OS | Sysadmin knowledge

Koetaradja Linux Activist

Koetardja Linux & Unix Community

Mendeteksi login SSH yang menggunakan Magic Passwd
Author : KillFinger
Email : KillFinger@linuxmail.org
Press : ISD Indohack Security Development
C : 2003
##########################################################

Just read n no comment …

1. Login dengan magic passwd:

[kill@localhost project]$ ssh -l deMilo localhost
deMilo@localhost’s password:
Last login: Thu Oct 15 11:51:04 2003 from localhost
[root@localhost deMilo]#

2. Perhatikan baik2 bagian ini:

[root@localhost deMilo]# ps awux
root 10320 0.0 0.5 2960 1352 ? S 11:46 0:00 /usr/sbin/sshd
kill 11507 1.1 4.3 53120 11052 ? S 13:01 0:01 xmms
kill 11557 0.1 0.5 2984 1476 pts/1 S 13:02 0:00 ssh -l deMilo localhost
root 11558 0.0 0.5 5556 1536 ? S 13:02 0:00 sshd: deMilo [priv]
root 11561 0.0 0.6 5644 1644 ? S 13:02 0:00 sshd:
root 11879 0.4 0.5 2600 1512 pts/2 S 13:19 0:00 -bash
kill 12206 2.2 0.5 2976 1468 pts/3 S 13:31 0:00 ssh -l john localhost
root 12207 0.6 0.6 5556 1556 ? S 13:31 0:00 sshd: john [priv]
john 12209 0.0 0.6 5644 1656 ? S 13:31 0:00 [sshd]
john 12212 2.6 0.5 2600 1512 pts/5 S 13:31 0:00 -bash
kill 12722 0.0 0.5 2976 1468 pts/4 S 14:09 0:00 ssh -l root localhost
root 12723 0.0 0.6 5564 1580 ? S 14:09 0:00 sshd: root@pts/6
root 12728 0.0 0.5 2604 1516 pts/6 S 14:09 0:00 -bash

Penjelasan bagian atas;

— Seorang user login dengan login_name “deMilo” menggunakan magic passwd, otomatis akan menjadi root:

root 11558 0.0 0.5 5556 1536 ? S 13:02 0:00 sshd: deMilo [priv]
root 11561 0.0 0.6 5644 1644 ? S 13:02 0:00 sshd:
root 11879 0.4 0.5 2600 1512 pts/2 S 13:19 0:00 -bash

— Seorang user login dengan login_name “john” menggunakan passwd nya sendiri (valid passwd):

root 12207 0.6 0.6 5556 1556 ? S 13:31 0:00 sshd: john [priv]
john 12209 0.0 0.6 5644 1656 ? S 13:31 0:00 [sshd]
john 12212 2.6 0.5 2600 1512 pts/5 S 13:31 0:00 -bash

— sytem sshd anda telah di infeksikan magic-passwd apabila tiap user yang login nampak bagian sbb:

root 11558 0.0 0.5 5556 1536 ? S 13:02 0:00 sshd: login_name [priv]
root 11561 0.0 0.6 5644 1644 ? S 13:02 0:00 sshd:

— system yang normal (tidak terinfeksi):

root 12207 0.0 0.5 5556 1536 ? S 13:31 0:00 /usr/sbin/sshd
john 12209 0.0 0.6 5644 1656 ? S 13:31 0:00 [sshd]
<– dengan tanda kurung apabila user

— apabila root yang login dengan valid passwd:

root 12723 0.0 0.6 5564 1580 ? S 14:09 0:00 sshd: root@pts/6 <– root dgn valid passwd akan tampak begini
root 12728 0.0 0.5 2604 1516 pts/6 S 14:09 0:00 -bash

3. Login dengan login_name “apache” menggunakan magic passwd:

[kill@localhost project]$ ssh -l apache localhost
apache@localhost’s password:
-sh-2.05b# id
uid=0(root) gid=0(root) groups=0(root)
-sh-2.05b# pwd
/var/www
-sh-2.05b#

4. Terlihat tanda2nya:

[kill@localhost project]$ ps awux
kill 11861 1.2 4.1 53248 10720 ? S 13:18 0:01 xmms
kill 11931 0.5 0.5 2984 1476 pts/4 S 13:20 0:00 ssh -l apache localhost
root 11932 0.0 0.5 5556 1536 ? S 13:20 0:00 sshd: apache [priv]
root 11934 0.0 0.6 5644 1644 ? S 13:20 0:00 sshd:
root 11937 0.2 0.5 2600 1516 pts/2 S 13:20 0:00 -sh
kill 11967 0.0 0.2 2580 760 pts/1 R 13:20 0:00 ps awux

Kesimpulan:
Semua valid passwd yang login di log di suatu tempat apabila ada “sshd:”. Atau dengan kata lain, apabila anda menemukan “sshd:” di command “ps awux” artinya system anda telah terinfeksi “magic_passwd”. ExpLorE y0uR 0wN sYstEm. B-Creative!!!!

5. Penutup

Keep this Open-Source spirit up. This system is aLL about binary, if you are NOT 1 then you are 0. Knowledge is belong to the world, share it. Kritik, saran dan caci maki silahkan kirim ke KillFinger@linuxmail.org.

Online BUddiEs:
A_BlAcK_LisT, Acetosal, jhon angga, ryan_the, ucoxxx, AcCezZdENieD dan KIDS_KIDS. Special buat teman2 yang tidak bisa disebutkan satu persatu di #SecretColony, #HackingCentre, #Level9-Team @t DAL.Net.

Offline d00d:
t0t0 at jasakom (kapan nge-band lagi?), erich, d0nny, edd0, din0 at SecretColony Labs n Research Group, /bsp/mnt, y0gas.

Salam hangat buat crew #IndoHack, #Neoteker, #IndoLinux. <– OpenSource Team

———————–
To follow the path;
look to the master,
follow the master,
walk with the master,
see through the master,
become the master.
———————–
Hacking is NOT instant.

Best Regs

KillFinger

Sumber: #medanhacker
Mencari tanda-tanda terjadinya penyusupan terhadap sistem
Penulis : oh_gayo
Press : ISD
Tahun : 2003
###########################################################

NOTE :

1. Artikel ini dimaksudkan untuk bahan pelajaran para admin dan siapa saja yang ingin mengembangkan pengetahuan tentang security
2. Gunakan Tutor ini jika anda anggap penting untuk mengamankan server anda

Sering Sekali lamer-lamer mendekteksi jaringan kita baik dengan beraneka ragam cara yang terkadang membuat si admin kebingunggan (panic) untuk melacaknya, untuk itu penulis mencoba memaparkan sekilas tentang langkah-langkah melakukan pendeteksian terhadap sistem yang susah tersusup atau belom tersusup, Benarkan sistem kita tersusup ? (khususnya pada sistem yang berbasix unix ato linux) sebagai jaringan yang paling banyak dipakai saat ini.

Ada pun langkah-langka yang dapat kita tempuh adalah sebagai berikut :

Memeriksa file-file log, untuk memcari koneksi dari lokasi yang tidak wajar atau mencari aktivitas yang tidak semestinya ada. sebagai contoh , periksalah “last log”, proses accounting, semua log yang dibuat oleh syslog, dan log-log yang lain yang ada kaitannya dengan keamaan. bila firewall digunakan atau router menulis log ke lokasi yang berbede dengan compromised system (sistem yang berhasil di-comprimise), jangan lupa untuk memeriks log-lognya juga. sebagai catatan, hal ini bukanlah hal yang mudah dan aman untuk dilakukan, kecuali anda melakukan log ke sebuah media yang hanya dapat diisi dengan mode append (sering sekali penyusup mengedit file-file log untuk menyembunyikan aktivitas mereka).

Memeriksa file-file setuid dan setgid (terutama file setuid root) pada sistem. sering sekali penyusup meninggalkan setuid dari /bin/sh atu /bin/time untuk memudahkan bila akan melakukan akses sebagai root di waktu yang akan datang. perintah find pada unix ato linux dapat digunakan untuk mencari file-file setuid dan segid. sebagai contoh ada dapat melakukan perintah berikut untuk mencari file-file setuid root dan setgid kmem pada seluruh lokasi didalam sistem :

contoh pemakaian:

gayo:~$ find / -user root -perm -4000 -print

gayo:~$ find / -group kmem -perm -2000 -print

keterangan : contoh ini akan mencari ke seluruh sistem / direktory, termasuk NFS/AFS yang dimount ke dalam file system, namun untuk mencegah hirarki tersebut ada beberapa perintah find yang mendukung option “-xdev” . sebagai contoh :

gayo:~$ find / -user root -perm -4000 -print -xdev

cara lain untuk mencari file-file setuid adalah dengan melakukan perintah ncheck pada tiap-tiap partisi.sebagai contoh, gunakan perintah berikut ini untuk mencari file-file setuid dan device -device khusus pada partisi /dev/rsd0g:

gayo:~$ ncheck -s /dev/rsd0g

Memeriksa file-file binary di dalam system untuk memastikan file-file binary tersebut tidak berubah. seringkali penyusup mengubah program pada sistem unix ato linux, misalkannya login, su, nestat, ifconfig, ls, find, du, df, libc, sync. semua file-file binary yang di referensikan oleh /etc/inetd.conf, dan program-program jaringan yang penting berserta library-library berbentuk objek yang dipakainya. jangan lupa untuk membandingan dengan file-file aslinya, hati-hati terhadap backupan jangan-jangan sudah terkena/terinfeksi trojan horse. ( pakailah program untuk menditeksi trojan ) contoh-contoh programnya cmp ato MD5 (program standar yang dimiliki unix ato linux) ato bisa saja anda mengunakan program lain yang bisa anda dapat kan di internet.

Memeriksa sistem dari akses penggunaan program networking secara ilegal, yang umum disebut dengan packet sniffer. penyusup mungkin menggunakan sniffer untuk menyadap user account dan password : saran penulis gunakanlah :superscan ato sejenisnya..

Memeriksa semua file yang dijalankan oleh cron dan at. seringkali penyusup sengaja meninggalkan pintu belakang (backdoor) pada sistem (bahkan setelah sistem merasa yakin telah menyelesaikan masalah yang terjadi karena sistem di -compromise). Periksa juga semua program/file yang direferensi (baik secara langsung maupun tidak langsung) oleh job-job cron dan at serta file-file job mereka sendiri, yang seharusnya tidak dapat ditulis secara bebas.

Memeriksa service-service ilegal (yang sedang berjalan). perhatikan apakah ada penambahan atau pengubahan secara ilegal pada /etc/inetd.conf, khususnya periksa entri-entri yang mengeksekusi program-program shell (misal nya /bin/sh ato /bin/csh) dan pastikan program-program yang dispefisikasikan di /etc/inetd sudah benar dan tidak diganti oleh trojan horse. periksa juga service-service legal yang diberi tanda komentar pada service-service tertentu (berarti menjalankan service tertentu), atau mengganti program inetd dengan sebuah program trojan horse.

Memeriksa file /etc/passwd pada sistem dan memeriksa juga modifikasi yang terjadi pada file tersebut, khususnya untuk pembuatan account baru, account tanpa password, atau penggubahan UID (terutama UID 0) pada account-account yang ada.

Periksa file-file konfigurasi sistem dan jaringan dari entri-entri ilegal, khususnya cari entri degnan tanda plus (+) dab bana host yang tidak diinginkan di file /etc/hosts.equiv ,/etc/hosts.lpd dan semua file-file .rhost (terutama root,uucp,ftp dan account sistem yang lain 0 pada sistem, File-file tersebut seharusnya tidak dapat ditulis secara bebas. cari file-file yang tidak wajar atau hidden pasa seluruh lokasi di sistem (file-file yang dijalankan menurut prioda waktu tertentu dan umumnya tidak dapat dilihat dengan mengunakan perinah ls), karena file seperti ini dapat digunakan untuk menyembuyikan tool dan informasi (program password cracking, file password dari sistem lain). sebuah teknik yang umum pada sistem Unix ataupun linux adalah meletakan sebuah direktory yang hidden pada user acount dengan nama yang tidak wajar , misalkan “..” atau “.. “(titik2 spasi) atau “..^G” (titik2 ctrl+G). Sekali lagi, perintah find dapat digunakan untuk mencari file hidden tersebut, contoh :

gayo:~$ find / -name “.. ” – print -xdev

gayo:~$ find / -name “.*” – print -xdev | cat -v

demikian juga dengan file-file yang memiliki nama seperti misalnya “xx” dan “.mail” (terlihat seperti file biasa bukan)

Memeriksa semua komputer pada jaringan lokal pada saat mencari tanda-tand adanya penyusupan. seringkali bila sebuah host berhasil di-compromise maka komputer lain yang berada didalam jaringan juga. hal ini bener khususnya bila jaringan menjalankan NIS (Network Information System) atau tiap-tiap host di dalam jaringan saling mempercayai melalui file .rhost dan file /etc/hosts.equiv. periksa juga host-host yang berbagi akses .rhost.

S’moga dengan pelajaran yang kecil ini kita bisa belajar bersama!..bukankah hal-hal kecil merupakan musibah bagi hal-hal yang besar

Jakarta , Awal Maret 2003

ISD – 2003

Sumber: #medanhacker
Mengenal macam-macam file-file log di server
Penulis : oh_gayo (renjana@hackermail.com)
Press : ISD (Indohack Security Development)
Tahun : 2003
#####################################################

NOTE :

1. Artikel ini dimaksudkan untuk bahan pelajaran para admin dan siapa saja yang ingin mengembangkan pengetahuan tentang file-file log
2. Gunakan Tutor ini jika anda anggap penting

File-file log adalah file yang berada di sebuah sistem yang merupakan file-file penting yang senantiasa mencatat semua kejadian-kejadian(kegiatan) yang berlangsung pada sistem. file ini sangat penting pada sebuah sistem untuk memudahkan kita khususnya admin untuk memeriksa dan menelurusi berbagai masalah yang terjadi, dengan file log si admin dengan mudah menemukan sebuah bug, sumber-sumber penyerangan, dan kerusakan-kerusakan yang terjadi pada sistem yang ditimbulkan , walaupun kita tidak mengetahui cara menanggulagi kerusakan tersebut.

File -file log kebanyakan ditulis dalam bentuk file text yang ditulis perbaris (istilah untuk namanya adalah record) oleh program-program sistem bawaan saat kita menginstall sebuah program ataupun sebuah SO (sistem operasi). sebagai contoh misalkan pada saat kita menjalankan perintah su, maka program su akan memberikan laporannya dan membubuhkan ke dalam file log sulog (file ini akan menjelaskan apakah usaha su dilakukan user tersebut sukses atau tidak).

Versi-versi Unix menyimpan file-file log-nya pada direktory berbeda-beda. umumnya file ini berada pada :

* /usr/adm —> Digunakan oleh Unix Versi lama
* /var/adm —> Digunakan oleh kebanyakan Versi Unix/Linux terbaru. dimana partisi
* /usr di-mount read only
* /var/log —> Digunakan oleh beberapa versi Solaris,Linux,BSD,dan freeBSD

didalam direktory2 diatas…terdapat subdirektory didalamnya terdapat file-file sebagai berikut

* sulog —> Melakukan log penggunaan perintah su
* utmp —> Merekam setiap user yang tengah login
* utmpx —> Extended utmp
* wtmp —> Memberikan record permanen untuk setiap kali user login dan logout, juga merekam shutdown dan star up sistem
* acct atau pacct —> Merekam perintah-perintah yang dijalankan oleh setiap user
* aculog —> Merekam dial-out modem-modem (automatic call units)
* lastlog —> Melakukan log setiap login user,baik yang sukses maupun tidak
* loginlog —> Merekam usaha-usaha pada saat login yang gagal
* messages —> Merekam output ke “console” sistem atau pesan-pesan lain yang menghasilkan dari fasilitas syslog
* wtmpx —> Extended wtmp
* vold.log —> Melakukan log error-error yang dialami atas penggunaaan external media seperti, disk-disk floppy atau CDROM.
* xferlog —> Melakukan log akses-akses ftp
* aculog —> Melakukan log pada setiap terjadi panggilan telepon yang di-dial
* uucp —> Melakukan log saat terjadi pelanggaran-pelanggaran restriksi atu penggunaan UUCP sistem (biasanya untuk aktivitas seorang user dan log-log file transfer).
* acces_log —> Melakukan log pada saat menjalankan HTTPD untuk keperluan World Wide Web.
* syslog —> Melakukan log proses-proses sistem
* dmesg —> Melakukan log pada saat server reboot
* www/access.log —> file log access web server
* www/error.log —> file log error web server
* .bash_history —> Melakukan log hasil ketikan kita diconsole
* …
* …
* dan laen-lain

sebagai catatan :

1. Jika anda adalah serang penyusup hapuslah log-log tersebut ( root only) contoh : gayo#fuck: echo ” ” >/var/log/lastlog <- menimpa file lastlog dengan character kosong begitu halnya dengan file-file log yang laen. (ini cara manual) .. kalo anda mau cara yang cihuy .. anda dapat menggunakan program seperti remove.c dan banyak lagi sejenisnya yang bisa anda dapatkan di toko2 terdekat ..heee (search dong ke paman google coy)
2. Jika anda adalah seorang admin sering-seringlah memantau file-file tersebut buat backup-an jika perlu untuk per-jam ato perhari (tergantung si admin juga sehh ..) banyak referensi program bantu yang bisa memantau file-file tersebut contoh dengan menggunakan crontab ato at sebagai penjadwalan untuk suatu proses (atur untuk permisi file log tersebut dengan menggunakan chmod 644 )

sintax yang mungkin dapat membantu :

gayo#fuck: find / -name wtmp -print (mencari lokasi dimana file wtmp berada langsung cetak dilayar)
gayo#fuck: find / -name utmp -print (mencari lokasi dimana file utmp berada langsung cetak dilayar)
gayo#fuck: find / -name lastlog -print (mencari lokasi dimana file lastlog berada langsung cetak dilayar)
gayo#fuck: find / -name last -print (mencari lokasi dimana file last berada langsung cetak dilayar)

Beberapa hal peting untuk diperiksa pada log anda :

1. Log pendek atau tidak lengkap.
2. Log yang berisikan waktu yang aneh.
3. Log dengan permisi atau kepemilikan yang tidak tepat.
4. Catatan pelayanan reboot atau restart.
5. Log yang hilang.
6. Masukan su atau login dari tempat yang janggal

Tidak ada gading yang tak retak , Jika ada salah dan kelupan mohon di maafkan karena penulis juga masih dalam tahap pembelajaran … (newbie for linux) jika ada saran dan tambahan tolong sharing ke channel #renjana.dal.net

S’moga dengan pelajaran yang kecil ini kita bisa belajar bersama!..bukankah hal-hal kecil merupakan musibah bagi hal-hal yang besar

Jakarta , Awal April 2003

(c) ISD – 2003

Sumber: #medanhacker

2 Responses to “OS | Sysadmin knowledge”

  1. mand41l1nc Says:

    Terima kasih. Salam buat ibunya ya..dan terpenting keep in touch and keep in good post

  2. Keren abiiiizzzz…salam kenal. Ibu saya juga dari Padang Sidempuan marga Daulai.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: