Bülten 18–22 Mayıs: TR Hosting Kaynaklı SSH/Web Scan Patlaması
5 günde 932.788 event. 21 Mayıs'ta 509K event ile dönem zirvesi görüldü: TR kaynaklı hosting ağları Suricata trafiğinin ana gövdesini oluşturdu. 22 Mayıs'ta Hong Kong kaynaklı tek aktör Cowrie'de öne çıktı. MySQL 3306 ve Mailoney SMTP dalgaları zayıflarken TBK DVR/SOSTREA operatörü düşük hacimde devam etti.
Yönetici Özeti
17 Mayıs bülteni MSSQL mega-probe’unun sustuğunu, MySQL 3306 tarafında düşük hacimli hedef kayması başladığını ve Mailoney SMTP open-relay aramasının büyüdüğünü raporlamıştı. 18–22 Mayıs penceresinde tablo yeniden değişti: MySQL ve SMTP dalgaları zayıfladı; dönem manşetini TR kaynaklı hosting ağlarından gelen geniş SSH/Web scan patlaması aldı.
Dönemin toplamı 932.788 event. Bunun 768.898’i Suricata, 143.709’u Cowrie. 21 Mayıs tek başına 509.177 event üretti; bu 5 günlük toplamın %55’i. Coğrafi dağılımda Türkiye 671.833 event ile açık ara #1. Bu, klasik residential botnet görüntüsünden çok hosting / VPS bloklarından yayılan yatay tarama davranışına benziyor.
22 Mayıs’ta ayrı bir ikinci sinyal görüldü: Hong Kong kaynaklı tek IP Cowrie tarafında 36.776 hit bıraktı. Bu, 21 Mayıs TR spike’ından farklı; daha dar, SSH brute-force ağırlıklı ve tek aktörlü bir dalga.
Pot Dağılımı — 5 Günlük Tablo
| Pot | Event | Önceki Bülten | Not |
|---|---|---|---|
| Suricata (IDS) | 768.898 | 365.462 | 🔴 2× artış; dönem ana kaynağı |
| Cowrie (SSH/Telnet) | 143.709 | 186.530 | Hacim düştü ama 22 Mayıs tek aktör spike’ı var |
| Mailoney (SMTP) | 8.798 | 28.078 | Open-relay dalgası zayıfladı |
| H0neytr4p (HTTPS) | 7.590 | 1.718 | Web probe tarafında artış |
| Tanner (HTTP RCE) | 3.397 | 7.934 | SOSTREA/TBK düşük hacimde sürüyor |
| Dionaea | 371 | 1.617 | MSSQL sonrası düşük seviyede |
| ssh-rsa | 16 | 54 | Düşük hacim |
| Wordpot | 5 | 8 | Gürültü |
| Glutton | 4 | 4 | Sabit düşük seviye |
Önceki bültene göre en sert değişim Suricata’da. Son bültende Suricata 8 günde 365K event üretmişti; bu pencerede 5 günde 768K. Günlük ortalama yaklaşık 45K’den 154K’ye çıktı. Bu artışın büyük kısmı 21 Mayıs’taki tek günlük spike’tan geliyor.
Günlük Dağılım
| Tarih | Event | Suricata | Cowrie | Mailoney | H0neytr4p | Tanner | Not |
|---|---|---|---|---|---|---|---|
| 18 May | 57.341 | 21.397 | 29.277 | 5.613 | 285 | 683 | SMTP dalgasının son kuyruğu |
| 19 May | 212.858 | 189.372 | 18.492 | 2.618 | 1.666 | 661 | İlk TR spike |
| 20 May | 64.718 | 34.419 | 25.381 | 154 | 3.555 | 1.018 | Web probe artışı |
| 21 May | 509.177 | 487.491 | 18.786 | 179 | 1.945 | 745 | 🔴 TR hosting kaynaklı geniş scan |
| 22 May | 88.711 | 36.232 | 51.773 | 238 | 139 | 290 | 🔴 Hong Kong kaynaklı Cowrie yoğunluğu |
21 Mayıs verisi tek başına ayrı okunmalı. Suricata 487K event ile günün %96’sını oluşturuyor. Cowrie aynı gün olağan dışı büyümüyor; bu nedenle olay bir SSH credential stuffing patlaması değil, ağ katmanı / web yüzeyi taraması.
21 Mayıs'ta top kaynaklar aynı TR hosting blokları içinde kümeleniyor. En yoğun imzalar SURICATA STREAM Packet with broken ack ve ET SCAN Potential SSH Scan. Bu desen, tek tek enfekte ev cihazlarından çok, VPS/hosting aralıklarından paralel yatay tarama yapan bir operatöre işaret ediyor.
1. TR Radar: 21 Mayıs’ta Hosting Bloklarından Yatay Tarama
5 günlük ülkeler tablosunda Türkiye 671.833 event ile #1. İkinci ülke Hong Kong 41.381 event; aradaki fark 16 kat. ASN tablosu da aynı resmi gösteriyor:
| Sıra | ASN | Event | Not | |---|---:|---| | 1 | Hostlayici | 478.036 | Dönemin ana gövdesi | | 2 | Kerem Uluboy | 45.413 | 21 Mayıs spike içinde | | 3 | Bitwise Yazilim Internet Ve Ticaret Limited Sirketi | 41.304 | 19 Mayıs ve 21 Mayıs’ta belirgin | | 4 | HKT Limited | 36.780 | 22 Mayıs Cowrie spike | | 5 | Pfcloud UG | 29.933 | Önceki SOSTREA/TBK aktörü devam ediyor | | 6 | Datafex Bilisim Teknolojileri Ticaret Limited Sirketi | 24.477 | 21 Mayıs | | 7 | Dokunmatik Ekran Teknolojileri Bilisim Insaat Tic. Ltd. Sti. | 23.187 | 19/21 Mayıs | | 8 | VibeGAMES B.V. | 20.845 | 21 Mayıs |
TR kaynaklı top IP listesinde aynı /24 içinde çok sayıda IP benzer hacimle görünüyor. 21 Mayıs özelinde 37.230.60.0/24 içinden onlarca IP 1.3K–1.4K bandında event üretmiş. Bu tek host davranışı değil; dağıtılmış ama aynı kalıpla çalışan bir tarama seti.
| IP | 21 May Hit | Bağlam |
|---|---|---|
37.230.60.167 | 1.431 | Broken ACK + SSH scan kümesi |
37.230.60.63 | 1.421 | Aynı küme |
37.230.60.13 | 1.409 | Aynı küme |
37.230.60.57 | 1.407 | Aynı küme |
37.230.60.243 | 1.403 | Aynı küme |
37.230.60.199 | 1.399 | Aynı küme |
37.230.60.21 | 1.396 | Aynı küme |
37.230.60.247 | 1.395 | Aynı küme |
Bu küme aynı gün Suricata broken ack tablosunda da üst sıralarda. En yüksek imza SURICATA STREAM Packet with broken ack — 5 günde 130.845 event, bunun 92.093’ü sadece 21 Mayıs’ta.
Birden fazla IP'nin aynı gün, benzer hacimde ve benzer Suricata imzalarıyla görünmesi merkezi bir tarama iş akışına işaret ediyor. Bu tür kampanyalarda tek IP engellemek yeterli değil; /24 düzeyinde rate-limit, reputation ve davranış temelli eşik gerekir.
Savunma Notu
TR içi servis sağlayıcı ağlarından gelen trafik genellikle “yerel müşteri” varsayımıyla daha az şüpheli görülür. Bu pencere tam tersini gösteriyor: kaynak ülke Türkiye olsa bile davranış açıkça yatay keşif. Firewall kural setlerinde ülke bazlı allowlist tek başına güvenlik kontrolü değildir.
2. 22 Mayıs: Hong Kong Kaynaklı Tek Aktör Cowrie’yi Sürükledi
21 Mayıs spike’ı Suricata merkezliyken 22 Mayıs’ta Cowrie öne çıktı: 51.773 event. Günün top kaynağı:
| IP | Hit | ASN | Ülke | Bağlam |
|---|---|---|---|---|
220.241.56.171 | 36.776 | HKT Limited | HK | Cowrie ağırlıklı SSH brute-force |
Bu tek IP, 22 Mayıs toplam event’inin %41’ini ve o günkü Cowrie trafiğinin %71’ini üretti. Kullanıcı adı / şifre denemeleri klasik IoT/Linux brute-force sözlüğüne yakın: root, support, admin, 345gs5662d34, user, ubuntu.
5 günlük Cowrie kullanıcı adı tablosu:
| Kullanıcı adı | Deneme |
|---|---|
root | 11.721 |
support | 1.015 |
admin | 811 |
345gs5662d34 | 670 |
user | 604 |
ubuntu | 256 |
claude | 130 |
test | 125 |
sol | 71 |
deploy | 64 |
Şifre tablosu da aynı pattern’i destekliyor:
| Şifre | Deneme |
|---|---|
support | 1.008 |
3245gs5662d34 | 670 |
345gs5662d34 | 670 |
123456 | 654 |
123 | 191 |
password | 190 |
admin | 188 |
P@ssw0rd | 84 |
claude | 61 |
345gs5662d34 / 3245gs5662d34 çifti hâlâ canlı. Nisan ortasında Winbox credential mystery olarak incelediğimiz bu imza 6 haftadır farklı dalgalarda tekrar ediyor. Yeni olan, claude kullanıcı adı/şifresinin hâlâ düşük ama sürekli görünmesi. Bu büyük bir kampanya değil; ancak saldırgan sözlüklerinin AI/servis hesabı isimlerini içerecek şekilde güncellendiğini gösteriyor.
deploy, postgres, oracle, claude gibi kullanıcı adları artık düşük hacimli de olsa Cowrie tablolarında düzenli görünüyor. Public SSH olan sunucularda sadece root login kapatmak yeterli değil; servis hesabı isimleri de interactive login dışına alınmalı.
3. MySQL 3306: Hedef Kayması Devam Ediyor Ama Hacim Düştü
17 Mayıs bülteninde MySQL 3306 imzası 2.930 alert üretmişti. Bu pencerede aynı imza 390 alert seviyesine düştü. Bu düşüş, MSSQL sonrası MySQL’e kayan kampanyanın geniş dalga olmaktan çıkıp düşük hacimli arka plan taramasına döndüğünü gösteriyor.
| IP | Hit | Bağlam |
|---|---|---|
1.34.162.253 | 25 | MySQL 3306 scan |
182.176.222.235 | 25 | MySQL 3306 scan |
45.153.34.32 | 25 | Önceki dönemde de görülen hosting hattı |
68.183.208.163 | 25 | Cloud/VPS kaynaklı |
45.156.87.127 | 23 | Bulgaristan hattı devam ediyor |
18.218.118.203 | 18 | Cloud kaynaklı |
85.11.167.2 | 15 | Düşük hacimli scan |
Port tablosunda 3306 hâlâ top 10 içinde: 1.569 event. Fakat dönem manşeti olmaktan çıktı. Operatör ya hedef listesini tüketti ya da farklı ağlara kaydı.
Savunma Notu
MySQL için öneri değişmedi: 3306 internete açık olmamalı. Uygulama zorunluluğu varsa bind-address, kaynak IP allowlist, kullanıcı bazlı host kısıtı ve güçlü parola politikası birlikte uygulanmalı. root uzaktan login kapalı olmalı.
4. Mailoney SMTP: 8× Patlama Sönümlendi
Önceki bültende Mailoney 28.078 event ile ana bulgulardan biriydi. Bu pencerede 8.798 event’e düştü. En yoğun gün 18 Mayıs: 5.613 event. Sonraki günlerde hızla geriledi.
| Tarih | Mailoney Event |
|---|---|
| 18 May | 5.613 |
| 19 May | 2.618 |
| 20 May | 154 |
| 21 May | 179 |
| 22 May | 238 |
Önceki dönemin Almanya kaynaklı open-relay arama aktörü (158.94.208.189) hâlâ top IP listesinde; 5 günde 14.845 event ile genel tabloda #2. Ancak 13–17 Mayıs’taki sürekli 5K/gün baseline artık yok. Bu kampanya ya hedef listesini tamamladı ya da honeypot ağımızı düşük önceliğe aldı.
Mailoney verisi 18 Mayıs'ta önceki bültenin devamı gibi başladı; 20 Mayıs itibarıyla gürültü seviyesine indi. Open-relay arayan aktörün operasyonu kesildi demek için erken, fakat bu pencere için ana risk SSH/Web scan tarafına kaydı.
5. TBK DVR / SOSTREA Aktörü: Düşük Hacimde Israr
SOSTREA/TBK hattı tamamen kaybolmadı. 5 günlük Suricata tablosunda ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection Attempt (CVE-2024-3721) 311 alert üretti.
| IP | Hit | Bağlam |
|---|---|---|
192.109.200.204 | 304 | Ana TBK/SOSTREA aktörü |
47.121.210.129 | 9 | İkincil düşük hacim |
176.65.148.93 | 1 | Tekil deneme |
5.61.209.33 | 1 | Tekil deneme |
Bu, 8 Mayıs bültenindeki yüksek hacimli Hikvision/SOSTREA dalgasının devamı değil; daha çok aynı operatör ailesinin düşük hacimli yoklama yapması. 192.109.200.204 tekrar görünmesi önemli: önceki kampanya altyapısı tamamen terk edilmemiş.
6. Conficker Top 1’den Düştü, Yeni Top İmza Broken ACK
17 Mayıs bülteninde Conficker/Downadup UDP P2P imzaları Suricata’da #1 idi. Bu pencerede top imza değişti:
| Sıra | İmza | Hit |
|---|---|---|
| 1 | SURICATA STREAM Packet with broken ack | 130.845 |
| 2 | ET SCAN Potential SSH Scan | 17.624 |
| 3 | ET INFO SSH session in progress on Expected Port | 5.284 |
| 4 | ET INFO CURL User Agent | 2.276 |
| 5 | SURICATA TCPv4 invalid checksum | 1.889 |
| 6 | ET INFO SSH-2.0-Go version string Observed in Network Traffic | 1.591 |
| 7 | ET INFO Request to Hidden Environment File - Inbound | 1.201 |
| 8 | SURICATA STREAM spurious retransmission | 1.103 |
| 9 | ET DROP Dshield Block Listed Source group 1 | 799 |
| 10 | ET HUNTING Mozilla User-Agent (Mozilla/5.0) Inbound Likely Fake | 571 |
Conficker’ın düşmesi iyi haber gibi okunmamalı; bu pencere için gürültü kompozisyonu değişti. 21 Mayıs’taki broken ACK ve SSH scan dalgası, eski malware artıklarından daha baskın hâle geldi.
ET INFO Request to Hidden Environment File - Inbound 1.201 alert ile ayrıca not edilmeli. Top kaynaklar:
| IP | Hit | Bağlam |
|---|---|---|
185.177.72.24 | 711 | .env/gizli dosya arama |
80.94.95.211 | 197 | .env/gizli dosya arama |
45.135.193.157 | 84 | .env/gizli dosya arama |
151.243.150.23 | 54 | .env/gizli dosya arama |
45.135.193.156 | 48 | .env/gizli dosya arama |
Bu düşük hacimli ama yüksek sinyalli bir kategori. Web kök dizininde .env, .git, backup arşivi veya config dosyası sızdıran sistemler hâlâ otomatik olarak aranıyor.
7. Top Aktörler ve Coğrafi Dağılım
Top 10 Dış Kaynak IP
| Sıra | IP | Hit | Bağlam |
|---|---|---|---|
| 1 | 220.241.56.171 | 36.776 | 22 Mayıs HK Cowrie spike |
| 2 | 158.94.208.189 | 14.845 | SMTP dalgasının kuyruğu |
| 3 | 185.177.72.24 | 9.465 | Hidden env file probing |
| 4 | 192.109.200.50 | 6.773 | Pfcloud / SSH-Web scan |
| 5 | 176.65.132.156 | 6.730 | Cowrie + scan |
| 6 | 45.156.87.204 | 4.864 | Hosting kaynaklı scan |
| 7 | 176.65.132.24 | 4.857 | Cowrie + scan |
| 8 | 151.243.150.23 | 4.802 | Web/env probing |
| 9 | 47.93.143.121 | 4.321 | 18 Mayıs Cowrie |
| 10 | 193.111.117.35 | 3.187 | 19/21 Mayıs scan |
Top 10 Ülke
| Sıra | Ülke | Event |
|---|---|---|
| 1 | 🇹🇷 Türkiye | 671.833 |
| 2 | 🇭🇰 Hong Kong | 41.381 |
| 3 | 🇩🇪 Almanya | 36.457 |
| 4 | 🇺🇸 ABD | 26.378 |
| 5 | 🇨🇳 Çin | 17.998 |
| 6 | 🇧🇬 Bulgaristan | 15.473 |
| 7 | 🇳🇱 Hollanda | 14.566 |
| 8 | 🇫🇷 Fransa | 12.438 |
| 9 | 🇸🇬 Singapur | 11.210 |
| 10 | 🇻🇳 Vietnam | 9.334 |
Top Portlar
| Port | Event | Yorum |
|---|---|---|
| 22 | 310.025 | SSH scan/brute-force ana yüzey |
| 443 | 232.506 | HTTPS web probing |
| 80 | 232.042 | HTTP web probing |
| 25 | 16.573 | SMTP/open-relay kuyruğu |
| 8080 | 15.421 | Alternatif web/admin panel probing |
| 3306 | 1.569 | MySQL düşük hacimli devam |
| 110 | 802 | POP3 probing |
| 993 | 707 | IMAPS probing |
| 143 | 554 | IMAP probing |
| 587 | 180 | Submission probing |
Savunma Önerileri
Public SSH için parola login'i kapatın, root login'i devre dışı bırakın, servis hesaplarını interactive shell dışına alın. Fail2ban/sshguard yanında kaynak ASN ve davranış bazlı rate-limit kullanın.
.env, .git, backup arşivleri ve framework config dosyalarının web kökünden erişilemediğini doğrulayın. 8080/8000/5000 gibi geliştirme portlarını internete açık bırakmayın.
MySQL 3306'yı internete kapatın. Zorunluysa kaynak IP allowlist, bind-address, kullanıcı bazlı host kısıtı ve güçlü parola politikası uygulayın.
Postfix/Exim relay ayarlarını kontrol edin. Port 25 sadece MX trafiği almalı; 587/465 TLS+SASL zorunlu olmalı. Open relay testlerini düzenli otomasyona alın.
Metodoloji
Veriler SiberKale Hisar gözlemevi T-Pot kurulumundan OPSEC filtreli extractor aracılığıyla alınmıştır. Dahili IP’ler, sensör konumları, pasif parmak izi gürültüsü ve yayınlanmaması gereken ağlar dışlanmıştır. IP tabloları extractor içindeki sanity_check_ips() kontrolünden geçen aggregate sonuçlardan üretilmiştir.
© SiberKale — CC BY 4.0