admin
Linux; sunucu tarafında en çok tercih edilen işletim sistemlerinden biridir. Esnek yapısı, güçlü komut satırı araçları ve otomasyon imkânları sayesinde sistem yöneticilerine büyük kolaylık sağlar. Ancak aynı güç, yanlış ellerde veya hatalı kullanımda ciddi güvenlik sorunlarına yol açabilir. Bu yazıda Linux ortamında “tehlikeli” olarak değerlendirilen kod ve komutların hangi sınıflara ayrıldığını, neden riskli olduklarını, gerçek dünyada hangi amaçlarla suistimal edildiklerini ve en önemlisi nasıl önlem alabileceğinizi anlatacağım.
Not: Bu içerik eğitim ve savunma amaçlıdır. Zararlı komut örnekleri, çalıştırılabilir yıkıcı kod parçaları veya adım adım saldırı talimatları paylaşılmaz.
Linux’ta “Tehlikeli Kod” Ne Demek?
Linux’ta tehlikeli kod; çalıştırıldığında aşağıdaki sonuçlardan birini doğurabilen komutlar, betikler veya yapılandırma değişiklikleridir:
- Veri kaybı (dosyaların silinmesi, disklerin formatlanması)
- Hizmet kesintisi (sunucunun kilitlenmesi, servislerin çökmesi)
- Yetki yükseltme (normal kullanıcıdan yönetici yetkisine geçiş)
- Arka kapı ve kalıcılık (sistem yeniden başlasa bile saldırganın erişiminin sürmesi)
- Veri sızıntısı (loglar, şifreler, tokenlar, müşteri verileri)
- Ağ içi yayılım (başka sunuculara sıçrama)
Tehlike, çoğu zaman komutun kendisinden değil; hangi yetkiyle, hangi dizinde, hangi girdilerle çalıştırıldığından kaynaklanır.
1) Veri Silme ve Geri Dönüşü Olmayan İşlemler
Linux’ta dosya yönetimi komutları çok güçlüdür. Yanlış kullanım; bir WordPress sitesinin tüm dosyalarını, veritabanı yedeklerini veya kritik sistem dizinlerini saniyeler içinde yok edebilir.
Neden tehlikeli?
- Silme işlemleri çoğunlukla “geri al” mantığı olmadan çalışır.
- Root yetkisiyle çalıştırılırsa sistem dizinleri dahil her şey etkilenebilir.
- Otomasyon betikleri (cron, deploy scriptleri) içinde hatalı tanımlanırsa periyodik veri kaybına dönüşür.
Savunma önerileri
- Üretim sunucularında yedekleme: 3-2-1 stratejisi (3 kopya, 2 farklı ortam, 1 offsite).
- Yetki minimizasyonu: Her işi root ile yapmamak, sudo’yu sınırlamak.
- Kritik dizinler için immutable bayraklar ve erişim kontrolleri (uygun yerlerde).
- CI/CD ve deploy süreçlerinde dry-run yaklaşımı ve onay mekanizması.
2) Hizmet Durdurma ve Kaynak Tüketimi (DoS)
Linux’ta bazı kodlar doğrudan veri silmese bile CPU, RAM, disk I/O veya process tablosunu tüketerek sunucuyu kullanılamaz hale getirebilir. Bu durum; web sitelerinde 500 hataları, time-out’lar, veritabanı kopmaları ve panel erişim sorunları doğurur.
Riskli örnek sınıflar
- Kontrolsüz süreç üretimi (process/iş parçacığı patlaması)
- Sonsuz döngüler ve yanlış kurgulanmış servis restart mekanizmaları
- Log şişirme (diskin dolması)
- Aşırı yoğun sorgular veya yanlış yapılandırılmış cache
Savunma önerileri
- Limits: ulimit, systemd limit ayarları (CPU, RAM, process sayısı).
- Rate limiting: Nginx/Apache üzerinde istek sınırları.
- Monitoring: CPU/RAM/Disk ve servis sağlık kontrolleri (alert şart).
- WordPress için: cache, PHP-FPM ayarları, veritabanı indeksleri.
3) Yetki Yükseltme ve Yanlış Sudo Kullanımı
Yetki yükseltme, saldırganın en çok hedeflediği alanlardan biridir. Bir kullanıcı hesabının ele geçirilmesi, her zaman root yetkisi anlamına gelmez. Ancak sudo yapılandırması hatalıysa veya riskli ikili dosyalar yanlış yetkilerle çalışıyorsa, saldırgan daha üst yetkilere çıkabilir.
Neden tehlikeli?
- Root erişimi alındığında saldırgan; logları silebilir, arka kapı bırakabilir, tüm veriyi dışarı çıkarabilir.
- “Bir komuta izin verelim” mantığıyla verilen sudo yetkileri zincirleme açık doğurabilir.
Savunma önerileri
- Least privilege: Sudoers dosyasında sadece gerekli komutlara izin.
- “Tüm komutlar” veya kabuk çalıştırmaya dolaylı izin veren tanımların kaldırılması.
- Root SSH girişini kapatmak, anahtar tabanlı kimlik doğrulama, MFA (mümkünse).
- Düzenli olarak sudoers denetimi ve audit log takibi.
4) Uzaktan Komut Çalıştırmaya Yol Açan Betikler ve Yanlış Input Kullanımı
En tehlikeli sınıflardan biri, geliştirilen scriptlerin veya web uygulamalarının kullanıcı girdisini kontrol etmeden kabuk komutlarına eklemesidir. Bu durum “command injection” ve “remote code execution (RCE)” gibi kritik zafiyetlere kapı açar.
Nerelerde görülür?
- Bash/Python/PHP betiklerinde kullanıcı girdisiyle komut birleştirmek
- WordPress eklentileri/temaları içinde güvensiz çağrılar
- Yönetim panelleri veya “tek tıkla kurulum” scriptleri
Savunma önerileri
- Kullanıcı girdisini komut satırına taşımamak; zorunluysa whitelist yaklaşımı.
- Parametreli çağrılar, güvenli API’ler, kaçış/encode.
- WordPress tarafında: güvenilir eklenti/tema, düzenli güncelleme, WAF.
5) Arka Kapı, Kalıcılık ve Zamanlanmış Görevler (Cron / systemd)
Saldırganlar, sisteme bir kez girebildiklerinde erişimi kalıcı hale getirmek ister. Linux’ta kalıcılık; zamanlanmış görevler, servis tanımları, başlangıç scriptleri veya kullanıcı profilleri gibi yerlere bırakılan kodlarla sağlanabilir.
Neden tehlikeli?
- Sistem yeniden başlasa bile saldırganın kodu tekrar çalışır.
- “Normal bir bakım görevi” gibi gizlenebilir.
- Loglar manipüle edilerek fark edilmesi zorlaşır.
Savunma önerileri
- Cron tablolarının, systemd servislerinin düzenli denetlenmesi.
- Dosya bütünlüğü izleme (FIM) ve değişiklik alarmı.
- Yetkisiz kullanıcıların cron oluşturmasını kısıtlamak.
- “Deployment sonrası kontrol listesi” ile beklenmeyen servisleri tespit.
6) Veri Sızıntısı: Loglar, Ortam Değişkenleri ve Gizli Anahtarlar
Linux’ta tehlike sadece “yıkım” değildir. Birçok ihlalde amaç sessizce veri toplamaktır: veritabanı şifreleri, API anahtarları, SMTP parolaları, yedekler, .env dosyaları, wp-config.php vb.
Sık yapılan hatalar
- Yedek dosyalarını web kök dizininde bırakmak
- Loglarda token/parola tutmak
- Yanlış dosya izinleri (herkesin okuyabildiği config dosyaları)
Savunma önerileri
- Gizli anahtarları dosya izinleriyle korumak, erişimi kısıtlamak.
- Yedekleri web root dışında tutmak.
- Log maskeleme, rotate ve erişim kontrolü.
- WordPress’te wp-config.php ve kritik dosyaları sıkı izinlerle yönetmek.
7) Paket Yöneticisi ve Tedarik Zinciri Riskleri
Linux ekosisteminde paket yöneticileri (apt, yum/dnf, pacman vb.) çok güçlüdür. Yanlış depoların eklenmesi, doğrulanmamış paketlerin kurulması veya güncelleme süreçlerinin bozulması “tedarik zinciri” risklerini artırır.
Savunma önerileri
- Resmi depoları kullanmak, imza doğrulamasını kapatmamak.
- Üretim ortamında rastgele scriptlerle repo eklememek.
- Kritik sistemlerde değişiklik yönetimi ve test ortamı.
Linux Sunucularda Güvenlik İçin Pratik Kontrol Listesi
Bu bölüm, özellikle WordPress barındıran VPS/VDS sunucular için hızlı ama etkili bir kontrol listesidir:
- Güncelleme disiplini
- OS güvenlik güncellemeleri
- PHP, web server, DB ve WordPress çekirdek/eklenti/tema güncellemeleri
- Erişim güvenliği
- SSH anahtar, root login kapalı
- Güçlü parola politikası, mümkünse MFA
- Fail2ban veya benzeri brute-force koruması
- Yetkiler
- Dosya/dizin izinleri doğru
- Sudo minimal
- Uygulama kullanıcıları ayrı
- Yedekleme ve geri dönüş
- Otomatik günlük yedek
- Offsite yedek
- Düzenli geri yükleme testi
- İzleme ve log
- Kaynak kullanımı izleme (CPU/RAM/Disk)
- Güvenlik logları ve anomali alarmları
- Değişiklik izleme
- Ağ katmanı
- Gereksiz portlar kapalı
- Firewall kuralları
- WAF/CDN (özellikle WordPress için)
Sonuç: Tehlike Kodda Değil, Kontrolsüz Güçte
Linux’ta “tehlikeli kod” dediğimiz şey çoğu zaman günlük yönetim işlerinde de kullanılan güçlü komutların yanlış kullanımından veya güvenlik tedbirlerinin eksikliğinden doğar. En iyi yaklaşım; saldırı örneklerini yaymak yerine, risk sınıflarını anlayıp sisteminizi en kötü senaryoya göre güçlendirmektir.
