bilgi bankası
bilgi bankası
Maldet uygulaması Linux için malware algılama yazılımıdır. Ücretsiz olan bu yazılım Linux için kötü amaçlı yazılımları sunucunuzda tespit etmenize olanak sağlar. R-fx Networks tarafından yazılmış olan Linux Malware Detect yazılımı ile ilgili daha detaylı bilgilere http://www.rfxn.com/projects/linux-malware-detect/ adresinden ulaşabilirsiniz.Lafı fazla uzatmadan programın kurulumu ve kullanımı ile alakalı sizlere bilgi vermek istiyorum.
Kurulum için aşağıdaki komutları çalıştırmanız yeterlidir.
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar zxvf maldetect-current.tar.gz
cd maldetect-*
sh install.sh
Kurulum bu komutlarla sorunsuz tamamlandıktan sonra yazılımın kullanımı ile ilgili örneklere geçmeden önce bir uyarıda bulunmak gerekir. Linux Malware Detect, kısa adı ile maldet tarama işlemi yaparken sabit diskinizde oldukça fazla I/O tüketmektedir. Yavaş veya yoğun işlem olan sabit disklerde işlem yaparken sisteminizde ciddi performans sorunları oluşturabilir.
maldet –help tüm maldet parametrelerini ekrana basacaktır.
Hack edilmiş veya backdoor bulaşmış bir web sitesini taramak için örnek komut uygulaması yapalım. cPanel bir sunucuda netinternet.com.tr örnek alan adının cPanel kullanıcısı netinter ise;
maldet -a /home/netinter/public_html
komutu ile ilgili web sayfasının dosyalarında malware taraması başlatabilirsiniz.Tarama işlemine başladığınızda maldet size dosya sayısını göstermektedir.
maldet(9174): {scan} 653⁄14045 files scanned: 0 hits 0 cleaned
İşlem devam ederken alınmış bu örnekte 14045 adet dosya içerisinde henüz 653 dosyanın tarandığını görebilirsiniz. Bulunan zararlı bir içerik varsa hits, temizlenen içerik varsa cleaned kısmında ayrıca görüntülenecektir.
Bu işlemin sonucunda yine tarama bitince maldet raporlama ve temizleme için size kodları ekrana basacaktır. Bununla ilgili örnekler alt kısımda yer almaktadır.
maldet(9174): {scan} scan completed on /root/: files 14045, malware hits 1, cleaned hits
Yukarıdaki satırdan çıkartacağımız anlam 1 adet zararlı içeriğin tespit edildiğidir.
maldet(9709): {scan} scan report saved, to view run: maldet –report 081513-2051.9709
Yukarıdaki satırdan çıkartacağımız anlam, zararlı içerik ile ilgili rapor, isim ve diğer bilgileri görmek için konsolumuza maldet –report 081513-2051.9709 komutunu yazmamız gerektiğidir. Bu komut da yer alan rakamsal değer her taramada sistem tarafından otomatik olarak üretilmektedir.
maldet(9709): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 081513-2051.9709
Yukarıdaki satırdan çıkartmamız gereken anlam ise raporda yer alan tüm dosyaları temizlemek veya silmek yada karantina altına almak için maldet -q 081513-2051.9709 komutunu konsoldan çalıştırmamız gerektiğidir.
Bu örnek anlatımdan sonra bazı ayarlar ile ilgili de sizlere maldet hakkında bilgi vereceğiz.
maldet –report list
komutu daha önce yapmış olduğunuz tarama işlemlerini ekrana basar.
maldet –monitor
komutu sürekli olarak tarama işlemi yapar (Ör: maldet –monitor /home sürekli olarak /home dizinine yüklenen dosyaları tarar kapatmak için maldet -k komutunu kullanmanız yeterlidir bu işlem background da çalışmaya devam edeceğinden yavaş veya yoğun sabit disklerde çok ciddi performans sorunları oluşturabilir.)
maldet -a /home/?/public_html
komutunda kullanılan soru işareti yıldız yerine geçmekte ve /home klasörü içerisindeki tüm klasörlerin içerisinde bulunan public_html klasörlerini taramanıza olanak sağlamaktadır. Bu sayede daha az dosyayı daha hızlı tarayarak tüm sunucunuzda malware taraması yapmış olacaksınız.
maldet -b : Uzun sürecek tarama işlemlerini background da gerçekleştirir. Böylece tarama başlatıp SSH bağlantısını kapatabilirsiniz. (Ör: maldet -b -a /home/)
maldet -u : Maldet virüs veri tabanını güncelleştirecektir.
maldet -r : Sadece belirli bir gündeki eklenen değişen dosyaları taramaktadır (Ör: maldet -r /home/?/public_html 2 komutu 2 günlük dosyaları taramaktadır.)
maldet –restore : Temizlenen veya karantinaya alınan dosyaları geri yükler. Virüs temizlerken yazılımlarınıza zarar vermesi durumunda tarama numarası ile restore yapılır (Ör: maldet –restore 081513-2051.9709)
maldet -p : Tüm karantinaya alınan dosyaları, logları ve açık oturumları siler.
Maldet yazılımını kendinize göre özelleştirmek için conf dosyasını açarak içerisindeki bilgileri de düzenlemeniz mümkündür.
nano -w /usr/local/maldetect/conf.maldet
nano editörü ile yukarıda yazan dizini ve komutu olduğu gibi konsola yazarsanız maldet conf dosyasını editleyebilirsiniz.Maldet konfigürasyon dosyasını editlerken monitor olarakçalıştırdığınızda bulduğu virüsleri size e-posta göndermesini, otomatik karantinaya almasını, tarama ile ilgili olarak işlem detaylarını değiştirmenize olanak sağlamaktadır.
cPanel sunucular üzerinde çalıştırılan maldet yazılımında dilerseniz konfigürasyon dosyasındaki quar_susp değerini 1 yaparak virüs bulunan hesapların otomatik olarak suspend edilmesinide sağlayabilirsiniz.
Müşteri Panelimize mail adreimize gelen bilgile ile giriş yapıyoruz,
Sol bölümdeki sekmelerden Hizmetler - Tüm Hizmetler sekmesine tıklayıp hizmetlerimizi listeliyoruz,
Şifresini değiştirmek istediğimiz Hizmetin Detaylarını görüntüle sekmesine tıklıyoruz,
Bu bölümden Şifremizi değiştirebiliriz,
Bir önceki sekmeden Panelimize cPanel / Plesk Panel giriş yapabiliriz,
Birçok kontrol paneli üzerinde mysql yedeğinizi alabilmeniz için gerekli araçlar bulunmaktadır ve mysql yedeği almak oldukça basittir.Bu yazımızda mysql yedeğinimizi komut ile nasıl alırız bunun hakkında sizlere bilgi vereceğiz.
cPanel’de mysql veri tabanları /var/lib/mysql dizini içerisinde bulunmaktadır.Herhangi bir sitenin yedeğini alabilmek için öncelikle bu dizine giriş yapmanız gerekir.Öncelikle aşağıdaki komutlar ile veri tabanlarının bulunduğu dizine giriş yapıyoruz.
cd /var/lib/mysql
ll
Komut ile mysql yedeği alabilmek için sunucunun mysql şifresine ihtiyacınız olacaktır.Bu şifreyi de aşağıdaki komut ile ekrana basıyoruz.
cat /root/.my.cnf
Şifremizi ekrana bastıktan sonra artık mysql yedeğimizi alabiliriz.Bu işlem için aşağıdaki komutu uygulamanız gerekir.
mysqldump -u root -p veritabanı > yedek.sql
Komutu çalıştırdığınızda sizden şifre isteyecektir.Ekrana basmış olduğumuz mysql şifresini kopyalayıp yapıştırdıktan sonra Enter tuşu ile onay veriyoruz.Onay verdikten sonra işlem yapmaya başlayacaktır ve komut satırı pasif hale gelecektir.Mysql yedeği aldıktan sonra tekrar komut satırı aktif olacaktır.İşlem tamamlandıktan sonra tekrar ll komutu ile içerikleri listeleyebilir ve yedek.sql olarak almış olduğunuz yedeği görebilirsiniz.
Elinizde daha önce alınan bir mysql yedeği var ise ve bu mysql yedeğini import etmek istiyorsanız aşağıdaki komutları kullanmanız gerekir.Yedek restore işlemi sırasında da sunucu mysql şifresi gerektiği için yine öncelikle şifremizi ekrana basıp daha sonra işlem yapıyoruz.
cat /root/.my.cnf
Şifre Ekranda
mysql -u root -p veritabanı < yedek.sql
Komutu uyguladıktan sonra yine şifremizi girip Enter tuşu ile onaylıyoruz ve işlemin bitmesini bekliyoruz.İşlem tamamlandıktan sonra veri tabanı import edilmiş olacaktır.
Nameserver (NS), alan adınızın sorgulanmasında kullanılan, sitenizin hangi sunucuda çalışacağına karar veren isim sunucularıdır. Hosting firması tarafından size verilen nameserver adreslerine alan adınızı aldığınız firmadan yönlendirme işleminizi yaptığınızda, alan adı Nameserver (NS) adresleri hangi sunucuyu gösteriyor ise siteniz o sunucu üzerinden çalışacaktır. Nameserver (NS) adresleri karşılarındaki IP adreslerine göre sorgulama yapar ve o ip adresi hangi sunucu ise o sunucuyu bulur.
Örneğin; aynı alan adınız için birden fazla sunucuyu yazılım kurulumu yapabilirsiniz. Ancak sizin alan adınızın ns adresleri hangi sunucuyu gösteriyor ise siteniz o sunucudan çalışır.Diğer sunucudaki verilerin herhangi bir hükmü bulunmaz.
Firmamızdan alacağınız hosting ya da reseller hizmetlerinde alan adı sunucularınızı aşağıdaki şekilde yönlendirmelisiniz.
ns1.ni.net.tr
ns2.ni.net.tr
Eğer reseller hizmetinizde kendi alan adı sunucularınızı kullanmak istiyorsanız, nameserver adreslerinize vermeniz gereken ip adresleri aşağıdaki şekilde olmalıdır;
ns1.alanadi.com > 95.173.189.2
ns2.alanadi.com > 95.173.190.2
Nameserver (NS), alan adınızın sorgulanmasında kullanılacak olan isim sunucularıdır. Hosting firması tarafından size verilen nameserver adreslerine alan adınızı aldığınız firmadan yönlendirme işleminizi yaptığınızda, alan adı Nameserver (NS) adresleri hangi sunucuyu gösteriyor ise siteniz o sunucu üzerinden çalışacaktır. Nameserver (NS) adresleri karşılarındaki IP adreslerine göre sorgulama yapar ve o ip adresi hangi sunucu ise o sunucuyu bulur.
Örneğin; aynı alan adınız için birden fazla sunucuyu yazılım kurulumu yapabilirsiniz. Ancak sizin alan adınızın ns adresleri hangi sunucuyu gösteriyor ise siteniz o sunucudan çalışır.Diğer sunucudaki verilerin herhangi bir hükmü bulunmaz.
Firmamızdan alacağınız Hosting ya da Reseller hizmetlerinde alan adı sunucularınızı aşağıdaki şekilde yönlendirmeniz gerekmektedir;
ns1.ni.net.tr
ns2.ni.net.tr
Eğer reseller hizmetinizde kendi alan adı sunucularınızı kullanmak istiyorsanız, nameserver adreslerinize vermeniz gereken ip adresleri aşağıdaki şekilde olmalıdır;
ns1.alanadi.com > 95.173.189.2
ns2.alanadi.com > 95.173.190.2
E-mail kontrol paneline http://webmail.siteadresiniz.com yada http://www.siteadresiniz.com/webmail adreslerinden ulaşabilirsiniz. Buradan e-mail adresiniz ve şifreniz ile giriş yapabilir ve e-postalarınızı kontrol edebilirsiniz.
Sunucular üzerinden mail gönderimlerinde yaşanılan sorunların bir çok farklı sebebi olmaktadır. IP adresleri, alan adları ya da sunucu kaynaklı farklı bir çok sorun ile ilgili mail gönderme sorunu yaşamanız muhtemeldir. Bu hatalardan bir tanesi de eximstats veri tabanı ile ilgilidir. Mail gönderilemediği zaman geriye bir çok hata maili dönmektedir. Yaşanılan sorunun nedeni geriye dönen hata maillerinde yazar.Bu sayede sorunun nerede olduğu ile ilgili fikir edinebilir ve çözüm için işlem yapabilirsiniz.
Eximstats veri tabanı ile ilgili hata genellikle aşağıdaki gibidir.
DeliveryReporter API internal failure: DBD::mysql::db selectall_arrayref failed: Table ‘./eximstats/smtp’ is marked as crashed and last
Hata mesajını incelediğinizde bu hata satırını görüyorsanız eğer çözüm için aşağıdaki komutu çalıştırmanız yeterli olacaktır.
mysqlcheck –repair eximstats
Komut sonrasında eğer sunucu işlemi sorunsuz olarak tamamladıysa konsol üzerinde aşağıdaki gibi bir çıktı görmeniz gerekir.
cPanel kurulu sunucularda eximstats veri tabanının dolduğunu görebiliriz.Yapmanız gereken işlemler sırasıyla aşağıdaki gibidir, komutları dikkatli uygulamalısınız.
Mevcut durumunu kontrol etmeniz için;
du -sh /var/lib/mysql/eximstats
Komutunu uygulayıp boyutu görebilirsiniz.Silmek içinde ;
mysql
use eximstats
delete from failures;
delete from defers;
delete from smtp;
delete from sends;
FileZilla programı ile FTP den dosya atarken aynı anda birden fazla port kullanarak sunucu ile bağlantı kurulur. Sunucudaki güvenlik yazılımı bu bağlantıları saldırı olarak algılayıp IP adresinizi bloklamaktadır. Bloklanma sorunu yaşamamak için Filezilla programında aşağıdaki ayarları yapmanız yeterlidir.
Filezilla programımızı açıyoruz , Düzenle kısmından Ayarlar bölümüne giriyoruz. 
Ayarlar kısmına girdiğimizde çıkan pencereden sol kısımdaki “FTP” başlığına tıklıyoruz. Aktarım modu “Pasif (önerilen)” şeklinde seçili durumda gelecektir.Bu bölümü Aktif olarak işaretliyoruz. 
Sol menüdeki Aktarım bölümü içersindeki Eşzamanlı aktarım, Eşzamanlı indirme ve Eşzamanlı yükleme değerlerini 1 yapın. 
Ayarlarımızı bu şekilde yaptıktan sonra Tamam diyerek kayıt ediyoruz. Programı kapatıp tekrar açtığımızda ayarlarımız geçerli olacaktır ve artık FTP üzerinden dosya aktarımı sırasında IP bloklanması yaşanmayacaktır.
Ayrıca filezilla dışında WinSCP isimli Ftp programını da kullanabilirsiniz. Bu program dosyaları tek tek atıyor ve bloklanma sorunu yaşanmıyor.
FileZilla programı ile FTP den dosya atarken aynı anda birden fazla port kullanarak sunucu ile bağlantı kurulur. Sunucudaki güvenlik yazılımı bu bağlantıları saldırı olarak algılayıp IP adresinizi bloklamaktadır.
Bunun için FileZilla aktarım modunu Aktif yapmanız gerekmektedir.
Filezilla programımızı açıyoruz , “Düzenle” kısmından “Ayarlar” bölümüne giriyoruz. 
Ayarlar kısmına girdiğimizde çıkan pencereden sol kısımdaki “FTP” başlığına tıklıyoruz. Aktarım modu “Pasif (önerilen)” şeklinde seçili durumda gelecektir. 
“Aktif” seçeneğini işaretleyip “Tamam” butonuna tıklıyoruz. 
Ayarlama tamamlandı. Ftp programınızı kapatıp tekrar bağlanmayı deneyebilirsiniz.
Ayrıca WinSCP isimli Ftp programını da deneyebilirsiniz. Bu program dosyaları tek tek atıyor ve bloklanma sıkıntısı olmuyor.
