Free Web Hosting Provider - Web Hosting - E-commerce - High Speed Internet - Free Web Page
Search the Web

Bilgisayariniza Hacker'lar mi Dadandi!!!

Son zamanlarda, IRC üzerinden kar?y tarafyn PC'sine bir trojan yollayarak portlaryndan birinde açyk sa?lamak ve bu portu kullanan bir program vasytasyyla PC'ye tamamen hükmetmek tehlikeli derecede yaygyn bir hal aldy. Siz IRC'de keyifle sohbet ederken bir hacker,(biz bunlara lammer diyoz..) haberiniz bile olmadan bilgisayarynyzda geziniyor veya bazy ?ahsi bilgilerinizi çalyyor olabilir.

Bu yazymda  hack edildi?inizi anlamanyn yollaryndan ve anlayynca bunun önüne nasyl geçebilece?inizden bahsedece?im.

Bilgisayarynyzyn Girildi?inin Y?aretleri

1. Bilgisayarynyzy açty?ynyzda kar?yla?ty?ynyz mesajlar.

Etraftaki birinin size ?aka yapmady?yndan eminseniz ve bilgisayarynyzy açty?ynyzda "Bilgisayarynyz hack edilmi?tir" tarzy bir mesajla kar?yla?yyorsanyz, bu mesajy kimin byrakty?y açyktyr.

2. Harddiskten gelen aly?ylmadyk sesler.

Internete ba?ly oldu?unuz süre zarfynda, siz bir?ey yapmamanyza ra?men harddiskinizden bir?ey yükleniyormu? gibi sürekli olarak gelen sesler, bir hackeryn o syrada harddiskinizdeki bazy dosyalary kary?tyrdy?yna gösterge olabilir. Tabii burada bir internet sayfasy açarken, kar?ydan dosya yüklerken veya bir program bir dosyayy açarken gelen do?al seslerden bahsetmiyorum; bilgisayaryny uzun süre kullananlar bu do?al sesleri zaten tanyrlar.

3. Disket sürücüsünün çykartty?y sesler.

O anda kullandy?ynyz hiçbir program disket sürücüsüne ula?maya çaly?mamasyna ra?men disket sürücüsü içinde bir disket varmy? gibi sesler çykartyyorsa, bu PC'nize syzmy? bir hackeryn sürücüde disket arady?yny gösterebilir.

4. CD-ROM sürücünüzün açylyp kapanmasy.

Bu, hackerlaryn en syk yapty?y "Espri"lerden biridir. Siz fiziksel olarak veya bir program aracyly?yyla hiçbir müdahele yapmamy? olmanyza ra?men CD-ROMunuz açylyp kapanyyorsa, muhtemelen bir hacker size "?aka" yapyyordur. Gülümseyin!!!

5. Kendi kendine kaybolan dosyalar.

Bir takym özel dosyalarynyz esrarengiz ?ekilde kaybolduysa ve onlary Geri Dönü?üm Kutusu'nda bile bulamyyorsanyz, bir hackeryn kötü niyetinin kurbany oldu?unuzdan ?üphelenebilirsiniz. Tabii bir hackera suç atmadan önce kendinize sormanyz gereken bazy sorular var. Bilgisayarynyzy en son kapatty?ynyzda Windows'unuzu normal ?ekilde mi "Shutdown" ettiniz? Çok syk olmasa da, Windows'un aly?ylmadyk ?ekilde kapanmasy bazy dosyalara (veya FAT'lara) zarar verebiliyor. Bilgisayary en son kapatmanyzdan önce hiçbir program hata mesajy verdi mi? Hata mesajy vererek kapanan programlar, kendileriyle ilgili dosyalara zarar vermi? veya onlary silmi? olabilirler. Mesela Word'ünüz aly?ylmadyk hata mesajlaryyla kapanmy?sa ve bilgisayary tekrar açty?ynyzda üzerinde en son çaly?ty?ynyz .doc dosyalaryny bulamyyorsanyz, bunun suçlusu Word olabilir. Bilgisayary ortak kullandy?ynyz ki?iler kaybolan dosyalary silmi? olabilirler mi? Eski sürümlü bir program yüklemeyi denediniz mi? Bilgisayarynyza yükleyece?iniz eski versiyonlu bir program, kendi eski sistem dosyalaryny sizinkilerin üzerine kopyalayabilir. Bu durumda daha yeni versiyonlu programlar eski sistem dosyalaryyla çaly?amayacaklardyr ve size bazy sistem dosyalarynyn eksik oldu?una dair mesaj verebilirler. Bu da bir hackeryn de?il, eski sürümlü programynyzyn suçudur. Sisteminizden payla?ymly sistem dosyalary kullanan bir programy tamamen kaldyrdynyz my? Programlaryn ortak kullandyklary sistem dosyalary vardyr. "Program Ekle/Kaldyr"y kullanyrken , silmek istedi?iniz programyn di?er programlarla ortak kullandy?y sistem dosyalaryny da silmi? olabilirsiniz. Bilgisayarynyz payla?ylan bir sistem dosyasyny silmeden önce bu konuda sizden onay alyr; sözkonusu sistem dosyasynyn silinmesini onaylamy?sanyz ve onu kullanan ba?ka programlar "Sistem dosyasy bulunamady" hatasyny veriyorsa, bunun suçlusu bir hacker de?ildir.

Bilgisayarynyzda o anda davetsiz bir misafirin gezindi?ini anlady?ynyzda, yapmanyz gereken ilk ?ey internet ba?lantynyzy kesmektir. E?er internette önemli bir i?iniz oldu?u için ba?lantynyzy bir hackeryn hedefi oldu?unuzdan tamamen emin olmadan kesmek istemiyorsanyz, ?u yolu izleyin.

1. BA?LAT-->PROGRAMLAR menüsünden MS-DOS Komut Ystemi penceresini açyn.

2. MS-DOS Komut Ystemi penceresinde netstat -a yazyn. Bu, bilgisayarynyzyn o anda hangi IP adresinlerine hangi portlardan ba?ly oldu?unu gösterir. E?er do?al olarak ba?ly oldu?unuz yerlerin dy?ynda (mesela IRC serverlary, ICQ servery, DCC Chat-ICQ Chat ba?lantylary, WEB siteleri, FTP serverlary, vs.) ba?ka ba?lantylara rastlamazsanyz, korkacak bir?ey yoktur.

Peki, netstat komutuyla rastlady?ymyz bir ba?lantynyn do?al olup olmady?yny nasyl anlayaca?yz?

1. Öncelikle ba?lantylaryn portlaryny gözden geçirin.

Ynternet üzerinde en çok kullanylan protokoller ve kullandyklary portlar ?unlardyr:

80 http (WEB sayfalaryna ba?lanmak için )
21 ftp (FTP serverlaryna ba?lanmak için )
23 telnet (Telnetle sistemlere ba?lanmak için )
25 mailto (E-mail atmak için kullanylan port)
110 POP3 (E-mail almak için kullanylan port)
6660-7000 IRC (IRC serverlarynyn genel portlary)
4000 ICQ (ICQ, ba?lanyrken ki server portlary )
1000-1080 ICQ (ICQ, servera ba?landyktan sonraki)

PC'niz bir proxy, yerel a?, vs. üzerinde yer almyyorsa veya bu tür a?lar için kullanylan programlardan birini çaly?tyrmyyorsa, bu portlarda gözüken ba?lantylarda genelde tehlikeli bir durum sözkonusu de?ildir. Ancak hackerlaryn syk syk kullandyklary portlardan birinden yapylmy? bir ba?lantynyz varsa (456, 31337, 12345,30303 gibi), davetsiz bir misafirinizin olma ihtimali çok yüksektir.

Tehlikeli bir port gözükmemesine ra?men bir ba?lantydan ?üphelenirseniz, ?üphelendi?iniz ba?lantynyn kar?ysynda yazan IP adresini bir yere not alyn. Sözkonusu IP adresinin 195.175.44.120 oldu?unu farz edersek, mIRC üzerinden bir IRC serveryna ba?lyyken /dns 195.175.44.120 komutunu kullanmanyz gerekir. Bu komut, size o adresin açylymyny verecektir (mesela dialup03.ant.net.tr, hotmail.com, microsoft.com, vs.). E?er adresin açylymy o anda ba?ly oldu?unuz bir IRC, ICQ, WEB, FTP, vs. servery ise her?ey yolundadyr. Ancak bir YSS (Ynternet Servis Sa?layycysy) ismi içeren bir adresle kar?yla?yrsanyz, bu internet üzerinde bulunan ba?ka bir PC ile ba?lanty halinde oldu?unuz anlamyna gelir (E?er o anda bir arkada?ynyzla dosya transferi yapyyorsanyz, mIRC içinde aktif DCC Chat pencereniz varsa veya ICQ Chat tarzy bir sohbet ortamyndaysanyz, bu ba?lantynyn olmasy do?aldyr). Bu durumda, o IP adresinin sahibini tespit etmelisiniz. E?er ?üphelendi?iniz ki?i ICQ'da Online ise, ICQ listesinde o ki?inin nickinin üzerine tyklady?ynyzda açylan menüde INFO komutunu seçin, bu size o ki?inin IP adresini verir. mIRC'de ise, /dns NICKNAME komutunu kullanarak ?üphelendi?iniz ki?ilerin IP adresini ö?renebilirsiniz. E?er mIRC'de ?üphelendi?iniz belli biri yoksa, sadece IP adresinin sahibinin o anda sizin bulundu?unuz IRC serverynda olup olmady?yny görmek istiyorsanyz, /who 195.175.44.120 /who dialup03.fornet.tr komutlaryny kullanarak STATUS ba?lykly pencerenizi izleyin (tabii buradaki IP adresi ve açylymy sadece örnek, siz netstat penceresinde gördü?ünüz IP adresini ve açylymyny kullanmalysynyz). Arady?ynyz IP adresinin sahibi ile ayny IRC serveryndaysanyz, mIRC bunu size söyleyecektir. PC'nizle ba?lanty kurmu? ki?iyi tespit ettikten sonrasy size kalmy?. Onunla konu?abilirsiniz, konu?madan ba?lantynyzy kesebilirsiniz, ya da ba?lantylarynyzda neden onun adresinin gözüktü?ünü sorabilirsiniz (belki de sadece Ident'inize bakan iyi niyetli biridir).

PC'nizin hack edildi?inden eminseniz, ba?lantynyzy kestikten sonra hack edildi?iniz açy?y kapatmadan Chat ortamyna yeniden girmemenizi öneriyorum. Mutlaka girmeniz gerekiyorsa da, bütün kimlik bilgilerinizi de?i?tirmeyi ihmal etmeyin (Bunu daha ilerideki yazylarymdan birinde daha ayryntyly olarak anlataca?ym).

Standart bir Windows 95 kullanycyysanyz, IRC hackerlary PC'nize syzmak için genelde iki açyk ararlar: Dosya Payla?ymy ve Trojan. Öncelikle, sisteminizde bunlardan hangisinin yer aldy?yny bulmanyz gerekir.

Dosya payla?ymynyzyn açyk olup olmady?yny görmek için, BA?LAT-->AYARLAR-->DENETYM MASASI-->A? menüsünü açyn. Açylan ekranda "Dosya ve Yazycy Payla?ymy" yazan ikona basyn ve kar?ynyza çykacak menüdeki iki kutucu?un bo? oldu?undan emin olun. E?er kutucuklar dolu ise, bu ba?kalaryna eri?im hakky verdi?inizi gösterir. Dolu kutucuklary bo?alttyktan sonra, PC'niz Windows 95 CD'nizi bazy sistem dosyalaryny yüklemek üzere isteyebilir (DYKKAT: E?er a?, proxy, vb. gibi bir sistem üzerindeyseniz, "Dosya Payla?ymy"nyn açyk olmasy gerekiyor olabilir. Bu durumda sistem yöneticinizle konu?un).

Sisteminizde trojan aramak ise biraz daha uzun bir i?lemdir. Öncelikle BA?LAT-->BUL-->DOSYALAR VEYA KLASÖRLER menüsüne girin. AD kutucu?una *.exe yazyn, KONUM kutucu?una ise harddisklerinizin isimlerini yazarak hepsini aratmalysynyz. Tek harddiskiniz varsa KONUM kutucu?una c: yazarak; iki harddiskiniz varsa önce c: sonra d: yazarak aratmanyz gerekir.

Aramanyn sonucu olarak kar?ynyza birçok .exe dosyasy çykacaktyr. Bu konumda, dosyalaryn ba?larynda yer alan ikonlara dikkat etmelisiniz.

Trojanlar genelde iki ikonla kendilerini belli ederler:

1. Me?ale ikonu.
Mavi bir daire üzerinde yer alan e?ri bir me?ale ikonu görürseniz, bu ikonun sahibi çok yüksek ihtimalle bir trojandyr. 2. Bo? ikon. E?er bir .exe dosyasynyn ikonu yoksa, bu da muhtemelen Back Orifice trojanydyr.

E?er sisteminizde trojan bulamazsanyz, IRC hackerlarynyn çok yüksek bir yüzdesinden korkmanyza gerek yok demektir. Çünkü ço?u sistemi bilmeden, sadece ellerine geçen 1-2 programda mouse klikleyip sisteminizde hakimiyet kurarak egolaryny tatmin eden ki?ilerdir. Trojany veya dosya payla?ym açy?y olmayan bir Windows 95 makinasyna syzmak, bu ki?iler için mümkün de?ildir.

PC'nizde bo? ikonlu bir Back Orifice trojany bulursanyz (bu dosyanyn ismi herhangi bir?ey olabilir), hemen sitemizin hack ar?ivindeki BoDetect programyyla sisteminizi tarayyn. Trojan dosyasyny silmeniz asla yeterli olmayacaktyr, Back Orifice'dan tamamen kurtulmak için BoDetect'i kullanmalysynyz (NOT: SniperOld'un bana verdi?i bilgiye göre IRC ortamynda aslynda Back Orifice trojanynyn ta kendisi olan sahte BoDetect dosyalary elden ele iletiliyormu?, bu yüzden ba?kalaryndan gelen BoDetect programlaryna güvenmeyin).

PC'nizde me?ale ikonlu bir trojana rastlarsanyz, bu NetBus veya Hackers Paradise türü tek port kullanan bir programa ait demektir. Buldu?unuz trojan dosyasynyn isminin PATCH.EXE oldu?unu farz edersek, ondan kurtulmak için ?u yolu izlemelisiniz.

1. Öncelikle Patch.exe 'yi ve di?er bütün me?ale ikonlu dosyalary silin. 2. BA?LAT-->AYARLAR-->GÖREV ÇUBU?U-->BA?LAT MENÜSÜ PROGRAMLARI-->GELY?MY? menüsünü açyn. Açylan pencerede PROGRAMLAR-->BA?LANGIÇ ve PROGRAMLAR-->STARTUP klasörlerinde me?ale ikonlu herhangi bir kysayol olup olmady?yna bakyn; varsa hemen silin. 3. BA?LAT-->ÇALI?TIR menüsüne girerek regedit yazyn ve TAMAM ikonunu klikleyin. Açylan pencerede DÜZEN-->BUL menüsüne girerek Anahtarlar, Veriler ve De?erler kutucuklarynyn i?aretli oldu?undan emin olduktan sonra ARANAN: kysmyna Patch.exe yazarak Sonrakini Bul ikonuna basyn. Registrynizde her bulaca?ynyz Patch.exe dosyasyny silin, ve sildikten sonra F3 tu?una basarak aramaya devam edin. Windows "Kayyt Yçinde Arama Tamamlandy" mesajyny verdi?inde, bütün Patch.exe verilerini sildi?inizden eminseniz Registry Editor pencerenizi kapatyn. 4. BA?LAT-->ÇALI?TIR menüsüne girerek c:\windows\system\sysedit.exe yazyn. Açylan pencerelerin hiçbirinin Patch.exe ile ilgili kayyt içermedi?inden emin olun, olan kayytlary da sildikten sonra DOSYA-->KAYDET ikonunu tyklayyn.

Bunlary yaptyktan sonra trojandan kurtulmu? olmalysynyz. Tabii trojan dosyasynyn ismi herhangi bir?ey olabilir, Patch.exe 'yi yalnyzca örnek olsun diye verdim.

Ayryca, çok popüler olarak kullanylan ICQkill adly program da aslynda bir trojandyr. Bir kere bu programy çaly?tyrdyysanyz, c:\windows\system\explorer.exe dosyasyny silerek etkisiz hale getirebilirsiniz.

Sisteminizi güvenli hale getirdikten sonra güvenli kalmasy için ise, ba?kalaryndan gelen .exe veya .com dosyalaryndan hiçbirini kabul etmemeyi unutmayyn.

All Rights Reserved ©2001 Maniacteo