巽lari) Yada Truva Ati Belirtileri
1.) Bilgisayarimizi a巽tigimizda karsimiza bazi ilgin巽, komik yada ciddi mesajlar 巽ikabilir.
Bunlarin normal disi oldugunu hemen anlariz, bilinki birileri bilgisayarimiza sizmistir.
2.) Sabit Disk (HDD) imizden normal disi sesler gelmeye baslayabilir. Bilgisayarimizi her
a巽tigimizda alisik oldugumuz ses ritminin disinda olan bir sestir bu. Eger hattaysak
(online) ve sanki birseyler kendiliginden asagi y端kleniyor (download) yada yukari
y端kleniyor (upload) gibiyse o zaman ya bilgisayarimiza bazi programlar y端kleniyordur yada
bizden bir seyler apariliyordur. [Ama farkina varmadan kendini y端klemeye 巽alisan ve
巽ogunlukla porno sitelerde bulunan online baglanti programlarina (online connection dialer)
karsi dikkatli olmaliyiz. Yada bazi 巽ocuk sitelerinde Imle巽 (pointer) i巽in kendiliginden
y端klenmeye 巽alisan programlar. Bunlari bilgisayarimiza sizildi olarak yorumlamamiz
lazimdir]. Bilgisayarimizdan gelen sesler, arabamizda alistigimiz normal sesler gibidir.
Farkli bir ses gelirse bunu hemen farkedebiliriz.
3.) Disket S端r端c端 (HDD Driver) 端m端zden gelen sesler. Biz Disket S端r端c端 m端ze bir Disket
yerlestirmedik巽e ve kullandigimiz Firewall un da ayarlarinda A S端r端c端s端n端 (A Driver) de
taramasini belirtmedigimiz s端rece Disket S端r端c端 m端zden hi巽 bir ses gelmemesi gerekir.
Bunu nasil yorumlamamiz gerekir, sans eseri hacker da ayni anda bilgisayarimiza
baglanmis ve bilgisayarimizin Disket S端r端c端 s端nde disket olup olmadigi anlamak istiyor
olabilir. 4.)
4.) CD S端r端c端m端z端n (CD-ROM Driver) yada DVR S端r端c端m端z端m (DVD Driver) kendiliginden
a巽ilip kapanmasi. Bu S端r端c端lerimizde herhangi bir CD yada DVD olmamasina ragmen,
bunlar a巽ilip kapanabilir. Bunu bilgisayarimiza yerlestirlmis bir UYA programi yapiyordur.
Bilgisayarimiza bir zarari yoktur ama portlarimizin her an suistimal edilebileceginin de
belirtisidir. nlem almaliyiz.
5.) Bazi dosyalarimizi (files) bulamiyorsak, ve nereye kaydettigimiz (save) bildigimiz halde,
ilgili Klas旦r (Folder) altinda yoksalar, o zaman bunlari bazi kisiler 巽almis olabilir. Ama eger
bilgisayarimizi birden 巽ok kis kullaniyor ve bize ait dosyalari sifrelemissek, diger
kullanicilarin bunlari alip almadigindan da emin olmamiz gerekir. Birde normal disi
kapanmalar (abnormal shutdown) da bazi dosyalarimiza zarar (corrupt, damage) verebilir.
Bu Microsoft un bize bir oyunu iste.
Yukarida siraladiklarimiz bilinen en belli basli belirtilerdir. Sonu巽ta bilgisayarimizda
olusabilecek her normal disi olay bilgisayarimiza sizildiginin isareti olabilecegi gibi bazi
kullanim hatalari da benzer sonu巽lara yol a巽abilir. Bunlari birbirine karistirmamamiz gerekir.
Kullanim Hatalari
Bilgisayarimizi kullanirken 巽ok sik yapilan kullanim hatalari (usage mistakes) ve ihmalkarliklar
(negligences) vardir. Bunlari da m端mk端n oranda yapmamamiz gerekir. Iste ihmalkarlik ve
yanlis kullanima ait bazi 旦rnekler;
1.) Kullandigimiz uygulama programlarinin eski s端r端mlerinde (older versions) yaratilmis
dosyalarimizi kaydederken dikkatli olmaliyiz. Bunlari yeni s端r端m (new version)
Prepared By Erkan Kiraz
3. Bilgisayarimizdaki Davetsiz Misafirleri Nasil Tesbit Ederiz ve
Onlardan nasil Kurtuluruz?
programlarla a巽arken bazi uyari mesajlari (error message) alabiliriz, yada yeni s端r端mde
kaydedilmis bir dosyayi yeni s端r端mde a巽amayiz.
2.) Bazi sistem dosyalarini (System Files) kaldirmis (Remove) olabilriz. Bunlar i巽inde uyari
alabiliriz.
3.) Bilgisayarimizin Kayit D端zenleyisinde (Registry Editor) bazi kalinti dosya uzantilarini
silerken hatalar yapmis olabilir ve bundan dolayi bazi uyari mesajlari alabiliriz,
4.) Bellek (Ram) Yezmezligi nedeni ile uyari mesajlari alabiliriz. Ayni anda geri planda 巽alisan
programlarin sayisinda artis buna yola巽abilir.
5.) Bazen program kilitlenmesi (locking) nedeni ile ardi ardina yaptigimiz tus dokunuslarida
bilgisayarimizin belli d旦ng端ler i巽inde yapmaya 巽alistigi islemleri kilitleyebilir.
Simdi bilgisayarimiza davetsiz bir misafirin sizdigindan s端pheliniyoruz ve bu burumda neler
yapmamiz gerekir bunlara bir g旦z atalim;
UYA ve Truva Atlarina Karsi Alinacak nlemler
1. Ilk yapmamiz gereken sey hattan 巽ikmak (offline durumuna ge巽mek) olmalidir. Ama bundan emin
degilsek sunlari yapabiliriz;
i. Bundan emin degilsek baska bazi denetimler yapabiliriz. Baslat (Start) Programlar
(Programs) Ms DOS Komut Istemi (MS-DOS Prompt) se巽elim,
ii. MS-DOS Komut Istemi (MS-DOS Prompt) penceresinde netstat a yazalim. Bu komut bir
Windows komutu olup, Bilgisayarimizin o anda hangi IP Adresinlerine hangi Portlardan bagli
olduunu g旦sterir. Simdi karsimiza gelecek g旦r端nt端y端 bir inceleyelim. Eer bagli oldugumuz Web
adreslerinin disinda, 旦rnegin IRC Sunucusu IRC Server), ICQ Sunucusu (ICQ Server) mIRC
Sunucusu (mIRC Server) yada bilip tanimadigimiz WEB siteleri ve FTP Sunuculari (FTP Server)
gibi baska baglantilara rastlarsak, birileri bilgisayarimizin denetimini ele ge巽irmis demektir.
Interne ile baglantimizi hemen kemmemiz lazimdir. B旦yle bir durum yoksa korkmamiza gerek
yoktur.
iii. Ya netstat -a komutuyla elde ettigimiz tabloda yer alan baglantilarin normal olup
olmadigini belirlememiz i巽in sunlari yapabiliriz;
iv. Ilk旦nce bize garip g旦r端nen baglantilarin portlarina bakariz. Neden bakariz? 端nk端 Web
ortaminda en sik kullanilan protokol (protocol) ve portlar (ports) hangileridir, bunlarla ilgili bazi
bilgilerimiz var. Portlarin hangi protokollerle kullanildigi yada hangi portun hangi ama巽 i巽in tahsis
edildigine dair ayrintili bilgileri su siteden 旦grenebiliriz.
http://www.netice.com/Advice/Exploits/ports/default.htm ve
http://www.netice.com/Advice/Exploits/ports/groups/microsoft/default.htm Evet 21 FTP Portu: FTP
Sunucularina (Server) baglanmak i巽in kullandigimiz porttur. 23 Telnet Portu: Telnet ile diger
sunuculara baglanmak i巽in kullandigimiz bir porttur. 25 Mailto Portu: Iletilerimizi (emails
outgoing) g旦ndermek i巽in kullandigimiz porttur. 80 HTTP Portu; Web Sayfalarina (WEB Pages)
baglanmak i巽in kullandigimiz bir porttur. 110 POP3 Portu: Iletilerimizi (incoming emails) almak
i巽in kullandigimiz porttur. 1000 ile 1080 arasi ICQ Portlari: ICQ, Sunucususuna (Server)
baglandiktan sonra bu portlari kullanir, tabii hepsini birden degil ;. 4000 ICQ Portu: ICQ,
Sunucusuna (Server) baglanti kurmak i巽in bu portu kullanmaktadir. 6660 ile 7000 arasi IRC
Portlari: IRC Sunucularina (Servers) baglanmak i巽in kullandigimiz genel portlar, tabii hepsini
birden degil ;. Bilgisayarimizla bir Proxy, Yerel Alan Agsebekesi (LAN, Local Area Network),
Agsebekesi (Network) 端zerinden Internet e baglanmiyorsak yada bunlara ait bazi programlari
kullanmiyorsak bu portlarda 巽alian baglantilarimizda bir tehlike yok diyebiliriz. Ancak hacker
tipi kisilerin sik kullandigi portlarla ilgili bir baglanti varsa davetsiz misafir evimize girmis
diyebiliriz. Davetsiz misafirimiz hangi portlari kullanmis olabilir? En sik lullanilanlar sunlar; 456,
12345, 30303, 31337. Birde UYA larin sik kullandigi Portlar var. Bunlarin bir listesi
Prepared By Erkan Kiraz
4. Bilgisayarimizdaki Davetsiz Misafirleri Nasil Tesbit Ederiz ve
Onlardan nasil Kurtuluruz?
Grubumuzun Files kisminda yer alan bir 巽alismamaizda bulunmktadir.
http://www.egroups.com/files/InternetGuvenlik/InternetSecurityPCSecurity&Measures .doc
v. Tehlikeli bir port g旦z端kmemesine ragmen bir baglantidan s端phelendigimizde, bu baglantinin
karsisinda yer alan IP Adresini aliriz, bunu kontrol ederiz. IP Adreslerinin kontrol edildigi bazi
programlar da vardir. Onlardan da yararlanabiliriz. WS-PingPro gibi. Ama bilinen baska
seylerden de yararlanabiliriz. rnegin mIRC ortamindan IRC Sunucusuna bagli iken MS-DOS
Komut Istemcisine (MS-DOS Pormpt) /dns XXX.XXX.XX.XXX komutunu yazalim. Tabii (x) olarak
verdigim elde ettigimiz IP Numarasidir. Bu komutun, bize b adresin a巽ilimini vermesi lazimdir.
rnegin, yahoo.com, msn.com, theglobe.com gibi. Sayet adresin a巽ilimi o anda bagli oldugumuz
bir ICQ, IRC, WEB yada FTP Sunucusu (Server) ise korkulack bir sey yoktur. Ancak elde
ettigimiz a巽ilim bir ISP (ISS, Internet Servis Saglayicisi) nin adresini veriyorsa, bu durum,
bilgisayarimiza baska bir baglantinin eklendigini g旦sterir. Ama bu denetimleri yaparken
muhabbetle (chat) olan baglantimiz kesilmemisse, mIRC i巽inde aktif DCC Chat penceremiz
a巽iksa yada Yahoo chat tarzi bir muhabbet ortamindaysak, bu baglantilar bomaldir. Hemen, elde
ettigimiz IP Adresinin kime ait oldugunu belirlemeliyiz. Sayet s端phelendigimiz kisi MIRC, IRC,
[Yahoove MSN biraz digerlerinden farkli, bunlarin Se巽enekler (Options) ve Tercihler
(Preferences) i巽erikleri digerleri kadar ayrintili degil.] yada ICQ ortaminda hattaysa, o kisinin
Nickname (Lakap) inin 端zerine tikladigimizda a巽ilan men端de Info se巽enegini tiklariz. Bu bize o
kisinin IP Numarasini verecektir. Ama bunun g旦r端nmesini engellemisse vermez. mIRC 'de de,
/dns nickname komutunu kullanarak IP Numaralarini 旦grenebiliriz. Bu IP Adreslerini elde
ettigimiz IP Adresi ile karsilastiririz. sayet mIRC 'de herhangibirinden suphelenmiyorsak ve
elede ettigimiz IP Adresinin kime ait oldugunu 旦grenmek istiyorsak, /who XXX.XXX.XX.XXX /who
dialup03.yahoo.com benzeri komutunu kullanabiliriz. Buradan Satatus isimli pencereyi inceleriz.
Aradigimiz IP Adresinin sahibi ile ayni sunucuyu kullaniyorsak, mIRC bunu size belirtecektir.
Bunun tespit ettikten sonra, ya hattimizi keseriz yada merak ettigimiz seyler varsa soraririz.
Mesela bilgisayarimizda ne aradigini sorabiliriz, buyrun bir sicak kahve i巽mek istermisiniz
diyebiliriz.
2. Bilgisayarimiza sizildigindan eminsek, baglantimizi kestikten sonra bilgisayarimizdaki gedigi
kapatmamiz gerekir. Baglandigimiz muhabbet ortamindaki t端m kimlik bilgilerimizi degirstirmeliyiz.
Zaten burada yer alan t端m se巽enekleri doduracagiz diye bir zorunluluk yoktur. IRC yada ICQ
hackerlari bilgisayarimiza baglanmak i巽in genelde iki gedik ararlar: A.) Dosya palasimi (file
sharing) ve B.) Truva Ati (Trojan Horse). Bilgisayarda Dosya ve Yazici Paylasimi (Files and Printer
Sharing) yapip yapmadigimizi bilmemiz gerekir.
Dosya ve Yazici Paylasimimizin (File and Printer Sharing) A巽ik Olup Olmadigini
grenmek 聴巽in Sunlari Yapariz:
1.) Baslat (Start),
2.) Ayarlar (Settings),
3.) Denetim Masasi (Control Panel),
4.) Ag (Network) men端s端ne gelelim ve bunu tiklayalim.
5.) Gelen men端de Dosya ve Yazici Paylasimi (Files And Printer Sharing) yazan simgeye (icon)
basalim,
6.) Belirecek men端de yer alan iki kutucugun bos olup olamadigini kontrol edelim.
Sayet bu iki kutucuk isaretliyse baskalarina erisim hakki (access authorization) verdigimizi
g旦sterir. Bu basklari, bilgisayarimizi kullanan yakinlarimiz yada aile i巽i kisilerde olabilir. Yada yakin
g旦r端st端g端m端z arkadaslarimiz. Bu isaretleri kaldirdigimizda bilgisayarimiz kullandigimiz isletim
sisteminin s端r端m端ne (operating system version) g旦re bizden bazi Sistem Dosyalari ni (System
Files) y端klemek i巽in isteyebilir. (Ama bu CD lerin orijinalleri de 巽ogumuzda yoktur herhalde.) Ama
Prepared By Erkan Kiraz
5. Bilgisayarimizdaki Davetsiz Misafirleri Nasil Tesbit Ederiz ve
Onlardan nasil Kurtuluruz?
agsebekesi (network), proxy, ve benzeri sistemler 端zerindeysek, bu Dosya ve Yazici Payla脹m脹 (File
and Printer Sharing) se巽eneginin isaretli (checked) olmasi gerekir. Bunu isyerinizdeki
bilgisayardan test edebilirsiniz. Bu se巽enek isaretli olmaz (unchecked) ise yazicimiz (printer)
arizalandiginda baska yazicilara g旦nderme yapamayiz. Yada 巽alisma arkadaslarimizla dosya
paylasimi yapamayiz.
Sistemimizde Yada Bilgisayarimizda Bir UYA (RAT) Yada Truva Ati (Trojan
Horse) Bulunup Bulumadigini Su Yollari Izleyerek grenebiliriz:
1.) Baslat (Start),
2.) Bul (Find),
3.) Klas旦rler veya Dosyalar..., (Folders or Files),
4.) Gelen men端den Ad Kutucuguna (Name Box) *.exe yazalim.
5.) Bakilacak Yer Kutucuguna (Looking Place Box) sabit Diskimizin isismlerini yazalim. Birden fazla
varsa tek tek aratma yapalim.
6.) Bu aramanin sonucu olarak bulunan bir 巽ok .exe uzantili dosya listesi gelecektir.
7.) Bu listeyi incelerken, dosyalarin baslarinda yer alan simgelere (icons) dikkat etmemiz gerekir.
UYA (RATs) ve Truva Atlari (Trojan Horses) nin kullandigi iki simge vardir;
7a.) Mesale Simgesi (Torch Icon).
7b.) Bos simge (Empty Icon). sayet herhangi bir .exe uzantili dosyanin simgesi (icon) yoksa, bu da
olasilikla BackOrifice olabilir.
Bu islemleri yaptiktan sonra herhangi bir UYA (Uzakyan Y旦netim Ara巽lari) yada Truva Ati (Trojan
Horse) bulamazsak, rahatlamamiz gerekir. 端nk端 bu t端r programlari daha 巽ok acemi hackerlar
yada lamerzlar kullanirlar. Bu ve benzeri ortamlardan bilgisayarimiza sizan kisiler 巽ogunlukla
sistem ve bilgisayarin 巽alismasi hakkinda pek bilgisi olmayan ama bu t端r hacker ara巽larini (hacking
tools) kullanan kisilerdir. Truva Ati (Trojan Horses) yada Dosya ve Yazici Paylasimi (Files and
Printer Sharing) a巽igi olayan bir Windowsx bilgisayarlarina sizmak bu t端r lamerzlerin bilgi ve
yeteneklerinin disinda kalir. Bilgisayarimizda bos simgeli (empty icon) BackOrifice isimli bir Truva
Ati (Trojan Horse) bulursak, ki sunada dikkat etmeliyiz, dosyanin ismi herhangi bir dosya ismi
olabilir. Bilgisayarimizi taratip Truva Ati (Trojan Horse) ndan kurtulmamiz gerekir. Her bir Truva
Ati (Trojan Horse) nin adim adim nasil silinecegi Antivir端s firmalarinin Vir端s Merkezlerinde
anlatilmaktadir. http://www.symantec.com ve http://www.mcafee.com, http://www.cai.com/virusinfo/ Bu bilgilerin
巽iktilarini alip 旦n端m端zde tutabiliriz. Takip edilecek adimlari bilmek yada kafamiz karistiginde
referans olarak kullanmak olduk巽a yararli olacaktir. Birde Truva Ati Tespit ve Yakalama
programlari da kullanabiliriz. BoDedect gibi. BackOrifice bilinen neredeyse en eski ve en yaygin
UYA dir. Bilgisayarimizda Mesale Simgeli (Torch Icon) bir UYA ya rastlarsak, buda olasilikla
Hackers Paradise veya NetBus isimli UYA dir.
Bilgisayarimizda Tesbit Ettigimiz Truva Atlarindan Nasil Kurtuluruz
Mesela buldugumuz Truva Atinin dosya isminin hacker.exe oldugunu kabul edelim. Ondan
kurtulmak i巽in sunlari yapmaliyiz:
1.) nce hacker.exe ve diger t端m mesale simgeli (torch icons) dosyalari sileriz (delet),
2. ) Baslat (Start), 3.) Ayarlar (Settings),
3.) G旦rev ubugu (Task bar),
4.) Baslat Menu Programlari (Startup Menu programs),
5.) Gelismis (Advanced) men端s端ne geliriz.
Prepared By Erkan Kiraz
6. Bilgisayarimizdaki Davetsiz Misafirleri Nasil Tesbit Ederiz ve
Onlardan nasil Kurtuluruz?
6.) Gelen pencerede Programlar (Programs)Baslangi巽 (Start)Programlar (Programs)Starup
b旦l端m端nde mesale simgeli dosya varsa bunlari sileriz.
7.) Baslat (Start),
8) alistir (Run) men端s端ne geliriz.
9) Buraya regedit yazariz. Tirnaksiz olarak.
10) Tamam (Ok) basariz.
11) Gelecek olan Kayit D端zenleyicisi (Registry Editor) sayfadan D端zen (Edit)Bul (Find) men端lerine
geliriz, Anahtarlar (Keys), Veriler (Datas) ve Degerler (Values) kutucuklarinin isaretli oldugundan
emin olduktan sonra,
12.) Bul Kutusuna (Find Box) hacker.exe yazip, Sonrakini Bul (Find Next) se巽enegine basariz.
Bulunan her hacker.exe dosyasini silip F3 e basarak devam ederiz. Windows Kay脹t I巽inde Arama
Tamamlandi (Seraching within Regsitry is finalized) mesajini veridigi zaman bu islemi bitiririz ve
Kayit D端zenleyicisi (Registry Editor) 巽ikariz.
13.) Baslat (Start)alistir (Run) men端s端ne gelip, buraya C:WindowsSystemSysedit.exe
yazariz. Tabii tirnaksiz olarak. Gelecek pencerelerde hacker.exe dosyasi ile ilgili bir kayit olup
olmadigina bakariz. Eger bulursak bu kayitlari sileriz.
14.) Dosya (File) kaydet (Save) simgesini (icon) tiklariz. Isimizi bitirmis oluruz.
Sonu巽
Sisteminizi ve bilgisayarimizi g端venli halde tutmak ve onun herzaman g端vende oldugundan emin
olmak istiyorsak, tanimadigimiz, -hatta tanidigimiz da olsa- .exe, .com, .ini, .txt.vsb uzantili hi巽
bir dosya alisverisi yapmamamiz gerekir. Yapma durumda olsak bile eger bunun bir mail sunucusu
端zerinden yapiyorsak virus scan se巽enegini kullanarak, bilgisayarimiza dogrudan y端kleme
yapacaksak 旦nce y端kleyecegimiz dosyayi AVP (Anti Virsu Program) de taratarak yapmaliyiz. Dogal
olarak kullandigimiz AVP ninde g端ncellenmis olmasi gerekir. Haftada bir g端ncelleme yapmayi
aliskanlik haline getirmeliyiz.
息 Copyrighted to Erkan Kiraz. Bu yazi kaleme alanin izni alinarak yayinlanabilir.
(This study may be copied only with prior consent of its Author.
Prepared By Erkan Kiraz erkankiraz@yahoo.com on 20/01/00-25/01/01)
L端tfen dikkat, 端巽端nc端 sahislara ait Web Sayfalari, 端r端nleri, programlari, yazilim ve uygulamalari yada hizmetleri ile ilgili
verilen referanslar yada linkler, istek 端zerine yapilan 旦neri ve tarifler, Internet G端venlik Grubu nun, Owner larin yada
Moderator larin onayladigi yada garanti verdigi anlamina gelmez. Internet G端venlik Grubu nun iletilerinde yada Files
kisminda yer alan dosyalarinda verilen linkler ve firma isimleri bilgi vermek amaci ile uygun g旦r端ld端g端 i巽in verilmektedir.
Olusabilecek olumsuz sonu巽lar tarafimiza hi巽bir sekilde herhangi bir y端k端ml端l端k ve sorumluluk aktarmayacaktir.
Please note that references to third party Web sites, products, sorftwares and programs or services, recommendations
and descriptions supplied on demand shall not be construed as an endorsement or guaranteed by Internet G端venlik Group
and/or its Owners and/or its Moderators. Links to third-party sites and names of companies are provided as a
convenience for informational purposes only. Consequential negative results shall not bind us whatever they might be.
KAYNAK : http://groups.yahoo.com/group/BilgisayarVeInternetGuvenlik/
Prepared By Erkan Kiraz
![Bilgisayarimizdaki Davetsiz Misafirleri Nasil Tesbit Ederiz ve
Onlardan nasil Kurtuluruz?
k旦t端 niyetli kisilerin, bilgisayarimiza bir Truva Ati yollayip, bu programla portlarimizdan birisinde
gedik saglamalari ve bilgisayarimiza tamamen hakim olmalari m端mk端nd端r. Bundan bizim hi巽
haberimiz de olmayabilir. Hacker bazi gizli ve 旦zel bilgileri, Internet sifrelerimizi aparabilir.
Bilgisayarimiza sizildigini anlamanin ip u巽larindan ve bunu 旦grendigimizde ne gibi 旦nlemler yada
karsi 旦nlemler alabilecegimizden s旦z edelim:
Bilgisayarimizda UYA (Uzaktan Y旦netim Ara巽lari) Yada Truva Ati Belirtileri
1.) Bilgisayarimizi a巽tigimizda karsimiza bazi ilgin巽, komik yada ciddi mesajlar 巽ikabilir.
Bunlarin normal disi oldugunu hemen anlariz, bilinki birileri bilgisayarimiza sizmistir.
2.) Sabit Disk (HDD) imizden normal disi sesler gelmeye baslayabilir. Bilgisayarimizi her
a巽tigimizda alisik oldugumuz ses ritminin disinda olan bir sestir bu. Eger hattaysak
(online) ve sanki birseyler kendiliginden asagi y端kleniyor (download) yada yukari
y端kleniyor (upload) gibiyse o zaman ya bilgisayarimiza bazi programlar y端kleniyordur yada
bizden bir seyler apariliyordur. [Ama farkina varmadan kendini y端klemeye 巽alisan ve
巽ogunlukla porno sitelerde bulunan online baglanti programlarina (online connection dialer)
karsi dikkatli olmaliyiz. Yada bazi 巽ocuk sitelerinde Imle巽 (pointer) i巽in kendiliginden
y端klenmeye 巽alisan programlar. Bunlari bilgisayarimiza sizildi olarak yorumlamamiz
lazimdir]. Bilgisayarimizdan gelen sesler, arabamizda alistigimiz normal sesler gibidir.
Farkli bir ses gelirse bunu hemen farkedebiliriz.
3.) Disket S端r端c端 (HDD Driver) 端m端zden gelen sesler. Biz Disket S端r端c端 m端ze bir Disket
yerlestirmedik巽e ve kullandigimiz Firewall un da ayarlarinda A S端r端c端s端n端 (A Driver) de
taramasini belirtmedigimiz s端rece Disket S端r端c端 m端zden hi巽 bir ses gelmemesi gerekir.
Bunu nasil yorumlamamiz gerekir, sans eseri hacker da ayni anda bilgisayarimiza
baglanmis ve bilgisayarimizin Disket S端r端c端 s端nde disket olup olmadigi anlamak istiyor
olabilir. 4.)
4.) CD S端r端c端m端z端n (CD-ROM Driver) yada DVR S端r端c端m端z端m (DVD Driver) kendiliginden
a巽ilip kapanmasi. Bu S端r端c端lerimizde herhangi bir CD yada DVD olmamasina ragmen,
bunlar a巽ilip kapanabilir. Bunu bilgisayarimiza yerlestirlmis bir UYA programi yapiyordur.
Bilgisayarimiza bir zarari yoktur ama portlarimizin her an suistimal edilebileceginin de
belirtisidir. nlem almaliyiz.
5.) Bazi dosyalarimizi (files) bulamiyorsak, ve nereye kaydettigimiz (save) bildigimiz halde,
ilgili Klas旦r (Folder) altinda yoksalar, o zaman bunlari bazi kisiler 巽almis olabilir. Ama eger
bilgisayarimizi birden 巽ok kis kullaniyor ve bize ait dosyalari sifrelemissek, diger
kullanicilarin bunlari alip almadigindan da emin olmamiz gerekir. Birde normal disi
kapanmalar (abnormal shutdown) da bazi dosyalarimiza zarar (corrupt, damage) verebilir.
Bu Microsoft un bize bir oyunu iste.
Yukarida siraladiklarimiz bilinen en belli basli belirtilerdir. Sonu巽ta bilgisayarimizda
olusabilecek her normal disi olay bilgisayarimiza sizildiginin isareti olabilecegi gibi bazi
kullanim hatalari da benzer sonu巽lara yol a巽abilir. Bunlari birbirine karistirmamamiz gerekir.
Kullanim Hatalari
Bilgisayarimizi kullanirken 巽ok sik yapilan kullanim hatalari (usage mistakes) ve ihmalkarliklar
(negligences) vardir. Bunlari da m端mk端n oranda yapmamamiz gerekir. Iste ihmalkarlik ve
yanlis kullanima ait bazi 旦rnekler;
1.) Kullandigimiz uygulama programlarinin eski s端r端mlerinde (older versions) yaratilmis
dosyalarimizi kaydederken dikkatli olmaliyiz. Bunlari yeni s端r端m (new version)
Prepared By Erkan Kiraz](https://image.slidesharecdn.com/davetsizmisafirlerinasiltesbitederveonlardannasilkurtulabiliriz-121213064828-phpapp02/85/Davetsiz-misafirleri-nasil-tesbit-eder-ve-onlardan-nasil-kurtulabiliriz-2-320.jpg)
![Bilgisayarimizdaki Davetsiz Misafirleri Nasil Tesbit Ederiz ve
Onlardan nasil Kurtuluruz?
Grubumuzun Files kisminda yer alan bir 巽alismamaizda bulunmktadir.
http://www.egroups.com/files/InternetGuvenlik/InternetSecurityPCSecurity&Measures .doc
v. Tehlikeli bir port g旦z端kmemesine ragmen bir baglantidan s端phelendigimizde, bu baglantinin
karsisinda yer alan IP Adresini aliriz, bunu kontrol ederiz. IP Adreslerinin kontrol edildigi bazi
programlar da vardir. Onlardan da yararlanabiliriz. WS-PingPro gibi. Ama bilinen baska
seylerden de yararlanabiliriz. rnegin mIRC ortamindan IRC Sunucusuna bagli iken MS-DOS
Komut Istemcisine (MS-DOS Pormpt) /dns XXX.XXX.XX.XXX komutunu yazalim. Tabii (x) olarak
verdigim elde ettigimiz IP Numarasidir. Bu komutun, bize b adresin a巽ilimini vermesi lazimdir.
rnegin, yahoo.com, msn.com, theglobe.com gibi. Sayet adresin a巽ilimi o anda bagli oldugumuz
bir ICQ, IRC, WEB yada FTP Sunucusu (Server) ise korkulack bir sey yoktur. Ancak elde
ettigimiz a巽ilim bir ISP (ISS, Internet Servis Saglayicisi) nin adresini veriyorsa, bu durum,
bilgisayarimiza baska bir baglantinin eklendigini g旦sterir. Ama bu denetimleri yaparken
muhabbetle (chat) olan baglantimiz kesilmemisse, mIRC i巽inde aktif DCC Chat penceremiz
a巽iksa yada Yahoo chat tarzi bir muhabbet ortamindaysak, bu baglantilar bomaldir. Hemen, elde
ettigimiz IP Adresinin kime ait oldugunu belirlemeliyiz. Sayet s端phelendigimiz kisi MIRC, IRC,
[Yahoove MSN biraz digerlerinden farkli, bunlarin Se巽enekler (Options) ve Tercihler
(Preferences) i巽erikleri digerleri kadar ayrintili degil.] yada ICQ ortaminda hattaysa, o kisinin
Nickname (Lakap) inin 端zerine tikladigimizda a巽ilan men端de Info se巽enegini tiklariz. Bu bize o
kisinin IP Numarasini verecektir. Ama bunun g旦r端nmesini engellemisse vermez. mIRC 'de de,
/dns nickname komutunu kullanarak IP Numaralarini 旦grenebiliriz. Bu IP Adreslerini elde
ettigimiz IP Adresi ile karsilastiririz. sayet mIRC 'de herhangibirinden suphelenmiyorsak ve
elede ettigimiz IP Adresinin kime ait oldugunu 旦grenmek istiyorsak, /who XXX.XXX.XX.XXX /who
dialup03.yahoo.com benzeri komutunu kullanabiliriz. Buradan Satatus isimli pencereyi inceleriz.
Aradigimiz IP Adresinin sahibi ile ayni sunucuyu kullaniyorsak, mIRC bunu size belirtecektir.
Bunun tespit ettikten sonra, ya hattimizi keseriz yada merak ettigimiz seyler varsa soraririz.
Mesela bilgisayarimizda ne aradigini sorabiliriz, buyrun bir sicak kahve i巽mek istermisiniz
diyebiliriz.
2. Bilgisayarimiza sizildigindan eminsek, baglantimizi kestikten sonra bilgisayarimizdaki gedigi
kapatmamiz gerekir. Baglandigimiz muhabbet ortamindaki t端m kimlik bilgilerimizi degirstirmeliyiz.
Zaten burada yer alan t端m se巽enekleri doduracagiz diye bir zorunluluk yoktur. IRC yada ICQ
hackerlari bilgisayarimiza baglanmak i巽in genelde iki gedik ararlar: A.) Dosya palasimi (file
sharing) ve B.) Truva Ati (Trojan Horse). Bilgisayarda Dosya ve Yazici Paylasimi (Files and Printer
Sharing) yapip yapmadigimizi bilmemiz gerekir.
Dosya ve Yazici Paylasimimizin (File and Printer Sharing) A巽ik Olup Olmadigini
grenmek 聴巽in Sunlari Yapariz:
1.) Baslat (Start),
2.) Ayarlar (Settings),
3.) Denetim Masasi (Control Panel),
4.) Ag (Network) men端s端ne gelelim ve bunu tiklayalim.
5.) Gelen men端de Dosya ve Yazici Paylasimi (Files And Printer Sharing) yazan simgeye (icon)
basalim,
6.) Belirecek men端de yer alan iki kutucugun bos olup olamadigini kontrol edelim.
Sayet bu iki kutucuk isaretliyse baskalarina erisim hakki (access authorization) verdigimizi
g旦sterir. Bu basklari, bilgisayarimizi kullanan yakinlarimiz yada aile i巽i kisilerde olabilir. Yada yakin
g旦r端st端g端m端z arkadaslarimiz. Bu isaretleri kaldirdigimizda bilgisayarimiz kullandigimiz isletim
sisteminin s端r端m端ne (operating system version) g旦re bizden bazi Sistem Dosyalari ni (System
Files) y端klemek i巽in isteyebilir. (Ama bu CD lerin orijinalleri de 巽ogumuzda yoktur herhalde.) Ama
Prepared By Erkan Kiraz](https://image.slidesharecdn.com/davetsizmisafirlerinasiltesbitederveonlardannasilkurtulabiliriz-121213064828-phpapp02/85/Davetsiz-misafirleri-nasil-tesbit-eder-ve-onlardan-nasil-kurtulabiliriz-4-320.jpg)
