Hackerlar kendi makinelerinde ki
İZLERİ böyle siliyor!

DETAYLAR

siber-suc

Makinenizde ki izler nedir, ne işe yarar?

Her şeyden önce konuya başlarken az sonra bahsedeceğimiz işletim sistemlerinin tamamının Linux dağıtımları olduğunu belirtmek isterim.

Makinemizde ki izler(loglar) pek çok konuda bize yardımcı olmaktadır. Örnek vermek gerekir ise: Makinemizde yapılan en son aktiviteleri takip edebiliriz, Terminalimize yazdığımız komutları makinemizde depolarız ve bu da yine aynı şekilde makinemizde yapılmış olan etkinlikleri takip etmemizi sağlar.

Ancak tahmin edebileceğiniz üzere siber bir suç işlediğinizde evinize yapılan ani bir baskın ile makinenize da inceleme amaçlı el koyulabiliyor.

Peki hackerlar bu durumda ne yapıyor?

Dostlarım sizi tekrar uyarmak isterim ki:
Hackerlık ve siber suçların yasalarımızca bir cezası vardır ve web sitemizden öğrendiğiniz bilgiler ve paylaştığımız yazılımlar ile işlediğiniz bireysel hack faaliyetleri dahil olmak üzere işlediğiniz hiç bir siber suçun sorumluluğunu kabul etmiyoruz! Unutmayın siberkutuphane.com bir eğitim sitesidir.

Her neyse konumuza geçmeden önce loglarımızın nerede depolandığını öğrenelim.

Makinemizde ki loglar farklı noktalarda barınıyor olsa da makinenizde ki /var/log/ dosya yolunda pek çok log dosyası barınmakta.

/var/log/-klasöründe-ki-dosyalar 'resme tıklayarak büyütebilirsin'

Evet bunların hepsi tahmin ettiğin üzere makinemize kaydedilen kayıt dosyaları. Terminalinize yazdığınız geçmiş komutların kayıtları her ne kadar burada olmasa da bu klasör kendi başına oldukça fazla kayıt barındırıyor.

Terminal geçmişinizi kontrol etmek için ise terminalinize şu komutu yazmanız yeterlidir.
nano .bash_history

Yukarıda bulunan komut şu an ki kullanıcının terminal geçmişini görüntüler. Root yetkisi ile terminalde yazılmış kodların geçmişini görmek için şu 2 komutu yazabilirsiniz.
su -
nano .bash_history

Evet az önce makinenizde ki neredeyse tüm aktivite kalıntılarını gördünüz. Makinenizde sizden habersiz yapılmış olabilecek şüpheli aktivitelerin kalıntılarını buradan kontrol ederek kendi güvenliğinizi sağlayabilirsiniz. Peki hackerlar bunları nasıl siliyor diye soracak olur iseniz emin olun cevaplaması en kolay soruyu sormuş olacaksınız.

Tahmin edebileceğiniz üzere bu işlem 'delete' tuşuna basıp silmekten ibaret değil. Sonuçta sildiğiniz aşağı yukarı her dosya ve klasör geri getirilebilir ve bu yüzden hackerların kalıcı bir temizlik yapmaları gerekir.

Makinenizi paramparça edip kullanılamaz hale getirmekte tabii ki bir çözüm ancak bu gün kullanmayı öğreneceğiniz 'shred' adlı temizlik yazılımı bu tarz basit sorunlara tam anlamıyla çözüm oluyor.

Peki SHRED nedir?

Kullanmayı öğreneceğimiz yazılım olan shred hakkında bir kaç bilgi vermek isterim.

Daha önce de söylediğimiz gibi sildiğiniz dosyalar geri getirilebiliyor çünkü dosyalarınız disk alanında yazılı oldukları yerlerden fiziksel olarak silinmiyorlar. Sadece işletim sisteminizin yer bulma kataloğuna o adresler boştur bilgisi kodlanıyor. Ve böylece üzerine yazılabilir hale geliyorlar.
shred ise hedef dosyayı tamamen silerek sizi bu sorundan kurtarıyor.

shred -vfzu /Desktop/top-secret.txt
Yukarıda bulunan örnek komut ile masaüstünde bulunan top-secret.txt adlı klasörü kalıcı olarak siliyoruz.

-V ile işlemlerin detaylarını terminalden görmemizi sağlıyor,
-F ile eğer ki dosya silinmeye karşı korunuyor ise shred'e hedef dosyaları silebilmesi için tam yetki veriyor,
-Z ile dosyanızın üzerine rastgele veriler yazılmasının ardından sadece 0'lar yazdırıyoruz. Bu sayede hedef dosyayı üzerine rastgele veriler yazarak sildiğinizi biraz olsun gizlemiş oluyorsunuz.
-U ile son bir dokunuş olarak üstüne rasgele veriler yazılmış olan dosyayı sıfırlıyor ve siliyoruz.

Dilerseniz -N parametresi ile işlemin tekrarını ayarlayabilirsiniz(bu parametreyi ayarlamaz iseniz 3 tekrar ile işleminize devam edersiniz)

Kullanabileceğiniz parametrelerin tamamı şunlardır:

  • -F change permissions to allow writing if necessary
  • -N overwrite N times instead of the default (3)
  • -S shred this many bytes (suffixes like K, M, G accepted)
  • -U deallocate and remove file after overwriting
  • -V show progress
  • -X do not round file sizes up to the next full block; this is the default for non-regular files
  • -Z add a final overwrite with zeros to hide shredding

Hackerlar 'shred' komutu ve parametreleri ile arkalarında bıraktıkarı izleri bu şekilde silebiliyor. Bu komutu terminal geçmişlerini silmek dahil her hangi bir log dosyasını silmek için kullabiliyorlar.

SHRED'i otomatiğe bağlamak.

Tabii ki makinenizde farklı yollarında bulunan farklı dosyaları silmek için onlarca hatta yüzlerce farklı kod yazmanıza gerek yok.

Yazdığım Python scripti ile bütün dosyalarınızı tek tıklamayla otomatik bir şekilde temizleyebilirsiniz. BU YAZIYA TIKLAYARAK YAZILIMIN SAYFASINA GİDEBİLİRSİN

Oldukça basit Python başlangıç kodlarından oluşan bu otomatik log temizleyicinin aşırı basit çalışma prensibini öğrenecek ve kendi otomatik temizleyicinizi yazabileceksiniz. İncelemenizi şiddetle tavsiye ettiğimiz bir başlıktır!

KAPANIŞ

Bu makalemizde hackerların kendi makinelerinde ki izleri nasıl temizlediğini öğrettik. Kesinlikle bilinmesi ve öğrenilmesi gerekilen bir konu olduğunu düşünmekteyiz. Herkese iyi günler dileriz!

Makaleyi yazan: [KURUCU] Yasin Varol
Yayınlanma tarihi: 15/10/2022
SON GÜNCELLEME: 20/11/2022

UYARI: Hackerlık ve siber suçların yasalarımızca bir cezası vardır ve web sitemizden öğrendiğiniz bilgiler ve paylaştığımız yazılımlar ile işlediğiniz bireysel hack faaliyetleri dahil olmak üzere işlediğiniz hiç bir siber suçun sorumluluğunu kabul etmiyoruz! Unutmayın siberkutuphane.com bir eğitim sitesidir.