Pengertian Email phishing

cerita kali ini adalah tentang email phishing, tidak main-main, email phishing ini tertarget kepada salah satu Menteri di Indonesia raya.

email phishing

email phishing

jadi ceritanya lagi cek report email, karena Menteri ini sudah tidak menjabat, saya iseng cek akun email atas nama beliau. benar saja, akun emailnya masih ada tetapi dalam keadaan lock.

BTW mau ngasih pengertian phishing, tapi sudah banyak sih pengertiannya di internet. intinya, pelaku mengirimkan email yang bertujuan agar si penerima ( dalam hal ini Menteri ) untuk melakukan klik pada URL yang ada dalam isi email tersebut.

email phishing

email phishing

email ini mengakui dari official ZIMBRA, dengan bahasa yang baik dan benar sesuai EYD. tapi kalau di lihat dari webmail pelaku, jelas ini bukan official ZIMBRA.

dan kalau di klik, maka secara otomatis, komputer/laptop/hp akan terinstall aplikasi Malware.

email phishing

email phishing

untungnya, browser sudah mendeteksi bahwa web tersebut mengandung Malware, tapi jika itu website baru di bangun, mungkin beda ceritanya.

dan yang lebih menguntungkan lagi, Bapak Menteri tidak pernah membuka email. 😀

tapi, FIY ( for yor informasyon ) , selain email, sekarang phishing sudah berkembang melalui pesan singkat loh, misalnya WA atau yang lain. dan hebatnya lagi, phishing sekarang sudah punya kemasan baru, yaitu dalam bentuk gambar.

jadi PoC nya, setelah kamu klik gambar tersebut, maka tamatlah riwayatmu. hahahaha..

ah, sudah, jadi begitu saja cerita saya kali ini yang tidak bermanfaat ini.

terima gaji.

Bagikan saja, itu tidak berat

Volume haddisk server tidak berkurang walaupun sudah hapus file ? begini solusinya

Halo, catatan kali ini tentang Volume haddisk server tidak berkurang walaupun sudah hapus file.

volume harddisk pada salah satu server sudah mencapai 98 % , biasanya jika sudah 100% , service-service akan macet alias tidak jalan. mengatasi itu, saya melakukan hapus file yang tidak perlu.

biasanya, file-file yang saya hapus itu log, tapi bukan log terakhir ya. melainkan log-log yang sudah lama.

selain file log, ada juga file temporary yang lumayan dan selalu besar.

kedua cara itu bukan solusi yang benar sih, karena bagaimanapun, log itu sangat penting. log itu dalam bahasa manusianya adalah kenangan, jadi menurut saya kenangan itu penting. kenangan kamu penting gak? kalo gak penting ya hapus saja. 😀

oke balik ke solusi. kalau ngomongin kenangan ini bisa panjang ceritanya 😀

solusi yang baik adalah membuat server log berukuran besar, jadi log bisa kita lempar ke server log tsb. server itu hanya berisi kumpulan log log dari berbagai server maupun device seperti router, firewall dan lain-lain.

tapi karena saya belum membuat server log, makanya untuk mengatasinya saya menghapus file tersebut.

hdd 98%

hdd 98%

ini penampakan hdd yang sudah 98%. padahal saya sudah hapus beberapa file. harusnya sudah berkurang ya.

nah, perintah yang digunakan untuk melihat itu adalah lsof ( list open files ) . penjelasan tentang lsof bisa kamu cari di google yah. 😀

kalau belum terinstall, kamu bisa menginstall lsof dengan perintah ( untuk linux centos ) :

[root@kb-management ~]# yum install lsof

yum install lsof

yum install lsof

list open files

list open files

nah, ketahuan itu, jadi maksudnya disini adalah, file-file yang sudah terhapus itu rupanya masih tersimpan di memory, jadi statusnya belum benar-benar terhapus. untuk menghapusnya, kita ketik perintah kill, begini contohnya :

kill -9

kill -9

kill itu bahasa inggris, artinya membunuh kalau tidak salah. jadi maksudnya prosesnya kita bunuh secara kejam dan tanpa maap 😀

setelah di kiil, harddisk saya kembali seperti harapan saya dan semua banyak pihak. hehe

df -h

df -h

ketik df -h untuk melihatnya.

sekian celotehan dari saya yang sangat newbie dan unfaedah ini.

Bagikan saja, itu tidak berat

membuka alamat website, file malah terdownload – nginx

permasalahan umum saat pertama kali belajar web server nginx adalah membuka alamat website, file malah terdownload.

saya tidak akan tuliskan bagaimana cara menginstall web server nginx, karena sudah banyak tutorialnya, paling nanti saya cerita tentang bagaimana tunning dan securing web server nginx.

pada tulisan ini adalah fokus pada error saat pertama install nginx, ya, seperti yang saya alami. padahal install nginxnya sudah sesuai, php nya juga udah sesuai.

seperti ini tampilannya

seperti ini tampilannya

setelah saya cari tau sana sini, googling maupun tanya ke temen, akhirnya saya menemukan solusinya. untuk itu saya putuskan untuk menulis di blog ini, karena beberapa kali saya lupa saat setelah saya install web server nginx.

jadi, sebenarnya nginx tidak mengenali file PHP yang di minta oleh client itu mau di apain, jadi dia menyajikan secara default yaitu di download, masalah ini bisa diatasi dengan modifikasi di file .htaccess

location ~ \.php$ { try_files $uri =404; fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; }

setelah itu jangan lupa untuk merestart service nginxnya

systemctl restart nginx

sekian cerita ini, terima kasih.

Bagikan saja, itu tidak berat

Addresses server pada firewall Palo Alto

Catatan kali ini adalah tentang Addresses server pada firewall Palo Alto .

dari kalimatnya sudah jelas ya, Addresses berarti memberikan alamat, atau aliases untuk Server pada palo alto. hal ini berfungsi untuk melakukan NAT dari IP lokal server ke IP Publik server. selain itu juga digunakan untuk fitur security pada Firewall Palo Alto.

Untuk dapat melakukan ini, pastikan kamu sudah login.

login palo alto

login palo alto

Kemudian pilih menu Object,

Object palo alto

Object palo alto

klik menu Addresses, kemudian Add.

menu tambah address palo alto

menu tambah address palo alto

hal pertama, kamu tambah Address untuk IP lokal server,

ip lokal server

ip lokal server

kemudian, menambahkan IP server publik, nah, triknya untuk mendapatkan IP publik yaitu dengan melihat Address IP terakhir yang di pakai, kemudian bisa menggunakan IP setelahnya. untuk meyakinkan, bisa di lakukan ping atau telnet, ini untuk memastikan IP benar-benar belum di pakai oleh server / mesin lain. pastikan ping atau telnetnya dari jaringan luar ya.

ip publik server

ip publik server

setelah IP itu ada /32 , maksudnya disana adalah hanya satu IP tertuju. ya pokoknya gitu deh, saya sedikit bingung menjelaskan ini 😀

setelah di klik OK , selanjutnya jangan lupa Commit. commit ini artinya melakukan save konfigurasi yang telah kita lakukan.

commit pada palo alto

commit pada palo alto

saya pernah konfigurasi panjang lebar, tapi lupa untuk Commit dan langsung close, hasilnya, semua konfig saya tidak tersimpan dan harus konfig ulang 😀

sampai disini, sudah berhasil untuk memberikan Addresses pada IP server atau mesin. selanjutkan membuat NAT dan security. akan saya bahas di artikel berikutnya.

Bagikan saja, itu tidak berat

Hardening Server #2 Instalasi dan konfigurasi Malware Detect pada linux server

Pengalaman kali ini bercerita tentang instalasi dan konfigurasi Malware Detect pada server linux.

akhir-akhir ini jadi konsentrasi sama security karena salah satu server terkena RootKit. jadi Parno 😀

oke, malware detect ini berfungsi untuk mendeteksi script malware yang berada pada server. biasanya, script itu nempelnya di folder website.

oke, berikut langkah-langkahnya.

pertama-tama mari ucapkan do’a, kemudian, download malware detect :

ant@linux:~$ wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

ant@linux:~$ tar -xvf maldetect-current.tar.gz

ant@linux:~$ cd maldetect-1.6.4

ant@linux:~$ ./install.sh

lakukan konfigurasi maldetect dengan perintah :

ant@linux:~$ nano /usr/local/maldetect/conf.maldet

sesuiakan script dengan perintah ini :

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

setelah di sesuaikan, instalasi clamav , clamav ini anti virus, jadi cara kerja malware detect ini membuat Perjanjian Kerja Sama ( PKS ) antara malware detect dengan clamav.

ant@linux:~$ apt install clamav

selesai, instalasi dan konfigurasi selesai, gampang kan ? banget.

sekarang saya uji coba scan di server saya :

ant@linux:~$ maldet –scan-all /var/www/

hasilnya :

cara install malware detect

tiga file terjaring razia malware detect dan langsung dikarantina, otomatis, fungsi dari aplikasi yang didalamnya terdapat file tersebut, tidak bisa berjalan sesuai fungsi sebelum file tersebut dihapus dari folder karantina.

/usr/local/maldetect/quarantine

Bagikan saja, itu tidak berat

Bagaimana bisa sih server terserang Rootkit ? begini kronologinya.

Beberapa waktu lalu, salah satu Virtual Private Server terserang Rootkit.

Rootkit ini adalah kode jahat atau didalam dunia IT biasa disebut Malware. melakukan pekerjaan di server yang terinfeksi sesuai dengan perintah programmernya. ya pokoknya kalau mau tau lengkap tentang rootkit, bisa brosing-brosing yaks.

setelah di telusuri dari log, baik log firewall maupun log sistem operasi. kemungkinan besar rootkit itu masuk melalui port default SSH , yaitu 22.

metode yang digunakan adalah Brute Force, yaitu sebuah teknik mencocokkan kombinasi username dan password untuk akses ke remote SSH.

Brute Force Attack

nah, kok bisa masuk melalui port tersebut ? setelah di telusuri, kombinasi username dan password server yang terjangkir Rootkit untuk remote SSH itu sangat default, dengan loginnya root ( user tertinggi pula ).
username : root
passwd : rahasia

berikut bukti bahwa ada ribuan kali percobaan untuk login,

Brute Force 3

tidak butuh waktu lama untuk Script Brute Force tersebut mampu menebak kombinasi loginnya.

Brute Force Attack 1setelah berhasil masuk ke server, scipt tersebut menanamkan Malware, melakukan Sync Flood ke IP luar Negeri.

ini malwarenya :

Brute Force 5

Screenshot_535

dan ini kegiatannya :

Brute Force 5

ini bisa terjadi juga dikarenakan konfigurasi firewall yang kurang tepat, sehingga mengijinkan trafik yang dinilai tidak lazim untuk melewati jaringan.

sekian, mitigasi dari saya. semoga kejadian ini tidak terjadi lagi. amin.

Bagikan saja, itu tidak berat

Hardening Server #1 . merubah default port akses SSH pada linux

Halo , mau cerita sedikit.

yang pertama mau cerita tentang pekerjaan saya ya, jadi pekerjaan saya adalah sebagai penyedia Hosting dan Virtual Private Server bagi client-client yang membutuhkan.

Hosting digunakan untuk user-user yang menitipkan file aplikasi atau website yang tidak membutuhkan spesifikasi dan konfigurasi khusus. jadi, pengelolaan server dan jaringannya sepenuhnya ditanggung oleh kami, mulai dari konfigurasi, backup sampai dengan maintenance.

berbeda dengan hosting, Virtual Private Server atau yang di singkat VPS adalah server virtual yang biasanya di minta karena user membutuhkan spesifikasi dan konfigurasi khusus. seharusnya dan memang semestinya, urusan konfigurasi, security, backup dan maintenance di kelola oleh user tersebut. ini secara virtual lo ya, kalau secara fisik, masih di kelola oleh penyedianya ( kami ).

jadi itu cerita singkat pekerjaan saya, selain pekerjaan-pekerjaan lagi yang ditugaskan oleh atasan.

lanjut ceritanya, beberapa hari yang lalu, salah satu VPS yang di kelola oleh client terserang rootkit, rootkit ini berjalan di user root , melakukan sync flood ke IP luar negeri

bagaimana bisa terserang rootkit, saya jelaskan pada artikel ini :

Bagaimana bisa sih server terserang Rootkit ? begini kronologinya.

mengandalkan firewall saya tidak cukup, jika itu yang menyerang script, mungkin bisa diatasi oleh firewall, tapi jika yang menyerang manusia ? tidak bisa.

maka dari itu perlu pengamanan tambahan seperti judul diatas. begini teknisnya :

setelah masuk ke server, rubah konfigurasi SSH kamu.

rubah default port ssh

menggunakan perintah editor, kemudian, hapus tanda pagar, dan rubah menjadi port yang unik dan tidak standar terserah kamu.

rubah default port ssh 2

lalu save , kemudian jangan lupa restart service ssh nya

rubah default port ssh 3

dengan begini, port ssh telah berubah. sedikit lebih aman karena biasanya script Brute Force disana menggunakan port default dari service SSH server.

pesan moral : TIDAK ADA SYSTEM YANG AMAN DI DUNIA INI, WALAUPUN ITU BERADA DI LOCALHOSTMU.

Bagikan saja, itu tidak berat

sudo grep -i -r

sudo grep -i -r “katayangkamucari” /foldertujuan

saat migrasi website, terkadang saya kesulitan mencari satu kata yang termuat didalam file diantara ratusan/ribuan file dan terselip didalam banyaknya subfolder yang isinya antah berantah.

cek file satu persatu itu gak mungkin, makanya saya pakai perintah diatas. dan dalam waktu sekejab, saya menemukan kata itu. mudah bukan, itulah teknologi.

hmmm,,,, saat saya melakukan perintah itu, sejenak terlintas didalam fikiran saya. andai kata, kedepannya, perintah grep ini bisa diterapkan tidak hanya di lingkup teknologi, tapi bisa juga diterapkan di lingkup sosiologis. mungkin akan banyak yang mengetik perintah grep itu dengan :

sudo grep -i -r “cinta” /dunia

47271107_2371811062843409_1793376848713875456_n

Bagikan saja, itu tidak berat

Quality time itu penting

Sabtu – minggu adalah jatahnya keluarga, artinya, menghabiskan waktu bersama keluarga, bahasa jawanya Quality time.

Liburan kali ini, kami isi dengan berkunjung ke museum betawi.
Dibangun tahun 2014, museum ini letaknya bersebelahan dengan setu babakan. Di daerah jagakarsa.

Untuk melihat lihat di dalam museum, tidak perlu mengeluarkan biaya sepeserpun, alias gratis. Hanya mengisi buku tamu saja.

Didalamnya, kita bisa belajar sejarah betawi, pakaian adat, kesenian dll tentang betawi.

Selain itu, banyak juga dibangun rumah rumah adat jawa (joglo) yaitu rumah yg bahannya full terbuat dari kayu.

Selain museum dan setu babakan, museum ini juga berdampingan dengan kampung betawi, kampung yg asri, kental dengan bahasa betawi dan tak lupa, ikon dari adat betawi, yaitu ondel-ondel.

setu babakan ondel ondel betawi musium jakarta museum betawi cantik museum betawi bagus museum betawi budaya betawi

Bagikan saja, itu tidak berat

Membuat user nologin di ubuntu untuk eksekusi aplikasi

Halo, ceritanya saya sedang instalasi aplikasi di server linux ubuntu.

nah, pengennya saya, aplikasi tersebut dijalankan user user yang bukan sudoers dan tidak memiliki login. setelah googling sana sini, akhirnya nemu juga solusinya.

hal ini saya maksudnya untuk tingkat keamanan saja, dan untuk manajemen user. okeh, mari kita lakukan.

  1. hal pertama adalah membuat user baru.

ant@linux:~$ sudo useradd -s /sbin/nologin nadia

2. kemudian memberi password pada user tsb

ant@linux:~$ sudo passwd nadia
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
ant@linux:~$

3. lanjut, membuat direktory dan hak kepemilikan untuk user tsb.

ant@linux:~$ mkdir nadia
ant@linux:~$ sudo chown -R nadia:nadia nadia
ant@linux:~$ cd nadia
ant@linux:~/nadia$

4. selanjutnya memberikan hak akses bash pada user tersebut, dimana hak akses bash itu diperuntukkan menjalankan perintah-perintah, ya pokoknya gitu deh.

ant@linux:~$ sudo -u nadia bash
nadia@linux:~$

otomatis sudah pindah ya, ke user nadia.

yuk, sekarang saya buat contoh user tersebut untuk mendownload dan mengeksekusi aplikasi.

user nologin

user nologin

pada percobaan ini, user saya gunakan untuk wget. dan berhasil., kemudian

user nologin bash

user nologin bash

setelah extrack , dan saya masuk ke folder extrac untuk menjalankan aplikasi

membuat user nologin

membuat user nologin

oke, perintahnya sukses ya, sekarang kita cek, apakah benar aplikasi tersebut dijalankan oleh user nadia

pertama kita ketik exit dulu untuk kembali ke user sudoers, kemudian ketik perntah seperti digambar.

Screenshot_356oke, berhasil ya. sekian dulu celotehan dari saya.

salam damai :*

Bagikan saja, itu tidak berat