Mitigasi host yang menjadi bot

awalnya saya hanya melakukan rutinitas pengecekan firewall di kantor yang saya tangani.

dari hasil monitoring, ada lalu lintas yang tidak wajar dari salah satu host. kemudian saya mencoba mencari tau lebih jauh.

aktifitas tidak wajar

aktifitas tidak wajar

dari gambar diatas, dapat diketahui bahwa host tersebut berasal dari farmserver, dimana aktifitas outgoing yang tidak normal menuju port tertentu.

mitigasi selanjutnya saya remote SSH server tersebut. hal pertama yang saya cek adalah konsumsi resource

resource penuh

resource penuh

selain resource penuh, ada proses yang tidak wajar berjalan pada server, saya mitigasi lebih jauh terkait proses tersebut dengan melihat lebih rinci dengan perintah :

ps aux | grep netsnd

proses tidak wajar

proses tidak wajar

hasilnya adalah gambar diatas.ย  ada proses yang menjalankan file tttt yang targetnya random. oke, disini sudah jelas kalau memang aneh. saya lanjutkan migitasinya dengan mencari keberadaan file tttt dan kemudian membaca isi file tersebut,

letak file tttt dan rekan2 nya

letak file tttt dan rekan2 nya

dari hasil pencarian, menemukan letak file tersebut, kemudian saya membaca isi dari file tersebut dan file-file lainnya.

menjalankan nmap

menjalankan nmap

dari sana dapat dibaca, bahwasannya, proses yang tidak wajar tersebut adalah menjalankan perintah nmap pada host random di internet.

proses tersebut akan memakan resource, baik CPU, RAM dan Network.

darisana sudah bisa disimpulkan, bahwa server tersebut sudah menjadi ROBOT yang dikendalikan oleh orang lain diluar sana untuk proses-proses yang dia inginkan.

oiya, selain menjalankan perintah nmap, rupanya server tersebut juga digunakan untuk mining

miner

miner

siapa pelakunya ? bagaimana cara masuknya ?ย 

diperlukan mitigasi lebih dalam untuk mengetahui pelakunya, sementara ini, server tersebut saya karantina agar tidak berproses sementara waktu, dengan demikian, aplikasi diserver tersebut juga tidak dapat diakses sampai dengan waktu yang belum ditentukan.

terima kasih telah mau membaca. :*

Bagikan saja, itu tidak berat

Pengertian Email phishing

cerita kali ini adalah tentang email phishing, tidak main-main, email phishing ini tertarget kepada salah satu Menteri di Indonesia raya.

email phishing

email phishing

jadi ceritanya lagi cek report email, karena Menteri ini sudah tidak menjabat, saya iseng cek akun email atas nama beliau. benar saja, akun emailnya masih ada tetapi dalam keadaan lock.

BTW mau ngasih pengertian phishing, tapi sudah banyak sih pengertiannya di internet. intinya, pelaku mengirimkan email yang bertujuan agar si penerima ( dalam hal ini Menteri ) untuk melakukan klik pada URL yang ada dalam isi email tersebut.

email phishing

email phishing

email ini mengakui dari official ZIMBRA, dengan bahasa yang baik dan benar sesuai EYD. tapi kalau di lihat dari webmail pelaku, jelas ini bukan official ZIMBRA.

dan kalau di klik, maka secara otomatis, komputer/laptop/hp akan terinstall aplikasi Malware.

email phishing

email phishing

untungnya, browser sudah mendeteksi bahwa web tersebut mengandung Malware, tapi jika itu website baru di bangun, mungkin beda ceritanya.

dan yang lebih menguntungkan lagi, Bapak Menteri tidak pernah membuka email. ๐Ÿ˜€

tapi, FIY ( for yor informasyon ) , selain email, sekarang phishing sudah berkembang melalui pesan singkat loh, misalnya WA atau yang lain. dan hebatnya lagi, phishing sekarang sudah punya kemasan baru, yaitu dalam bentuk gambar.

jadi PoC nya, setelah kamu klik gambar tersebut, maka tamatlah riwayatmu. hahahaha..

ah, sudah, jadi begitu saja cerita saya kali ini yang tidak bermanfaat ini.

terima gaji.

Bagikan saja, itu tidak berat

Bagaimana bisa sih server terserang Rootkit ? begini kronologinya.

Beberapa waktu lalu, salah satu Virtual Private Server terserang Rootkit.

Rootkit ini adalah kode jahat atau didalam dunia IT biasa disebut Malware. melakukan pekerjaan di server yang terinfeksi sesuai dengan perintah programmernya. ya pokoknya kalau mau tau lengkap tentang rootkit, bisa brosing-brosing yaks.

setelah di telusuri dari log, baik log firewall maupun log sistem operasi. kemungkinan besar rootkit itu masuk melalui port default SSH , yaitu 22.

metode yang digunakan adalah Brute Force, yaitu sebuah teknik mencocokkan kombinasi username dan password untuk akses ke remote SSH.

Brute Force Attack

nah, kok bisa masuk melalui port tersebut ? setelah di telusuri, kombinasi username dan password server yang terjangkir Rootkit untuk remote SSH itu sangat default, dengan loginnya root ( user tertinggi pula ).
username : root
passwd : rahasia

berikut bukti bahwa ada ribuan kali percobaan untuk login,

Brute Force 3

tidak butuh waktu lama untuk Script Brute Force tersebut mampu menebak kombinasi loginnya.

Brute Force Attack 1setelah berhasil masuk ke server, scipt tersebut menanamkan Malware, melakukan Sync Flood ke IP luar Negeri.

ini malwarenya :

Brute Force 5

Screenshot_535

dan ini kegiatannya :

Brute Force 5

ini bisa terjadi juga dikarenakan konfigurasi firewall yang kurang tepat, sehingga mengijinkan trafik yang dinilai tidak lazim untuk melewati jaringan.

sekian, mitigasi dari saya. semoga kejadian ini tidak terjadi lagi. amin.

Bagikan saja, itu tidak berat

Security Awareness VS Kamen Rider

*Security Awareness VS Kamen Rider*

Baru baru ini, saya melakukan pencegahan akses ilegal terhadap sebuah sistem komputer.
Menurut saya pribadi, ini bukan isu murahan, karena sistem yang diakses secara ilegal itu adalah penting. Disana dapur orang bisa tetep ngebul.

Saya mengamati pola, maksud dan tujuan si pelaku berada di dalam sistem. Melakukan blok terhadap akses, membersihkan backdor dan sisa2 script berbahaya lainnya. Kebetulan, server ini “telanjang” dan tidak pernah di update, berawal dari sanalah, dia bisa mendapatkan hak akses super user. Saya berasumsi, dia sudah lama berada di dalam server. Melakukan hal yang menguntungkan bagi dirinya, dan merugikan orang lain. Tentu, jika isu ini mencuat ke permukaan, maka akan jadi polemik yang tak berkesudahan. Heheheu. Jadi, cukup di lingkup kecil saja yang tahu.

Setelah selesai, saya melaporkannya secara singkat, pun tidak tertuang di dalam sebuah laporan. Karena saya sendiri tidak bisa membuat sebuah laporan yang apik sehingga bisa mudah di pahami orang lain. Dengan harapan, Security Awareness bisa menjadi aspek yang perlu diperhatikan dalam membangun sebuah sistem mengingat resiko yang dihadapi sampai sekemikian parah.

Namun, jika diukur di tingkat kepentingan, Security Awareness ini tidak penting-penting amat, levelnya jauh dibawah build sistem, dimana sistem bisa running, dan pejabat disana bisa tersenyum lebar. , hahahaha.. :*

Itulah penyebabnya kenapa Kamen Rider itu tidak pernah ada di dunia nyata. Kamen Rider itu tidak pernah membangun gedung-gedung tinggi, tidak juga ikut kursus bodyguard untuk tugas pengawalan. Namun secara suka rela membela kebenaran dan mempertahankan keutuhan bumi dari serangan gorgom. Dia juga tidak disibukkan dengan membuat laporan kinerja hariannya.

Jika Kamen Rider itu benar-benar ada, dia sudah jauh lebih dulu dikalahkan oleh sistem yang rumit, birokrasi yang sempit, dan hambatan-hambatan dari sekelilingnya yang bukan malah membantunya. Sementara itu, gorgom terus menyerang.

Lagian, jika Kamen Rider itu benar-benar ada, kapan lagi dia sempat nyuci SEMPAK. ?!

server
Bagikan saja, itu tidak berat

“numpang” internetan

Saya pernah punya teman, teman saya ini perokok berat. dia punya pacar seorang anak dokter. suatu ketika teman saya diberi pilihan oleh pacarnya itu.

pacar doi : “kamu mau pilih putus sama rokok, apa putus sama aku?”
begitu pacar doi yang seorang anak dokter bicara. Secara manusia normal, siapa sih yang rela putus sama cewek cantik mulus, anak dokter lagi. Tapi teman saya yang ubnormal itu menjawab.
teman : “ya lebih baik aku putus sama kamu daripada putus sama rokok”
jenius, teman saya adalah tipe cowok setia, setia sama rokoknya.

-dan mereka putus.

Saya juga punya seorang teman maniak internet, dia pernah ditanya oleh pacarnya.
pacar doi : “sayang, internetan terus, kalo disuruh milih, milih gak ketemu aku 3 bulan, atau gak ketemu internet 3 bulan?”

nah, teman saya yang satu ini udah ke-lewat ubnormal, dia jawab
“lebih milih gak ketemu kamu 1 tahun, daripada gak ketemu internet 1 bulan”

loh loh, pertanyaan sama jawaban gak singkron.

kalo saya dapet pilihan itu, saya tidak akan memilih, atau malah milih ke dua dua nya. hahaha..

jadi ceritanya gini, akhir bulan, gajian belum tiba, kantong kering, eh, paket internet habis pula. FIY, saya juga termasuk dalam golongan orang yang tidak bisa jauh dari internet, ya walaupun cuma brosing gak jelas sama scroll fesbuk semaleman. mau tidak mau, saya cuma punya satu pilihan. tidur.

sebelum tidur saya sempat memikirkan status terbaru teman-teman  bagaimana caranya bisa internetan.
saya ingat, dulu saya punya banyak alat, diantaranya USB wireless, modem, AP, Switch. dll. tapi barang udah tidak pernah dipakai, jadi malam itu saya putuskan untuk bongkar-bongkar lemari guna mencari barang yang saya butuhkan. apa itu ?

Saya terfikir ide jahat kriminal antek mamarika wahyudi remason. ide jahat itu adalah “menumpang” intenetan di jaringan wifi tetangga yang dipassword dengan tingkat pengamanan WPA2 PSK. berbekal ide jahat tersebut, saya kembali membongkar ilmu-ilmu untuk melancarkan aksi tersebut.

singkat cerita, saya membutuhkan USB Wireless yang kebetulan saya dulu punya, leptop dengan OS linux, tools, kopi dan rokok ๐Ÿ˜€

nah, USB wireless saya ini kebetulan tipe outdoor, jadi bisa dipasang diluar ruangan. saya pasang berdampingan dengan antenna TV supaya jangkauannya luas.

outdoor usb wireless
outdoor usb wireless

usb wireless ini saya sambung dengan kabel usb extended.
kemudian saya membuka leptop saya yang ber-sistem operasi linux ubuntu. saya melakukan scanning terhadap Access Point yang aktif. ada beberapa AP yang aktif, dan semuanya menggunakan keamanan password WPA2 PSK. selain milik tetangga, saya malah tertarik milik sekolahan yang kebetulan juga terjangkau dengan USB wireless saya. oke, aksi dilanjutkan.

jadi skenarionya begini,
setelah saya scan Access point, dan memilih target, saya mendapatkan handshake dari AP target.
kemudian, saya membuat AP palsu yang menyerupai AP target tadi.
setelah itu, saya melakukan flooding pada AP yang asli hingga down, jadi AP palsu yang saya buat yang tetap aktif.

secara otomatis, user yang aktif pada AP asli itu akan terputus dan mencoba untuk melakukan koneksi ke AP palsu yang saya buat. tentunya dengan sistem DHCP. oke, disini saya juga melakukan FakeDNS dimana semua request akan diarahkan ke localhost saya. jadi, client yang sudah terkoneksi ke AP palsu saya yang akan melakukan brosing akan diarahkan ke form login pada localhost saya untuk memasukkan password wireless network pada AP asli. teknik ini sering disebut social engineering atau tipu-tipu.

pada user dengan tingkat kepanikan tinggi, dia tidak akan meneliti terlebih dahulu apakah ini jebakan atau bukan. dan jika terjebak dan dirasa password sudah tepat (sistem pencocokan handshake), password akan terekam dan user lain akan terkoneksi seperti biasa.
beginilah skrinsut setelah password terekam

hore, saya internetan numpang, gratis, dan saya penjahat ๐Ÿ˜€

Bagikan saja, itu tidak berat

orang awam install linux ubuntu

Jadi ceritanya kemaren bingung seharian mau ngapain. masih kebawa bayang-bayang mantan komputer kantor dan beberapa flaskdisk yang di hinggapi virus menyebalkan ditambah lagi postingan temen di beranda fesbuk saya tentang Open Source, saya jadi semangat lagi pengen belajar linux. oh, sebentar, saya kenalin dulu linux itu apa, linux itu sistem operasi, iya, kayak windows itu, yang ada di leptop-leptop dan komputer kamu itu. bedanya linux kode programnya bebas dan terbuka. jadi siapapun bebas ngembangin, ya walaupun saya cuma pengguna baru dan awam di linux, dan seperti-seperti gak mungkin buat ngembangin. jadi bisanya instal aja deh. oke, langsung aja deh. jadi kepikiran buat nginstall semua komputer di kantor pake linux, itu kalo saya kepala kantornya. hahaha., karena hal itu gak mungkin, saya memutuskan untuk install si linux di leptop pribadi saya.
kali ini linux yang saya install dari varian ubuntu. kata orang, varian ini paling cocok buat pemula seperti saya, gampang dan gak ribet serta banyak dukungannya.
hal pertama yang saya lakukan adalah menyiapkan installer linuxnya di flasdisk, kita bisa gunakan unetbootin untuk membuat usb installernya.

kemudian, kita setting boot pertama kita melalui flasdisk, setting ini bisa kita temukan di bios setup. inget, masing-masing leptop itu berbeda. kalo saya menggunakan leptop merek HP. yang saya lakuin cukup tekan esc terus pas leptop baru nyala, kemudian ada option boot. saya pilih deh flaskdisk.

kemudian ada muncul boot linux ubuntunya, kita bisa tekan enter saja untuk meneruskan. menu ini berguna untuk load sistem dari flaskdisk. jadi kita diijinkan untuk melihat-lihat dulu ubuntu seperti apa sih. setelah cocok, dan akan melakukan instalasi, kita bisa lanjutkan proses berikutnya dengan pilih sorcut install ubuntu di dekstop

 kemuadian ada pilihan bahasa, pilihlah bahasa sesuai dengan pilihan ibumu.

setelah itu ada pilihan koneksi. kita bisa pilih next saja.

kemudian ada menu instalation type, nah disini yang paling harus hati-hati saat instalasi, jangan sampai data-data di harddisk kamu terhapus semua karen memilih menu yang salah. disini saya sarankan untuk memilih option something else. kamu juga disarankan memahami dahulu mengenai partisi di linux. berapa kasitas yang dibutuhkan dan lain lain.
 setelah itu pilih next, ada menu mengisi user account anda, isilah sesuai selera, lalu pilih next.
lalu tinggal pilih next next saja, dan disarankan untuk merestart  komputer/leptop kamu, maka instalasi ubuntu sudah selesai.
 

mudah bukan? ya memang mudah.

virus yang menjangkit di windows biasanya berextensi .exe , kalo bukan exe, bisa jadi itu malware dan script” jahat lainnya. nah, virus virus windows, tidak akan berjalan di linux, karena logika program virus yang di buat di khususkan untuk windows. hal ini bukan berarti tidak ada programmer yang membuat virus untuk linux, banyak, buaaaaanyaakkk dan lebih berbahaya. terutama untuk linux server. namun untuk kelas pemakaian dekstop, virus yang banyak beredar dipasaran adalah virus windows.

Bagikan saja, itu tidak berat