Merhaba arkadaşlar.
Bugün size, tesadüf eseri Draytek Vigor3900 router’ın loglarını incelerken fark ettiğim saldırılar ve bu saldırılardan yola çıkarak IP adreslerinden hangi lokasyonlardan giriş yapılmaya çalışıldığını anlatmaya çalışacağım.
Ben router’ı lazım olduğu için uzak bağlantıya açmıştım. İlk yaptığım hata da uzak bağlantı için port değiştirmeden (Varsayılan 80 portu) ayarları açtım. Herhangi bir IP’den de erişim sağlamaya izin verdim. Buda ister istemez router’ı açık hedef haline getiriyor. Bazı programlar ile ülke geneli IP tarayıp istenilen IP üzerinden port taramasının ardından denemeler yapılabiliyor. Bu araçlardan en önce aklıma gelen Nmap.( https://nmap.org/ )
Nmap ile ilgili IP adreslerine belirli paremetreler kullanarak tarama yapıp sonuçları istediğiniz gibi gösterebiliyorsunuz. Lakin birçok sunucu (Sıradan modemlerden bahsetmiyorum) bu tarz taramaları fark edebiliyor ve IP adresinizi banlayabiliyor. Bu taramaları yapmak ve diğer faaliyetler içerisinde bulunmak ülkemizde yasal değildir. (Örn. TCK 525/a ve 525/b) Bu konularda lütfen dikkatli olunuz.
Ben logları incelediğim sırada peş peşe belirli IP adreslerinden login denemeleri yapılıyordu. Yalnız router’da 2-3 yanlış denemeden sonra captcha geldiği için hemen farklı bir IP adresi üzerinden denemeler yapılıyordu. Bende ardından bu logları filtreleyip sadece o IP’lerin göründüğü listeyi açıp ve başladım araştırmaya. İşin ilginç yanı hep IP adresi dışarıya açık ve hiçbir şifre mevcut değil. Özellikle Airties modemlerde şifre kısmı boş geçilebiliyor. Türk Telekom’un verdiği modemlerde de önceki Temel Network Eğitimleri (https://www.muhammedpolat.com.tr/temel-network-internet-ag-egitimleri-1/) serisinde bahsettiğim üzere kullanıcı adı admin şifre ttnet yada turktelekom yada ttgalaksi olduğu için yine kolaylıkla aşılabiliyor.
Bu video’yu çekmemin nedeni hem kendi router’larımız için gerekli tedbirleri almak, benim yaptığım hataları yapmamak, (Port numarasını tahmin edilemeyecek bir numara ve güçlü parola) aynı şekilde sizlerinde modem arayüzlerinden ulaşılabilecek bilgileri engellemektir. Modemlerimizi uzaktan bağlantıya açacağımız zaman dikkatli olmamız gerekir. Dışarıdan birçok kişi bu modemlere sızmaya çalışacaktır. Her ne kadar ZeroDay’de açıklar paylaşılıyor olsa da birçok açık sömürülmek üzere saklı kalır ve paylaşılmaz bunun için elimizden geldiğince kendi tedbirlerimizi almak zorundayız.
Arkadaşlar, basit bir modeme de sahip olsanız birçok marka kendi içerisinde kendine göre loglamalar yapar. Modemlerimiz de kullanmadığımız portları kapatmaya (Özellikle TR-069 Protokolünü kapatmakla başlayabilirsiniz.) özen gösterelim. Dışarı ile bağlantı kuran cihazlar bilhassa DVR gibi kamera kayıt cihazları ve yazıcılara dikkat edelim. Bu cihazlar içeriye sızmak için en kolay açık kapılardır. Bu konuyla ilgili şu video’yu muhakkak tavsiye ediyorum:
Velhasılıkelam, zamanla vaktim oldukça bu alanlarda içerik üretmeye çalışacağım. Bu ve diğer videolar önceden çekmiş olduğum videolar. Onun için video içeriğinde ki IP adresleri çoktan değişmiş ve başka modemlere verilmiştir. Sizden ricam bu ve diğer konularda videolar, yazılar hakkında iyi veya kötü yorumlarınızı esirgemeyiniz.
İlgili video:
17.01.2020
Muhammed POLAT