Brute force ataklar sistem kaynaklarınızı tüketen ve atağın başarılı olması durumunda veri kaybı, itibarınızın zarar görmesi v.b. gibi bir çok farklı probleme neden olabilen bir saldırı türüdür. Bu tip atakların başarılı olma oranı genellikle hedefin şifre belirleme politikası ile ilişkilidir.
Bu nedenle brute force atakların dikkatli bir şekilde takip edilmesi ve gerekli önlemlerin alınması gerekir. Brute force ataklarda en önemli nokta güvenli şifredir, güvenli şifrere de keypass, safe pass gibi yazılımlar tarafından otomatik olarak oluşturulan 8-~ karakterden oluşan şifreler olmalıdır, bu şekilde olması durumunda brute force ataklar sistem kaynağı tüketmenin ötesine geçemeyecektir.
Peki bu brute force atakları nasıl tespit edebiliriz?
Brute force atakları kesin ve net olarak log larınızı takip ederek yakalayabilirsiniz. Bu yazımızda file zilla server için brute force atak incelemesi gerçekleştireceğiz.
Öncelikli olarak file zilla ftp serverımızda kontrol etmemiz gereken nokta, file zilla nın log tutup tumadığıdır, default kurulum ile bırakmanız durumunda file zilla ftp server log tutmayacaktır.
File zilla nın log tutup tutmadığını kontrol etmek istiyorsanız aşağıdaki adımları inceleyebilirsiniz;
1-Edit>Settings
2-Sol menü den Logging
Gördüğünüz gibi default kurulumda log tutulmuyor, Log lamayı aktif duruma getirmemiz durumunda, ister log dosyası boyutuan göre, istersek de geçmiş gün sayısına göre log tutlmasını sağlayabiliriz. Brute force ataklarda dosya boyutu çok hızlı bir şekilde yükselir, bu nede diskiniz müsait ise gün bazlı log tutmakta fayda var ancak disk boyutunuz müsait değilse dosya boyutu belirtebilirsiniz. Log tutma işlemin aktif edelim.
Bu işlemi tamalamanızın durumunda log tutulmaya başlanıyor, log dosyası ise;
C:\Program Files (x86)\FileZilla Server\Logs path de tutulmaktadır.
Şimdi işlem sırası log dosyasının incelenmesinde, log dosyamızı boyutuna bağlı olarak notepad++ ile veya gvim gibi bir editör ile loglarınızı inceleyebilirsiniz, notepad++ da açtığınızı var sayıyorum,
Log dosyası içersinde tırnak içindeki cümleyi arıyoruz “530 Login or password incorrect!” aramada işlemini aşağıdaki şekilde yapamızda fayda var.
Ctrl+F ile arama penceresini açarak aranacak cümleyi arama kısmına yazarak “Tümünü Şu Anki Belgede Bul” butonuna tıklıyoruz.
Arama işleminin hemen ardından Find result diye bir bölüm açılacak alt bölümde, resim deki find result bölümüne bakarsanız size 530 Login or password incorrect! Cümlesi geçen satırları listelemekte. Listelenen satırlara göz attığınızda dikkat etmeniz gerelen değerler saat ve ip adresi dir.(Öncelikli kıstasınız saat olmalıdır, aynı dakikalar da sürekli 530 cevabı dönmüş mü? bazı durumlarda botnet ağlarından brute force atak gelebilmekte ve bu durumda ip ler değişiklik göstermektedir.) Örnek log incelemesinde gördüğünüz gibi 09:06 da aynı saniylerde aynı ip den defalarca kez istek gelmiş, bu demek oluyor ki bu ip adresi size brute force atak yapmaktadır. Bu ip adresini isterseniz file zilla üzerinden, isterseniz windows firewall üzerinden isterseniz de donanımsal bir firewall cihazından engelleyebilirsiniz.
File Zilla nın auto ban özelliğini aktif ederek brute force ataklarından korunabilirsiniz.
İp yi tespit ettikten sonra log dosyasından ip adresi bazlı aramalar yaparak bu kişi brute force atak ile başarılı olabilmiş mi, olamamış mı bunu kontrol edebiliriz. Bu kontrolü şu şekilde yapabilirsiniz,
Yukarıda belirtmiş olduğum şekilde ip bazlı arama yaptığınızda find result bölümünde bu ip adresinin yapmış olduğu tüm işlemleri görebilirsiniz. Bu aramada gördüğünüz gibi 09.50:52 de test userı ile bu ip ftp ye login olmuş, yani brute force atak başarılı olmuş.
Loglarınızı düzenli olarak takip ederek gelen tehlikleri önceden görebilirsiniz…
