Linux Log Analizi — Nessus FTP Anonim Giriş Kontrolü Log Analizi

Bu yazımızda nessus ile ftp anonim girişi kontrolünün log analizini yapacağız.

İlk olarak nessus kodunu inceleyelim. Varsayılan olarak /opt/nessus/lib/nessus/plugins/ftp_anonymous.nasl da yer almaktadır. Bu dosyayı açarak kodun akışını inceleyelim.

Kod incelendiğinde kullanıcı adı olarak “anonymous” ve “ftp” bir liste halinde sırayla belirtilmekte, parola olarak “nessus@nessus.org” girildiği görülmektedir.

İlgili kodu nasl aracılığıyla çalıştırdığımızda sonuç aşağıdaki şekildedir:

Şimdi ise logu inceleyelim.

Anonim kullanıcısı ve nessus@nessus.org parolası ile 10.10.10.10 IP adresinden girişin başarılı bir şekilde yapıldığını görebiliriz.

Peki nessus@nessus.org Nessus hangi pluginlerinde kullanılmış olabilir?

nessus@nessus.org ifadesinin geçtiği Nessus pluginlerini görüntülemek için aşağıdaki komut çalıştırılabilir:

#find / -name “*nasl” 2>/dev/null | xargs grep “nessus@nessus.org”

Yukarıda kırmızı ile çerçevelenmiş pluginler nasl ile çalıştırılmış olabilir.

Derinlemesine bir analiz için vsftpd servisine ait çalıştırılan komutların loglanmasını sağlayalım. Eğer bu servis çok fazla kullanılma durumu oluşursa çok fazla log meydana geleceği unutulmamalıdır.

Detaylı logları açmak için aşağıdaki komutlar /etc/vsftpd.conf dosyasında değiştirilmeli/eklenmelidir:

xferlog_enable=YES

xferlog_std_format=NO

xferlog_file=/var/log/vsftpd.log

log_ftp_protocol=YES

Servis yeniden başlatıldıktan sonra ilgili Nessus pluginin yeniden çalıştırılması sonucu aşağıdaki loglar elde edilmiştir.

Login olunduktan sonra LIST komutu çalıştırılmıştır. Tam olarak hangi plugin kullanıldığının tespiti için pluginler detaylıca incelenmeli ve LIST komutu çalıştırılan plugin tespit edilmelidir.

Ayrıca Nessus FTP Anonim Giriş Kontrolü Trafik Analizi yazımıza https://kaleileriteknoloji.medium.com/nessus-ftp-anonim-giri%C5%9F-kontrol%C3%BC-trafik-analizi-2f237e1d330c ulaşabilirsiniz.