Web Sitenize Yapılan Saldırıları Tespit Edin ve Engelleyin!
Wordpress Attack Günlükleri yazı dizimizin üçüncü bölümünde zaafiyet tarama araçlarıyla yapılan saldırılar üzerinde durmaya çalışacağız.
Siber saldırıların temelde iki büyük zararı ve amacı var. Birincisi korunaklı ve hassas alanlara (veritabanı gibi) girilerek verileri ele geçirmek, ikincisi ise çok sayıda istek gönderdikleri için sunucunun ağ katmanında ve merkezi işlem biriminde ağırlık meydana getirmek. Ve olmasını istemediğimiz bir son olarak sunucumuzun Apache veya Mysql servislerinin cevap veremeyecek hale gelerek durması ve web sitelerimizin erişilemez hale gelmesi.
Anlatacağımız hususlar ve güvenlik önlemleri Wordpress web sitesini VPS, VDS veya fiziksel sunucuda barındıran ileri düzey kullanıcılar içindir. “Web Hosting” adıyla sunulan paylaşımlı alanlarda barınan web siteleri her zaman büyük risk altındadır. Günümüz piyasası incelendiğinde sanal sunucu edinmek görece çok ucuz ve uygun hale gelmiştir. Dolayısıyla hosting almak yerine, sunucu almak daha mantıklı ve stratejik bir adım olacaktır. Paylaşımlı bir web hosting alanında yüzlerce web sitesi barınırken, sanal sunucunuzda sadece sizin web siteniz barınır. Bu hususu göz ardı etmemekte fayda var.
Web Sitemin Saldırıya Uğradığını Nasıl Anlarım?
Anormal ağırlıklar ve sayfaların geç yüklenmeye başlaması harekete geçmek için yeterlidir. Saldırının olup olmadığını ve nereden geldiğini anlamak için Apache’nin domlog’larını incelemek gerekiyor. Öncelikle belirtmek gerekir ki log incelemek fazlasıyla yorucu ve zahmetli bir iştir. Logları yapay zekaya inceletme imkanınızın da bulunduğunu hatırlatmakta fayda var. CWP (Centos Web Panel) üzerinde yerleşik çalışan CWP Log viewer bu noktada güzel çalışan, pratik bir araç. Logları süzerek inceleme imkanı verdiği için işimiz daha kolay hale geliyor.
Domloglar üzerinde arama motoru ve diğer botlar dahil web sitemize ulaşan tüm trafiğin izleri mevcuttur. Bu veri yığını içerisinde saldırının izini nasıl süreceğiz?
Mantıki bir çerçeve kurarak incelemek gerekiyor. Devasa bir veri yığını ile karşı karşıya olsak da anormallikler gözümüze hemen çarpacaktır. Birincil kıstasımız istek gönderme aralığı olmalı. Bir IP adresinin bir dakikada yüzlerce istek göndermesini elbette hayra yoracak değiliz! Tipik bir saldırı türüdür, zafiyet tarama faaliyetidir. Loglarda tarih/saat/dakika/saniye ibareleri bulunduğundan hemen dikkatinizi çekecektir. Aşağıda log dökümümüzden bir örnek sunuyoruz. Gördüğünüz gibi şüpheli IP adresi bir dakika içerisinde onlarca istek gönderiyor ve güvenlik açığı arıyor.
Yapılacak en basit ve etkili çözüm ENGELLEMEK! IP adresini hem sunucunuz güvenlik duvarı üzerinden hem de Cloudflare üzerinden engelleyebilirsiniz. Yeterli mi? Elbette değil. Bu tip saldırılar AWS, Azure, Google Cloud gibi bulut ortamlarına yüklenmiş saldırı araçlarıyla yapıldığı için farklı bir IP’den denenmeye devam edecektir. Teyakkuzda olmakta fayda var. Logları yapay zekaya inceletip otomatik olarak tespit ederek saldırgan IP’yi engelleten bir yazılım üzerinde çalışıyoruz. Sponsor olmak isterseniz İLETİŞİM bölümünden yazabilirsiniz.
Bir sonraki yazımızda kendini çok belli etmeden, göze çarpmadan zaafiyet arayan saldırganları nasıl tespit edebileceğimize dair savunma yöntemleri geliştireceğiz.
Bilgisayar ve İnternet Dünyasına Dair Her Türlü Soru veya Sorununuzu Soru Sor sayfamızdan bizlere iletebilirsiniz. Sorularınız En Kısa Sürede Cevaplanacaktır.
