Sunucu Log Analizi: Saldırı Girişimlerini Nasıl Tespit Edersiniz?

Sunucu Log Analizi: Saldırı Girişimlerini Nasıl Tespit Edersiniz?

Sunucu log analizi, web sitenizi ve sunucularınızı kötü niyetli saldırılardan korumanın en temel yollarından biridir. Her gün milyonlarca siber saldırı gerçekleşmekte ve bu saldırıların %60'ından fazlası başlangıçta log dosyalarında küçük ipuçları bırakmaktadır. Bu kılavuzda, sunucu log dosyalarını analiz ederek saldırı girişimlerini nasıl tespit edeceğinizi detaylı olarak açıklayacağız.

Başarılı bir log analizi stratejisi, olası ihlalleri erken aşamada tespit etmenizi ve sistem güvenliğinizi artırmanızı sağlar. Modern siber tehditlere karşı savunma yapabilmek için log yönetimi artık bir opsiyon değil, zorunlu bir gereklilik haline gelmiştir.

Sunucu Log Dosyaları Nedir ve Neden Önemlidir?

Sunucu log dosyaları, web sunucunuzun, işletim sisteminizin ve uygulamalarınızın gerçekleştirdiği tüm aktivitelerin kayıtlarını içeren metin dosyalarıdır. Bu dosyalar; ziyaretçi IP adreslerini, erişilen URL'leri, hata mesajlarını, HTTP durum kodlarını ve zaman damgalarını içerir.

Güvenlik açısından log dosyaları, siber tehditlerin tespit edilmesinde kritik bir rol oynar. Bir saldırgan sisteminize girmeye çalıştığında, mutlaka log dosyalarında iz bırakır. Bu izleri analiz ederek saldırı girişimlerini önceden tespit edebilirsiniz.

Temel Log Dosyası Türleri

Sunucu güvenliği için en önemli log türleri şunlardır:

• Access Log (Erişim Logları): Sunucunuza yapılan tüm HTTP isteklerini kaydeder. Bu loglar, hangi sayfaların ziyaret edildiğini, hangi IP adreslerinden erişim yapıldığını gösterir.
• Error Log (Hata Logları: Sunucu hatalarını, 404 sayfalarını ve uygulama hatalarını içerir. Saldırganların kullandığı açıkları tespit etmek için kritiktir.
• Security Log (Güvenlik Logları): Giriş denemeleri, başarısız kimlik doğrulama girişimleri ve güvenlik duvarı olaylarını kaydeder.
• System Log (Sistem Logları): İşletim sistemi düzeyindeki olayları, servis başlatma/durdurma işlemlerini ve sistem hatalarını içerir.

Saldırı Girişimlerini Tespit Etmek İçin Log Analizi Yöntemleri

Saldırı girişimlerini log dosyalarında tespit etmek için belirli kalıpları ve anomalileri aramanız gerekir. Aşağıda en yaygın saldırı türlerini ve bunların log dosyalarındaki izlerini bulabilirsiniz.

1. SQL Injection (SQL Enjeksiyonu) Tespiti

SQL injection saldırıları, web uygulamalarına zararlı SQL kodları enjekte etmeyi amaçlar. Bu saldırılar log dosyalarında şu şekilde görünür:

• Tek tırnak ('), çift tırnak (") ve noktalı virgül (;) içeren URL'ler
• UNION, SELECT, DROP TABLE gibi SQL komutları
• -- veya /* */ yorum işaretleri
• OR 1=1 gibi mantıksal ifadeler

Örnek Log Kaydı:

192.168.1.100 - - [15 Jan 2026 10:30:45] "GET /urunler.php?id=1' OR '1'='1 HTTP/1.1" 200 5234

Bu tür kalıpları tespit etmek için düzenli ifadeler (regex) kullanabilirsiniz. SQL injection koruması için Fail2Ban gibi araçları da kullanmanızı öneririz.

2. XSS (Cross-Site Scripting) Tespiti

XSS saldırıları, kullanıcıların tarayıcılarında zararlı JavaScript kodu çalıştırmayı hedefler. Log dosyalarında şu kalıpları arayın:

• <script> etiketleri
• javascript: protcolü
• onload, onerror, onmouseover gibi olay işleyicileri
• eval(), document.cookie gibi JavaScript fonksiyonları

3. Brute Force (Kaba Kuvvet) Saldırıları

Brute force saldırıları, kullanıcı adı ve şifre kombinasyonlarını tek tek deneyerek sisteme girmeye çalışır. Bu saldırıları tespit etmek için şu kalıpları izleyin:

• Aynı IP adresinden çok sayıda başarısız giriş denemesi
• Birden fazla kullanıcı adı ile aynı şifrenin denenmesi
• Sıkıştırılmış zaman diliminde artan giriş denemeleri

Örnek Log Kaydı:

Jan 15 10:45:30 server sshd[12345]: Failed password for invalid user admin from 203.0.113.50 port 22 ssh2

4. DDoS (Distributed Denial of Service) Tespiti

DDoS saldırıları, sunucunuzu aşırı yükleyerek hizmet dışı bırakmayı amaçlar. Log dosyalarında şu anomalileri arayın:

• Anormal derecede yüksek trafik artışı
• Aynı URL'ye kısa sürede çok sayıda istek
• Benzer içerikli isteklerin farklı IP'lerden gelmesi
• Sunucu yanıt sürelerinde belirgin artış

5. Path Traversal (Dizin Gezinme) Saldırıları

Bu saldırılar, sunucudaki dosya sistemine yetkisiz erişim sağlamayı dener. Log dosyalarında şu kalıpları arayın:

• ../ veya ..\ dizin gezinme karakterleri
• /etc/passwd, /windows/system32 gibi sistem dosyalarına erişim istekleri
• Null byte (%00) içeren istekler

Örnek Log Kaydı:

192.168.1.100 - - [15 Jan 2026 11:00:00] "GET /resimler.php?dosya=../../../../etc/passwd HTTP/1.1" 403 152

Log Analizi İçin Kullanılan Araçlar

Etkili log analizi için çeşitli araçlar kullanabilirsiniz. İşte en popüler ve etkili olanları:

Açık Kaynak Log Analiz Araçları

Araç Adı	Özellikler	Uygunluk
ELK Stack	Elasticsearch, Logstash, Kibana - Görselleştirme ve analiz	Orta ve büyük ölçekli sistemler
Graylog	Merkezi log yönetimi, uyarı sistemi	Kurumsal kullanım
GoAccess	Gerçek zamanlı web log analizi, terminal tabanlı	Küçük ve orta ölçekli sistemler
AWStats	Web istatistikleri, temel log analizi	Başlangıç seviyesi
Fail2Ban	Otomatik IP engelleme, saldırı tespiti	Sunucu güvenliği

Bu araçları sunucu log dosyası analizi sürecinizde kullanarak saldırı girişimlerini otomatik olarak tespit edebilir ve engelleyebilirsiniz. Özellikle Fail2Ban, Linux sunucularda brute force saldırılarına karşı etkili bir koruma sağlar.

Log Analizi için En İyi Uygulamalar

Etkili bir log analizi stratejisi oluşturmak için aşağıdaki en iyi uygulamaları takip etmenizi öneririz:

1. Merkezi Log Yönetimi: Tüm sunucularınızın log dosyalarını merkezi bir konumda toplayın. Bu, korelasyon analizi yapmanızı kolaylaştırır.
2. Log Retention (Saklama) Politikası: Log dosyalarını en az 90 gün süreyle saklayın. Bazı dü