1. Bilgisayarınızı açtığınızda karşılaştığınız mesajlar. Etraftaki
birinin size şaka yapmadığından eminseniz ve bilgisayarınızı
açtığınızda "Bilgisayarınız hack edilmiştir" tarzı bir mesajla
karşılaşıyorsanız, bu mesajı kimin bıraktığı açıktır.
2. Harddiskten gelen alışılmadık sesler. Internete bağlı
olduğunuz süre zarfında, siz birşey yapmamanıza rağmen harddiskinizden
birşey yükleniyormuş gibi sürekli olarak gelen sesler, bir hackerın o
sırada harddiskinizdeki bazı dosyaları karıştırdığına gösterge
olabilir. Tabii burada bir internet sayfası açarken, karşıdan dosya
yüklerken veya bir program bir dosyayı açarken gelen doğal seslerden
bahsetmiyorum; bilgisayarını uzun süre kullananlar bu doğal sesleri
zaten tanırlar.
3. Disket sürücüsünün çıkarttığı sesler. O anda kullandığınız
hiçbir program disket sürücüsüne ulaşmaya çalışmamasına rağmen disket
sürücüsü içinde bir disket varmış gibi sesler çıkartıyorsa, bu PC'nize
sızmış bir hackerın sürücüde disket aradığını gösterebilir.
4. CD-ROM sürücünüzün açılıp kapanması. Bu, hackerların en
sık yaptığı "Espri"lerden biridir. Siz fiziksel olarak veya bir program
aracılığıyla hiçbir müdahele yapmamış olmanıza rağmen CD-ROMunuz açılıp
kapanıyorsa, muhtemelen bir hacker size "şaka" yapıyordur.
Gülümseyin!!!
5. Kendi kendine kaybolan dosyalar. Bir takım özel
dosyalarınız esrarengiz şekilde kaybolduysa ve onları Geri Dönüşüm
Kutusu'nda bile bulamıyorsanız, bir hackerın kötü niyetinin kurbanı
olduğunuzdan şüphelenebilirsiniz. Tabii bir hackera suç atmadan önce
kendinize sormanız gereken bazı sorular var. Bilgisayarınızı en son
kapattığınızda Windows'unuzu normal şekilde mi "Shutdown" ettiniz? Çok
sık olmasa da, Windows'un alışılmadık şekilde kapanması bazı dosyalara
(veya FAT'lara) zarar verebiliyor. Bilgisayarı en son kapatmanızdan
önce hiçbir program hata mesajı verdi mi? Hata mesajı vererek kapanan
programlar, kendileriyle ilgili dosyalara zarar vermiş veya onları
silmiş olabilirler. Mesela Word'ünüz alışılmadık hata mesajlarıyla
kapanmışsa ve bilgisayarı tekrar açtığınızda üzerinde en son
çalıştığınız .doc dosyalarını bulamıyorsanız, bunun suçlusu Word
olabilir. Bilgisayarı ortak kullandığınız kişiler kaybolan dosyaları
silmiş olabilirler mi? Eski sürümlü bir program yüklemeyi denediniz mi?
Bilgisayarınıza yükleyeceğiniz eski versiyonlu bir program, kendi eski
sistem dosyalarını sizinkilerin üzerine kopyalayabilir. Bu durumda daha
yeni versiyonlu programlar eski sistem dosyalarıyla çalışamayacaklardı
r ve size bazı sistem dosyalarının eksik olduğuna dair mesaj
verebilirler. Bu da bir hackerın değil, eski sürümlü programınızın
suçudur. Sisteminizden paylaşımlı sistem dosyaları kullanan bir
programı tamamen kaldırdınız mı? Programların ortak kullandıkları
sistem dosyaları vardır. "Program Ekle/Kaldır"ı kullanırken , silmek
istediğiniz programın diğer programlarla ortak kullandığı sistem
dosyalarını da silmiş olabilirsiniz. Bilgisayarınız paylaşılan bir
sistem dosyasını silmeden önce bu konuda sizden onay alır; sözkonusu
sistem dosyasının silinmesini onaylamışsanız ve onu kullanan başka
programlar "Sistem dosyası bulunamadı" hatasını veriyorsa, bunun
suçlusu bir hacker değildir.
Bilgisayarınızda o anda davetsiz bir misafirin gezindiğini
anladığınızda, yapmanız gereken ilk şey internet bağlantınızı
kesmektir. Eğer internette önemli bir işiniz olduğu için bağlantınızı
bir hackerın hedefi olduğunuzdan tamamen emin olmadan kesmek
istemiyorsanı z, şu yolu izleyin.
1. BAŞLAT-->PROGRAMLAR menüsünden MS-DOS Komut İstemi
penceresini açın. 2. MS-DOS Komut İstemi penceresinde netstat -a yazın.
Bu, bilgisayarınızı n o anda hangi IP adresinlerine hangi portlardan
bağlı olduğunu gösterir. Eğer doğal olarak bağlı olduğunuz yerlerin
dışında (mesela IRC serverları, ICQ serverı, DCC Chat-ICQ Chat
bağlantıları, WEB siteleri, FTP serverları, vs.) başka bağlantılara
rastlamazsanı z, korkacak birşey yoktur.
Peki, netstat komutuyla rastladığımız bir bağlantının doğal olup olmadığını nasıl anlayacağız?
1.
Öncelikle bağlantıların portlarını gözden geçirin. İnternet üzerinde en
çok kullanılan protokoller ve kullandıkları portlar şunlardır: 80 http
(WEB sayfalarına bağlanmak için kullanılan port) 21 ftp (FTP
serverlarına bağlanmak için kullanılan port) 23 telnet (Telnet ile
başka sistemlere bağlanmak için kullanılan port) 25 mailto (E-mail
atmak için kullanılan port) 110 POP3 (E-mail almak için kullanılan
port) 6660-7000 IRC (IRC serverlarına bağlanmak için kullanılan genel
portlar) 4000 ICQ (ICQ, servera ilk bağlantısında bu portu kullanır)
1000-1080 ICQ (ICQ, servera bağlandıktan sonra bu portlardan birini
kullanır) PC'niz bir proxy, yerel ağ, vs. üzerinde yer almıyorsa veya
bu tür ağlar için kullanılan programlardan birini çalıştırmıyorsa, bu
portlarda gözüken bağlantılarda genelde tehlikeli bir durum sözkonusu
değildir. Ancak hackerların sık sık kullandıkları portlardan birinden
yapılmış bir bağlantınız varsa (456, 31337, 12345,30303 gibi), davetsiz
bir misafirinizin olma ihtimali çok yüksektir.
2. Tehlikeli bir port gözükmemesine rağmen bir bağlantıdan
şüphelenirseniz, şüphelendiğiniz bağlantının karşısında yazan IP
adresini bir yere not alın. Sözkonusu IP adresinin 194.242.74.130
olduğunu farz edersek, mIRC üzerinden bir IRC serverına bağlıyken /dns 194.242.74.130 komutunu kullanmanız gerekir. Bu komut, size o adresin açılımını verecektir (mesela
dialup03.fornet. tr, hotmail.com, microsoft.com,
vs.). Eğer adresin açılımı o anda bağlı olduğunuz bir IRC, ICQ, WEB,
FTP, vs. serverı ise herşey yolundadır. Ancak bir İSS (İnternet Servis
Sağlayıcısı) ismi içeren bir adresle karşılaşırsanız, bu internet
üzerinde bulunan başka bir PC ile bağlantı halinde olduğunuz anlamına
gelir (Eğer o anda bir arkadaşınızla dosya transferi yapıyorsanız, mIRC
içinde aktif DCC Chat pencereniz varsa veya ICQ Chat tarzı bir sohbet
ortamındaysanı z, bu bağlantının olması doğaldır). Bu durumda, o IP
adresinin sahibini tespit etmelisiniz. Eğer şüphelendiğiniz kişi ICQ'da
Online ise, ICQ listesinde o kişinin nickinin üzerine tıkladığınızda
açılan menüde INFO komutunu seçin, bu size o kişinin IP adresini verir.
mIRC'de ise, /dns NICKNAME komutunu kullanarak şüphelendiğiniz
kişilerin IP adresini öğrenebilirsiniz. Eğer mIRC'de şüphelendiğiniz
belli biri yoksa, sadece IP adresinin sahibinin o anda sizin
bulunduğunuz IRC serverında olup olmadığını görmek istiyorsanız, /who 194.242.74.130 /who dialup03.fornet. tr
komutlarını kullanarak STATUS başlıklı pencerenizi izleyin (tabii
buradaki IP adresi ve açılımı sadece örnek, siz netstat penceresinde
gördüğünüz IP adresini ve açılımını kullanmalısınız) . Aradığınız IP
adresinin sahibi ile aynı IRC serverındaysanı z, mIRC bunu size
söyleyecektir. PC'nizle bağlantı kurmuş kişiyi tespit ettikten sonrası
size kalmış. Onunla konuşabilirsiniz, konuşmadan bağlantınızı
kesebilirsiniz, ya da bağlantılarınızda neden onun adresinin
gözüktüğünü sorabilirsiniz (belki de sadece Ident'inize bakan iyi
niyetli biridir).
PC'nizin hack edildiğinden eminseniz, bağlantınızı kestikten
sonra hack edildiğiniz açığı kapatmadan Chat ortamına yeniden
girmemenizi öneriyorum. Mutlaka girmeniz gerekiyorsa da, bütün kimlik
bilgilerinizi değiştirmeyi ihmal etmeyin (Bunu daha ilerideki
yazılarımdan birinde daha ayrıntılı olarak anlatacağım).
Standart bir Windows 95 kullanıcıysanız, IRC hackerları
PC'nize sızmak için genelde iki açık ararlar: Dosya Paylaşımı ve
Trojan. Öncelikle, sisteminizde bunlardan hangisinin yer aldığını
bulmanız gerekir.
Dosya paylaşımınızın açık olup olmadığını görmek için,
BAŞLAT-->AYARLAR-->DENETİM MASASI-->AĞ menüsünü açın. Açılan
ekranda "Dosya ve Yazıcı Paylaşımı" yazan ikona basın ve karşınıza
çıkacak menüdeki iki kutucuğun boş olduğundan emin olun. Eğer
kutucuklar dolu ise, bu başkalarına erişim hakkı verdiğinizi gösterir.
Dolu kutucukları boşalttıktan sonra, PC'niz Windows 95 CD'nizi bazı
sistem dosyalarını yüklemek üzere isteyebilir (DİKKAT: Eğer ağ, proxy,
vb. gibi bir sistem üzerindeyseniz, "Dosya Paylaşımı"nın açık olması
gerekiyor olabilir. Bu durumda sistem yöneticinizle konuşun).
Sisteminizde trojan aramak ise biraz daha uzun bir işlemdir.
Öncelikle BAŞLAT-->BUL-->DOSYALAR VEYA KLASÖRLER menüsüne girin.
AD kutucuğuna *.exe yazın, KONUM kutucuğuna ise harddisklerinizin
isimlerini yazarak hepsini aratmalısınız. Tek harddiskiniz varsa KONUM
kutucuğuna c: yazarak; iki harddiskiniz varsa önce c: sonra d: yazarak
aratmanız gerekir.
Aramanın sonucu olarak karşınıza birçok .exe dosyası
çıkacaktır. Bu konumda, dosyaların başlarında yer alan ikonlara dikkat
etmelisiniz. Trojanlar genelde iki ikonla kendilerini belli ederler: 1.
Meşale ikonu. Mavi bir daire üzerinde yer alan eğri bir meşale ikonu
görürseniz, bu ikonun sahibi çok yüksek ihtimalle bir trojandır. 2. Boş
ikon. Eğer bir .exe dosyasının ikonu yoksa, bu da muhtemelen Back
Orifice trojanıdır.
Eğer sisteminizde trojan bulamazsanız, IRC hackerlarının çok
yüksek bir yüzdesinden korkmanıza gerek yok demektir. Çünkü çoğu
sistemi bilmeden, sadece ellerine geçen 1-2 programda mouse klikleyip
sisteminizde hakimiyet kurarak egolarını tatmin eden kişilerdir.
Trojanı veya dosya paylaşım açığı olmayan bir Windows 95 makinasına
sızmak, bu kişiler için mümkün değildir.
PC'nizde boş ikonlu bir Back Orifice trojanı bulursanız (bu dosyanın ismi herhangi birşey olabilir), hemen http://www.hotfiles .comhttp: //www.download. com
adreslerinden birinden çekeceğiniz BoDetect programıyla
sisteminizi tarayın. Trojan dosyasını silmeniz asla yeterli
olmayacaktır, Back Orifice'dan tamamen kurtulmak için BoDetect'i
kullanmalısınız (NOT: SniperOld'un bana verdiği bilgiye göre IRC
ortamında aslında Back Orifice trojanının ta kendisi olan sahte
BoDetect dosyaları elden ele iletiliyormuş , bu yüzden başkalarından
gelen BoDetect programlarına güvenmeyin).
PC'nizde meşale ikonlu bir trojana rastlarsanız, bu NetBus
veya Hackers Paradise türü tek port kullanan bir programa ait demektir.
Bulduğunuz trojan dosyasının isminin PATCH.EXE olduğunu farz edersek,
ondan kurtulmak için şu yolu izlemelisiniz.
1. Öncelikle Patch.exe 'yi ve diğer bütün meşale ikonlu
dosyaları silin. 2. BAŞLAT-->AYARLAR-->GÖREV ÇUBUĞU-->BAŞLAT
MENÜSÜ PROGRAMLARI- ->GELİŞMİŞ menüsünü açın. Açılan pencerede
PROGRAMLAR-->BAŞLANGIÇ ve PROGRAMLAR-->STARTUP klasörlerinde
meşale ikonlu herhangi bir kısayol olup olmadığına bakın; varsa hemen
silin. 3. BAŞLAT-->ÇALIŞTIR menüsüne girerek regedit yazın ve TAMAM
ikonunu klikleyin. Açılan pencerede DÜZEN-->BUL menüsüne girerek
Anahtarlar, Veriler ve Değerler kutucuklarının işaretli olduğundan emin
olduktan sonra ARANAN: kısmına Patch.exe yazarak Sonrakini Bul ikonuna
basın. Registrynizde her bulacağınız Patch.exe dosyasını silin, ve
sildikten sonra F3 tuşuna basarak aramaya devam edin. Windows "Kayıt
İçinde Arama Tamamlandı" mesajını verdiğinde, bütün Patch.exe
verilerini sildiğinizden eminseniz Registry Editor pencerenizi kapatın.
4. BAŞLAT-->ÇALIŞTIR menüsüne girerek c:windowssystemsyse dit.exe
yazın. Açılan pencerelerin hiçbirinin Patch.exe ile ilgili kayıt
içermediğinden emin olun, olan kayıtları da sildikten sonra
DOSYA-->KAYDET ikonunu tıklayın.
Bunları yaptıktan sonra trojandan kurtulmuş olmalısınız.
Tabii trojan dosyasının ismi herhangi birşey olabilir, Patch.exe 'yi
yalnızca örnek olsun diye verdim.
