Exploitler, boyundan büyük işler yapan program(cık)lardır. Uygulamaların hataları incelenerek yazılırlar. Sistemdeki normal yetkilere(sadece belirli işleri yapabilir) sahip kullanıcı bu tür program(cık) ile sistemin tüm kontrolünü eline alabilir yada ağ dışından sistemi devre dışı bırakabilir.

Exploitlerin temel amacı:
- Sistem yönetimini, sistem içinden(local) yada sistem dışından(remote) kontrol altına almak,
- Sistemi, ağ dışından yada sistem içinden devre dışı bırakmak(DoS - /*Denial of Services*/).
Çalışan servis uygulamalarına(http, ftp, pop3, smtp ...) ilişkin açığı istismar eden bir exploit kodu ağ dışından sistemde kullanıcı açabilir. Böylece sisteme giriş yetkisi olmayan bir kullanıcı (iyi niyetli olmadığı kesin) exploit programıyla sisteme erişim sağlar. Sisteme yetkisiz giriş yapan kullanıcı, yönetici (#root#) seviyesine ulaştığında sistemde yapabileceklerine dair çeşitli olasılıklar vardır. Bu olasılıklar arasında bulunanlar;
• sisteme rootkit araçları(en populerleri arasında suckit, superkit, adore-ng, frontkey, r3dstorm yer alır) yüklemek,
• sadece arkakapı (backdoor) oluşturmak,
• ağ paketlerini takip etmek(temel felsefe; daha fazla şifre, daha fazla hakimiyet),
• sistemde bulunan web sayfalarını değiştirmek(en büyük olasılık budur, çünkü sisteme yetkisiz giren kişinin temel isteği *htm*,*phpⁱ* gibi web sayfalara düşüncesinde sakladığı haykırışı ekler "Hacked by ....").

Sadece uygulamalardaki zafiyeti değerlendiren exploitler dışında, sistemin temel koordinatörü olan kernel(çekirdek) zafiyetini değerlendiren exploitlerde bulunmaktadır. Çok kullanıcılı sistemlerde kullanıcıları yönetmek zor olabilir.
Kullanıcıların yetkilerini kısabilirsiniz, sistemde yaramazlık yapmamaları için uyarabilirsiniz, sisteminizi güvenlik yamalarıyla devamlı yenileyebilirsiniz. Fakat sizin sisteminiz üzerinden başka bir sisteme bağlanıp o sistemi tırmıklama olasılıkları da vardır.
Yani sisteminizi zararlı kodların(bunların başında uygulamaların baş kemiricisi exploitler gelir) bulunduğu bir depo haline getirebilir.
Kimisi bu tür makineleri *nix öğrenmek için, kimisi e-posta için, kimisi web sayfalarını barındırmak için, kimisi ise program depolama merkezi olarak kullanır.

Sistemdeki kullanıcıların, sisteme aktardıkları programları takip etmek işin içinden çıkılmaz hale geldiğinde en büyük cefayı gözler ve beyindeki kıvrımlar çeker.

Exploitler, genellikle bir uygulamadaki açık hakkında bilgi yayınlandıktan sonra bazı kesimler tarafından iyi (test amaçlı) yada kötü amaçla yazılır. Uygulamadaki bu açık ortaya çıktıktan sonra exploit ya güvenlik sitelerinde yayınlanır(public) yada belli bir süre zarfında yayınlanmaz. Bazı kesimler çıkan bu açığa ait exploiti kendileri için yazıp belli amaçları doğrultusunda
kullanma ihtimalide vardır. Exploitler için public ve private kavramı çok kullanılır.
Exploitler hakkında bu kadar açıklama yeter sanırım :)

Sisteme aktarılan exploitleri takip etme şansı veren uygulamayı tanıtmaya başlayalım.

Bu uygulamanın ismi AntiExploit.

AntiExploit aracının internet adresi: http://www.h07.org/projects/aexpl/
Bu araç veritabanında kayıtlı olan exploit listesine göre çalışmaktadır. Bunun için uygulamanın veritabanını devamlı olarak güncel tutmak menfaat için yararlıdır.

AntiExploitin internet adresi: http://www.h07.org/projects/aexpl

AntiExploit aracının sorunsuz kurulabilmesi için bazı uygulamaların sisteme kurulmuş olması gerekir.

Kurulum için gerekli olan uygulamalar:

- mailutils (uygulamanın ayar dosyasında belirttiğiniz e-posta'ya rapor gönderebilmesi için gerekli)

- libxml2

- libcurl >= 7.10

Kurulum için sırası ile yazılması gereken ayrılmaz meşhur üçlü komut listesi:
• ./configure
• make
• make install

AntiExploit ön tanımlı olarak ayar dosyasını /usr/local/etc/ dizini altına aexpl.conf isminde , ana uygulamayı /usr/local/bin/ dizini altında aexpl ismi ile kurar. Ayrıca sistemde otomatik olarak AntiExploit çalıştırmak istiyorsanız kurulum sonrası /usr/local/share/AntiExploit/ dizininde oluşturulan rc.aexpl dosyasını kullanabilirsiniz.

Kurulum için yazılması gereken ilk komut: ./configure

AntiExploitin e-postanıza rapor göndermesi için ayar dosyasında gerekli değişikliği yapmanız gerekir.

Bunun için:

/usr/local/etc/ dizini altındaki aexpl.conf dosyasını herhangi bir metin editörü(vi , pico ...) ile açıp:
you@somehost.net kısmındaki you@somehost.net yerine e-posta adresinizi yazın.

Kurulum işleminin son aşaması: make install

Sistemde exploit türü dosyaların bulunup bulunmadığını, uygulamanın algılayabilmesi için exploit.db dosyasının /usr/local/share/AntiExploit/ dizinine kopyalanması gerekir.

AntiExploit ayar dosyası: aexpl.conf

Belirli zamanlarda güncellenen bu dosyayı www.h07.org internet adresinde bulabilirsiniz.
Eğer AntiExploit aracının exploit.db dosyasını /usr/local/share/AntiExploit dizini altından okumasını istemiyorsanız ayar dosyasındaki ( aexpl.conf )

... tanımlaması arasına exploit.db dosyasının adını ve bulunduğu dizin ile birlikte yazın.

Uygulamanın kayıt(log) dosyasını inceleyerek çalışma esnasında aksaklık olup olmadığını da görebilirsiniz. Kayıt dosyası /var/log dizini altında bulunan aexpl isimli dosyadır.
Çalışma aksaklığı genellikle AntiExploit dizini içinde bulunan dazuko kernel modülünün sisteme entegre edilmemesinden kaynaklanmaktadır.

Dazuko modülünün entegrasyonu:

• cd dazuko
• ./configure
• make

Dazukonun Kernele (Çekirdek) eklenmesi:

Kernel 2.4 .x için:
#/sbin/insmod dazuko.o

Kernel 2.6.x için:
#/sbin/insmod dazuko.ko

dazuko modülü derleme basamağının ilk aşaması: ./configure

insmod(çekirdeğe modül ekleme komutu) komutu sonrası herhangi bir hata masajı almazsanız, dazuko çekirdeğe eklenmiştir.

[root@honeypot dazuko]# insmod dazuko.o

Eğer dazuko çekirdeğe eklenmişse:

# cat /proc/modules

komutu ile dazukoyu görmeniz gerekir.

[root@honeypot dazuko]# cat /proc/modules

dazuko 29668 0 (unused) <------- Dazuko çekirdeğe eklenmiş

udf 90464 0 (autoclean)

autofs4 11540 2 (autoclean)

8139too 17160 1 (autoclean)

ide-cd 33856 0

cdrom 31648 0 [sr_mod ide-cd]

ide-scsi 11280 0

scsi_mod 103284 2 [sr_mod ide-scsi]

usb-uhci 24652 0 (unused)

usbcore 72992 1 [usb-uhci]

.....

.....

AntiExploit ile sistem kontrolü:

[root@honeypot /]# aexpl
Usage: aexpl [options] [config]
Options:
-h Print this message and exit.
-v Show version information.
-c Start AntiExploit.
-t Stop AntiExploit.
-u * Update the Exploit database.
-o * Check for updated versions.

[root@honeypot /]# aexpl -c ------> AntiExploitin çalıştırılması

Detaching, please check the log file to see if everything is ok!

AntiExploitin çalışmasında bir sorun olup olmadığını kontrol edelim:

[root@honeypot /]# cat /var/log/aexpl ------> AntiExploit kayıt dosyası

Tue Nov 2 22:09:52 2004 Starting initialization.
Tue Nov 2 22:09:52 2004 Exploit database loaded with 4832 entries.
Tue Nov 2 22:09:52 2004 Successfully registered with dazuko.
Tue Nov 2 22:09:52 2004 Initialization complete.
Tue Nov 2 22:09:52 2004 AntiExploit started.
Tue Nov 2 22:09:52 2004 Worker thread woken up.

/var/log dizini altındaki aexpl dosyasına baktığımızda çalışma esnasında herhangi bir sorun olmadığını görüyoruz.

AntiExploiti çalıştırdığınızda sorun meydana gelirse /var/log/aexpl kayıt dosyasında şu şekilde hata masajı görürsünüz.

Tue Nov 2 23:15:55 2004 Could not register with dazuko please verify that dazuko is installed and/or read the README of aexpl
Tue Nov 2 23:15:55 2004 Initialization failed!

Bu hata mesajı dazuko modülünün çekirdeğe eklenmemesi sonucu ortaya çıkar.

Uygulama çalıştırıldıktan sonra belirli aralıklarda kayıt dosyasına bakmakta yarar vardır
(Ayar dosyasında belirttiğiniz e-postanızda exploit dosya yada dosyalarına rastlanıldığında gerekli e-posta alacaksınız).

[root@honeypot /]# cat /var/log/aexpl

Tue Nov 2 22:09:52 2004 Starting initialization.
Tue Nov 2 22:09:52 2004 Exploit database loaded with 4832 entries.
Tue Nov 2 22:09:52 2004 Successfully registered with dazuko.
Tue Nov 2 22:09:52 2004 Initialization complete.
Tue Nov 2 22:09:52 2004 AntiExploit started.
Tue Nov 2 22:09:52 2004 Worker thread woken up.
Tue Nov 2 22:57:41 2004 Found suspious /home/honeypot/sambash-release.c uid(501) gid(501)

Sistemde exploit dosyasına rastlanıldığında kayıt dosyasında çatısı altında dosya adı, dizinle birlikte belirtilir.
Bu kısımda tespit edilen dosya adı yanı sıra bu dosyanın hangi kullanıcıya ait olduğu belirtilir(uid / user id).
AntiExploit, ayar dosyasında belirttiğiniz e-posta adresinize " AntiExploit Report for ..." konulu posta gönderir.
Uygulamanın gönderdiği örnek maili aşağıda görebilirsiniz.

[root@honeypot /]# mail
>N 1 root@honeypot Tue Nov 2 22:59 20/740 " AntiExploit Report for honeypot. "
From root@honeypot.www Tue Nov 2 22:59:02 2004
Date: Tue, 2 Nov 2004 22:57:41 +0200
From: root
To: root@honeypot.www
Subject: AntiExploit Report for honeypot.www

AntiExploit Alert!

File: /home/honeypot/sambash-release.c
User: 501 (honeypot)
Group: 501 (honeypot)

Yazının başında belirttiğim gibi exploit dosyaları exploit.db dosyasındaki tanımlamalarla sınırlıdır.
Bu nedenle devamlı olarak AntiExploit sitesi kontrol edilerek güncel exploit.db dosyası takip edilmelidir.

Tacettin Karadeniz
tacettin[_@_]olympos.org
- Silent All These Years -

__________________________