Lansmandan Hemen Sonra Yaşanan AWS EC2 Botnet Enfeksiyonu Üzerine İki Vaka Analizi (Security Group’tan Docker İzolasyonuna)
(qa-arena.qalabs.kr)QA mühendisleri için test kodu oluşturma üzerine uygulamalı bir pratik platformu olan QA Arena’yı kısa süre önce yayına aldım.
Servisi yayına aldıktan sonra "GeekNews’e bir tanıtım yazısı paylaşayım" diye düşünüyordum, ancak tanıtımdan önce bir AWS güvenlik olayı geri değerlendirmesi (Post-Mortem) paylaşmış oldum.
'Hız odaklı geliştirme (Vibe Coding)' ile hızlıca geliştirirken gözden kaçan güvenlik ayarlarının ne gibi sonuçlar doğurduğunu ve buna QA perspektifinden nasıl müdahale ettiğimizi paylaşıyorum.
1. Incident Timeline & Analysis
-
Phase 1 (2025.12): Inbound/Outbound Policy Failure
- Belirti: İstancede CVE-2017-18368 gibi IoT exploit saldırılarının izleri ve anormal iletişim tespit edildi.
- Neden: Security Group’un Egress (çıkış) kuralı
All Trafficolarak açıktı; bu yüzden enfekte süreç dış dünya ile iletişim kurabiliyordu. - İlk müdahale: Kirlenmiş instance izole edildi ve yönetici erişimini kısıtlamak için AWS Systems Manager (SSM) devreye alındı.
-
Phase 2 (2026.01.14): Docker Container Escape
- Belirti: AWS Trust & Safety ekibinden "Botnet C&C sunucusuyla iletişim tespit edildi" şeklinde bir Abuse Report alındı. (IP:
72.62.195.44) - Kök neden: Kullanıcı tarafından gönderilen kodu çalıştıran Docker container’ına ağ izolasyonu uygulanmamıştı. Yapay zeka tarafından üretilen kod kullanılırken
network_modeayarı atlanmıştı.**
- Belirti: AWS Trust & Safety ekibinden "Botnet C&C sunucusuyla iletişim tespit edildi" şeklinde bir Abuse Report alındı. (IP:
- Mitigation (Teknik müdahale)**
Olay fark edilir edilmez, QA sürecini altyapı alanına da uygulayarak aşağıdaki adımları attık.
- Network Isolation: Kötü amaçlı IP ile olan tüm aktif bağlantılar engellendi.
- Security Group Hardening: Outbound trafik katı biçimde yalnızca HTTPS(443) ile sınırlandı.
- Code Patch:
docker_service.pykodu düzeltilerek tüm worker container’laranetwork_mode="none"zorunlu olarak uygulandı.
3. Conclusion
Yukarıdaki önlemleri AWS tarafına (Evidence Attached) ileterek nihayetinde [Resolved] kararı aldık.
[IMG] AWS çözüm kanıtı görseli
![[IMG] AWS çözüm kanıtı görseli](https://github.com/JunghyunRyu/qa_labs/raw/main/docs/20251231_%ED%95%B4%EA%B2%B0_%EC%9D%B4%EB%AF%B8%EC%A7%80.png){kind=link}
Bu olay, "QA kapsamının uygulama kodunun ötesine geçerek altyapı yapılandırmasına (Configuration) kadar genişlemesi gerektiğini" gösteriyor.
Zorlu bir ilk sınavdan geçip güvenlik doğrulamasını da tamamlamış olan QA-Arena için geri bildirimlerinizi bekliyorum.
🔗 QA-Arena: https://qa-arena.qalabs.kr/
2 yorum
Yapay zekayı kullanırken ortaya çıkan güvenlik sorununu yapay zekayla çözüp süreci de yapay zekayla düzenleyerek Geek News'te paylaştım
Vay canına..