lagi sibuk nganggur, tiba-tiba dapet notifikasi pesan seperti dibawah ini
504 adalah error dengan pesan Gateway Time Out, dimana backend dari sebuah service tidak mampu melayani request. bahasa singkatnya, website down.
hal pertama yang saya lakukan adalah cek resource dari server. dan hasilnya full senyumm..
resource mentok gaess. FYI, ini adalah aplikasi web base yang hanya menampilkan informasi publik, tidak ada proses yang terlalu rumit, sehingga menjadi tidak wajar ketika server penuh dari segala sisi.
hal berikutnya yang saya lakukan adalah cek log dari web server,
dari hasil tangkapan layar, diketahui terdapat trafik dengan jumlah besar pada web server dengan kegiatan Scanning. kegiatan scanning adalah kegiatan yang dilakukan oleh seorang atau kelompok peretas ( hacker ) untuk mendapatkan Bug atau kelemahan dari sebuah sistem yang kemudian di exploitasi untuk mendapatkan informasi bahkan takeover sistem tersebut. ,
lo mas, kok kegiatan scanning bisa lolos ya, ?? ya karena request bernilai TRUE, sehingga oleh web server permintaannya dilayani. ini yang bikin web servernya sibuk melayani, akhirnya stress dan hank. kamu kalo ngelayani terus, stress juga kan ? wkwkwk.
lo mas, scanning gak bisa dihalau ta ? bisa, kalau punya perangkat seperti WAF, kalau punya…..
saya coba menaikkan resource server, namun tidak mengatasi, dan tetap full.
dari hasil bertapa tengah malam, saya coba otak atik dari sisi konfigurasi, bahasa kerennya performance tuning, wkwkwkwk. beberapa item yang saya lakukan untuk performance tuning, yaitu :
mengubah atau menerapkan PHP-FPM / mpm-event sebagai backend proses,karena ini lebih stabil daripada mpm-prefork
melakukan perubahan nilai dari konfigurasi PHP-FPM, perlu diingat, setiap konfigurasi berbeda sesuai dengan spek server
www-data soft nproc 65535
www-data hard nproc 65535
www-data soft nofile 65535
www-data hard nofile 65535
perlu diingat, nilai konfigurasi ini tidak sama tiap-tiap server. karena menyesuikan spesifikasi maupun tingkah laku wkwkwk server tersebut. tapi secara konsep ThroubleShooting, ya kurang lebih begitulah konsepnya.
nah, setelah saya menerapkan konfig tersebut, sambil saya anu-anuin pake kemenyan, saya start semua service dan layanan kembali normal dengan hasil yang cukup memuaskan. ah…….
ya, kalo itung-itungannya sih, kita sudah kalah telak. karena mereka sudah berhasil masuk dan obok-obok sistem didalamnya. hal ini emang gak bisa dihindari, karena Pra release sistem, tidak ada proses audit keamanan maupun memasang perangkat pengamanan. jadi, yang sudah diaudit dan dipasangi perangkat saja masih ada kemungkinan celah keamanan, apalagi yang tidak sama sekali.
tapi gak apa-apa, toh tujuannya ini adalah agar tidak terjadi lagi. jadi sebisa mungkin melakukan blokade akses jalur masuk mereka ke sistem. dan cyberwar dimulai.
diawali dengan melihat file yang mereka upload.
jadi disini terdeteksi,ada file yang modifiednya berbeda dengan file-file lain,ini dipastikan bukan eksekusi dari sistem. lalu setelah coba dibaca isi filenya
ya, iklan slot gacir,. sudah cukup lelah berhadapan dengan mereka, tapi yang jadi menarik, mereka melakukan ini atas dasar ekonomi, jadi ya memang gak ada akhirnya selagi slot slotan masih berjaya.
dari info nama file, saya lakukan audit log. dan hasilnya
oke, file tunnel.php itu rupanya digunakan untuk jumping ke beberapa misi mereka, namun file backdoor aslinya itu malah bernama drraginfresh.php yang terletak di folder berbeda. dari informasi log, juga ditemukan alamat IP pengakses, jelas, IP itu kalau ditelusuri pasti VPN./ RDP
nah, saya coba melihat lebih detail tentang file drragonfresh.php tersebut, dan saya menemukan ini
file tersebut menurut tanggal pembuatannya dibuat dibulan maret, artinya, mereka sudah berhasil masuk ke sistem dibulan maret, atau bahkan sebelumnya. mereka menanam backdor, lalu membiarkannya sampai ada agensi judi online yang membeli backdor mereka. walaupun saya masih tidak yakin itu ditanam dibulan maret, karena bisa saja mereka merubah tanggal createnya. yang kacaunya jika memang dibuatnya maret, log diserver sudah hilang, karena rata-rata log hanya bertahan 3 bulan, kecuali managemen log disini bagus.
saya coba memahami isi dari file tunnel.php tersebut, karena disitulah mereka melakukan jumping untuk kebutuhan yang lain, salah satunya adalah phising dan spam.
ya, saya menemukan tools mereka yang digunakan untuk spam dan phising, selain digunakan untuk promosi judi online, setiap sistem yang berhasil mereka retas juga digunakan untuk phising, ( ini menjebak pada admin Medsos misalnya ) sehingga mereka berhasil mengakusisi medsos dari akun2 penting.
oke, walaupun saya tidak percaya bahwa mereka sudah lama meretas ini sistem, saya coba membaca setiap log, namun saya tidak menemukan informasi berarti terkait celah keamanan dari sistem yang diretas ini. hanya beberapa IP dari peretas yang dapat saya kumpulkan.
cukup lelah karena berhari-hari harus membaca log, saya memutuskan untuk “memacing ikannya saja” . jadi yang saya lakukan adalah membuat beberapa script untuk memberitahu saya lewat pesan singkat, jika beberapa IP peretas mengakses file-file mereka. sebelumnya, saya hapus dulu semua script iklan dan backdor mereka.
#Script pertama : digunakan untuk memantau IP pelaku yang udah kita dapet di log, tujuan agar ip bisa terekam dan mengirim ke telegram BOT .
#!/bin/bash
# Konfigurasi
LOG_FILE="/var/log/nginx/XXX-access.log"
BOT_TOKEN="7598702485:AAH02PkXkcE3pmEL6jPGzeK8NN4db0XXXX"
CHAT_ID="5426195XXXX"
TARGET_IPS=("203.189.130.XX " "129.227.44.XX" "52.112.49.XX" "129.227.44.XX" "129.227.44.XX")
# Fungsi untuk mengirim pesan ke Telegram
send_telegram() {
MESSAGE="$1"
curl -s -X POST "https://api.telegram.org/bot$BOT_TOKEN/sendMessage" \
-d chat_id="$CHAT_ID" \
-d text="$MESSAGE"
echo "Telegram Response: $RESPONSE"
}
# Monitor file log
tail -F "$LOG_FILE" | while read line; do
for ip in "${TARGET_IPS[@]}"; do
if echo "$line" | grep -q "$ip"; then
send_telegram " ^=^z IP $ip terdeteksi!\nLog:\n$line"
break # Agar tidak mengirim berkali-kali jika IP cocok lebih dari satu
fi
done
done
lalu buat service di /etc/systemd/system/ dengannama file log.service,
[Unit]
Description=Log Monitor untuk IP tertentu dan kirim Telegram
After=network.target
[Service]
Type=simple
ExecStart=/opt/log_monitor.sh
Restart=always
RestartSec=5
StandardOutput=journal
StandardError=journal
[Install]
WantedBy=multi-user.target
#Script kedua : digunakan untuk mana kala ada yang lolos dari pemantauan saya, system bisa melakukan penggantian paksa pada file php ( kebetulan aplikasinya berbasis PHP ) yang diunggah diluar dari sejak script ini dijalankan. ya gampangnya, misalnya ada unggahan PHP baru berupa apapun, system langsung rubah menjadi file lain, ini tujuannya agar file php baru itu tidak bisa dieksekusi.
#!/bin/bash
# Konfigurasi
WATCH_DIR="/var/www/html/XXX" # Ganti sesuai direktori upload kamu
BOT_TOKEN="7598702485:AAH02PkXkcE3pmEL6jPGzeK8NN4db0XXXXXX"
CHAT_ID="542619XXXX"
# Fungsi kirim ke Telegram
send_telegram() {
MESSAGE="$1"
curl -s -X POST "https://api.telegram.org/bot$BOT_TOKEN/sendMessage" \
-d chat_id="$CHAT_ID" \
-d text="$MESSAGE" > /dev/null
}
# Monitor file baru dengan ekstensi .php
monitor_upload() {
inotifywait -m -r -e create --format "%w%f" "$WATCH_DIR" | while read file; do
# if [[ "$file" == *.php ]]; then
# send_telegram " File PHP baru terdeteksi: $file"
# fi
if [[ "${file,,}" =~ \.php$|\.php5$|\.phtml$ ]]; then
base="${file%.*}"
newfile="${base}.susu"
mv "$file" "$newfile"
send_telegram " File PHP ($file) telah di-*rename* menjadi:\n$newfile"
fi
done
}
lalu kita bikin service di /etc/systemd/system/ kita beri nama log monitor.service agar script diatas always run.
kan, ya otomatis mereka pasti datang lagi, karena merasa kehilangan iklan dan akses backdor. dan yang ditunggu-tunggu akhirnya datang juga.
pesan singkat masuk melalui telegram BOT saya. bahwa mereka mendeteksi IP-IP peretas mengakses file mereka. ya pasti 404, karena saya sudah hapus, dari situ saya juga jadi tau, jalan tikus alias BUG utamanya dimana. yaitu pada plugin pihak ketiga dari sistem. saya juga segera me-rename, sehingga mereka tidak bisa akses BUGnya lagi sebagai jalan masuk utama.
bahkan sampai hari ini, tgl 28 mei, para peretas masih berusaha mengakses BUG pada sistem tersebut
oke, dari kejadian ini kita belajar, bahwa perputaran judi online itu besar, tidak hanya melibatkan antara bandar dan pemain, tapi melibatkan para Black Hackers dan para penjaga sistem. para peretas mendapatkan penghasilan dari menjual backdoor, spam dan phising yang mereka tanam di sistem-sistem yang mereka retas. sementara Sysadmin sebagai penjaga sistem ? dapet gaji bulanan aja, kecuali mereka ikutan Fraud jualan backdoor wkwkwkwkw.
ada juga yang mendapatkan penghasilan dari tidak mem-block situs judinya :p
ada juga yang mendapatkan penghasilan dari pengamanan fisik dan pencucian dana.
saya hanya kepikiran, kalo dikelola dengan baik, nilai ratusan Triliyun dari judi online itu apa gak bisa ya buat bayar utang negara 😀
jadi seperti orang normal biasanya, sebelum tidur, saya scroll-scroll medsos untuk sekedar melihat aktifitas rekan-rekan medsos. biar cepet ngantuk sih maksudnya…
nah, pas lagi scroll medsos, ada temen yang posting lagi disebuah acara, sepertinya di hotel, acara launching aplikasi, dan yang lauching Mentri.
acaranya di hotel , mewah, dihadiri menteri dan pejabat, serta kolega pastinya. saya yakin, ini program yang baik dan akan berhasil dikemudian hari, seperti program-program berbasis aplikasi lainnya, punya pemerintah tentunya….
karena saya insan IT, tentunya fokus saya tertuju pada platform yang digunakan, bukan pada core bisnis programnya lah ya, terlalu luas ah. fokus aplikasinya saja..
iseng saja buka di HP, kok ya bikin penasaran aplikasi, akhirnya memutuskan untuk membuka laptop, padahal udah jam 01 malam, resiko terbesar saya jika buka laptop jam segitu adalah aungan istri, karena kalau asam lambung saya kambuh, istri yang paling berjasa di hidup saya. sambil melipir intip istri yang sudah tidur, saya mengendap-endap buka laptop…
kemudian saya buka aplikasinya menggunakan laptop, hal pertama yang saya lakukan adalah intercept aplikasi tersebut. aplikasinya berbasis web,
Intercept atau pengintersepsian dalam dunia keamanan siber dan pengembangan perangkat lunak mengacu pada tindakan mencegat atau memotong komunikasi antara dua pihak, sering kali untuk memeriksa, memodifikasi, atau menyadap data yang dikirimkan. Dalam konteks web atau jaringan, intercept umumnya berarti menangkap data yang dikirim antara klien (misalnya, browser pengguna) dan server.
dari proses intercept, terdapat beberapa informasi, diantaranya :
ada 2 node yang merespon, frontend dan backend ( API )
server menggunakan ubuntu linux dengan web servernya nginx
bahasa pemograman menggunakan next.js untuk front endnya.
nah, dari informasi awal tersebut, sudah bisa dilakukan langkah selanjutnya. ini aplikasi bersifat register, saya sudah register akun, ada beberapa file upload, dan memiliki potensi untuk dilakukan injeksi backdoor didalamnya, namun, karena bahasa pemograman menggunakan java, menurut saya agak efford untuk melakukannya.
kemudian, saya melirik ke respon disisi backend, yaitu API respon.
masih pada mode intercept, struktur folder pada API dapat dilakukan crawling, sehingga mengetahui berbagai respon dari API.
nah, yang paling mengejutkan, ada Bug IDOR pada API tersebut,
IDOR (Insecure Direct Object References) terjadi ketika aplikasi tidak mengamankan akses ke sumber daya atau data berdasarkan identitas pengguna, sehingga pengguna dapat mengakses data milik pengguna lain hanya dengan mengubah ID dalam URL atau parameter.
IDOR nya seperti apa sih, yaitu terdapat informasi sensitif dan ter-expose ke publik, tentunya ini sangat berbahaya, karena data dan informasi tersebut dapat digunakan untuk berbagai tindak kejahatan,
terdapat, nama , email, dan nomor telp
nah, pas saya mau explore untuk Bug berikutnya, tiba-tiba laptop saya low batere, saya juga jadi ke inget asam lambung saya. akhirnya saya memutuskan untuk membiarkan laptop saya sampai mati total. dan tidur……
pointnya , tujuan hacker / peretas itu ada 2,
menguasai sistem, setelah dikuasai, mereka bisa menjarah data, dan memanfaatkan sistem atau infrastuktur untuk kebutuhan mereka.
mendapatkan data sensitif, biasanya mereka mencari data sensitif untuk dijual, dibuat kejahatan, atau sekedar membuat ancaman.
jadi, waspadalah.
tulisan ini hanya bersifat informasi dan pembelajaran, gunakan dengan bijak.
oiya, saya juga baru lulus sertifikasi Alibaba Cloud Security . kalau kamu butuh jasa saya untuk membantu manage cloud boleh donk japri kesaya. 😀 😀
sudah lama banget saya gak nulis di blog ini. entah karena sibuk, atau males. kombinasi sih kayaknya hehe.
padahal, banyak banget kerjaan yang bisa di dokumentasiin di blog ini, ya bisa untuk sekedar kenangan, atau portofolio wkwkw
kali ini, saya lagi benerin sebuah website punya client, goverment yang laporannya ada link sl*ot g*acor di dalam website itu. si client meminta saya untuk membersihkan link dan menutup atau mencari tau celah keamanannya.
hal pertama yang saya sampaikan kepada client adalah : “apakah sistem masih berjalan normal ?” , “ya, masih normal, jawab sang client”
saya meminta ke client untuk segera melakukan takedown atau memutus trafik ke website dari luar atau dari public. hal ini untuk kepentingan mitigasi.
setelah itu, saya meminta akses server kepada client, dan meminta untuk melakukan karantina, selain saya, jangan ada yang mengakses server tersebut.
kemudian, saya melihat websitenya. dari tampilan websitenya, ini adalah website perpustakaan yang source codenya berasal dari sebuah lembaga yang mengampu terkait perpustaaan, ya, benar, itu PERPUSNAS. dengan engine websitenya yang diberi nama INLISLite .
INLISLite dibangun menggunakan bahasa pemograman PHP dan database MySql dengan memanfaatkan framework YII.
kemudian saya mencari kemungkinan Vulnerability yang terdapat pada INLISLite ataupun framework YII di mesin pencari google.
hmmm, kemudian saya lakukan PoC pada website si client, namun tidak bisa. ini dikarenakan kredential tidak valid, ya bisa dirubah oleh admin, atau oleh siperetasnya. hehe
oke, lanjut kemudian saya login ke server. hal yang saya lakukan adalah melihat file log berikut besarannya. apakah syslog yang dibuat oleh administrator itu baik atau tidak. melihat dari sizenya, masih kurang baik sih.
saya tidak langsung membaca isi dari file log, karena bisa mual. saya berselancar dahulu sambil berenang renang ke folder aplikasi itu berada. folder yang saya sorot adalah folder yang memiliki permission full oleh web server. kebetulan, webservernya apache. biasanya, folder website yang memiliki full permission adalah folder dimana user bisa melakukan CRUD pada file/folder.
nah, ada yang aneh satu, saya lanjut berselancar lagi deh di folder folder lainnya.
nah, nemu lagi deh, coba saya pastikan isi filenya apa
dan kemudian saya mencari file-file backdoor lainnya.
dari hasil analisis ini, menghapus file backdoor saja tidak cukup. karena pasti peretasnya akan kembali. saya lanjut analisis untuk menemukan celah keamanan pada web tersebut.
nah, saatnya berpusing ria, hehe. file log ini isinya ribuan, bahkan ada jutaan baris. dari hasil analisis diatas, saya sedikit trckly untuk menemukan celah keamanannya.
file backdoor sudah ketemu, berarti saya mencari log yang berkaitan dengan file backdoor tersebut.
dari hasil percarian yang bernilai 200 , artinya 200 ini adalah respon ditanggapi oleh server. terlihat peretasan dilakukan sekitar 27 may 2023. namun, posisi file backdoor sudah terupload, belum kelihatan dari mana dia melakukan upload file backdoor tersebut yang disinyalir disitu letak celah keamanannya.
dari hasil percarian diatas, terlihat kan ya IP dari peretas, so sudah pasti dia pakai VPN. saya lanjut mencari tau celah keamanannya dengan membaca log dari IP tersebut. tentunya yang dilakukan pada tanggal 27 may 2023 atau sebelumnya.
nah. sampai disini, bisa keliatan kalau emang bug atau vulnerabilitynya itu sama seperti yang saya sampaikan direferensi. berarti emang kredentialnya udah dirubah sama siperetas.
oke, saya lanjut, darimana dia berhasil upload backdoor itu. saya melanjutkan membaca log yang memiliki nilai POST pada diretory backend.
dari hasil pencarian, ketemu. jadi celah keamanannya pada modul katalog dengan cara menambahkan konten-digital, darisinilah peretas mengunggah file backdoor pertamanya.
jadi kesimpulannya :
*peretas memanfaatkan celah keamanan atau vulnerability yang terdapat pada INLISLite
*peretas mengexploitasi celah keamanan dengan mengunggah backdoor atau malware dengan melakukan baypass file upload pada menu konten digital.
*tujuan peretas adalah membuat link sl*ot gac*or pada website
*motif peretas adalah ekonomi.
untuk saat ini, saya lagi bersihin backdoornya, dan ini butuh waktu. karena gak bisa dilakukan dengan bantuan antivirus atau anti anti lainnya, apalagi anti nyamuk.
setelah saya bersihin, baru saya backup database dan file appsnya. untuk jaga-jaga kalau rupanya siperetas punya hidden malware. utamanya, nutup celah kemanannya dengan menghapus folder backend atau merubah kredentialnya.
awalnya saya hanya melakukan rutinitas pengecekan firewall di kantor yang saya tangani.
dari hasil monitoring, ada lalu lintas yang tidak wajar dari salah satu host. kemudian saya mencoba mencari tau lebih jauh.
aktifitas tidak wajar
dari gambar diatas, dapat diketahui bahwa host tersebut berasal dari farmserver, dimana aktifitas outgoing yang tidak normal menuju port tertentu.
mitigasi selanjutnya saya remote SSH server tersebut. hal pertama yang saya cek adalah konsumsi resource
resource penuh
selain resource penuh, ada proses yang tidak wajar berjalan pada server, saya mitigasi lebih jauh terkait proses tersebut dengan melihat lebih rinci dengan perintah :
ps aux | grep netsnd
proses tidak wajar
hasilnya adalah gambar diatas. ada proses yang menjalankan file tttt yang targetnya random. oke, disini sudah jelas kalau memang aneh. saya lanjutkan migitasinya dengan mencari keberadaan file tttt dan kemudian membaca isi file tersebut,
letak file tttt dan rekan2 nya
dari hasil pencarian, menemukan letak file tersebut, kemudian saya membaca isi dari file tersebut dan file-file lainnya.
menjalankan nmap
dari sana dapat dibaca, bahwasannya, proses yang tidak wajar tersebut adalah menjalankan perintah nmap pada host random di internet.
proses tersebut akan memakan resource, baik CPU, RAM dan Network.
darisana sudah bisa disimpulkan, bahwa server tersebut sudah menjadi ROBOT yang dikendalikan oleh orang lain diluar sana untuk proses-proses yang dia inginkan.
oiya, selain menjalankan perintah nmap, rupanya server tersebut juga digunakan untuk mining
miner
siapa pelakunya ? bagaimana cara masuknya ?
diperlukan mitigasi lebih dalam untuk mengetahui pelakunya, sementara ini, server tersebut saya karantina agar tidak berproses sementara waktu, dengan demikian, aplikasi diserver tersebut juga tidak dapat diakses sampai dengan waktu yang belum ditentukan.
cerita kali ini adalah tentang email phishing, tidak main-main, email phishing ini tertarget kepada salah satu Menteri di Indonesia raya.
email phishing
jadi ceritanya lagi cek report email, karena Menteri ini sudah tidak menjabat, saya iseng cek akun email atas nama beliau. benar saja, akun emailnya masih ada tetapi dalam keadaan lock.
BTW mau ngasih pengertian phishing, tapi sudah banyak sih pengertiannya di internet. intinya, pelaku mengirimkan email yang bertujuan agar si penerima ( dalam hal ini Menteri ) untuk melakukan klik pada URL yang ada dalam isi email tersebut.
email phishing
email ini mengakui dari official ZIMBRA, dengan bahasa yang baik dan benar sesuai EYD. tapi kalau di lihat dari webmail pelaku, jelas ini bukan official ZIMBRA.
dan kalau di klik, maka secara otomatis, komputer/laptop/hp akan terinstall aplikasi Malware.
email phishing
untungnya, browser sudah mendeteksi bahwa web tersebut mengandung Malware, tapi jika itu website baru di bangun, mungkin beda ceritanya.
dan yang lebih menguntungkan lagi, Bapak Menteri tidak pernah membuka email. 😀
tapi, FIY ( for yor informasyon ) , selain email, sekarang phishing sudah berkembang melalui pesan singkat loh, misalnya WA atau yang lain. dan hebatnya lagi, phishing sekarang sudah punya kemasan baru, yaitu dalam bentuk gambar.
jadi PoC nya, setelah kamu klik gambar tersebut, maka tamatlah riwayatmu. hahahaha..
ah, sudah, jadi begitu saja cerita saya kali ini yang tidak bermanfaat ini.
Beberapa waktu lalu, salah satu Virtual Private Server terserang Rootkit.
Rootkit ini adalah kode jahat atau didalam dunia IT biasa disebut Malware. melakukan pekerjaan di server yang terinfeksi sesuai dengan perintah programmernya. ya pokoknya kalau mau tau lengkap tentang rootkit, bisa brosing-brosing yaks.
setelah di telusuri dari log, baik log firewall maupun log sistem operasi. kemungkinan besar rootkit itu masuk melalui port default SSH , yaitu 22.
metode yang digunakan adalah Brute Force, yaitu sebuah teknik mencocokkan kombinasi username dan password untuk akses ke remote SSH.
nah, kok bisa masuk melalui port tersebut ? setelah di telusuri, kombinasi username dan password server yang terjangkir Rootkituntuk remote SSH itu sangat default, dengan loginnya root ( user tertinggi pula ).
username : root
passwd : rahasia
berikut bukti bahwa ada ribuan kali percobaan untuk login,
tidak butuh waktu lama untuk Script Brute Force tersebut mampu menebak kombinasi loginnya.
setelah berhasil masuk ke server, scipt tersebut menanamkan Malware, melakukan Sync Flood ke IP luar Negeri.
ini malwarenya :
dan ini kegiatannya :
ini bisa terjadi juga dikarenakan konfigurasi firewall yang kurang tepat, sehingga mengijinkan trafik yang dinilai tidak lazim untuk melewati jaringan.
sekian, mitigasi dari saya. semoga kejadian ini tidak terjadi lagi. amin.
Baru baru ini, saya melakukan pencegahan akses ilegal terhadap sebuah sistem komputer.
Menurut saya pribadi, ini bukan isu murahan, karena sistem yang diakses secara ilegal itu adalah penting. Disana dapur orang bisa tetep ngebul.
Saya mengamati pola, maksud dan tujuan si pelaku berada di dalam sistem. Melakukan blok terhadap akses, membersihkan backdor dan sisa2 script berbahaya lainnya. Kebetulan, server ini “telanjang” dan tidak pernah di update, berawal dari sanalah, dia bisa mendapatkan hak akses super user. Saya berasumsi, dia sudah lama berada di dalam server. Melakukan hal yang menguntungkan bagi dirinya, dan merugikan orang lain. Tentu, jika isu ini mencuat ke permukaan, maka akan jadi polemik yang tak berkesudahan. Heheheu. Jadi, cukup di lingkup kecil saja yang tahu.
Setelah selesai, saya melaporkannya secara singkat, pun tidak tertuang di dalam sebuah laporan. Karena saya sendiri tidak bisa membuat sebuah laporan yang apik sehingga bisa mudah di pahami orang lain. Dengan harapan, Security Awareness bisa menjadi aspek yang perlu diperhatikan dalam membangun sebuah sistem mengingat resiko yang dihadapi sampai sekemikian parah.
Namun, jika diukur di tingkat kepentingan, Security Awareness ini tidak penting-penting amat, levelnya jauh dibawah build sistem, dimana sistem bisa running, dan pejabat disana bisa tersenyum lebar. , hahahaha.. :*
Itulah penyebabnya kenapa Kamen Rider itu tidak pernah ada di dunia nyata. Kamen Rider itu tidak pernah membangun gedung-gedung tinggi, tidak juga ikut kursus bodyguard untuk tugas pengawalan. Namun secara suka rela membela kebenaran dan mempertahankan keutuhan bumi dari serangan gorgom. Dia juga tidak disibukkan dengan membuat laporan kinerja hariannya.
Jika Kamen Rider itu benar-benar ada, dia sudah jauh lebih dulu dikalahkan oleh sistem yang rumit, birokrasi yang sempit, dan hambatan-hambatan dari sekelilingnya yang bukan malah membantunya. Sementara itu, gorgom terus menyerang.
Lagian, jika Kamen Rider itu benar-benar ada, kapan lagi dia sempat nyuci SEMPAK. ?!
Saya pernah punya teman, teman saya ini perokok berat. dia punya pacar seorang anak dokter. suatu ketika teman saya diberi pilihan oleh pacarnya itu.
pacar doi : “kamu mau pilih putus sama rokok, apa putus sama aku?” begitu pacar doi yang seorang anak dokter bicara. Secara manusia normal, siapa sih yang rela putus sama cewek cantik mulus, anak dokter lagi. Tapi teman saya yang ubnormal itu menjawab. teman : “ya lebih baik aku putus sama kamu daripada putus sama rokok” jenius, teman saya adalah tipe cowok setia, setia sama rokoknya.
-dan mereka putus.
Saya juga punya seorang teman maniak internet, dia pernah ditanya oleh pacarnya. pacar doi : “sayang, internetan terus, kalo disuruh milih, milih gak ketemu aku 3 bulan, atau gak ketemu internet 3 bulan?”
nah, teman saya yang satu ini udah ke-lewat ubnormal, dia jawab “lebih milih gak ketemu kamu 1 tahun, daripada gak ketemu internet 1 bulan”
loh loh, pertanyaan sama jawaban gak singkron.
kalo saya dapet pilihan itu, saya tidak akan memilih, atau malah milih ke dua dua nya. hahaha..
jadi ceritanya gini, akhir bulan, gajian belum tiba, kantong kering, eh, paket internet habis pula. FIY, saya juga termasuk dalam golongan orang yang tidak bisa jauh dari internet, ya walaupun cuma brosing gak jelas sama scroll fesbuk semaleman. mau tidak mau, saya cuma punya satu pilihan. tidur.
sebelum tidur saya sempat memikirkan status terbaru teman-teman bagaimana caranya bisa internetan. saya ingat, dulu saya punya banyak alat, diantaranya USB wireless, modem, AP, Switch. dll. tapi barang udah tidak pernah dipakai, jadi malam itu saya putuskan untuk bongkar-bongkar lemari guna mencari barang yang saya butuhkan. apa itu ?
Saya terfikir ide jahat kriminal antek mamarika wahyudi remason. ide jahat itu adalah “menumpang” intenetan di jaringan wifi tetangga yang dipassword dengan tingkat pengamanan WPA2 PSK. berbekal ide jahat tersebut, saya kembali membongkar ilmu-ilmu untuk melancarkan aksi tersebut.
singkat cerita, saya membutuhkan USB Wireless yang kebetulan saya dulu punya, leptop dengan OS linux, tools, kopi dan rokok 😀
nah, USB wireless saya ini kebetulan tipe outdoor, jadi bisa dipasang diluar ruangan. saya pasang berdampingan dengan antenna TV supaya jangkauannya luas.
outdoor usb wireless
usb wireless ini saya sambung dengan kabel usb extended. kemudian saya membuka leptop saya yang ber-sistem operasi linux ubuntu. saya melakukan scanning terhadap Access Point yang aktif. ada beberapa AP yang aktif, dan semuanya menggunakan keamanan password WPA2 PSK. selain milik tetangga, saya malah tertarik milik sekolahan yang kebetulan juga terjangkau dengan USB wireless saya. oke, aksi dilanjutkan.
jadi skenarionya begini, setelah saya scan Access point, dan memilih target, saya mendapatkan handshake dari AP target. kemudian, saya membuat AP palsu yang menyerupai AP target tadi. setelah itu, saya melakukan flooding pada AP yang asli hingga down, jadi AP palsu yang saya buat yang tetap aktif.
secara otomatis, user yang aktif pada AP asli itu akan terputus dan mencoba untuk melakukan koneksi ke AP palsu yang saya buat. tentunya dengan sistem DHCP. oke, disini saya juga melakukan FakeDNS dimana semua request akan diarahkan ke localhost saya. jadi, client yang sudah terkoneksi ke AP palsu saya yang akan melakukan brosing akan diarahkan ke form login pada localhost saya untuk memasukkan password wireless network pada AP asli. teknik ini sering disebut social engineering atau tipu-tipu.
pada user dengan tingkat kepanikan tinggi, dia tidak akan meneliti terlebih dahulu apakah ini jebakan atau bukan. dan jika terjebak dan dirasa password sudah tepat (sistem pencocokan handshake), password akan terekam dan user lain akan terkoneksi seperti biasa. beginilah skrinsut setelah password terekam
hore, saya internetan numpang, gratis, dan saya penjahat 😀
Jadi ceritanya kemaren bingung seharian mau ngapain. masih kebawa bayang-bayang mantan komputer kantor dan beberapa flaskdisk yang di hinggapi virus menyebalkan ditambah lagi postingan temen di beranda fesbuk saya tentang Open Source, saya jadi semangat lagi pengen belajar linux. oh, sebentar, saya kenalin dulu linux itu apa, linux itu sistem operasi, iya, kayak windows itu, yang ada di leptop-leptop dan komputer kamu itu. bedanya linux kode programnya bebas dan terbuka. jadi siapapun bebas ngembangin, ya walaupun saya cuma pengguna baru dan awam di linux, dan seperti-seperti gak mungkin buat ngembangin. jadi bisanya instal aja deh. oke, langsung aja deh. jadi kepikiran buat nginstall semua komputer di kantor pake linux, itu kalo saya kepala kantornya. hahaha., karena hal itu gak mungkin, saya memutuskan untuk install si linux di leptop pribadi saya. kali ini linux yang saya install dari varian ubuntu. kata orang, varian ini paling cocok buat pemula seperti saya, gampang dan gak ribet serta banyak dukungannya. hal pertama yang saya lakukan adalah menyiapkan installer linuxnya di flasdisk, kita bisa gunakan unetbootin untuk membuat usb installernya.
kemudian, kita setting boot pertama kita melalui flasdisk, setting ini bisa kita temukan di bios setup. inget, masing-masing leptop itu berbeda. kalo saya menggunakan leptop merek HP. yang saya lakuin cukup tekan esc terus pas leptop baru nyala, kemudian ada option boot. saya pilih deh flaskdisk.
kemudian ada muncul boot linux ubuntunya, kita bisa tekan enter saja untuk meneruskan. menu ini berguna untuk load sistem dari flaskdisk. jadi kita diijinkan untuk melihat-lihat dulu ubuntu seperti apa sih. setelah cocok, dan akan melakukan instalasi, kita bisa lanjutkan proses berikutnya dengan pilih sorcut install ubuntu di dekstop
kemuadian ada pilihan bahasa, pilihlah bahasa sesuai dengan pilihan ibumu.
setelah itu ada pilihan koneksi. kita bisa pilih next saja.
kemudian ada menu instalation type, nah disini yang paling harus hati-hati saat instalasi, jangan sampai data-data di harddisk kamu terhapus semua karen memilih menu yang salah. disini saya sarankan untuk memilih option something else. kamu juga disarankan memahami dahulu mengenai partisi di linux. berapa kasitas yang dibutuhkan dan lain lain.
setelah itu pilih next, ada menu mengisi user account anda, isilah sesuai selera, lalu pilih next.
lalu tinggal pilih next next saja, dan disarankan untuk merestart komputer/leptop kamu, maka instalasi ubuntu sudah selesai.
mudah bukan? ya memang mudah.
virus yang menjangkit di windows biasanya berextensi .exe , kalo bukan exe, bisa jadi itu malware dan script” jahat lainnya. nah, virus virus windows, tidak akan berjalan di linux, karena logika program virus yang di buat di khususkan untuk windows. hal ini bukan berarti tidak ada programmer yang membuat virus untuk linux, banyak, buaaaaanyaakkk dan lebih berbahaya. terutama untuk linux server. namun untuk kelas pemakaian dekstop, virus yang banyak beredar dipasaran adalah virus windows.
