Terbitan Online Kecoak Elektronik http://k-elektronik.org Siluman Dalam UNIX: Teknik-teknik dasar antideteksi =================================================== oleh kru IndoHack Dengan semakin banyaknya diantara kita semua yang berhasil mendapatkan account di server-server UNIX seantero dunia, mungkin ada baiknya kita pelajari teknik-teknik menyembunyikan diri. Tujuannya jelas, pasti suatu saat kamu pingin 'naik kelas' dan mengalihkan sasaran bukan hanya ke ac.jp atau or.jp lagi (yang memang sysadmin2nya pada ceroboh). Cara-cara dibawah ditulis dengan asumsi bahwa kamu telah berhasil mendapatkan 'root'. Program-program yang disebut di dalam teks ini bisa anda dapatkan lewat arsip kecoak. Shout outs to k-elektronik dan para op di #IndoHack (gelo) dan #IndoSex >:) Yang jelas-jelas ---------------- - sedapatnya gunakan selalu terminal umum / anonimus - sebelum melogin, ada baiknya koneksi di-bounce dulu beberapa kali lewat wingate - jangan menyerang target yang jelas-jelas berbahaya - jangan tinggalkan file-file seperti .rhoshts dan hosts.equiv di sistem sasaran - jangan ganggu atau ubah isi file /etc/passwd, jangan tambahkan account baru. Jika kamu perlu akses, silakan ambil file ini, simpan dan jalankan crack. Setelah itu login dengan username biasa, dan untuk mendapatkan root, gunakan eksploit lokal (baca artikel mengenai jenis-jenis eksploit di kecoak). - saat menambahkan "/bin/sh" ke inetd.conf, coba untuk menyembunyikannya sedikit (jangan terang-terangan menambahkan /bin/sh - coba gunakan perintah 'ln' ke file lain yang namanya tidak mencurigakan). - jika kamu ingin telnet atau ftp out, jangan langsung mengetikkan parameter nama host di command prompt. Cukup ketikkan 'telnet' atau 'ftp', lalu di prompt telnet (atau ftp) ketikkan 'op [nama.host.target.net]'. Dengan cara ini jika sysadmin ingin melihat apa yang sedang dikerjakan oleh seluruh user (dengan 'ps -aux'), yang nampak hanyalah login dan nama proses (telnet). Untuk menghindari kecurigaan jika kamu menggunakan sang sistem sebagai launchpad (admin manapun bakalan tegang ngelihat user biasa yang nama prosesnya 'telnet abri.mil.id'). File-file log ---------------- Hampir semua sistem mempunyai petunjuk path untuk file-file log ini di /etc/syslog.conf. Silakan periksa file ini (gunakan 'find' atau 'which'), catat lokasi file-file log, dan silakan kamu telaah isinya. Modifikasi secukupnya. Pada beberapa sistem, dengan menggunakan 'tail' bisa kamu lihat apakah kamu (baik nama login, maupun host kamu) tercatat di file log. * JANGAN * hapus file-file log ini. Sang sysadmin akan dengan segera mengetahui keberadaanmu! Cara cepat untuk menghilangkan jejak adalah jelas dengan menggunakan perintah 'grep': # cat syslog | grep -v "attacking.host.com" > syslog Apa akibat dari perintah ini? Misalkan kamu dicatat me-log-in dengan host asal attacking.host.com, dan log sistem akan mencatat "Connected … from attacking.host.com". Nah perintah diatas akan menghapus seluruh baris entri file syslog yang memuat nama host kamu. Ingatlah agar * hanya * menghapus entri yang bisa dihubungkan denganmu, jadi jangan utak-utik entri-entri lain. File-file utmp dan wtmp -------------------------- utmp dan wtmp adalah file-file yang bertugas untuk mencatat data login. utmp menyimpan informasi mengenai siapa saja yang sedang ter-log-in (misalnya saat kamu menjalankan perintah "who"). File wtmp menyimpan data para pengguna yang pernah memakai sistem, dan informasi berapa lama pengguna tersebut ter-log-in (seperti saat kamu menjalankan perintah "last"). Hampir setiap sysadmin akan mengandalkan kedua file ini sebagai langkah pertama dalam kasus pembobolan. * JANGAN * menghapus file-file utmp dan wtmp, sama seperti di atas, hilangnya file ini akan memancing perhatian sang sysadmin. Gunakan program-program seperti zap.c atau zap2.c (mungkin tidak bisa jalan di beberapa sistem tertentu). Atau bisa kamu pelajari perintah 'dd' untuk merekonstruksi file log ini, dengan syarat kamu harus memahami ukuran tepat struktur file utmp di sistem tersebut. File-file history ----------------- Yang ini boleh kamu hapus. Tergantung dari jenis shell dan variabel ENV yang kamu gunakan, jalankan perintah 'rm $HOME/.history' atau 'rm $HOME/.bash_history'. Jalankan 'setenv' untuk melihat lokasi HISTFILE. Lain-lain --------- Jika kamu berhasil mendapatkan shell berprivilese root, pastikan bahwa kamu mengganti namanya dengan sesuatu yang tidak mencurigakan, dan jangan simpan shell ini di direktori home milik user. Sembunyikan bersama file-file binaries ber-suid lainnya. Jangan mengubah-ubah file konfigurasi, file-file webpage, dan sebagainya. Usahakan merubah sesedikit mungkin. Jika kamu hanya ingin 'sekali pukul' (seperti membajak situs web tanpa meninggalkan jejak), silakan ubah file-file webpage, dan pastikan syslog, utmp, dan wtmp tidak mencatat kehadiran kamu. Jika kamu memasang sniffer ethernet, harap diingat bahwa driver ethernet yang kamu gunakan akan tetap bisa diperhatikan oleh sang sysadmin. Sebagai penutup: gunakan akal dan imajinasi kamu. Bayangkan dirimu sebagai seorang admin. Antisipasi gerak-gerik sang admin, tempatkan selalu kata 'paranoid' di otak kamu, gunakan backdoor-backdoor yang kreatif dan sulit ditemukan. Selamat nge-hack, dan jangan lupa bagi-bagi hasil! Salam, Kamerad-kameradmu di #IndoHack