Our Blog

You Are Here Home Our Blog
02 Jun
Admin, in Blog 0

>Backd00r, suatu istilah yang amat dikagumi oleh l337-KiddieZ namun sangatdibenci oleh SysAdmin.Backd00r yang sekarang banyak digunakan oleh para "1337-KiddieZ" adalah backd00rSSH. Entah itu backd00r yang ber-backd00r :P~, ataupun backd00r yang dibuat secara manual denganmenginfeksikan source code dari openSSH itu sendiri. (Pada suatu research di SecretColony Labs NResearch pernah ditemukan bahwa salah satu backd00r SSH ternyata ber-backd00r dengan mengirimkan emailke "http://indosecure.net:2095/3rdparty/squirrelmail/src/compose.php?send_to=shell-punya%40yahoo.com" <--- Ayoo ngakuu, ini email siapa??? hehehe..... Selain itu jg backd00r tsb merusak library dan command2 yang ada di /bin). :( Dalam artikel ini saya coba menawarkan suatu teknik yang dapat mengamankan system anda atau lebih tepatnya adalah pencegahan dini terhadap penanaman Backd00r. Teknik yang satu ini dinamakan REVISION CONTROL. REVISION CONTROL SYSTEM (RCS) adalah suatu system untuk menyimpan revisi2 dari file konfigurasi, shell scripts, dan text2 file apapun yang anda inginkan. Dengan menggunakan RCS anda dapat mengamati perubahan2 yang terjadi pada file tersebut. Semua hasil revisi disimpan di direktosy RCS/. Bleh... sgitu aja teorinya. :) Ayoo kita kemon........ <--- pinjam istilah pak cbug at k-elektronik e-zine. (Kemana ya beliau?) Proof OF concept:Penggunaan RCSoO Untuk dapat menggunakan RCS anda harus membuat direktorynya terlebih dahulu.Letak direktory RCSharus sama dengan file yang hendak di control.root@finger:/etc# mkdir RCSNote: Pada contoh diatas penggunaan RCS di direktory /etc.oO Setelah membuat direktory RCS, langkah selanjutnya adalah menentukan file yangakan di control.root@finger:/etc# ci -i passwdRCS/passwd,v > Data passwd>> .initial revision: 1.1doneNote: "ci -i" adalah "check in -initialize", maksudnya mendaftarkan file ke system RCS.">>" Diisikan dengan deskripsi file yang di controloO Selesai menginisialisasikan suatu file, anda harus mengembalikan kembali filetersebut ke tempat asalnya.root@finger:/etc# co passwdRCS/passwd,v --> passwdrevision 1.1doneNote: "co" adalah "check out", maksudnya mengembalikan file ke tempat asalnya denganpermission "read-only".apabila anda hendak mengeditnya, gunakan command "co -l" atau setpermissionnya secara manual.root@finger:/etc# co -l passwdRCS/passwd,v --> passwdrevision 1.1 (locked)doneNote: Dimisalkan anda menambahkan user baru 'killfinger' ke system anda, maka file/etc/passwd akan ketambahandata dari user tsb.root@finger:/etc# adduser killfingeroO Langkah selanjutnya adalah merevisi ulang file yang ada di RCSroot@finger:/etc# ci -u passwdRCS/passwd,v > Added killfinger>> .doneNote: Command "ci -u" artinya "check in -unlocked". Untuk mendaftarkan kembali keRCS. Disini dapat anda lihatbahwa revisi dari file passwd menjadi 1.2Mengamati file yang di controloO Untuk dapat mengamati file yang anda control maka commandnya adalah rcsdiffroot@finger:/etc# rcsdiff passwd================================================================RCS file: RCS/passwd,vretrieving version 1.2diff -r1.2 passwdNote: Disini nampak file /etc/passwd masih aman. Perhatikan contoh berikut yangmenandakan seorang penyusuptelah menambahkan entry di file /et/passwd:root@finger:/etc# rcsdiff passwd================================================================RCS file: RCS/passwd,vretrieving version 1.2diff -r1.2 passwd35a36> qmail::0:0::/tmp:/bin/bash38c39> killfinger:x:0:510:killfinger:/home/killfinger:/bin/bash--- passwdrevision 1.2 (locked)writable passwd exists: remove it? [ny](n):ydoneNote: Command "-r1.2" artinya me-restore revisi 1.2 ke kondisi online (sekarang).Lakukan "rcsdiff" untuk memastikan.Tracking perubahan yang terjadioO Anda dapat mengamati perubahan yang terjadi terhadap file yang anda controlmenggunakan command "rcs2log"root@finger:/etc# rcs2log passwd2003-09-20 John Dando deMilo * passwd: Added killfinger* passwd: New file.oO Untuk dapat melihat versi revisinya tambahkan command "-v".root@finger:/etc# rcs2log -v passwd2003-09-20 John Dando deMilo * passwd 1.2: Added killfinger* passwd 1.1: New file.Note: Apabila anda menemukan sesuatu yang mencurigakan, periksa dengan "rcsdiff"antara revisi yang mencurigakan denganrevisi sebelumnya. Misalnya revisi yg mencurigakan adalah revisi 1.40 makacommandnya:root@finger:/etc# rcsdiff -r1.39 -r1.40 passwdNote: Command diatas akan membandingkan isi file revisi 1.40 dengan revisi 1.39.Amati hasilnya.Fungsi LainKalau anda bertanya-tanya tentang bagaimana RCS mampu mendeteksi penyusupan yangtidak mengedit file /etc/passwd namunmenggunakan "Magic_Passwd" untuk login, maka hal itu tergantung dari kejelian andadalam mengamati system anda sendiri.Misalnya backd00r openSSH dengan menginfeksikan source nya, atau backd00r yangmerusak library dan command2 di /bin, makacaranya tinggal menggunakan RCS pada file2 yang kemungkinan akan di edit olehbackd00r tsb. Misal /bin/ps, /bin/netstat,/etc/ssh/sshd_config dan lain sebagainya. B-creative!!!Selain itu juga RCS berfungsi untuk mengamankan dalam pembuatan source-code yangdikerjakan oleh group. MisalnyaSecretColony Labs n Research Group yang sedang mengerjakan source-code Bd00rKill.csecara beregu, maka kegunaan RCS sangatmembantu sekali apabila terjadi kesalahan pada revisi tertentu sehingga source-codetsb dapat di import revisi yang berjalantanpa masalah. So, tunggu apalagi, gunakan RCS sekarang jg, dijamin anda tidak akanrugi. :)

Comment Closed

 

Add Comment

 
Your email address will not be published.

Recent Post

 

Archives

 

My Site

‘Cowok’ membuat kekasihnya cemburu pd para gadis cantik. ‘Pria’ membuat para gadis cantik cemburu pd kekasihnya.

 

Categories

 

Tag Clouds

 

Did you know ?

Auld Lang Syne adalah judul lagu dalam bahasa Skotlandia yang biasa dinyanyikan setelah pukul 12 malam yang menandai pergantian tahun? Judul lagu ini berarti 'Old Long Ago'.