İlk Hafta Nöbet — 4,3 Milyon Olay, 27 Bin Saldırgan
SiberKale Tellal yayınları başlıyor. İlk 7 günde honeypot ağımız 4,3 milyon saldırı olayı, 27 bin benzersiz saldırgan IP kaydetti. Beş ana bulgu ve Türkiye perspektifi.
Giriş — Nöbet Başladı
SiberKale Tellal, Türkiye perspektifinden bağımsız bir siber tehdit istihbaratı kaynağı. KOBİ sistem yöneticileri, ISS operatörleri ve güvenlik araştırmacıları için.
Veri kaynakları:
- T-Pot honeypot ağı — 25 sensör, İstanbul veri merkezi. Saldırgan davranışını kayıt altına alıyor.
- RIPE Atlas probe (Sakarya) — tespit edilen tehditlerin global doğrulaması.
Honeypot ağı 30 Mart 2026’da devreye girdi. Bu yazı ilk haftanın özetidir — geçmişe dönük veri veya arşiv iddiası yok.
7 Günde Ne Gördük
OPSEC filtremizden geçmiş, yayınlanabilir veri:
| Metrik | Değer |
|---|---|
| Toplam saldırı olayı | 4.313.158 |
| Benzersiz saldırgan IP | 27.536 |
| Aktif honeypot servisi | 25 |
| Kaynak ülke sayısı | 154+ |
Günlük Trend
| Tarih | Olay Sayısı | Not |
|---|---|---|
| 30 Mart | 371.154 | Başlangıç, ısınma |
| 31 Mart | 1.088.524 | İlk pik |
| 1 Nisan | 1.111.631 | Pik devam |
| 2 Nisan | 993.179 | Yüksek trafik |
| 3 Nisan | 646.412 | Yavaşlama |
| 4 Nisan | 45.895 | %96 düşüş |
| 5 Nisan | 56.363 | Düşük devam |
4 Nisan anomalisi: %96 düşüş (646K → 45K). Muhtemel sebep: container restart veya ağ yolu değişikliği. Netleşince paylaşacağız.
Honeypot Dağılımı
| Honeypot | Olay |
|---|---|
| Suricata (IDS) | 3.242.286 |
| Cowrie (SSH/Telnet) | 479.873 |
| Dionaea (SMB/HTTP/MySQL) | 297.770 |
| Honeytrap | 110.411 |
| Sentrypeer (SIP) | 79.774 |
| Heralding (SSH brute) | 40.604 |
| Mailoney (SMTP) | 24.532 |
| Tanner (web) | 17.354 |
| ConPot (ICS) | 4.730 |
Pasif fingerprinter (Fatt, P0f) verileri gürültü olduğu için yayından hariç tutuluyor.
Beş Önemli Bulgu
Bulgu 1 — DoublePulsar Dokuz Yıl Sonra Hâlâ Zirvede
Suricata IDS’imizin en çok tetiklediği kural ET EXPLOIT DoublePulsar Backdoor oldu: 549.146 alarm, tek hafta.
DoublePulsar, 2017’de Shadow Brokers tarafından sızdırılan NSA araç setinin parçası. EternalBlue (CVE-2017-0144) ile birlikte çalışıyor: EternalBlue sistemi ele geçiriyor, DoublePulsar kalıcı arka kapı bırakıyor. WannaCry ve NotPetya gibi kampanyalarda yaygın kullanıldı.
SMB portu 445 aynı hafta 1.376.786 saldırı aldı — honeypot ağımızın en çok hedeflenen portu. Yani bu saldırı profili 9 yıl sonra hâlâ aktif ve tarama yapıyor.
Yamanmamış Windows sistemleri ve dışarıya açık SMB servisleri internette hâlâ mevcut. Botnet’ler bu yüzeyi sürekli tarıyor.
Öneri: SMBv1’i devre dışı bırakın. 445/TCP’yi dışarıya açmayın. MS17-010 yamasını kontrol edin.
Bulgu 2 — VNC Botnet Dalgası
Port 5900 (VNC) bu hafta 433.343 saldırı aldı. Suricata kuralları da destekliyor:
- GPL INFO VNC server response: 280.142 alarm
- ET EXPLOIT VNC Server Not Requiring Authentication: 8.209 alarm
- ET INFO VNC Authentication Failure: 8.195 alarm
Saldırganlar internette açık VNC sunucularını tarıyor ve kimlik doğrulama gerektirmeyenleri ele geçiriyor. Başarılı ele geçirme, uzaktan masaüstü erişimi, veri sızıntısı ve fidye yazılım vektörü anlamına geliyor.
Öneri: VNC’yi doğrudan internete açmayın. Zorunluysa VPN arkasına alın. Sadece port değiştirmek yetersiz — güçlü parola şart.
Bulgu 3 — Solana/Kripto Kimlik Bilgisi Saldırısı (Yeni Trend)
Cowrie SSH honeypotunda ilgi çekici bir trend tespit ettik. Son haftanın SSH kullanıcı adı denemelerinde kripto para altyapısına özgü isimler ortaya çıktı:
| Kullanıcı Adı | Deneme |
|---|---|
sol | 799 |
solana | 408 |
solv | 369 |
Şifre denemelerinde de aynı örüntü: solana (346 deneme), sol (224 deneme).
Bu, klasik root/admin saldırılarının ötesinde, kripto para node, validator, cüzdan daemon servislerini hedefleyen yeni bir botnet kampanyasının işareti. Başarılı bir erişim, kripto cüzdan anahtarlarına, validator identity’sine ya da staking ödüllerine erişim anlamına geliyor.
Öneri: Kripto sunucularında 22 portunu değiştirin, parola auth kapatıp sadece SSH key kullanın. Cüzdan anahtarlarını offline/HSM’de saklayın. Fail2ban ile agresif brute force engelleme şart.
Bulgu 4 — Klasik Kimlik Bilgileri Hâlâ Yaşıyor
Cowrie SSH honeypotumuzda en çok denenen kimlik bilgileri, güvenlik rehberlerinin 10 yıldır uyardığı listeyi tekrarlıyor:
| Kullanıcı Adı | Deneme |
|---|---|
| root | 14.748 |
| admin | 4.152 |
| user | 2.244 |
| ubuntu | 765 |
| Parola | Deneme |
|---|---|
| admin | 5.233 |
| 123456 | 1.207 |
| 1234 | 857 |
| password | 390 |
Ek olarak, özel bir botnet imzası tespit ettik: “Itsemoemo2025@…” ile başlayan şifre kalıpları, tek bir hafta içinde 389 deneme üretti. Bu, attribution için değerli bir imza; önümüzdeki haftalarda takibe alıyoruz.
Öneri:
PermitRootLogin noayarlayın. Parola auth yerine key auth kullanın. Yönetici hesabınaadminveyaubuntugibi bilinen isimler vermeyin.
Bulgu 5 — MikroTik RouterOS API Saldırısı (TR Özel Gözlem)
Honeypot’a gelen saldırıların port dağılımında 8728/TCP portu dikkat çekti: 29.109 saldırı olayı.
8728, MikroTik RouterOS’un API portu. Türkiye’de ISP, WISP ve kurumsal ağ pazarının büyük kısmı MikroTik altyapısı üzerinde çalışıyor. Saldırganlar bu portu tarayarak:
- Güvenlik grubu atlatma denemeleri yapıyor
- API brute force ile yönetici kimlik bilgisi arıyor
- Ele geçirilen router’ları botnet’e ekliyor (Mēris botnet gibi örnekler)
Bu, TR ağ operatörleri için özellikle kritik bir gözlem. MikroTik router’ı yönetenler için:
Öneri: 8728/8729 portlarını dışarıya kapatın.
/ip servicealtındaallowed-addresskısıtlaması ekleyin. Non-default yönetici adı + güçlü parola kullanın. RouterOS 7.20.8+ güncel tutun.
TR Radar — İlk Bakış
Türkiye, bu hafta 4. sırada kaynak ülke oldu: 215.323 saldırı olayı. Turk Telekom ASN’si kaynak ASN sıralamasında 10. sırada (83.362 olay).
Türkiye’den gelen en aktif saldırgan IP’ler (sorumlu paylaşım):
| IP | Olay | AS Holder | Kategori |
|---|---|---|---|
| 95.9.102.165 | 53.448 | TTNET | Civilian ISP (dinamik) |
| 45.141.150.180 | — | HOSTLAYICI | Hosting |
| 37.230.60.99 | — | HOSTLAYICI | Hosting |
Sorumluluk notu: Civilian ISP IP’leri (TTNet, Netspeed gibi) dinamik olabilir — bugün saldırgan olan bir IP, yarın DHCP döngüsü sonrası masum bir kullanıcının bağlantısına dönebilir. Dolayısıyla:
- Civilian ISP IP’leri için 24-72 saat geçici blok öneriyoruz.
- Hosting IP’leri için kalıcı blok uygundur.
- Her IP, kalıcı blok öncesinde IoC feed’imizde “last_seen” ile doğrulanmalı.
Detaylı TR Radar analizi, önümüzdeki hafta ayrı bir yayında yer alacak.
Public IoC Feed
Honeypot ağımızdan çıkan IP ve alan adı göstergeleri CC0 lisanslı. MISP, CrowdSec, pfSense uyumlu format hedefleniyor.
Her IoC şu yapıda olacak:
{
"ip": "1.2.3.4",
"asn": 12345,
"holder": "Example ISP",
"category": "hosting | residential_isp | unknown",
"confidence": "high | medium | low",
"first_seen": "2026-03-30T11:35:00Z",
"last_seen": "2026-04-05T12:00:00Z",
"attack_count": 12345,
"recommended_ttl": "7d"
}Metodoloji ve OPSEC
| Parametre | Değer |
|---|---|
| Altyapı | T-Pot CE 24.04.1, 25 sensör, İstanbul DC |
| Filtreleme | Pasif fingerprinter (Fatt, P0f) hariç tutulur |
| OPSEC | İç IP, DC IP, CGNAT müşteri IP → asla yayınlanmaz |
| Doğrulama | Otomatik filtre + insan onayı |
| Lisans | İçerik CC-BY-4.0, IoC CC0 |
Dinamik IP uyarısı: Civilian ISP IP’leri dinamik. Kalıcı blok öncesi
last_seenalanını kontrol edin.
Sonraki Hafta Ne Olacak
- Tellal #1 — TR Radar: Türkiye’den gelen saldırıların derinlemesine analizi, ISP/ASN kırılımı, TR KOBİ’ler için hedefli öneriler.
- Haftalık Briefing #2: 7 Nisan’da yayımlanacak, 2. haftanın verileri.
- IoC Feed Launch: JSON + CSV yayınlanacak.
- RSS ve Telegram kanalı: Abone ol duyuruları.
Nöbet sürüyor. Görüşmek üzere.
Bu yayın SiberKale Tellal tarafından bağımsız araştırma amaçlı üretilmiştir. Paylaşılan IP adresleri aktif saldırı davranışı sergileyen public kaynaklardır. Kişisel veri içermez (KVKK/GDPR uyumlu). İçerik CC-BY-4.0, IoC feed CC0 lisanslıdır.