Bir �nceki yaz�mda bilgisayar�n�z� IRC hackerlar�na kar�� nas�l koruyaca��n�z� anlatm��t�m. Bu kez, hack edildi�inizi anlaman�n yollar�ndan ve anlay�nca bunun �n�ne nas�l ge�ebilece�inizden bahsedece�im.

Bilgisayar�n�z�n hack edildi�ine dair baz� i�aretler vard�r.

1. Bilgisayar�n�z� a�t���n�zda kar��la�t���n�z mesajlar. Etraftaki birinin size �aka yapmad���ndan eminseniz ve bilgisayar�n�z� a�t���n�zda "Bilgisayar�n�z hack edilmi�tir" tarz� bir mesajla kar��la��yorsan�z, bu mesaj� kimin b�rakt��� a��kt�r.

2. Harddiskten gelen al���lmad�k sesler. Internete ba�l� oldu�unuz s�re zarf�nda, siz bir�ey yapmaman�za ra�men harddiskinizden bir�ey y�kleniyormu� gibi s�rekli olarak gelen sesler, bir hacker�n o s�rada harddiskinizdeki baz� dosyalar� kar��t�rd���na g�sterge olabilir. Tabii burada bir internet sayfas� a�arken, kar��dan dosya y�klerken veya bir program bir dosyay� a�arken gelen do�al seslerden bahsetmiyorum; bilgisayar�n� uzun s�re kullananlar bu do�al sesleri zaten tan�rlar.

3. Disket s�r�c�s�n�n ��kartt��� sesler. O anda kulland���n�z hi�bir program disket s�r�c�s�ne ula�maya �al��mamas�na ra�men disket s�r�c�s� i�inde bir disket varm�� gibi sesler ��kart�yorsa, bu PC'nize s�zm�� bir hacker�n s�r�c�de disket arad���n� g�sterebilir.

4. CD-ROM s�r�c�n�z�n a��l�p kapanmas�. Bu, hackerlar�n en s�k yapt��� "Espri"lerden biridir. Siz fiziksel olarak veya bir program arac�l���yla hi�bir m�dahele yapmam�� olman�za ra�men CD-ROMunuz a��l�p kapan�yorsa, muhtemelen bir hacker size "�aka" yap�yordur. G�l�mseyin!!!

5. Kendi kendine kaybolan dosyalar. Bir tak�m �zel dosyalar�n�z esrarengiz �ekilde kaybolduysa ve onlar� Geri D�n���m Kutusu'nda bile bulam�yorsan�z, bir hacker�n k�t� niyetinin kurban� oldu�unuzdan ��phelenebilirsiniz. Tabii bir hackera su� atmadan �nce kendinize sorman�z gereken baz� sorular var. Bilgisayar�n�z� en son kapatt���n�zda Windows'unuzu normal �ekilde mi "Shutdown" ettiniz? �ok s�k olmasa da, Windows'un al���lmad�k �ekilde kapanmas� baz� dosyalara (veya FAT'lara) zarar verebiliyor. Bilgisayar� en son kapatman�zdan �nce hi�bir program hata mesaj� verdi mi? Hata mesaj� vererek kapanan programlar, kendileriyle ilgili dosyalara zarar vermi� veya onlar� silmi� olabilirler. Mesela Word'�n�z al���lmad�k hata mesajlar�yla kapanm��sa ve bilgisayar� tekrar a�t���n�zda �zerinde en son �al��t���n�z .doc dosyalar�n� bulam�yorsan�z, bunun su�lusu Word olabilir. Bilgisayar� ortak kulland���n�z ki�iler kaybolan dosyalar� silmi� olabilirler mi? Eski s�r�ml� bir program y�klemeyi denediniz mi? Bilgisayar�n�za y�kleyece�iniz eski versiyonlu bir program, kendi eski sistem dosyalar�n� sizinkilerin �zerine kopyalayabilir. Bu durumda daha yeni versiyonlu programlar eski sistem dosyalar�yla �al��amayacaklard�r ve size baz� sistem dosyalar�n�n eksik oldu�una dair mesaj verebilirler. Bu da bir hacker�n de�il, eski s�r�ml� program�n�z�n su�udur. Sisteminizden payla��ml� sistem dosyalar� kullanan bir program� tamamen kald�rd�n�z m�? Programlar�n ortak kulland�klar� sistem dosyalar� vard�r. "Program Ekle/Kald�r"� kullan�rken , silmek istedi�iniz program�n di�er programlarla ortak kulland��� sistem dosyalar�n� da silmi� olabilirsiniz. Bilgisayar�n�z payla��lan bir sistem dosyas�n� silmeden �nce bu konuda sizden onay al�r; s�zkonusu sistem dosyas�n�n silinmesini onaylam��san�z ve onu kullanan ba�ka programlar "Sistem dosyas� bulunamad�" hatas�n� veriyorsa, bunun su�lusu bir hacker de�ildir.

Bilgisayar�n�zda o anda davetsiz bir misafirin gezindi�ini anlad���n�zda, yapman�z gereken ilk �ey internet ba�lant�n�z� kesmektir. E�er internette �nemli bir i�iniz oldu�u i�in ba�lant�n�z� bir hacker�n hedefi oldu�unuzdan tamamen emin olmadan kesmek istemiyorsan�z, �u yolu izleyin.

1. BA�LAT-->PROGRAMLAR men�s�nden MS-DOS Komut �stemi penceresini a��n. 2. MS-DOS Komut �stemi penceresinde netstat -a yaz�n. Bu, bilgisayar�n�z�n o anda hangi IP adresinlerine hangi portlardan ba�l� oldu�unu g�sterir. E�er do�al olarak ba�l� oldu�unuz yerlerin d���nda (mesela IRC serverlar�, ICQ server�, DCC Chat-ICQ Chat ba�lant�lar�, WEB siteleri, FTP serverlar�, vs.) ba�ka ba�lant�lara rastlamazsan�z, korkacak bir�ey yoktur.

Peki, netstat komutuyla rastlad���m�z bir ba�lant�n�n do�al olup olmad���n� nas�l anlayaca��z?

1. �ncelikle ba�lant�lar�n portlar�n� g�zden ge�irin. �nternet �zerinde en �ok kullan�lan protokoller ve kulland�klar� portlar �unlard�r: 80 http (WEB sayfalar�na ba�lanmak i�in kullan�lan port) 21 ftp (FTP serverlar�na ba�lanmak i�in kullan�lan port) 23 telnet (Telnet ile ba�ka sistemlere ba�lanmak i�in kullan�lan port) 25 mailto (E-mail atmak i�in kullan�lan port) 110 POP3 (E-mail almak i�in kullan�lan port) 6660-7000 IRC (IRC serverlar�na ba�lanmak i�in kullan�lan genel portlar) 4000 ICQ (ICQ, servera ilk ba�lant�s�nda bu portu kullan�r) 1000-1080 ICQ (ICQ, servera ba�land�ktan sonra bu portlardan birini kullan�r) PC'niz bir proxy, yerel a�, vs. �zerinde yer alm�yorsa veya bu t�r a�lar i�in kullan�lan programlardan birini �al��t�rm�yorsa, bu portlarda g�z�ken ba�lant�larda genelde tehlikeli bir durum s�zkonusu de�ildir. Ancak hackerlar�n s�k s�k kulland�klar� portlardan birinden yap�lm�� bir ba�lant�n�z varsa (456, 31337, 12345,30303 gibi), davetsiz bir misafirinizin olma ihtimali �ok y�ksektir.

2. Tehlikeli bir port g�z�kmemesine ra�men bir ba�lant�dan ��phelenirseniz, ��phelendi�iniz ba�lant�n�n kar��s�nda yazan IP adresini bir yere not al�n. S�zkonusu IP adresinin 194.242.74.130 oldu�unu farz edersek, mIRC �zerinden bir IRC server�na ba�l�yken /dns 194.242.74.130 komutunu kullanman�z gerekir. Bu komut, size o adresin a��l�m�n� verecektir (mesela dialup03.fornet.tr, hotmail.com, microsoft.com, vs.). E�er adresin a��l�m� o anda ba�l� oldu�unuz bir IRC, ICQ, WEB, FTP, vs. server� ise her�ey yolundad�r. Ancak bir �SS (�nternet Servis Sa�lay�c�s�) ismi i�eren bir adresle kar��la��rsan�z, bu internet �zerinde bulunan ba�ka bir PC ile ba�lant� halinde oldu�unuz anlam�na gelir (E�er o anda bir arkada��n�zla dosya transferi yap�yorsan�z, mIRC i�inde aktif DCC Chat pencereniz varsa veya ICQ Chat tarz� bir sohbet ortam�ndaysan�z, bu ba�lant�n�n olmas� do�ald�r). Bu durumda, o IP adresinin sahibini tespit etmelisiniz. E�er ��phelendi�iniz ki�i ICQ'da Online ise, ICQ listesinde o ki�inin nickinin �zerine t�klad���n�zda a��lan men�de INFO komutunu se�in, bu size o ki�inin IP adresini verir. mIRC'de ise, /dns NICKNAME komutunu kullanarak ��phelendi�iniz ki�ilerin IP adresini ��renebilirsiniz. E�er mIRC'de ��phelendi�iniz belli biri yoksa, sadece IP adresinin sahibinin o anda sizin bulundu�unuz IRC server�nda olup olmad���n� g�rmek istiyorsan�z, /who 194.242.74.130 /who dialup03.fornet.tr komutlar�n� kullanarak STATUS ba�l�kl� pencerenizi izleyin (tabii buradaki IP adresi ve a��l�m� sadece �rnek, siz netstat penceresinde g�rd���n�z IP adresini ve a��l�m�n� kullanmal�s�n�z). Arad���n�z IP adresinin sahibi ile ayn� IRC server�ndaysan�z, mIRC bunu size s�yleyecektir. PC'nizle ba�lant� kurmu� ki�iyi tespit ettikten sonras� size kalm��. Onunla konu�abilirsiniz, konu�madan ba�lant�n�z� kesebilirsiniz, ya da ba�lant�lar�n�zda neden onun adresinin g�z�kt���n� sorabilirsiniz (belki de sadece Ident'inize bakan iyi niyetli biridir).

PC'nizin hack edildi�inden eminseniz, ba�lant�n�z� kestikten sonra hack edildi�iniz a���� kapatmadan Chat ortam�na yeniden girmemenizi �neriyorum. Mutlaka girmeniz gerekiyorsa da, b�t�n kimlik bilgilerinizi de�i�tirmeyi ihmal etmeyin (Bunu daha ilerideki yaz�lar�mdan birinde daha ayr�nt�l� olarak anlataca��m).

Standart bir Windows 95 kullan�c�ysan�z, IRC hackerlar� PC'nize s�zmak i�in genelde iki a��k ararlar: Dosya Payla��m� ve Trojan. �ncelikle, sisteminizde bunlardan hangisinin yer ald���n� bulman�z gerekir.

Dosya payla��m�n�z�n a��k olup olmad���n� g�rmek i�in, BA�LAT-->AYARLAR-->DENET�M MASASI-->A� men�s�n� a��n. A��lan ekranda "Dosya ve Yaz�c� Payla��m�" yazan ikona bas�n ve kar��n�za ��kacak men�deki iki kutucu�un bo� oldu�undan emin olun. E�er kutucuklar dolu ise, bu ba�kalar�na eri�im hakk� verdi�inizi g�sterir. Dolu kutucuklar� bo�altt�ktan sonra, PC'niz Windows 95 CD'nizi baz� sistem dosyalar�n� y�klemek �zere isteyebilir (D�KKAT: E�er a�, proxy, vb. gibi bir sistem �zerindeyseniz, "Dosya Payla��m�"n�n a��k olmas� gerekiyor olabilir. Bu durumda sistem y�neticinizle konu�un).

Sisteminizde trojan aramak ise biraz daha uzun bir i�lemdir. �ncelikle BA�LAT-->BUL-->DOSYALAR VEYA KLAS�RLER men�s�ne girin. AD kutucu�una *.exe yaz�n, KONUM kutucu�una ise harddisklerinizin isimlerini yazarak hepsini aratmal�s�n�z. Tek harddiskiniz varsa KONUM kutucu�una c: yazarak; iki harddiskiniz varsa �nce c: sonra d: yazarak aratman�z gerekir.

Araman�n sonucu olarak kar��n�za bir�ok .exe dosyas� ��kacakt�r. Bu konumda, dosyalar�n ba�lar�nda yer alan ikonlara dikkat etmelisiniz. Trojanlar genelde iki ikonla kendilerini belli ederler: 1. Me�ale ikonu. Mavi bir daire �zerinde yer alan e�ri bir me�ale ikonu g�r�rseniz, bu ikonun sahibi �ok y�ksek ihtimalle bir trojand�r. 2. Bo� ikon. E�er bir .exe dosyas�n�n ikonu yoksa, bu da muhtemelen Back Orifice trojan�d�r.

E�er sisteminizde trojan bulamazsan�z, IRC hackerlar�n�n �ok y�ksek bir y�zdesinden korkman�za gerek yok demektir. ��nk� �o�u sistemi bilmeden, sadece ellerine ge�en 1-2 programda mouse klikleyip sisteminizde hakimiyet kurarak egolar�n� tatmin eden ki�ilerdir. Trojan� veya dosya payla��m a���� olmayan bir Windows 95 makinas�na s�zmak, bu ki�iler i�in m�mk�n de�ildir.

PC'nizde bo� ikonlu bir Back Orifice trojan� bulursan�z (bu dosyan�n ismi herhangi bir�ey olabilir), hemen http://www.hotfiles.com http://www.download.com adreslerinden birinden �ekece�iniz BoDetect program�yla sisteminizi taray�n. Trojan dosyas�n� silmeniz asla yeterli olmayacakt�r, Back Orifice'dan tamamen kurtulmak i�in BoDetect'i kullanmal�s�n�z (NOT: SniperOld'un bana verdi�i bilgiye g�re IRC ortam�nda asl�nda Back Orifice trojan�n�n ta kendisi olan sahte BoDetect dosyalar� elden ele iletiliyormu�, bu y�zden ba�kalar�ndan gelen BoDetect programlar�na g�venmeyin).

PC'nizde me�ale ikonlu bir trojana rastlarsan�z, bu NetBus veya Hackers Paradise t�r� tek port kullanan bir programa ait demektir. Buldu�unuz trojan dosyas�n�n isminin PATCH.EXE oldu�unu farz edersek, ondan kurtulmak i�in �u yolu izlemelisiniz.

1. �ncelikle Patch.exe 'yi ve di�er b�t�n me�ale ikonlu dosyalar� silin. 2. BA�LAT-->AYARLAR-->G�REV �UBU�U-->BA�LAT MEN�S� PROGRAMLARI-->GEL��M�� men�s�n� a��n. A��lan pencerede PROGRAMLAR-->BA�LANGI� ve PROGRAMLAR-->STARTUP klas�rlerinde me�ale ikonlu herhangi bir k�sayol olup olmad���na bak�n; varsa hemen silin. 3. BA�LAT-->�ALI�TIR men�s�ne girerek regedit yaz�n ve TAMAM ikonunu klikleyin. A��lan pencerede D�ZEN-->BUL men�s�ne girerek Anahtarlar, Veriler ve De�erler kutucuklar�n�n i�aretli oldu�undan emin olduktan sonra ARANAN: k�sm�na Patch.exe yazarak Sonrakini Bul ikonuna bas�n. Registrynizde her bulaca��n�z Patch.exe dosyas�n� silin, ve sildikten sonra F3 tu�una basarak aramaya devam edin. Windows "Kay�t ��inde Arama Tamamland�" mesaj�n� verdi�inde, b�t�n Patch.exe verilerini sildi�inizden eminseniz Registry Editor pencerenizi kapat�n. 4. BA�LAT-->�ALI�TIR men�s�ne girerek c:\windows\system\sysedit.exe yaz�n. A��lan pencerelerin hi�birinin Patch.exe ile ilgili kay�t i�ermedi�inden emin olun, olan kay�tlar� da sildikten sonra DOSYA-->KAYDET ikonunu t�klay�n.

Bunlar� yapt�ktan sonra trojandan kurtulmu� olmal�s�n�z. Tabii trojan dosyas�n�n ismi herhangi bir�ey olabilir, Patch.exe 'yi yaln�zca �rnek olsun diye verdim.

Ayr�ca, �ok pop�ler olarak kullan�lan ICQkill adl� program da asl�nda bir trojand�r. Bir kere bu program� �al��t�rd�ysan�z, c:\windows\system\explorer.exe dosyas�n� silerek etkisiz hale getirebilirsiniz (Bu bilgi i�in SniperOld'a te�ekk�r ederim).

Sisteminizi g�venli hale getirdikten sonra g�venli kalmas� i�in ise, ba�kalar�ndan gelen .exe veya .com dosyalar�ndan hi�birini kabul etmemeyi unutmay�n.