Hacking - Menangkap Hacker Melalui Event Log Monitoring

Diposting oleh dymand

Menangkap Hacker Melalui Event Log Monitoring



Kamu akan memahami buku ini sebagaimana sy memahaminya. jadi untuk amannya download aja bukunya dan pahami sendiri.Catch hackers red handed through real-time security event log monitoring

Daftar Isi
  1. Perkenalan
  2. Hacking a web server is not difficult
  3. Intrusion detection by monitoring key system files
  4. Ringkasan
More...

Perkenalan

Dalam buku tsb, dijelaskan metode yg biasa dipakai hacker dlm menyerang web server IIS, yg merupakan produk microsoft. Dalam buku itu jg akan dibahas bagaimana menangkalnya dan bagaimana kamu dapat menggunakan log-log file berisi event-event sebagai alarm tanda bahaya.

Isi Buku
  1. Langkah admin dapat mengkonfigurasi web server mereka
  2. Menjelaskan tool-tool memperoleh akses backdoor pada web server IIS
  3. Langkah-langkah mendeteksi penyusupan di dalam jaringan
  4. Cara mencegah penyerangan pd web servermu

Hacking a web server is not difficult - hal. 2

Web server IIS, Internet Information Services, merupakan produk keluaran Microsoft. webserver ini biasa dipakai pelaku bisnis, seperti perusahaan, pialang saham, konsultan dll.
Disebabkan laju pertumbuhan exploit-exploit bagi webserver IIS, seorang admin akan sukar mengikuti perkembangan
  1. Berdasar kencangnya pertumbuhan exploit-exploit baru bagi webserver IIS, seorang admin sukar mempatch bermacam ‘lubang keamanan’.
  2. Kebanyakan penyerangan sukar diketahui dikarenakan banyak penyusup lebih memilih tersembunyi sehingga mereka dapat menggunakan web server-mu sebagai basis untuk menyerang web server yang jauh lebih penting dan populer.SiGue coment : Pola prilaku ini khas di antara penyerang untuk semakin mempersulit pelacakan. Ada juga web-web tertentu yang menyediakan fasilitas anonymous proxy sehingga privacy penyerang seperti ip-nya disembunyikan…sy pribadi tidak tau bagaimana melacak seorang penyerang apabila dia menggunakan anonymous proxy. Adakah di situ ada yang tau ?
  3. Memanfaatkan sebuah exploit itu tidak sukar apabila seseorang mempunyai tool yg tepat sehingga seorang penyerang dapat melumpuhkan web server-mu, bahkan berkesempatan mem-penetrasi jariangan internal-mu.SiGue coment : No coment heula. euy!



Tools of the hacker trade - hal. 3

Daftar Tool yang dpt digunkana menyerang web server IIS, dan mendeface page-nya
  1. The Internet Printing Protocol (IPP) exploit
  2. The UNICODE and CGI-Decode exploits
  3. Custom-made applications
SiGue coment : Rasanya kok bego banget, nama tool-toolnya plus penjelasannya sampai dikasih tau…bagaimana ngak dimanfaatin ama mereka yang ngak bertanggung jawab, yah…termasuk saya kah ? dan semakin bertanya-tanya: apakah motif penulis men-list tool-tool yang bisa dipakai menyerang sebuah webserver IIS. Bener-bener bego, bukan ?

The Internet Printing Protocol (IPP) exploit - hal. 3

Point-Point Penting
  1. Apliaksi ini memanfaatkan vulnerability yang disebabkan IPP buffer overflow pada sebuah webserver IIS. Yang dibutuhkan, hanyalah memasukkan URL sebuah web site (atau pun sebuah komputer dengan ISS yang terinstall di dalamnya) dan kemudian mengclick “connet”SiGue coment :
    1. Bagaimana cara kita tau bahwa sebuah web page atau pun komputer menginstal webserver IIS ?
    2. Apakah Internet Printing Protocol (IPP)
  2. Selama terkoneksi, aplikasi akan mengirim string yang nantinya akan menyebabkan overflow pada stack memori, dan kemudian menyebabkan pengeksekusian mode custom [yang dikenal sebagai shell code] dan lalu mengkoneksikan file cmd.exe ke port tertentu pada sisi komputer penyerang [umumnya port 31337].SiGue coment : Artinya, apabila telah terjadi overflow maka langkah daruratnya ialah kemunculan shell code
  3. Serangan ini dpt mem-bypass konfigurasi firewall standar. Juga menyebabkan penyerang memperoleh command line dan akses SYSTEM sehingga bisa melakukan aktivitas yang pada dasarnya tidak dikehendaki admin seperti mengakses database yang bisa saja berisi detail credit card atau juga berisi data-data rahasia.SiGue coment : sy benci sekali penggunaan kata ‘hacker’ yang diasosiasikan dengan ‘penyerang’ pada judul asli berbahasa inggrisnya. Itu so Streotif…korban iklan kali, ye…krn itu dalamterjemahannya, sy hack term ‘hacker’ menjadi penyerang doank

The UNICODE and CGI-Decode exploits - hal. 4

Point-Point Penting
  1. Exploit ini lebih disukai defacer website krn hanya dengan menggunakan browser sebagai senjata — penyerang dpt melakukan apapun pada PC target
  2. dgn Internet Explorer dan “string maut” untuk mengeksekusi perintah apapun atas nama account anonymous IIS sehingga memperoleh akses ke dalam harddisk web server-mu.
  3. Mulanya penyerang hanya mempunyai akses sebatas hak account anonymous user (IUSR_computername). Namun setelah memilikinya, dia dpt dgn mudah menupload file apapun, termasuk file ASP yang dpt digunakan meningkatkan akses menjadi SYSTEM. Bila penyerang sudah se-berkuasa ini maka dia bisa melakukan apapun.


Custom-made applications - hal. 4

Point-Point Penting
  1. Beberapa grup cracker menulis aplikasi mereka sendiri demi membuat proses defasing sebuah situs dpr dilakukans ecara otomatis
  2. Salah satu kumpulan cracker - M0sad - dari Israel telah mengembakan tool bernama IIS Storm v.2. “IIS Storm is a tool made for Remote Web Site Defacement that is running IIS (Internet Information Server [NT platform]) and that also vulnerable to the Unicode Exploit.”
  3. IIS Strom juga mampu menyembunyikan IP address penyerang melalui kerja sama dengan anonymous proxy
  4. Dalam usaha mendeface sebuah situs, penyerang hanya perlu memasukkan nama situs ke dalam script dan menjalankannya. Script akan mengecek apakah situs tsb itu rentan.
  5. Ciri-ciri sebuah situs yang telah dikuasai ialah halaman depan (index.htm, default.htm, default.asp ataupun variasinya) akan ditulisi “PoizonB0x Ownz YA”.
  6. Script ini dpr digunakan baik melalui windows maupun mesin unix.

Intrusion detection by monitoring key system files

Sebagai pihak yg bertahan, jadi, bagaimanakah seorang admin harus bersikap. Pertanyaan ini bisa dijawab dgn santai: “Tergantung Selera“. Namun sebagai awal, ada file-file sistem [pd windows] yg harus dimonitor aktivitasnya, yaitu…
Daftar file-file sistem yang sering digunakan penyerang
  1. cmd.exe
  2. ftp.exe
    Dpt digunakan me-rampok file-file yang diinginkan dari remote FTP server
  3. net.exe
    Program yang meng-enable PC adminstrator…dgn menggunakan account system, seorang hacker dpt menggunakan tool ini membuat backdoor user maupun group, menghentikan dan menjalankan service, mengakses PC lain di dalam network
  4. ping.exe
  5. tftp.exe
    sejenis aplikasi tftp.exe — yang juga ada pd semua PC ber-os Windows

Ringkasan Maksa [beberapa sub bab disarikan]

  1. Saat seorang penyerang yang telah menembus IIS menggunakan explot UNICODE menjalankan cmd.exe, maka pada dasarnya exploit tsb dijalankan oleh account Guest (IUSR_machinename). Dan dikarenakan user tsb tidak ada urusan dgn cmd.exe maka sebuah program yang memonitoring network dpr dgn mudah mengenali adanya ‘penyusupan’
  2. Serangan buffer overflow akan merampas account SYSTEM. Artinya, penyerang dpt mengubah hak user lain. Namun serangan harus dilakukan menggunakan cmd.exe dan saat aktifitas tak senonoh itu terdeteksi maka seorang admin dpt dengan mudah mengetahuinya.
  3. Sebuah script yg ngak tau bagaimana cara mengoptimalkannya — penggunaan dasarnya ialah menjalankan cmd.exe dan membuat direktori di root C:. Letakkan file script ASP ini di server IIS dan cobalah mengaksesnya menggunakan browser. 
4.  < %'
5.  ----------------------------------------------------------------
6.  ' SELM_test.asp : used to test Languard S.E.L.M
7.  ' By : Sandro Gauci
8.  ' Co : GFi
9.  Dim oScript
10.On Error Resume Next
11.Set oScript = Server.CreateObject("WSCRIPT.SHELL")
12.Call oScript.Run ("cmd.exe /c dir C:", 0, True)
13.%>
<html>
siGue Comment : “Script di atas belum dicobain krn ngak
install IIS server…he he he bener2 penulis tdk bertanggung jawab, ya

Category: 0 komentar

0 komentar:

Posting Komentar