Zoque.Forum - View Single Post

mow · 30.04.2007

mynet'e ait yetkili DNS sunucuları "Açık DNS Sunucuları"dır (Open DNS), normal şartlarda bir veya birden fazla alan adı için yetkili olan DNS sunucuları açık olmazlar, üç temel sebebi vardır;

1) DNS sunucuları herkese hizmet edecek şekilde olduğu için belli bir yavaşlama yaşanır.
2) Bir saldırgan (amplification) denilen metodu açık DNS sunucusunu kullanarak , X bytelık bir paketi 5000X kadar büyütüp başka bir makinaya gönderebilir, yani en basitinden dial-up kullanarak mynet üzerinden zoque nun sunucusuna aşırı yüklenilebilir.
3) Yetkili bir DNS sunucusu eğer çoklu tarama yapıyor ise (açıksa), önbellek zehirlemesi (cache poisoning) yapılabilir.

mynet.com 3. madde nedeni ile hacklendi, saldırgan mynetin DNS sunucularında mynet.com'a ait ip bilgilerini değiştirdi, bu sunucu mynet.com için yetkili olduğundan gelen sorguları kendi kendine saldırganın ip sine iletti ve saldırgan mynet.com'un whois bilgilerindeki "admin" e-postasını kendi bilgisayarına yönlendirmiş oldu, daha sonra domain firmasının sitesinden şifremi unuttuma tıkladı (sanırım) ve bu şifreye ulaştı. Yani saldırgan bu domainin kontrolünü tamamen ele geçirmiş oldu. Fakat görüyoruzki geri vermiş, sanırım korkmuş

normalde ordan oraya transferlerle bu iş ancak mahkemede ve uzun bir süre sonra düzelebilirdi. Bu da saldırganın fiilen Türkiye'de bulunduğunu, tırstığını ve her zamanki gibi uyuzluktan başka amacı olmadığını gösteriyor.

Bu kapalı kalma süresi zarfında @mynet.com uzantılı herhangi bir adrese giden herhangi bir e-posta adresi ya yok oldu ya da saldırgan bunları kayıt altına aldı, yani belki birilerinin önemli maillleri saldırganın elinde. Ancak tabiki şifreleriniz veya daha önceden gelmiş posta kutunuzda duran mailleriniz -özellikle ele alınmadıysa- güvende.

kendi sunucunuzun açık DNS sunucusu olup olmadığını öğrenmek için http://www.dnsreport.com/ adresini ziyaret edebilirsiniz, mynet.com un yetkili DNS sunucusu hala AÇIK görünmekte yani hala bu şey tekrarlanabilir gözüküyor. Sanırım "Microsoft DNS" yazılımını kullanıyorlar ve dışarıdan sorgu kabul etmek zorunda oldukları bir sistemleri var, bu nedenle açık durumdaki sunucuyu kapatamıyorlar.

30.04.2007	#15 (permalink)
mow Üyelik Tarihi: 28.03.2003 Yer: İzmir Yaş: 26 Mesaj: 784	Re: mynet hacklenmiş mynet'e ait yetkili DNS sunucuları "Açık DNS Sunucuları"dır (Open DNS), normal şartlarda bir veya birden fazla alan adı için yetkili olan DNS sunucuları açık olmazlar, üç temel sebebi vardır; 1) DNS sunucuları herkese hizmet edecek şekilde olduğu için belli bir yavaşlama yaşanır. 2) Bir saldırgan (amplification) denilen metodu açık DNS sunucusunu kullanarak , X bytelık bir paketi 5000X kadar büyütüp başka bir makinaya gönderebilir, yani en basitinden dial-up kullanarak mynet üzerinden zoque nun sunucusuna aşırı yüklenilebilir. 3) Yetkili bir DNS sunucusu eğer çoklu tarama yapıyor ise (açıksa), önbellek zehirlemesi (cache poisoning) yapılabilir. mynet.com 3. madde nedeni ile hacklendi, saldırgan mynetin DNS sunucularında mynet.com'a ait ip bilgilerini değiştirdi, bu sunucu mynet.com için yetkili olduğundan gelen sorguları kendi kendine saldırganın ip sine iletti ve saldırgan mynet.com'un whois bilgilerindeki "admin" e-postasını kendi bilgisayarına yönlendirmiş oldu, daha sonra domain firmasının sitesinden şifremi unuttuma tıkladı (sanırım) ve bu şifreye ulaştı. Yani saldırgan bu domainin kontrolünü tamamen ele geçirmiş oldu. Fakat görüyoruzki geri vermiş, sanırım korkmuş normalde ordan oraya transferlerle bu iş ancak mahkemede ve uzun bir süre sonra düzelebilirdi. Bu da saldırganın fiilen Türkiye'de bulunduğunu, tırstığını ve her zamanki gibi uyuzluktan başka amacı olmadığını gösteriyor. Bu kapalı kalma süresi zarfında @mynet.com uzantılı herhangi bir adrese giden herhangi bir e-posta adresi ya yok oldu ya da saldırgan bunları kayıt altına aldı, yani belki birilerinin önemli maillleri saldırganın elinde. Ancak tabiki şifreleriniz veya daha önceden gelmiş posta kutunuzda duran mailleriniz -özellikle ele alınmadıysa- güvende. kendi sunucunuzun açık DNS sunucusu olup olmadığını öğrenmek için http://www.dnsreport.com/ adresini ziyaret edebilirsiniz, mynet.com un yetkili DNS sunucusu hala AÇIK görünmekte yani hala bu şey tekrarlanabilir gözüküyor. Sanırım "Microsoft DNS" yazılımını kullanıyorlar ve dışarıdan sorgu kabul etmek zorunda oldukları bir sistemleri var, bu nedenle açık durumdaki sunucuyu kapatamıyorlar. __________________ #siberarena.com \| tournament.online

Sponsorlu Bağlantılar
Zoque.Forum Advertisement