Mendeteksi Serangan Hacker Ke Mesin Linux

Jasakom - Menjadi seorang pengaman adalah jauh lebih sulit dari pada seorang perusak. Setiap saat anda harus berada dalam keadaan 'siap' mengahadapi serangan dari musuh Ibarat dalam pertempuran fisik, jauh lebih menyenangkan menjadi seorang penyerang dari pada yang diserang.

Pertengahan tahun 2003 (Masehi) ada berita yang lumayan menggegerkan dunia hacking dijagat raya. Server dari seorang hacker yang terkenal pada jamannya kena bobol. Nah..?!

Anda menjadi seorang admin (baik pada *NIX atau WIN /NT) sudah seharusnya anda memiliki banyak pengetahuan mengenai keamanan server yang anda jaga. Dalam artikel pribadi saya kesekian kalinya ini, saya akan mencoba mengupas beberapa teknik pengamanan *NIX OS yang saya ambil contohnya pada LINUX OS.

Dalam system LINUX ini, command - command (perintah yang dieksekusi) yang saya pakai adalah perintah yang umum yang digunakan secara manual. Banyak beredar software - software (esploit) yang menawarkan kemudahan yang patut anda coba.

login as: kerinduan
Sent username "kerinduan"
kerinduan@216.198.205.60's password:
No mail.
[kerinduan@celtics kerinduan]$

Menjadi seorang admin, anda harus jeli dalam memeriksa setiap struktur dari server anda. Biasanya para penyusup menambahkan user baru di file passwdnya. Alangkah baiknya kalau anda selalu membuat back-up tersendiri dari user - user yang mempunyai akses keserver tersebut. Perhatikan skenario berikut.

[kerinduan@celtics kerinduan]$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/adm:
lp:x:4:7:lp:/var/spool/lpd:
ganknet:x:0:0::/etc/ganknet:/bin/bash
kerinduan:x:0:0::/etc/kerinduan:/bin/bash
--- etc ---
[kerinduan@celtics kerinduan]$

Kita asumsikan bahwa list user yang asli adalah daftar diatas dan sudah kita buat salinannya (back up). Dan beberapa waktu kemudian, kita mencoba melihat listnya dan sudah berubah. Coba perhatikan skenario dibawah;

[kerinduan@celtics kerinduan]$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/adm:
lp:x:4:7:lp:/var/spool/lpd:
ganknet:x:0:0::/etc/ganknet:/bin/bash
kerinduan:x:0:0::/etc/kerinduan:/bin/bash
legacy:x:0:0::/etc/legacy:/bin/bash
ker1nduan:x:0:0::/etc/ker1nduan:/bin/bash
--- etc ---
[kerinduan@celtics kerinduan]$

Dari hal tersebut, diperlihatkan list dari user yang memiliki akses keserver tersebut. Dengan membuat salinannya, maka anda akan segera tahu kalau server anda kesusupan oleh hacker. Biasanya mereka langsung meng -add user. Tetapi ada kalanya hacker membuat backdoor lain, misalnya dengan backdoor port atau password term yang akan langsung memberi akses root. Dari list diatas ada yang menambahkan user dengan menambahkan user legacy dan ker1nduan. Berarti ada kemungkinan server anda kemasukan.

Yang lebih menyeramkan adalah apabila hacker menanamkan sejenis file mata - mata yang biasa disebut sniffer yang biasanya berjalan dibelakang layar. Untuk memeriksa hal ini, anda harus meneliti koneksi ethernet tersebut satu - persatu. Hacker dengan mudah dapat mengintip setiap tty.

Sewaktu anda log in kedalam server anda, ada banyak hal yang bisa anda lakukan untuk mendeteksi keamanan server anda.

Dengan command w
[kerinduan@celtics kerinduan]$ w
3:38am up 2 days, 16:05, 22 users, load average: 1.45, 1.26, 1.05
User tty login@ idle JCPU PCPU what
kerinduan ttyp0 12:29pm 5 38 8 /usr/local/bin/bbs
ganknet ttyp1 3:04am 2 53 3 bash
rpc ttyp2 3:27am 4 3 more
ident ttyp3 3:28am 1 14 3 menu
named ttyp6 8:52pm 6:46 1 /usr/ucb/tset -s -m dialup ?vt10
[kerinduan@celtics kerinduan]$

Semua aktifitas dari user diperlihatkan dengan command ini, walau tidak secara mendetail. Program - program yang dijalankan juga akan diperlihatkan. Misalkan pada hal diatas anda dapat melihat waktu pemakaian, lamanya sistem dijalankan, siapa saja yang sedang login pada sistem dengan hak ases yang mereka miliki.

Dengan command finger
[kerinduan@celtics kerinduan]$ finger
Login Name TTY Idle Login Time Location Work Phone
kerinduanAlex p0 8 Apr 17 12:29
ganknet Arnab s6 1 Apr 18 03:50
rpc awaispw u3 20 Apr 18 03:17
ident JacekK p1 9 Apr 18 03:04
named Jeremy Lamb *s3 Apr 15 15:41
[kerinduan@celtics kerinduan]$

Command ini menunjukkan siapa saja yang sedang memasuki system dengan hak akses TTY yang mereka miliki. Time mereka masuk dan dari mana mereka masuk ke system.

Dengan command who
[kerinduan@celtics kerinduan]$ who
kerinduan ttyp0 Apr 17 12:29 (80.237.63.171)
ganknet ttyp1 Apr 18 03:04 (80.55.133.50)
rpc ttyp2 Apr 18 03:27 (adsl-66-121-4-17)
ident ttyp4 Apr 18 01:35 (amm-group.ru)
named ttyp5 Apr 18 03:28 (202.143.48.203)
[kerinduan@celtics kerinduan]$

Command ini menunjukkan list keterangan dari user yang sedang memasuki system. Biasanya didapat dari file /etc/utmp.

Dengan command ps
[kerinduan@celtics kerinduan]$ ps
Sebaiknya menggunakan optionsnya, untuk memberi keterangan yang lebih lengkap lagi.

[kerinduan@celtics kerinduan]$ ps -agux
USER PID %CPU %MEM SZ RSS TT STAT START TIME COMMAND
kerinduan 20385 43.4 0.2 256 508 p5 R 03:54 0:00 ps -agux
msql 180 22.9 0.0 128 68 ? S Apr 15126:51 /usr/local/Hughes/bin/msql2d
miragett 8404 13.4 0.8 1372 2008 p4 S 01:36 1:32 lynx
root 88 9.0 6.41621215704 ? S Apr 15281:19 /usr/local/libexec/named
liwenda 20362 5.8 0.2 72 412 q8 S 03:54 0:00 -csh (csh)
nsendra 20364 4.2 0.7 556 1744 t1 S 03:54 0:00 lynx
root 15747 4.0 0.3 432 648 ? S 02:57 0:13 sendmail: GAA24006 smtp-mx.mac.com.: clien
root 20324 1.6 0.3 148 624 ? S 03:53 0:01 /usr/local/libexec/sshd
root 124 0.0 0.2 184 440 ? S Apr 15 3:40 /usr/local/libexec/httpd -f /usr/local/etc
ganknet 18468 0.0 0.1 72 160 p5 S 03:28 0:01 -csh (csh)
msql 155 0.0 0.0 52 0 ? IW Apr 15 0:00 /bin/csh -c /usr/local/Hughes/bin/msql2d
---etc---
[kerinduan@celtics kerinduan]$

Disarankan, untuk mencegah adanya penjalanan file disystem dengan sistem penghilanganan proses, sebaiknya gunakan option w.
Perhatikan dibawah;

[kerinduan@celtics kerinduan]$ ps -aguxw
USER PID %CPU %MEM SZ RSS TT STAT START TIME COMMAND
nsendra 20562 7.9 0.1 24 232 t1 S 03:56 0:00 /usr/local/grex-scripts/.inet_real/telnet
root 665 7.5 0.0 12 8 ? S Apr 15126:43 update
cfadm 20518 4.4 0.1 100 348 q8 S 03:55 0:00 /usr/local/bin/bbs
root 88 2.3 6.41621215712 ? S Apr 15281:30 /usr/local/libexec/named
miragett 8404 0.4 0.8 1372 2008 p4 S 01:36 1:37 lynx
root 2 0.0 0.0 0 0 ? D Apr 15 0:24 pagedaemon
root 1 0.0 0.0 52 0 ? IW Apr 15 1:35 /sbin/init -
root 20561 0.0 0.2 276 392 ? S 03:56 0:00 sendmail: server [61.175.235.60] cmd read
---etc---
[kerinduan@celtics kerinduan]$

Command ini menunjukkan tentang kepemilikan user, proses ID (dengan nomer proses), STAT, penggunaan memory baik virtual maupun yang resident. Juga waktu penggunaan proses, baris perintah yang dijalankan dan masih banyak lagi yang lain. Para hacker yang sering nampang nick di IRC biasanya menginstal psyBNC. Dan biasanya program ini berjalan dibelakang layar. Perhatikan dengan jeli setiap program yang running di system anda. Para hacker bisa saja merubah nama dari psyBNC ini atau malah menggunakan hider (penghilang).

Dengan command last
[kerinduan@celtics kerinduan]$ last

Sebaiknya dengan menggunakan option -n. Karena keterangan yang ditunjukkan akan banyak sekali. Terkadang semalam kita sudah menjalankan perintah ini, maka akan teraa membosankan karena diulang kembali keterangan yang diperoleh. Parameter -n yang memang sudah disediakan akan menunjukkan banyaknya user yang terakhir.

[kerinduan@celtics kerinduan]$ last -10
tkessler ftp sprint-65-160-22 Fri Apr 18 04:01 - 04:01 (00:00)
ftp ftp 213-140-15-170.f Fri Apr 18 04:01 - 04:01 (00:00)
kerinduan ttyu3 202.141.62.10 Fri Apr 18 04:01 still logged in
tkessler ftp sprint-65-160-22 Fri Apr 18 04:01 - 04:01 (00:00)
quit ttyue a224.sstar.com Fri Apr 18 04:01 - 04:01 (00:00)
ganknet ttyr6 tan7.ncr.com Fri Apr 18 04:01 still logged in
quit ttytf 194.63.202.197 Fri Apr 18 04:00 - 04:00 (00:00)
tsty ttyqe 65.29.112.48 Fri Apr 18 04:00 still logged in
kimmi ttyu3 202.141.62.10 Fri Apr 18 04:00 - 04:01 (00:01)
taylorts ttyqe 65.29.112.48 Fri Apr 18 03:59 - 04:00 (00:00)

Command ini akan memberikan keterangan tentang user yang masuk dan out dari system.

Dengan command lastcomm
[kerinduan@celtics kerinduan]$ lastcomm
sendmail F root __ 0.14 secs Fri Apr 18 04:02
sendmail SF root __ 0.61 secs Fri Apr 18 04:02
ftpd S root __ 1.23 secs Fri Apr 18 04:02
sh root __ 0.05 secs Fri Apr 18 04:02
telnetd F root __ 0.06 secs Fri Apr 18 04:02
sh S bye __ 0.41 secs Fri Apr 18 04:01
stty bye ttyt8 0.34 secs Fri Apr 18 04:02
sleep bye ttyt8 0.22 secs Fri Apr 18 04:02
sendmail F tsty ttyqe 0.33 secs Fri Apr 18 04:01
sendmail F root __ 0.25 secs Fri Apr 18 04:02
sendmail F root __ 0.50 secs Fri Apr 18 04:02
mesg S amitray ttyp2 0.34 secs Fri Apr 18 04:02
stty amitray ttyp2 0.14 secs Fri Apr 18 04:02
bash F amitray ttyp2 0.16 secs Fri Apr 18 04:02
tset amitray ttyp2 0.34 secs Fri Apr 18 04:02
sendmail F root __ 0.22 secs Fri Apr 18 04:02
wc patrice ttyq5 0.42 secs Fri Apr 18 04:01
who patrice ttyq5 0.39 secs Fri Apr 18 04:01
sendmail SF root __ 0.97 secs Fri Apr 18 04:01
telnetd F root __ 0.08 secs Fri Apr 18 04:01
bash S kimmi __ 1.34 secs Fri Apr 18 03:58
---etc---
[kerinduan@celtics kerinduan]$

Dengan menggunakan command lastcomm, maka perintah terakhir yang dijalankan akan diperlihatkan dengan lengkap. Baik oleh root maupun user biasa.

Dengan command netstat
[kerinduan@celtics kerinduan]$ netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
64.37.112.5 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.21 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.4 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.20 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.7 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.23 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.6 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.22 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.26 * 255.255.255.255 UH 0 0 0 eth0
64.37.112.0 * 255.255.255.224 U 0 0 0 eth0
64.0.0.0 * 255.0.0.0 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 64.37.112.1 0.0.0.0 UG 0 0 0 eth0
---etc---
[kerinduan@celtics kerinduan]$

Command ini akan memperlihatkan koneksi internet yang aktif. Selain dengan option -r, ada beberapa option lagi yang disarankan untuk dijalankan, diantaranya -a yang juga memberikan socket domain UNIX yang aktif dan keterangan mengenai lokal addressnya.

Dengan command ifconfig
[kerinduan@celtics kerinduan]$ ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:04:76:33:56:59
inet addr:203.130.204.181 Bcast:203.130.204.183 Mask:255.255.255.248
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:40792 errors:0 dropped:0 overruns:0 frame:0
TX packets:200294 errors:0 dropped:0 overruns:0 carrier:0
collisions:50 txqueuelen:100
Interrupt:11 Base address:0xa800

eth1 Link encap:Ethernet HWaddr 00:04:76:33:54:17
inet addr:192.168.3.1 Bcast:192.168.3.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
---etc---
[kerinduan@celtics kerinduan]$

Perintah ini akan memperlihatkan konfigurasi dari interface jaringan yang berada dalam modus premiscuous.

Sebagai tambahan, ada beberapa perintah yang bisa dimodifikasi oleh hacker yang menyusup kesystem anda. Biasanya karena mereka tahu dan mengerti dari mana informasi suatu file tersebut didapat. Misalkan perintah 'who' didapat dari file /etc/utmp. Perintah ini bisa ditangkal oleh hacker. Perintah 'last' pada file /var/adm/wtmp. Penyusup bisa meyembunyikan jejak mereka dengan menghapus atau memodifikasi file /var/adm/wtmp.
Selain itu, file /var/log/syslog yang berisi pesan yang berhubungan dengan berbagai tipe koneksi ke system. Isi dari file ini diberikan oleh file /etc/syslog.conf.

File /var/adm/messages, berisi semua pesan yang dikirimkan ke console. Isi dari file ini diberikan oleh file /etc/syslog.conf.

Memeriksa system anda dengan command ini, anda hanya cukup mengaplikasikannya dengan menambahkan more;

[kerinduan@celtics kerinduan]$ more /var/log/syslog

Dengan command ini, akan diperlihatkan waktu pengiriman semua pesan yang dikirimkan ke console yang dapat berupa email lengkap dengan headernya beserta ip dan sub domainnya.

[kerinduan@celtics kerinduan]$ more /var/adm/messages

Dengan command ini, akan diperlihatkan setiap user yang login, baik yang sukses maupun yang gagal. Dan juga passwd su -nya serta waktu log in nya.

Jelilah!! Selalu perhatikan setiap perobahan yang terjadi pada server anda. Perhatikan secara berkala apakah system kita sudah berjalan dengan normal? Cari nama file atau direktori yang biasa digunakan oleh hacker. Periksa sistem dan file log. Sangat sering penyusup mengubah system program untuk menyembunyikan penyusupan. Ada kalanya dengan membuat nama file atau direktory yang tersembunyi. Misalnya dengan ama file yang dimulai dengan tanda dot ".".

Pastikan juga, apakah semua user yang login keserver tersebut merupakan user yang memiliki akses yang sah. Kenali user anda, apa dia mau menggunakan software yang jelas - jelas tidak legal.

Ada yang lebih kurang, silahkan hubungi ke e-mail saya 'kerinduanbox@yahoo.com' atau silahkan cari di #ganknet dal.net.

Saya ingin menuangkan segenap isi hati saya untuk menyatakannya kepada anda semua. Tetapi kemampuan saya terbatas. Saya tahu dan sadar bahwa kemampuan saya tidak ada apa - apanya. Karangan ini, hendaknya tidak menjadi tolak ukur yang menjadi landasan anda dalam keamanan server anda. Berfikirlah dan berbagi. Adalah lebih menyenangkan kalau anda memberi sesuatu hal kepada orang lain untuk tujuan kebaikan.

Bersama ini juga saya mintakan maaf saya yang sebesar - besarnya kepada crew #hackingcentre. Sungguh, saya mendeface situs resmi channel anda bukanlah untuk tujuan gagah - gagahan atau ingin menambah ketenaran. Kalian mungkin tidak tahu kejadian sebenarnya. Silahkan buat anak2 hackingcentre baca mirrornya di http://www.zone-h.org/defaced/2003/02/12/hackingcentre.org/a.htm

Teristimewa buat kecoa_salto, aku minta maaf yang sebesar - besarnya, kalau memang apa yang sudah kulakukan belum cukup untuk membalas kesalahan saya.. katakan apa yang harus saya lakukan.

Buat joegoel aka predator (Medanhacking, Hiddenline beserta kroni - kroninya), kelaut aja. Indonesia tidak butuh kelompok tidak bertanggung jawab dan yang memiliki otak udang seperti kalian. Maafkan saya.. (Sama dengan #trippinsmurf, #woh [fone_tone, [rafa] dkk).

Thanks buat HvD-79, A_Black_List, Er4s3r (rajin belajar adek), Firma Doloksaribu, Badia Nainggolan, Auror, xfree86setup, Cupid^, Panjie, scut, henz
Kupersembahkan buat #GankNet, #Antimedanhacking, , #powhack, #k-elektronik, #madcodes, #hackingcentre, #deface-team, #minangcrew, #cracxer, #makassarhacking, #antihackerlink, #hackerlink, #jasakom, #ttyp0, #porseaku, #indocracker, #indohackerlink, #hackermuda, #neoteker, #level9-team, #indonesianhacker
Semua team itu bagus, tapi yang lebih penting adalah 'kemampuan dan hati'.

 -= Salam hangat buat kawanku Kerinduan@DALNET =-
Post a Comment

Popular posts from this blog

Update WINDOWS 7 yang wajib dihindari

Panduan 5menit untuk mencari backlink berkualitas tinggi

Cara Pasang Meta Tag SEO Friendly dan Valid HTML5 pada Blogger