Ali Can Gönüllü tarafından 2022-08-23 23:11:43 tarihinde yazıldı. Tahmini okunma süresi 2 dakika, 38 saniye.
Çalışmalarım için bağış yapmak isterseniz Patreon hesabımdan bağışta bulunabilirsiniz.
Blog adresinde yazılanlar sadece eğitim amacıyla deneysel olarak hazırlanmıştır. Konu içerisinde geçen yöntemleri kendi oluşturduğunuz test ortamında denemenizi tavsiye ederiz.
Herhangi bir tarih, yer ve/veya mekanda oluşacak zararlardan alicangonullu.org, alicangonullu.org yöneticisi ve/veya konu yazarı mesul değildir.
Merhaba arkadaşlar,
Bu yazımda sizlere sunucunuz hacklendiği zaman BT departmanı olarak sırasıyla izlemeniz gereken adımları anlatacağım. Şimdiden keyifli okumalar.
1) Hacklenen Sunucunun Ağ Bağlantısını Kesin
İlk olarak yapılması gereken adım olan bu adımın amacı SMB, FTP, TFTP ve SFTP gibi potansiyel olarak iç ağınızda açık olan protokollere virüsün kendini kopyalayarak diğer makinelere bulaşmasını engellemektir. Ayrıca güncel zararlı yazılımlar üzerinden iç ağınızda taramalar yapılabilir ve bu taramalar ile bulunan zafiyetler ile diğer makinelere zararlar verilebilir.
2) Snapshot Alın
Bu adımda Snapshot almanız önemlidir. Eğer ki Snapshot alırsanız bir sonraki adimda gelecek olan Siber Güvenlik Ekibi, RAM üzerinden çalışan verileri de gayet rahatlıkla görecek ve bulaşan virüs hakkında daha detaylı veriler elde edecektir. Ardından hacklenen makineyi kapatın. SNAPSHOT ALMADAN MAKİNENİZİ KAPATMAYIN!!! VİRÜSLERİN BULAŞTIĞI NOKTA RAM OLABİLİR.
3) Kişisel Dosyalarınızı Kurtarmaya ÇALIŞMAYIN ve Backup Sunucularınızı Derhal Farklı Bir Ağa Bağlayın
Bu adıma aslında lütfen telaşa kapılmayın gibi bir başlıkta atılabilirdi. Lütfen verilerinizi kurtarmaya çalışmayın. Halihazırda zaten bir yedekleme yazılımı varsa bu verilerin yedeğini alacaktır. Yedekleme yazılımının bulunduğu makineyi de ağdan ayırın çünkü siz müdahale edene kadar farklı bir makine üzerine atlama yapılmış olabilir. Yedekleme yazılımının bulunduğu makinenin Snapshot gibi bir yedek dosyasını alıp derhal ağdan ayırın.
4) Şirketinize Çalışanları Uyarın
Günümüzde saldırıların büyük çoğunluğu Sosyal Mühendislik denilen saldırılardan gerçekleşmektedir. Bu saldırı tipinde kurban herhangi bir çalışanınız olabilir. Tamamen ikna ile yapılan bu saldırıda eğer kullanıcı direkt makinelerin ulaştığı iç ağa ulaşabiliyorsa bu şekilde de hacklenme yaşanmış olabilir. Antivirüslerle tarama yapın ve sonuçları makine adı, Lokal IP adresi ve MAC adresi ile beraber not alın.
5) Şifrelerinizi Değiştirin
Bu adımda şifrelerimizi tamamen sıfırlamamız gerekiyor. Ağınızdaki tüm cihazların şifreleri değiştirin. Yazılım tarafından şifreleriniz alınmış olabilir. Buna kişisel kullanıcıların Instagram ve LinkedIn gibi sosyal medya şifreleri BİLE dahildir.
6) Siber Güvenlik Firmasına Haber Verin
Bu aşamadan sonra artık anlaşmalı olduğunuz kuruma haber verin. Biz Defans Security olarak bu tip hizmetlerde danışmanlık vermekteyiz. http://defanssecurity.com.tr/iletisim.php adresinden bizimle iletişime geçebilirsiniz.
Okuduğunuz için teşekkür ederim!