SİBER GÜVENLİK FORENSİK LAB

MerkezBank Üretim Sunucusu Olay İncelemesi

25 Şubat 2024, 02:17 — MerkezBank A.Ş. SOC ekibi, SIEM’den acil uyarı aldı: üretim sunucusu prod-db-01 üzerinde gece yarısından sonra anormal SSH bağlantı denemeleri tespit edildi.

Aynı IP adresinden (192.168.1.100) saniyeler içinde yüzlerce başarısız giriş denemesi yapılmış. Şirket politikası gereği sunucu karantinaya alındı; ancak önce olayın kapsamını ve izlerini belirlememiz gerekiyor.

Siz kurumsal güvenlik analisti olarak acil çağrı ile devreye alındınız. VPN üzerinden ofis ağına bağlandınız. SSH ile sunucuya erişim yetkiniz var. Terminalinizde analyst@sunucu oturumunu açtınız.

Göreviniz:

Sunucuda kimin oturum açtığını ve mevcut durumu tespit edin
Log dosyalarını inceleyerek saldırı izlerini belirleyin
Geçici dizinlerde (örn. /tmp) şüpheli dosya veya script arayın
İnceleme sonucunu /root/forensik_rapor.txt dosyasına işleyin

Süreniz 45 dakika. Görevler butonuyla sırayı ve ipuçlarını, İpucu ile mevcut adım için ek yönlendirme alabilirsiniz.

Görev Sırası

Adım 1

Oturum ve Konum

Sisteme bağlandığınızda ilk olarak kim olduğunuzu, hangi dizinde olduğunuzu ve sunucu adını öğrenin.

Adım 2

Dizin Yapısını Keşfet

Mevcut konumunuzdaki tüm dosya ve klasörleri görüntüleyin. Gizli öğeler de önemli olabilir.

Adım 3

Log Dizinine Geç

Sistem logları genellikle /var altında tutulur. Kimlik doğrulama kayıtları için doğru dizine gidin.

Adım 4

Kimlik Doğrulama Loglarını İncele

Giriş denemeleri bir log dosyasında kayıtlıdır. Son kayıtları görmek için dosyanın sonundan başlayın.

Adım 5

Şüpheli Dosyaları Bul

Geçici dosyaların saklandığı dizini kontrol edin. Saldırganlar sıklıkla burada iz bırakır.

Adım 6

İçerikte Ara

Log dosyasında başarısız giriş denemelerini belirten kelimeyi arayın.

Adım 7

Raporu Tamamla

Tüm bulguları topladıktan sonra root dizinindeki rapor dosyasını okuyun.

MerkezBank Üretim Sunucusu Olay İncelemesi

Adım Tamamlandı