Linux sunucumda saldırı var, ne yapmalıyım ?

Linux sunucunuzda saldırı tespit ettiğinizde, hızlı ve dikkatli bir şekilde hareket etmek önemlidir. İşte saldırıya müdahale etmek için izleyebileceğiniz adımlar:

1. Saldırıyı Tespit Etmek

• Logları İnceleyin: /var/log dizinindeki log dosyalarını inceleyerek olağan dışı etkinlikleri kontrol edin. Özellikle auth.log, syslog, secure ve uygulama loglarına bakın.
• Ağ Trafiğini İzleyin: netstat, iftop, nload gibi araçlarla ağ trafiğini izleyin ve olağan dışı bağlantıları tespit edin.
• Sistem Kaynaklarını Kontrol Edin: top, htop, ps aux gibi araçlarla CPU, bellek ve disk kullanımını gözlemleyin. Anormal kullanım gösteren süreçleri kontrol edin.

2. Sunucuyu İzole Etmek

• Ağdan Ayırma: Sunucuyu hemen ağdan izole ederek saldırının yayılmasını ve hassas verilerin dışarı sızmasını önleyin. Bu, fiziksel bağlantıyı kesme veya sanal bir ortamda sunucunun ağ bağlantısını kesme şeklinde olabilir.
• Güvenlik Duvarı Kuralları: iptables veya ufw kullanarak tüm gelen trafiği durdurun veya yalnızca güvenilir IP adreslerine izin verin.

3. Saldırıyı Durdurmak

• Şüpheli Süreçleri Sonlandırma: kill komutu ile şüpheli veya bilinen kötü amaçlı yazılım süreçlerini sonlandırın. Önce süreç ID'sini (PID) tespit etmek için ps aux veya top kullanın.
• Hizmetleri ve Portları İnceleme: netstat -tulnp komutu ile açık portları ve çalışan hizmetleri kontrol edin. Şüpheli hizmetleri durdurun ve gereksiz portları kapatın.
• Zararlı Yazılım Taraması: Güncel bir antivirüs veya antimalware yazılımı (ClamAV, Rkhunter, Chkrootkit gibi) kullanarak tam bir tarama gerçekleştirin ve tespit edilen tehditleri temizleyin.

4. Sistem Güncellemeleri ve Güvenlik Önlemleri

• Güvenlik Güncellemeleri: İşletim sistemi ve tüm yüklü yazılımlar için en son güvenlik güncellemelerini uygulayın. apt-get update && apt-get upgrade veya yum update komutlarını kullanın.
• Güvenlik Duvarı ve IDS/IPS: Güvenlik duvarı ve saldırı tespit/önleme sistemlerini (IDS/IPS) yapılandırarak ek koruma sağlayın. iptables, ufw, fail2ban, snort gibi araçları kullanabilirsiniz.
• Güçlü Şifreler: Tüm kullanıcı hesapları için güçlü ve benzersiz şifreler kullanın. Gerekiyorsa, şifreleri güncelleyin.

5. Güvenlik Ayarlarını Gözden Geçirme

• SSH Ayarları: SSH erişimini güvenli hale getirin. sshd_config dosyasındaki PermitRootLogin no, PasswordAuthentication no gibi ayarları etkinleştirin ve SSH anahtar doğrulamasını kullanın.
• Kullanıcı İzinleri: Kullanıcı hesaplarının gereksiz yetkilerini azaltın ve en az ayrıcalık ilkesini uygulayın.
• Uygulama Güvenliği: Web sunucusu ve diğer uygulamalar için güvenlik ayarlarını gözden geçirin ve gerektiğinde sıkılaştırın.

6. Kurtarma ve Yedeklemeler

• Yedeklerden Kurtarma: Sistem veya veriler ciddi şekilde etkilenmişse, güvenilir yedeklerden geri yükleme yapmayı düşünün.
• Yedekleme Stratejisi: Düzenli yedeklemeler yaparak ve bu yedeklemeleri güvenli bir şekilde saklayarak gelecekteki saldırılara karşı hazırlıklı olun.

7. Olayı Raporlama ve İnceleme

• Güvenlik Olayı Raporlama: İç güvenlik ekibinize veya yetkili bir siber güvenlik uzmanına durumu raporlayın.
• Adli Analiz: Saldırının nasıl gerçekleştiğini anlamak ve gelecekteki saldırıları önlemek için adli analiz yapın.

8. Güvenlik Bilincini Arttırma

• Eğitim ve Farkındalık: Tüm kullanıcıları ve çalışanları siber güvenlik tehditleri hakkında eğiterek farkındalığı artırın.

Saldırının ciddiyetine ve türüne bağlı olarak, bir siber güvenlik uzmanından profesyonel yardım almak da gerekli olabilir. Bu adımları takip ederek, saldırıya etkin bir şekilde müdahale edebilir ve sunucunuzu daha güvenli hale getirebilirsiniz.