Rabu, 20 Juli 2011

Hati-hati hacker di server UNIX

Wah... judulnya horor banget neh CommUNIXy. Emang beneran ya ada hacker di server UNIX? Maksute gimana neh? Jangan buat sobat UNIX jadi deg-deg serrr.... hehehe...

Communixy boleh dah membayangkan ada seseorang yang masuk ke sistem Anda, lalu  mengacak-acak konfigurasi atau malah data di server. Setelah server down, ternyata Anda tidak menemukan jejak last login. Dalam banyak kasus, sebenarnya yang terjadi adalah human error karena salah pencet [enter] atau edit file konfigurasi. Supaya aman dan bebas dari kesalahan, oknum tersebut akan berusaha untuk menghapus jejak. Sayangnya, jejak kita akan tertinggal pada beberapa file log antara lain /var/adm/messages, /var/adm/syslog/syslog.log, /var/adm/wtmpx, /var/adm/wtmp, /var/adm/sulog. Bagaimana jika itu terjadi pada kita, mau tahu jalan keluarnya?

CommUNIXy jangan salah sangka lho bahwa NgoprekUNIX mengajarkan untuk berbuat curang hehehe. Ini semata untuk berbagi ilmu. Soal pemanfaatannya untuk apa terserah CommUNIXy ya, ane lepas tangan hehehe. Latar belakang kasus ini adalah sejumlah fakta terjadinya eror serius pada sistem yang seharusnya tidak akan terjadi tanpa campur tangan "sesuatu". NgoprekUNIX meggunakan istilah "sesuatu" karena tidak yakin siapa pelakunya. Singkat cerita, besar kemngkinan CommUNIXy pernah mengalami investigasi mencari kambing hitam dari problem.

Dari beberapa kasus, NgoprekUNIX menemukan modus-modus antara lain :

  1. Mengedit file tanpa mengubah last access/modification time
  2. Menggunakan ROOT tanpa jejak, padahal sudah ada batasan sekuriti ROOT tidak bisa login langsung alias harus login user biasa terlebih dahulu
  3. Login user biasa juga hilang lenyap tanpa jejak
Horor gak tuh? Bayangkan apa yang bisa terjadi pada server CommUNIXy sekiranya ada pihak-pihak yang tidak bertanggung jawab menggunakan ROOT? System crash dan data hilang lenyap mungkin saja menjadi derita tanpa kesudahan hahaha....

Sebenarnya apa sih metode yang mereka lakukan? Atau jangan-jangan sering NgoprekUNIX lakukan kali ya hehehe. Kalau untuk shortcut ketika suasana genting kadang NgoprekUNIX ijtihad dengan jurus sakti ini. Tapi dicatat ya, jika dan hanya jika situasi mendesak dengan tujuan penyelamatan. Bukan sebaliknya, perusakan atau penghancuran. Inilah jurus yang digunakan sesuai kasus di atas :
  1. Gunakan "touch -m [waktu yang diinginkan] [nama_file]"
    • format waktu adalah mmddHHMMyy
  2. Edit file /var/adm/sulog dan /var/adm/messages (SUN) atau /var/adm/syslog/syslog.log (HPUX)
  3. Edit file /var/adm/wtmp atau /var/adm/wtmpx
Khusus untuk nomor 3, perlu semedi dulu neh untuk mengurai jurus ini hehehe. Mau tahu gak? Singkat cerita gunakan tools untuk mengubah file binary menjadi ASCII dengan "fwtmp". Untuk AIX/HPUX ada di /usr/sbin/acct, sedangkan SUN ada di /usr/lib/acct. Atas pertimbangan keamanan nasional, NgoprekUNIX akan hold dulu sementara waktu hehehe.
 
Salam NgoprekUNIX,

Diposting oleh NgoprekUNIX di 08.56
Label: , , ,

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)