Cihan Kızılgül

Sunucunuza gelen saldırıların hangi ipler üzerinden geldiğini anlamak için daha önceki yazılarımda ddos kurulumunu göstermiştim. Ancak manuel olarak bu saldırıları görmek ve engellemek istiyorsanız aşağıdaki komutlarla saldırı gelen ipleri görebilir, ardından bloklayabilirsiniz.

Saldırı gelen iplerin tespiti için;
(80 portuna gelenleri tespit eder)
netstat -atpn |grep :80 |grep -v 8080| awk ‘{print $5}’|awk -F: ‘{print $1}’|sort -n |uniq -c|awk ‘{if ($1 > 10) {print }}’
ya da
netstat -an | grep SYN_RECV
diyerek syn atak yapan ipleri görebilirsiniz. 100 bağlantı hatta bazı durumlarda daha üzeri bağlantılar saldırı olarak değerlendirilmemelidir. Bunları da göze alarak;

iptables -A INPUT -p all -s ipadresi -j DROP

komutuyla iptables a gelen pakedi protokolü ne olursa olsun dropla demiş oluyoruz.

Ddos programı, sunucunuza aynı ipden ve gerektiğinden fazla bağlantı kuran clientleri killeyerek, sunucunuzun averagelarının şişmesini, dolayısıyla servislerinin rahat çalışmasını sağlar. Böylelikle bloklanan ipler ile, mysql, apache gibi servisler rahat çalıştıklarından ötürü sisteminizde servis verememe gibi durumlar daha az meydana gelmeyecektir. Ancak yüksek kapasitede trafikle birlikte gelen saldırılarda geçerliliği zayıftır.

Kurulumu aşağıdaki gibidir :

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0755 install.sh
./install.sh
pico /usr/local/ddos/ddos.conf

Php güvenliği adı altında php ile yapılabilecek minimum ama önemli işlemleri belirttikten sonra, MySQL i safe modda çalıştırarak yine birçok hacklenme riskinin önüne geçebilirsiniz.

Yapmanız gereken my.cnf içerisine aşağıdaki kodu geçmek (Genellikle /etc/my.cnf tur)

safe-show-database
local-infile=0

PHP’de sistem güvenliğiniz açısından belirli güvenlik ayarlamalarından bahsedeceğim. Ancak bu ayarlamaları yaparken, Joomla gibi CMS sistemler kullanıyorsanız dikkatli olmanız gerekmektedir. Aksi taktirde yazılımınız hata verebilir.

Yapılması gerekenleri sırayla belirtelim :

Aşağıdaki işlemleri php.ini içerisinden yapmalısınız. Aksi tedbirler verilmişse mutlaka makale içinde nerede değişiklik yapılacağı belirtilmiştir.

Safe_mode = Bu ayar ile sunucunuz güvenli modda çalıştırılır. “On” değerini tırnak işareti koymadan eklerseniz sunucunuz daha güvenli çalışacaktır. (Joomla sitelerde problem yaratır.) Eğer sistemi suphp ile derlemediyseniz, apache configurasyonu içerisinde (genellikle httpd.conf olarak geçer), sitenizin bulunduğu virtualhostlar arasında  php_admin_flag safe_mode off yazarak tek site için safe mode u kapatabilirsiniz.

enable_ dl = off 

disable_functions = foreach, glob, openbasedir, posix_getpwuid, f_open, system,dl, array_compare, array_user_key_compare, passthru, cat, exec, popen, proc_close, proc_get_status, proc_nice, proc_open, escapeshellcmd, escapeshellarg, show_source, posix_mkfifo, ini_restore, mysql_list_dbs, get_current_user, getmyuid, pconnect, link, symlink, fin, passthruexec, fileread, shell_exec, pcntl_exec, ini_alter, parse_ini_file, leak, apache_child_terminate, chown, posix_kill, posix_setpgid, posix_setsid, posix_setuid, proc_terminate, syslog, allow_url_fopen, fpassthru, execute, shell, curl_exec, chgrp, stream_select, passthru, socket_select, socket_create, socket_create_listen, socket_create_pair, socket_listen, socket_accept, socket_bind, socket_strerror, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, openlog, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, virtual

Extra olarak yapılması gerekenler yakında güncellenecektir.

Yapılması gereken diğer güvenlik işlemlerini ayrı başlıklar altında belirteceğim.