|
Bergabung
dengan milis Jasakom-perjuangan |
|
|
 |
|
|
| Sunday, April 20, 2003- Jumlah Klik [4764] , Penulis : Sensus Doloksaribu |
|
Jasakom - Menjadi seorang pengaman adalah jauh lebih sulit
dari pada seorang perusak. Setiap saat anda harus berada dalam keadaan 'siap'
mengahadapi serangan dari musuh
Ibarat dalam pertempuran fisik, jauh lebih
menyenangkan menjadi seorang penyerang dari pada yang diserang.
Pertengahan tahun 2003 (Masehi) ada berita yang lumayan menggegerkan dunia
hacking dijagat raya. Server dari seorang hacker yang terkenal pada jamannya
kena bobol. Nah..?!
Anda menjadi seorang admin (baik pada *NIX atau WIN /NT) sudah seharusnya anda
memiliki banyak pengetahuan mengenai keamanan server yang anda jaga. Dalam
artikel pribadi saya kesekian kalinya ini, saya akan mencoba mengupas beberapa
teknik pengamanan *NIX OS yang saya ambil contohnya pada LINUX OS.
Dalam system LINUX ini, command - command (perintah yang dieksekusi) yang saya
pakai adalah perintah yang umum yang digunakan secara manual. Banyak beredar
software - software (esploit) yang menawarkan kemudahan yang patut anda coba.�
login as: kerinduan
Sent username "kerinduan"
[email protected]'s password:
No mail.
[kerinduan@celtics kerinduan]$
Menjadi seorang admin, anda harus jeli dalam memeriksa setiap struktur dari
server anda. Biasanya para penyusup menambahkan user baru di file passwdnya.
Alangkah baiknya kalau anda selalu membuat back-up tersendiri dari user - user
yang mempunyai akses keserver tersebut. Perhatikan skenario berikut.
[kerinduan@celtics kerinduan]$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/adm:
lp:x:4:7:lp:/var/spool/lpd:
ganknet:x:0:0::/etc/ganknet:/bin/bash
kerinduan:x:0:0::/etc/kerinduan:/bin/bash
--- etc ---
[kerinduan@celtics kerinduan]$
Kita asumsikan bahwa list user yang asli adalah daftar diatas dan sudah kita
buat salinannya (back up). Dan beberapa waktu kemudian, kita mencoba melihat
listnya dan sudah berubah. Coba perhatikan skenario dibawah;
[kerinduan@celtics kerinduan]$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/adm:
lp:x:4:7:lp:/var/spool/lpd:
ganknet:x:0:0::/etc/ganknet:/bin/bash
kerinduan:x:0:0::/etc/kerinduan:/bin/bash
legacy:x:0:0::/etc/legacy:/bin/bash
ker1nduan:x:0:0::/etc/ker1nduan:/bin/bash
--- etc ---
[kerinduan@celtics kerinduan]$
Dari hal tersebut, diperlihatkan list dari user yang memiliki akses keserver
tersebut. Dengan membuat salinannya, maka anda akan segera tahu kalau server
anda kesusupan oleh hacker. Biasanya mereka langsung meng -add user. Tetapi ada
kalanya hacker membuat backdoor lain, misalnya dengan backdoor port atau
password term yang akan langsung memberi akses root. Dari list diatas ada yang
menambahkan user dengan menambahkan user legacy dan ker1nduan. Berarti ada
kemungkinan server anda kemasukan.�
Yang lebih menyeramkan adalah apabila hacker menanamkan sejenis file mata - mata
yang biasa disebut sniffer yang biasanya berjalan dibelakang layar. Untuk
memeriksa hal ini, anda harus meneliti koneksi ethernet tersebut satu - persatu.
Hacker dengan mudah dapat mengintip setiap tty.
Sewaktu anda log in kedalam server anda, ada banyak hal yang bisa anda lakukan
untuk mendeteksi keamanan server anda.
Dengan command w
[kerinduan@celtics kerinduan]$ w
3:38am up 2 days, 16:05, 22 users, load average: 1.45, 1.26, 1.05
User tty login@ idle JCPU PCPU what
kerinduan ttyp0 12:29pm 5 38 8 /usr/local/bin/bbs
ganknet ttyp1 3:04am 2 53 3 bash
rpc ttyp2 3:27am 4 3 more
ident ttyp3 3:28am 1 14 3 menu
named ttyp6 8:52pm 6:46 1 /usr/ucb/tset -s -m dialup ?vt10
[kerinduan@celtics kerinduan]$
Semua aktifitas dari user diperlihatkan dengan command ini, walau tidak secara
mendetail. Program - program yang dijalankan juga akan diperlihatkan. Misalkan
pada hal diatas anda dapat melihat waktu pemakaian, lamanya sistem dijalankan,
siapa saja yang sedang login pada sistem dengan hak ases yang mereka miliki.
Dengan command finger
[kerinduan@celtics kerinduan]$ finger
Login Name TTY Idle Login Time Location Work Phone
kerinduanAlex p0 8 Apr 17 12:29
ganknet Arnab s6 1 Apr 18 03:50
rpc awaispw u3 20 Apr 18 03:17
ident JacekK p1 9 Apr 18 03:04
named Jeremy Lamb *s3 Apr 15 15:41
[kerinduan@celtics kerinduan]$
Command ini menunjukkan siapa saja yang sedang memasuki system dengan hak akses
TTY yang mereka miliki. Time mereka masuk dan dari mana mereka masuk ke system.
Dengan command who
[kerinduan@celtics kerinduan]$ who
kerinduan ttyp0 Apr 17 12:29 (80.237.63.171)
ganknet ttyp1 Apr 18 03:04 (80.55.133.50)
rpc ttyp2 Apr 18 03:27 (adsl-66-121-4-17)
ident ttyp4 Apr 18 01:35 (amm-group.ru)
named ttyp5 Apr 18 03:28 (202.143.48.203)
[kerinduan@celtics kerinduan]$
Command ini menunjukkan list keterangan dari user yang sedang memasuki system.
Biasanya didapat dari file /etc/utmp.
Dengan command ps
[kerinduan@celtics kerinduan]$ ps
Sebaiknya menggunakan optionsnya, untuk memberi keterangan yang lebih lengkap
lagi.�
[kerinduan@celtics kerinduan]$ ps -agux
USER PID %CPU %MEM SZ RSS TT STAT START TIME COMMAND
kerinduan 20385 43.4 0.2 256 508 p5 R 03:54 0:00 ps -agux
msql 180 22.9 0.0 128 68 ? S Apr 15126:51 /usr/local/Hughes/bin/msql2d
miragett 8404 13.4 0.8 1372 2008 p4 S 01:36 1:32 lynx
root 88 9.0 6.41621215704 ? S Apr 15281:19 /usr/local/libexec/named
liwenda 20362 5.8 0.2 72 412 q8 S 03:54 0:00 -csh (csh)
nsendra 20364 4.2 0.7 556 1744 t1 S 03:54 0:00 lynx
root 15747 4.0 0.3 432 648 ? S 02:57 0:13 sendmail: GAA24006 smtp-mx.mac.com.:
clien
root 20324 1.6 0.3 148 624 ? S 03:53 0:01 /usr/local/libexec/sshd
root 124 0.0 0.2 184 440 ? S Apr 15 3:40 /usr/local/libexec/httpd -f /usr/local/etc
ganknet 18468 0.0 0.1 72 160 p5 S 03:28 0:01 -csh (csh)
msql 155 0.0 0.0 52 0 ? IW Apr 15 0:00 /bin/csh -c /usr/local/Hughes/bin/msql2d
---etc---
[kerinduan@celtics kerinduan]$
Disarankan, untuk mencegah adanya penjalanan file disystem dengan sistem
penghilanganan proses, sebaiknya gunakan option w.
Perhatikan dibawah;
[kerinduan@celtics kerinduan]$ ps -aguxw
USER PID %CPU %MEM SZ RSS TT STAT START TIME COMMAND
nsendra 20562 7.9 0.1 24 232 t1 S 03:56 0:00 /usr/local/grex-scripts/.inet_real/telnet
root 665 7.5 0.0 12 8 ? S Apr 15126:43 update
cfadm 20518 4.4 0.1 100 348 q8 S 03:55 0:00 /usr/local/bin/bbs
root 88 2.3 6.41621215712 ? S Apr 15281:30 /usr/local/libexec/named
miragett 8404 0.4 0.8 1372 2008 p4 S 01:36 1:37 lynx
root 2 0.0 0.0 0 0 ? D Apr 15 0:24 pagedaemon
root 1 0.0 0.0 52 0 ? IW Apr 15 1:35 /sbin/init -
root 20561 0.0 0.2 276 392 ? S 03:56 0:00 sendmail: server [61.175.235.60] cmd
read
---etc---
[kerinduan@celtics kerinduan]$
Command ini menunjukkan tentang kepemilikan user, proses ID (dengan nomer proses),
STAT, penggunaan memory baik virtual maupun yang resident. Juga waktu penggunaan
proses, baris perintah yang dijalankan dan masih banyak lagi yang lain. Para
hacker yang sering nampang nick di IRC biasanya menginstal psyBNC. Dan biasanya
program ini berjalan dibelakang layar. Perhatikan dengan jeli setiap program
yang running di system anda. Para hacker bisa saja merubah nama dari psyBNC ini
atau malah menggunakan hider (penghilang).
Dengan command last
[kerinduan@celtics kerinduan]$ last
Sebaiknya dengan menggunakan option -n. Karena keterangan yang ditunjukkan akan
banyak sekali. Terkadang semalam kita sudah menjalankan perintah ini, maka akan
teraa membosankan karena diulang kembali keterangan yang diperoleh. Parameter -n
yang memang sudah disediakan akan menunjukkan banyaknya user yang terakhir.
[kerinduan@celtics kerinduan]$ last -10
tkessler ftp sprint-65-160-22 Fri Apr 18 04:01 - 04:01 (00:00)
ftp ftp 213-140-15-170.f Fri Apr 18 04:01 - 04:01 (00:00)
kerinduan ttyu3 202.141.62.10 Fri Apr 18 04:01 still logged in
tkessler ftp sprint-65-160-22 Fri Apr 18 04:01 - 04:01 (00:00)
quit ttyue a224.sstar.com Fri Apr 18 04:01 - 04:01 (00:00)
ganknet ttyr6 tan7.ncr.com Fri Apr 18 04:01 still logged in
quit ttytf 194.63.202.197 Fri Apr 18 04:00 - 04:00 (00:00)
tsty ttyqe 65.29.112.48 Fri Apr 18 04:00 still logged in
kimmi ttyu3 202.141.62.10 Fri Apr 18 04:00 - 04:01 (00:01)
taylorts ttyqe 65.29.112.48 Fri Apr 18 03:59 - 04:00 (00:00)
Command ini akan memberikan keterangan tentang user yang masuk dan out dari
system.
Dengan command lastcomm
[kerinduan@celtics kerinduan]$ lastcomm
sendmail F root __ 0.14 secs Fri Apr 18 04:02
sendmail SF root __ 0.61 secs Fri Apr 18 04:02
ftpd S root __ 1.23 secs Fri Apr 18 04:02
sh root __ 0.05 secs Fri Apr 18 04:02
telnetd F root __ 0.06 secs Fri Apr 18 04:02
sh S bye __ 0.41 secs Fri Apr 18 04:01
stty bye ttyt8 0.34 secs Fri Apr 18 04:02
sleep bye ttyt8 0.22 secs Fri Apr 18 04:02
sendmail F tsty ttyqe 0.33 secs Fri Apr 18 04:01
sendmail F root __ 0.25 secs Fri Apr 18 04:02
sendmail F root __ 0.50 secs Fri Apr 18 04:02
mesg S amitray ttyp2 0.34 secs Fri Apr 18 04:02
stty amitray ttyp2 0.14 secs Fri Apr 18 04:02
bash F amitray ttyp2 0.16 secs Fri Apr 18 04:02
tset amitray ttyp2 0.34 secs Fri Apr 18 04:02
sendmail F root __ 0.22 secs Fri Apr 18 04:02
wc patrice ttyq5 0.42 secs Fri Apr 18 04:01
who patrice ttyq5 0.39 secs Fri Apr 18 04:01
sendmail SF root __ 0.97 secs Fri Apr 18 04:01
telnetd F root __ 0.08 secs Fri Apr 18 04:01
bash S kimmi __ 1.34 secs Fri Apr 18 03:58
---etc---
[kerinduan@celtics kerinduan]$
Dengan menggunakan command lastcomm, maka perintah terakhir yang dijalankan akan
diperlihatkan dengan lengkap. Baik oleh root maupun user biasa.
Dengan command netstat
[kerinduan@celtics kerinduan]$ netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
64.37.112.5 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.21 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.4 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.20 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.7 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.23 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.6 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.22 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.26 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.0 * 255.255.255.224 U 0 0 0 eth0
64.0.0.0 * 255.0.0.0 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 64.37.112.1 0.0.0.0 UG 0 0 0 eth0
---etc---
[kerinduan@celtics kerinduan]$
Command ini akan memperlihatkan koneksi internet yang aktif. Selain dengan
option -r, ada beberapa option lagi yang disarankan untuk dijalankan,
diantaranya -a yang juga memberikan socket domain UNIX yang aktif dan keterangan
mengenai lokal addressnya.
Dengan command ifconfig
[kerinduan@celtics kerinduan]$ ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:04:76:33:56:59
inet addr:203.130.204.181 Bcast:203.130.204.183 Mask:255.255.255.248
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:40792 errors:0 dropped:0 overruns:0 frame:0
TX packets:200294 errors:0 dropped:0 overruns:0 carrier:0
collisions:50 txqueuelen:100
Interrupt:11 Base address:0xa800
eth1 Link encap:Ethernet HWaddr 00:04:76:33:54:17
inet addr:192.168.3.1 Bcast:192.168.3.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
---etc---
[kerinduan@celtics kerinduan]$
Perintah ini akan memperlihatkan konfigurasi dari interface jaringan yang berada
dalam modus premiscuous.
Sebagai tambahan, ada beberapa perintah yang bisa dimodifikasi oleh hacker yang
menyusup kesystem anda. Biasanya karena mereka tahu dan mengerti dari mana
informasi suatu file tersebut didapat. Misalkan perintah 'who' didapat dari file
/etc/utmp. Perintah ini bisa ditangkal oleh hacker. Perintah 'last' pada file /var/adm/wtmp.
Penyusup bisa meyembunyikan jejak mereka dengan menghapus atau memodifikasi file
/var/adm/wtmp.
Selain itu, file /var/log/syslog yang berisi pesan yang berhubungan dengan
berbagai tipe koneksi ke system. Isi dari file ini diberikan oleh file /etc/syslog.conf.
File /var/adm/messages, berisi semua pesan yang dikirimkan ke console. Isi dari
file ini diberikan oleh file /etc/syslog.conf.
Memeriksa system anda dengan command ini, anda hanya cukup mengaplikasikannya
dengan menambahkan more;
[kerinduan@celtics kerinduan]$ more /var/log/syslog
Dengan command ini, akan diperlihatkan waktu pengiriman semua pesan yang
dikirimkan ke console yang dapat berupa email lengkap dengan headernya beserta
ip dan sub domainnya.
[kerinduan@celtics kerinduan]$ more /var/adm/messages
Dengan command ini, akan diperlihatkan setiap user yang login, baik yang sukses
maupun yang gagal. Dan juga passwd su -nya serta waktu log in nya.
Jelilah!! Selalu perhatikan setiap perobahan yang terjadi pada server anda.
Perhatikan secara berkala apakah system kita sudah berjalan dengan normal? Cari
nama file atau direktori yang biasa digunakan oleh hacker. Periksa sistem dan
file log. Sangat sering penyusup mengubah system program untuk menyembunyikan
penyusupan. Ada kalanya dengan membuat nama file atau direktory yang tersembunyi.
Misalnya dengan ama file yang dimulai dengan tanda dot ".".
Pastikan juga, apakah semua user yang login keserver tersebut merupakan user
yang memiliki akses yang sah. Kenali user anda, apa dia mau menggunakan software
yang jelas - jelas tidak legal.
Ada yang lebih kurang, silahkan hubungi ke e-mail saya '[email protected]'
atau silahkan cari di #ganknet dal.net.
Saya ingin menuangkan segenap isi hati saya untuk menyatakannya kepada anda
semua. Tetapi kemampuan saya terbatas. Saya tahu dan sadar bahwa kemampuan saya
tidak ada apa - apanya. Karangan ini, hendaknya tidak menjadi tolak ukur yang
menjadi landasan anda dalam keamanan server anda. Berfikirlah dan berbagi.
Adalah lebih menyenangkan kalau anda memberi sesuatu hal kepada orang lain untuk
tujuan kebaikan.
Bersama ini juga saya mintakan maaf saya yang sebesar - besarnya kepada crew #hackingcentre.
Sungguh, saya mendeface situs resmi channel anda bukanlah untuk tujuan gagah -
gagahan atau ingin menambah ketenaran. Kalian mungkin tidak tahu kejadian
sebenarnya. Silahkan buat anak2 hackingcentre baca mirrornya di http://www.zone-h.org/defaced/2003/02/12/hackingcentre.org/a.htm
Teristimewa buat kecoa_salto, aku minta maaf yang sebesar - besarnya, kalau
memang apa yang sudah kulakukan belum cukup untuk membalas kesalahan saya..
katakan apa yang harus saya lakukan.
Buat joegoel aka predator (Medanhacking, Hiddenline beserta kroni - kroninya),
kelaut aja. Indonesia tidak butuh kelompok tidak bertanggung jawab dan yang
memiliki otak udang seperti kalian. Maafkan saya.. (Sama dengan #trippinsmurf, #woh
[fone_tone, [rafa] dkk).
Thanks buat HvD-79, A_Black_List, Er4s3r (rajin belajar adek), Firma Doloksaribu,
Badia Nainggolan, Auror, xfree86setup, Cupid^, Panjie, scut, henz
Kupersembahkan buat #GankNet, #Antimedanhacking, , #powhack, #k-elektronik, #madcodes,
#hackingcentre, #deface-team, #minangcrew, #cracxer, #makassarhacking, #antihackerlink,
#hackerlink, #jasakom, #ttyp0, #porseaku, #indocracker, #indohackerlink, #hackermuda,
#neoteker, #level9-team, #indonesianhacker
Semua team itu bagus, tapi yang lebih penting adalah 'kemampuan dan hati'.
�
Kerinduan.. bukanlah sesuatu
yang enak untuk dinikmati
Masa lalu yang buruk, andai aku mampu untuk menghapusnya
Berharap semua kembali seperti sebelumnya
Lebih kepada diriku sendiri
Tak berguna merenungi masa lalu
Yang berlalu lewatlah, terima apa adanya
Seburuk keadaan sekarang, hari esok dapat menjadi lebih buruk
Semalam yang tidak akan pernah kembali
Mengapa harus diresahkan
Dunia tidaklah pernah bergerak maju
Hanya menghabiskan waktu, menggenapkan yang sudah digariskan
Ingin ku menjadi seperti rusa kecil yang rindu air
Dengan tapak kakinya yang mungil mencoba menapak sisi sungai
Demikian aku berjalan menghampiri -Mu
Memandang kekuatan dan kemuliaan -Mu
Sebab kasih setia -Mu
Lebih dari hidup�
� |
�
Selamat Ulang Tahun buatku.
Selamat Wisuda buatku. Sukses dari -Nya besertaku�
Teriring salam dan doa buat seseorang yang jauh disana. Damai selalu bersama -Nya.
Ku 'kan selalu rindu!
�
Sensus
Doloksaribu [ Kerinduan of GankNet ]
| |
