Mencari tanda-tanda terjadinya penyusupan terhadap sistem


Sering Sekali lamer-lamer mendekteksi jaringan kita baik dengan beraneka ragam cara yang terkadang membuat si admin kebingunggan (panic) untuk melacaknya, untuk itu penulis mencoba memaparkan sekilas tentang langkah-langkah melakukan pendeteksian terhadap sistem yang susah tersusup atau belom tersusup, Benarkan sistem kita tersusup ? (khususnya pada sistem yang berbasix unix ato linux) sebagai jaringan yang paling banyak dipakai saat ini.

Ada pun langkah-langka yang dapat kita tempuh adalah sebagai berikut :

1. memeriksa file-file log, untuk memcari koneksi dari lokasi yang tidak wajar atau mencari aktivitas yang tidak semestinya ada. sebagai contoh , periksalah "last log", proses accounting, semua log yang dibuat oleh syslog, dan log-log yang lain yang ada kaitannya dengan keamaan. bila firewall digunakan atau router menulis log ke lokasi yang berbede dengan compromised system (sistem yang berhasil di-comprimise), jangan lupa untuk memeriks log-lognya juga. sebagai catatan, hal ini bukanlah hal yang mudah dan aman untuk dilakukan, kecuali anda melakukan log ke sebuah media yang hanya dapat diisi dengan mode append (sering sekali penyusup mengedit file-file log untuk menyembunyikan aktivitas mereka).

2. memeriksa file-file setuid dan setgid (terutama file setuid root) pada sistem. sering sekali penyusup meninggalkan setuid dari /bin/sh atu /bin/time untuk memudahkan bila akan melakukan akses sebagai root di waktu yang akan datang. perintah find pada unix ato linux dapat digunakan untuk mencari file-file setuid dan segid. sebagai contoh ada dapat melakukan perintah berikut untuk mencari file-file setuid root dan setgid kmem pada seluruh lokasi didalam sistem :

contoh pemakaian:


fruzi:~$ find / -user root -perm -4000 -print

fruzi:~$ find / -group kmem -perm -2000 -print



keterangan : contoh ini akan mencari ke seluruh sistem / direktory, termasuk NFS/AFS yang dimount ke dalam file system, namun untuk mencegah hirarki tersebut ada beberapa perintah find yang mendukung option "-xdev" . sebagai contoh :


fruzi:~$ find / -user root -perm -4000 -print -xdev



cara lain untuk mencari file-file setuid adalah dengan melakukan perintah ncheck pada tiap-tiap partisi.sebagai contoh, gunakan perintah berikut ini untuk mencari file-file setuid dan device -device khusus pada partisi /dev/rsd0g:



fruzi:~$ ncheck -s /dev/rsd0g



3. memeriksa file-file binary di dalam system untuk memastikan file-file binary tersebut tidak berubah. seringkali penyusup mengubah program pada sistem unix ato linux, misalkannya login, su, nestat, ifconfig, ls, find, du, df, libc, sync. semua file-file binary yang di referensikan oleh /etc/inetd.conf, dan program-program jaringan yang penting berserta library-library berbentuk objek yang dipakainya. jangan lupa untuk membandingan dengan file-file aslinya, hati-hati terhadap backupan jangan-jangan sudah terkena/terinfeksi trojan horse. ( pakailah program untuk menditeksi trojan ) contoh-contoh programnya cmp ato MD5 (program standar yang dimiliki unix ato linux) ato bisa saja anda mengunakan program lain yang bisa anda dapat kan di internet.


4. memeriksa sistem dari akses penggunaan program networking secara ilegal, yang umum disebut dengan packet sniffer. penyusup mungkin menggunakan sniffer untuk menyadap user account dan password : saran penulis gunakanlah :superscan ato sejenisnya..


5. memeriksa semua file yang dijalankan oleh cron dan at. seringkali penyusup sengaja meninggalkan pintu belakang (backdoor) pada sistem (bahkan setelah sistem merasa yakin telah menyelesaikan masalah yang terjadi karena sistem di -compromise). Periksa juga semua program/file yang direferensi (baik secara langsung maupun tidak langsung) oleh job-job cron dan at serta file-file job mereka sendiri, yang seharusnya tidak dapat ditulis secara bebas.


6. Memeriksa service-service ilegal (yang sedang berjalan). perhatikan apakah ada penambahan atau pengubahan secara ilegal pada /etc/inetd.conf, khususnya periksa entri-entri yang mengeksekusi program-program shell (misal nya /bin/sh ato /bin/csh) dan pastikan program-program yang dispefisikasikan di /etc/inetd sudah benar dan tidak diganti oleh trojan horse. periksa juga service-service legal yang diberi tanda komentar pada service-service tertentu (berarti menjalankan service tertentu), atau mengganti program inetd dengan sebuah program trojan horse.


7. Memeriksa file /etc/passwd pada sistem dan memeriksa juga modifikasi yang terjadi pada file tersebut, khususnya untuk pembuatan account baru, account tanpa password, atau penggubahan UID (terutama UID 0) pada account-account yang ada.


8. Periksa file-file konfigurasi sistem dan jaringan dari entri-entri ilegal, khususnya cari entri degnan tanda plus (+) dab bana host yang tidak diinginkan di file /etc/hosts.equiv ,/etc/hosts.lpd dan semua file-file .rhost (terutama root,uucp,ftp dan account sistem yang lain 0 pada sistem, File-file tersebut seharusnya tidak dapat ditulis secara bebas. cari file-file yang tidak wajar atau hidden pasa seluruh lokasi di sistem (file-file yang dijalankan menurut prioda waktu tertentu dan umumnya tidak dapat dilihat dengan mengunakan perinah ls), karena file seperti ini dapat digunakan untuk menyembuyikan tool dan informasi (program password cracking, file password dari sistem lain). sebuah teknik yang umum pada sistem Unix ataupun linux adalah meletakan sebuah direktory yang hidden pada user acount dengan nama yang tidak wajar , misalkan ".." atau ".. "(titik2 spasi) atau "..^G" (titik2 ctrl+G). Sekali lagi, perintah find dapat digunakan untuk mencari file hidden tersebut, contoh :


fruzi:~$ find / -name ".. " - print -xdev

fruzi:~$ find / -name ".*" - print -xdev | cat -v


demikian juga dengan file-file yang memiliki nama seperti misalnya "xx" dan ".mail" (terlihat seperti file biasa bukan)


9. memeriksa semua komputer pada jaringan lokal pada saat mencari tanda-tand adanya penyusupan. seringkali bila sebuah host berhasil di-compromise maka komputer lain yang berada didalam jaringan juga. hal ini bener khususnya bila jaringan menjalankan NIS (Network Information System) atau tiap-tiap host di dalam jaringan saling mempercayai melalui file .rhost dan file /etc/hosts.equiv. periksa juga host-host yang berbagi akses .rhost.



"MEMBUAT SESUATU YANG TIDAK MUNGKIN MENJADI MUNGKIN"
"FRUZI ALBAR FRUZTECKER"

+ Add Your Comment