Gak semua hacker jahat ...... hacker dibagi menjadi dua macem : hacker dan crakker,perbedaaan mereka adalah niat mereka tp disini kita akan membahas untuk menangkap hacker jahat .Kamu akan memahami buku ini sebagaimana sy memahaminya. jadi untuk amannya download aja bukunya dan pahami sendiri.Catch hackers red handed through real-time security event log monitoringDaftar Isi
Perkenalan
Hacking a web server is not difficult
Intrusion detection by monitoring key system files
Ringkasan
Perkenalan
Dalam buku tsb, dijelaskan metode yg biasa dipakai hacker dlm menyerang web server IIS, yg merupakan produk microsoft. Dalam buku itu jg akan dibahas bagaimana menangkalnya dan bagaimana kamu dapat menggunakan log-log file berisi event-event sebagai alarm tanda bahaya.
Isi Buku
Langkah admin dapat mengkonfigurasi web server mereka
Menjelaskan tool-tool memperoleh akses backdoor pada web server IIS
Langkah-langkah mendeteksi penyusupan di dalam jaringan
Cara mencegah penyerangan pd web servermu
Hacking a web server is not difficult - hal. 2
Web server IIS, Internet Information Services, merupakan produk keluaran Microsoft. webserver ini biasa dipakai pelaku bisnis, seperti perusahaan, pialang saham, konsultan dll.
Disebabkan laju pertumbuhan exploit-exploit bagi webserver IIS, seorang admin akan sukar mengikuti perkembangan
Berdasar kencangnya pertumbuhan exploit-exploit baru bagi webserver IIS, seorang admin sukar mempatch bermacam ‘lubang keamanan’.
Kebanyakan penyerangan sukar diketahui dikarenakan banyak penyusup lebih memilih tersembunyi sehingga mereka dapat menggunakan web server-mu sebagai basis untuk menyerang web server yang jauh lebih penting dan populer.SiGue coment : Pola prilaku ini khas di antara penyerang untuk semakin mempersulit pelacakan. Ada juga web-web tertentu yang menyediakan fasilitas anonymous proxy sehingga privacy penyerang seperti ip-nya disembunyikan…sy pribadi tidak tau bagaimana melacak seorang penyerang apabila dia menggunakan anonymous proxy. Adakah di situ ada yang tau ?
Memanfaatkan sebuah exploit itu tidak sukar apabila seseorang mempunyai tool yg tepat sehingga seorang penyerang dapat melumpuhkan web server-mu, bahkan berkesempatan mem-penetrasi jariangan internal-mu.SiGue coment : No coment heula. euy!
Tools of the hacker trade - hal. 3
Daftar Tool yang dpt digunkana menyerang web server IIS, dan mendeface page-nya
The Internet Printing Protocol (IPP) exploit
The UNICODE and CGI-Decode exploits
Custom-made applications
SiGue coment : Rasanya kok bego banget, nama tool-toolnya plus penjelasannya sampai dikasih tau…bagaimana ngak dimanfaatin ama mereka yang ngak bertanggung jawab, yah…termasuk saya kah ? dan semakin bertanya-tanya: apakah motif penulis men-list tool-tool yang bisa dipakai menyerang sebuah webserver IIS. Bener-bener bego, bukan ?
The Internet Printing Protocol (IPP) exploit - hal. 3
Point-Point Penting
Apliaksi ini memanfaatkan vulnerability yang disebabkan IPP buffer overflow pada sebuah webserver IIS. Yang dibutuhkan, hanyalah memasukkan URL sebuah web site (atau pun sebuah komputer dengan ISS yang terinstall di dalamnya) dan kemudian mengclick “connet”SiGue coment :
Bagaimana cara kita tau bahwa sebuah web page atau pun komputer menginstal webserver IIS ?
Apakah Internet Printing Protocol (IPP)
Selama terkoneksi, aplikasi akan mengirim string yang nantinya akan menyebabkan overflow pada stack memori, dan kemudian menyebabkan pengeksekusian mode custom [yang dikenal sebagai shell code] dan lalu mengkoneksikan file cmd.exe ke port tertentu pada sisi komputer penyerang [umumnya port 31337].SiGue coment : Artinya, apabila telah terjadi overflow maka langkah daruratnya ialah kemunculan shell code
Serangan ini dpt mem-bypass konfigurasi firewall standar. Juga menyebabkan penyerang memperoleh command line dan akses SYSTEM sehingga bisa melakukan aktivitas yang pada dasarnya tidak dikehendaki admin seperti mengakses database yang bisa saja berisi detail credit card atau juga berisi data-data rahasia.SiGue coment : sy benci sekali penggunaan kata ‘hacker’ yang diasosiasikan dengan ‘penyerang’ pada judul asli berbahasa inggrisnya. Itu so Streotif…korban iklan kali, ye…krn itu dalamterjemahannya, sy hack term ‘hacker’ menjadi penyerang doank
The UNICODE and CGI-Decode exploits - hal. 4
Point-Point Penting
Exploit ini lebih disukai defacer website krn hanya dengan menggunakan browser sebagai senjata — penyerang dpt melakukan apapun pada PC target
dgn Internet Explorer dan “string maut” untuk mengeksekusi perintah apapun atas nama account anonymous IIS sehingga memperoleh akses ke dalam harddisk web server-mu.
Mulanya penyerang hanya mempunyai akses sebatas hak account anonymous user (IUSR_computername). Namun setelah memilikinya, dia dpt dgn mudah menupload file apapun, termasuk file ASP yang dpt digunakan meningkatkan akses menjadi SYSTEM. Bila penyerang sudah se-berkuasa ini maka dia bisa melakukan apapun.
Custom-made applications - hal. 4
Point-Point Penting
Beberapa grup cracker menulis aplikasi mereka sendiri demi membuat proses defasing sebuah situs dpr dilakukans ecara otomatis
Salah satu kumpulan cracker - M0sad - dari Israel telah mengembakan tool bernama IIS Storm v.2. “IIS Storm is a tool made for Remote Web Site Defacement that is running IIS (Internet Information Server [NT platform]) and that also vulnerable to the Unicode Exploit.”
IIS Strom juga mampu menyembunyikan IP address penyerang melalui kerja sama dengan anonymous proxy
Dalam usaha mendeface sebuah situs, penyerang hanya perlu memasukkan nama situs ke dalam script dan menjalankannya. Script akan mengecek apakah situs tsb itu rentan.
Ciri-ciri sebuah situs yang telah dikuasai ialah halaman depan (index.htm, default.htm, default.asp ataupun variasinya) akan ditulisi “PoizonB0x Ownz YA”.
Script ini dpr digunakan baik melalui windows maupun mesin unix
Intrusion detection by monitoring key system files
Sebagai pihak yg bertahan, jadi, bagaimanakah seorang admin harus bersikap. Pertanyaan ini bisa dijawab dgn santai: “Tergantung Selera“. Namun sebagai awal, ada file-file sistem [pd windows] yg harus dimonitor aktivitasnya, yaitu…
Daftar file-file sistem yang sering digunakan penyerang
cmd.exe
ftp.exe
Dpt digunakan me-rampok file-file yang diinginkan dari remote FTP server
net.exe
Program yang meng-enable PC adminstrator…dgn menggunakan account system, seorang hacker dpt menggunakan tool ini membuat backdoor user maupun group, menghentikan dan menjalankan service, mengakses PC lain di dalam network
ping.exe
tftp.exe
sejenis aplikasi tftp.exe — yang juga ada pd semua PC ber-os Windows
Ringkasan Maksa [beberapa sub bab disarikan]
Saat seorang penyerang yang telah menembus IIS menggunakan explot UNICODE menjalankan cmd.exe, maka pada dasarnya exploit tsb dijalankan oleh account Guest (IUSR_machinename). Dan dikarenakan user tsb tidak ada urusan dgn cmd.exe maka sebuah program yang memonitoring network dpr dgn mudah mengenali adanya ‘penyusupan’
Serangan buffer overflow akan merampas account SYSTEM. Artinya, penyerang dpt mengubah hak user lain. Namun serangan harus dilakukan menggunakan cmd.exe dan saat aktifitas tak senonoh itu terdeteksi maka seorang admin dpt dengan mudah mengetahuinya.
Sebuah script yg ngak tau bagaimana cara mengoptimalkannya — penggunaan dasarnya ialah menjalankan cmd.exe dan membuat direktori di root C:. Letakkan file script ASP ini di server IIS dan cobalah mengaksesnya menggunakan browser.
< %' siGue Comment : “Script di atas belum dicobain krn ngak
install IIS server…he he he bener2 penulis tdk bertanggung jawab, ya
ajibbbbbbb
ReplyDelete