Bilgisayarının Hacklendiğini Anlama Yolları..
1. Bilgisayarınızı açtığınızda karşılaştığınız mesajlar. Etraftaki birinin size şaka yapmadığından eminseniz ve bilgisayarınızı açtığınızda "Bilgisayarınız hack edilmiştir" tarzı bir mesajla karşılaşıyorsanız, bu mesajı kimin bıraktığı açıktır.
2. Harddiskten gelen alışılmadık sesler. Internete bağlı olduğunuz süre zarfında, siz birşey yapmamanıza rağmen harddiskinizden birşey yükleniyormuş gibi sürekli olarak gelen sesler, bir hackerın o sırada harddiskinizdeki bazı dosyaları karıştırdığına gösterge olabilir. Tabii burada bir internet sayfası açarken, karşıdan dosya yüklerken veya bir program bir dosyayı açarken gelen doğal seslerden bahsetmiyorum; bilgisayarını uzun süre kullananlar bu doğal sesleri zaten tanırlar.
3. Disket sürücüsünün çıkarttığı sesler. O anda kullandığınız hiçbir program disket sürücüsüne ulaşmaya çalışmamasına rağmen disket sürücüsü içinde bir disket varmış gibi sesler çıkartıyorsa, bu PC'nize sızmış bir hackerın sürücüde disket aradığını gösterebilir.
4. CD-ROM sürücünüzün açılıp kapanması. Bu, hackerların en sık yaptığı "Espri"lerden biridir. Siz fiziksel olarak veya bir program aracılığıyla hiçbir müdahele yapmamış olmanıza rağmen CD-ROMunuz açılıp kapanıyorsa, muhtemelen bir hacker size "şaka" yapıyordur. Gülümseyin!!!
5. Kendi kendine kaybolan dosyalar. Bir takım özel dosyalarınız esrarengiz şekilde kaybolduysa ve onları Geri Dönüşüm Kutusu'nda bile bulamıyorsanız, bir hackerın kötü niyetinin kurbanı olduğunuzdan şüphelenebilirsiniz. Tabii bir hackera suç atmadan önce kendinize sormanız gereken bazı sorular var. Bilgisayarınızı en son kapattığınızda Windows'unuzu normal şekilde mi "Shutdown" ettiniz? Çok sık olmasa da, Windows'un alışılmadık şekilde kapanması bazı dosyalara (veya FAT'lara) zarar verebiliyor. Bilgisayarı en son kapatmanızdan önce hiçbir program hata mesajı verdi mi? Hata mesajı vererek kapanan programlar, kendileriyle ilgili dosyalara zarar vermiş veya onları silmiş olabilirler. Mesela Word'ünüz alışılmadık hata mesajlarıyla kapanmışsa ve bilgisayarı tekrar açtığınızda üzerinde en son çalıştığınız .doc dosyalarını bulamıyorsanız, bunun suçlusu Word olabilir. Bilgisayarı ortak kullandığınız kişiler kaybolan dosyaları silmiş olabilirler mi? Eski sürümlü bir program yüklemeyi denediniz mi? Bilgisayarınıza yükleyeceğiniz eski versiyonlu bir program, kendi eski sistem dosyalarını sizinkilerin üzerine kopyalayabilir. Bu durumda daha yeni versiyonlu programlar eski sistem dosyalarıyla çalışamayacaklardır ve size bazı sistem dosyalarının eksik olduğuna dair mesaj verebilirler. Bu da bir hackerın değil, eski sürümlü programınızın suçudur. Sisteminizden paylaşımlı sistem dosyaları kullanan bir programı tamamen kaldırdınız mı? Programların ortak kullandıkları sistem dosyaları vardır. "Program Ekle/Kaldır"ı kullanırken , silmek istediğiniz programın diğer programlarla ortak kullandığı sistem dosyalarını da silmiş olabilirsiniz. Bilgisayarınız paylaşılan bir sistem dosyasını silmeden önce bu konuda sizden onay alır; sözkonusu sistem dosyasının silinmesini onaylamışsanız ve onu kullanan başka programlar "Sistem dosyası bulunamadı" hatasını veriyorsa, bunun suçlusu bir hacker değildir.
Bilgisayarınızda o anda davetsiz bir misafirin gezindiğini anladığınızda, yapmanız gereken ilk şey internet bağlantınızı kesmektir. Eğer internette önemli bir işiniz olduğu için bağlantınızı bir hackerın hedefi olduğunuzdan tamamen emin olmadan kesmek istemiyorsanız, şu yolu izleyin.
1. BAŞLAT-->PROGRAMLAR menüsünden MS-DOS Komut İstemi penceresini açın. 2. MS-DOS Komut İstemi penceresinde netstat -a yazın. Bu, bilgisayarınızın o anda hangi IP adresinlerine hangi portlardan bağlı olduğunu gösterir. Eğer doğal olarak bağlı olduğunuz yerlerin dışında (mesela IRC serverları, ICQ serverı, DCC Chat-ICQ Chat bağlantıları, WEB siteleri, FTP serverları, vs.) başka bağlantılara rastlamazsanız, korkacak birşey yoktur.
Peki, netstat komutuyla rastladığımız bir bağlantının doğal olup olmadığını nasıl anlayacağız?
1. Öncelikle bağlantıların portlarını gözden geçirin. İnternet üzerinde en çok kullanılan protokoller ve kullandıkları portlar şunlardır: 80 http (WEB sayfalarına bağlanmak için kullanılan port) 21 ftp (FTP serverlarına bağlanmak için kullanılan port) 23 telnet (Telnet ile başka sistemlere bağlanmak için kullanılan port) 25 mailto (E-mail atmak için kullanılan port) 110 POP3 (E-mail almak için kullanılan port) 6660-7000 IRC (IRC serverlarına bağlanmak için kullanılan genel portlar) 4000 ICQ (ICQ, servera ilk bağlantısında bu portu kullanır) 1000-1080 ICQ (ICQ, servera bağlandıktan sonra bu portlardan birini kullanır) PC'niz bir proxy, yerel ağ, vs. üzerinde yer almıyorsa veya bu tür ağlar için kullanılan programlardan birini çalıştırmıyorsa, bu portlarda gözüken bağlantılarda genelde tehlikeli bir durum sözkonusu değildir. Ancak hackerların sık sık kullandıkları portlardan birinden yapılmış bir bağlantınız varsa (456, 31337, 12345,30303 gibi), davetsiz bir misafirinizin olma ihtimali çok yüksektir.
2. Tehlikeli bir port gözükmemesine rağmen bir bağlantıdan şüphelenirseniz, şüphelendiğiniz bağlantının karşısında yazan IP adresini bir yere not alın. Sözkonusu IP adresinin 194.242.74.130 olduğunu farz edersek, mIRC üzerinden bir IRC serverına bağlıyken /dns 194.242.74.130 komutunu kullanmanız gerekir. Bu komut, size o adresin açılımını verecektir (mesela dialup03.fornet.tr, hotmail.com, microsoft.com, vs.). Eğer adresin açılımı o anda bağlı olduğunuz bir IRC, ICQ, WEB, FTP, vs. serverı ise herşey yolundadır. Ancak bir İSS (İnternet Servis Sağlayıcısı) ismi içeren bir adresle karşılaşırsanız, bu internet üzerinde bulunan başka bir PC ile bağlantı halinde olduğunuz anlamına gelir (Eğer o anda bir arkadaşınızla dosya transferi yapıyorsanız, mIRC içinde aktif DCC Chat pencereniz varsa veya ICQ Chat tarzı bir sohbet ortamındaysanız, bu bağlantının olması doğaldır). Bu durumda, o IP adresinin sahibini tespit etmelisiniz. Eğer şüphelendiğiniz kişi ICQ'da Online ise, ICQ listesinde o kişinin nickinin üzerine tıkladığınızda açılan menüde INFO komutunu seçin, bu size o kişinin IP adresini verir. mIRC'de ise, /dns NICKNAME komutunu kullanarak şüphelendiğiniz kişilerin IP adresini öğrenebilirsiniz. Eğer mIRC'de şüphelendiğiniz belli biri yoksa, sadece IP adresinin sahibinin o anda sizin bulunduğunuz IRC serverında olup olmadığını görmek istiyorsanız, /who 194.242.74.130 /who dialup03.fornet.tr komutlarını kullanarak STATUS başlıklı pencerenizi izleyin (tabii buradaki IP adresi ve açılımı sadece örnek, siz netstat penceresinde gördüğünüz IP adresini ve açılımını kullanmalısınız). Aradığınız IP adresinin sahibi ile aynı IRC serverındaysanız, mIRC bunu size söyleyecektir. PC'nizle bağlantı kurmuş kişiyi tespit ettikten sonrası size kalmış. Onunla konuşabilirsiniz, konuşmadan bağlantınızı kesebilirsiniz, ya da bağlantılarınızda neden onun adresinin gözüktüğünü sorabilirsiniz (belki de sadece Ident'inize bakan iyi niyetli biridir).
PC'nizin hack edildiğinden eminseniz, bağlantınızı kestikten sonra hack edildiğiniz açığı kapatmadan Chat ortamına yeniden girmemenizi öneriyorum. Mutlaka girmeniz gerekiyorsa da, bütün kimlik bilgilerinizi değiştirmeyi ihmal etmeyin (Bunu daha ilerideki yazılarımdan birinde daha ayrıntılı olarak anlatacağım).
Standart bir Windows 95 kullanıcıysanız, IRC hackerları PC'nize sızmak için genelde iki açık ararlar: Dosya Paylaşımı ve Trojan. Öncelikle, sisteminizde bunlardan hangisinin yer aldığını bulmanız gerekir.
Dosya paylaşımınızın açık olup olmadığını görmek için, BAŞLAT-->AYARLAR-->DENETİM MASASI-->AĞ menüsünü açın. Açılan ekranda "Dosya ve Yazıcı Paylaşımı" yazan ikona basın ve karşınıza çıkacak menüdeki iki kutucuğun boş olduğundan emin olun. Eğer kutucuklar dolu ise, bu başkalarına erişim hakkı verdiğinizi gösterir. Dolu kutucukları boşalttıktan sonra, PC'niz Windows 95 CD'nizi bazı sistem dosyalarını yüklemek üzere isteyebilir (DİKKAT: Eğer ağ, proxy, vb. gibi bir sistem üzerindeyseniz, "Dosya Paylaşımı"nın açık olması gerekiyor olabilir. Bu durumda sistem yöneticinizle konuşun).
Sisteminizde trojan aramak ise biraz daha uzun bir işlemdir. Öncelikle BAŞLAT-->BUL-->DOSYALAR VEYA KLASÖRLER menüsüne girin. AD kutucuğuna *.exe yazın, KONUM kutucuğuna ise harddisklerinizin isimlerini yazarak hepsini aratmalısınız. Tek harddiskiniz varsa KONUM kutucuğuna c: yazarak; iki harddiskiniz varsa önce c: sonra d: yazarak aratmanız gerekir.
Aramanın sonucu olarak karşınıza birçok .exe dosyası çıkacaktır. Bu konumda, dosyaların başlarında yer alan ikonlara dikkat etmelisiniz. Trojanlar genelde iki ikonla kendilerini belli ederler: 1. Meşale ikonu. Mavi bir daire üzerinde yer alan eğri bir meşale ikonu görürseniz, bu ikonun sahibi çok yüksek ihtimalle bir trojandır. 2. Boş ikon. Eğer bir .exe dosyasının ikonu yoksa, bu da muhtemelen Back Orifice trojanıdır.
Eğer sisteminizde trojan bulamazsanız, IRC hackerlarının çok yüksek bir yüzdesinden korkmanıza gerek yok demektir. Çünkü çoğu sistemi bilmeden, sadece ellerine geçen 1-2 programda mouse klikleyip sisteminizde hakimiyet kurarak egolarını tatmin eden kişilerdir. Trojanı veya dosya paylaşım açığı olmayan bir Windows 95 makinasına sızmak, bu kişiler için mümkün değildir.
PC'nizde meşale ikonlu bir trojana rastlarsanız, bu NetBus veya Hackers Paradise türü tek port kullanan bir programa ait demektir. Bulduğunuz trojan dosyasının isminin PATCH.EXE olduğunu farz edersek, ondan kurtulmak için şu yolu izlemelisiniz.
1. Öncelikle Patch.exe 'yi ve diğer bütün meşale ikonlu dosyaları silin. 2. BAŞLAT-->AYARLAR-->GÖREV ÇUBUĞU-->BAŞLAT MENÜSÜ PROGRAMLARI-->GELİŞMİŞ menüsünü açın. Açılan pencerede PROGRAMLAR-->BAŞLANGIÇ ve PROGRAMLAR-->STARTUP klasörlerinde meşale ikonlu herhangi bir kısayol olup olmadığına bakın; varsa hemen silin. 3. BAŞLAT-->ÇALIŞTIR menüsüne girerek regedit yazın ve TAMAM ikonunu klikleyin. Açılan pencerede DÜZEN-->BUL menüsüne girerek Anahtarlar, Veriler ve Değerler kutucuklarının işaretli olduğundan emin olduktan sonra ARANAN: kısmına Patch.exe yazarak Sonrakini Bul ikonuna basın. Registrynizde her bulacağınız Patch.exe dosyasını silin, ve sildikten sonra F3 tuşuna basarak aramaya devam edin. Windows "Kayıt İçinde Arama Tamamlandı" mesajını verdiğinde, bütün Patch.exe verilerini sildiğinizden eminseniz Registry Editor pencerenizi kapatın. 4. BAŞLAT-->ÇALIŞTIR menüsüne girerek c:windowssystemsysedit.exe yazın. Açılan pencerelerin hiçbirinin Patch.exe ile ilgili kayıt içermediğinden emin olun, olan kayıtları da sildikten sonra DOSYA-->KAYDET ikonunu tıklayın.
Bunları yaptıktan sonra trojandan kurtulmuş olmalısınız. Tabii trojan dosyasının ismi herhangi birşey olabilir, Patch.exe 'yi yalnızca örnek olsun diye verdim.
Konu
Konuyu Okuyanlar: 1 Ziyaretçi