Olympos Security

merhaba arkadaşlar bügün öğlen müşterime ait siteye bir saldırı düzenlendi.. saldırı gerçekleşme şekli ziyaretçi sayısının artması ile oluştu..smf forumda 5 ziyaretçi varken birden bu sayı yükseldi ve 30 ziyaretçiyi buldu giderek artmaya başladı.. forumdan admin girişi yaparak ip numaralarını kontrol ettim bütün ipler francisco dan bağlanıyor gibi gözüküyordu.. forumu ziyaretçilere kapattım daha sonra yavaş yavaş bu sayı düştü.. geçe aynı yerden bir ip adresin tekrar bağlandığını farkettim.. birileri birşeyler yapma cabasında... acaba netür bir saldırı gerçekleşmiştir.. ve bu aralar araştırdım mk portal ve smf forum açıkları bulamadım.. site 1 aydır yayında.. mk portal ve smf forumda bir acık varmı acaba..

Merhaba,

Siteye bağlanan bir arama motorunun (ro)bot'u da olabilir. İçeriği veritabanına yükleyerek arama sonuçlarında çıkması için bağlanmış olabilir.
Saldırı olup olmadığını anlamak için LOG dosyalarına bir göz atabilirsin. Hangi sayfalara hangi parametrelerle bağlantı kurmuş bakmak gerekiyor. Belki log'lardan saldırımı yoksa normal web isteklerimi görülebilir (HTTP GET metodları ile yapılanlar).

mkportal'ın 2006 dan beri bir açığı yok gibi ama smf'nin en son 12 şubat 2008 de tespit edilen bir açığı var. Bu açık da smf'ye eğer shoutbox eklentisini eklemişseniz olabilir. Açıktan yararlanabilmesi için siteye login olmuş olması gerekiyor ve belirli bir kullanıcıyı hedeflemesi gerekiyor.
http://secunia.com/advisories/28900/

Bunun dışında, bazı sitelerin açıklarından yararlanarak otomatik olarak yayılmaya çalışan worm/kurtçuk adı verilen zararlı yazılımlardan kaynaklanan bir aktivite de olabilir. Bunlarda arada sırada bu şekilde trafik yaratabiliyorlar. Sitenizde, açığın olduğu yazılım kullanılmasa da deniyorlar, otomatik olarak. Bu tip bir aktivite de olabilir.

IP adresinin hangi firmaya kayıtlı olduğunu da kontrol edin. IP ile bilgileri buraya yazarsanız bir göz atabiliriz. Logları incelemeyi unutmayın.

kolay gelsin