Linux Log Analizi — FTP Kaba Kuvvet Saldırısı Tespiti

Kali’den IP adresi 10.10.10.20 olan Ubuntu işletim sistemindeki vsftpd servisine aşağıdaki şekilde kaba kuvvet saldırı yapılmıştır:

#hydra –L userpass.txt –P userpass.txt ftp://10.10.10.20

Userpass.txt dosyasının içeriği aşağıdaki şekildedir:

Tail komutunu kullanarak Ubuntu işletim sistemindeki vsftpd loglarını inceleyelim:

#tail –f vsftpd.log

Siber kullanıcısının girişi başarılı bir şekilde yapılmıştır. Kaba kuvvet saldırısı 10.10.10.10 IP adresinden yapılmıştır.

Giriş denemesinde başarısız olan kullanıcı listesini elde etmek için aşağıdaki komut çalıştırılabilir:

#grep “FAIL LOGIN” vsftpd.log|cut –d “ “ –f8|sort|uniq –c|sort

Giriş denemesinde başarısız olan kullanıcı listesi aşağıdaki şekildedir:

siber(1 parolada başarılı giriş sağlanmıştır)

12345

ileri

kale

kaleileriteknoloji

teknoloji

Giriş denemesi başarılı olan kullanıcıyı elde etmek için aşağıdaki komut kullanılabilir:

#grep “OK LOGIN” vsftpd.log|cut –d “ “ –f8|sort|uniq –c|sort

Siber kullanıcısına parola listesindeki bir parola ile başarılı giriş sağlanmıştır.

Yapılan saldırının kaba kuvvet saldırısı olduğunu tespit etmek için hangi IP adresinden hangi zaman diliminde kaç kere giriş denemesi yapıldığını incelemek için aşağıdaki komutu kullanabiliriz:

#grep “LOGIN” vsftpd.log|cut –d “ “ –f 1,2,3,4,5,12|sort|uniq –c|sort –rn

1,2,3,4,5 sütunda zaman bilgisi ; 12.sutunda ise kaynak IP adresi yer almaktadır.

10 sn içerisinde 36 adet giriş denemesi yapıldığı için kaba kuvvet saldırısı yapıldığı tespit edilmiştir. Kaba kuvvet saldırısı 10.10.10.10 IP adresi tarafından yapılmıştır.

Hydra ile FTP Kaba Kuvvet Saldırısının Trafik Analizi yazımıza https://kaleileriteknoloji.medium.com/hydra-ile-ftp-kaba-kuvvet-sald%C4%B1r%C4%B1s%C4%B1n%C4%B1n-trafik-analizi-b431469fcd20 üzerinden ulaşabilirsiniz.