Apakah anda seorang DEFACER ??
Pertama kalinya, saya tidak mendeface, dan tidak akan pernah melakukannya. Jadi bagaimana saya mengetahui cara mendeface? saya kira saya hanya melihat cara orang-orang mendeface dan saya bukanlah ahlinya dalam hal ini. Jika saya melakukan kesalahan maka saya mohon maaf. Ini adalah cara sederhana saat anda memikirkan bahwa mendeface itu hanya sekedar mengganti file di suatu computer. Saat ini, mencari exploit merupakan hal pertama, exploit yang sesungguhnya buah dari keterampilan, pengetahuan para hacker yang sejati. Saya tidak menganjurkan agar anda mendeface semua website, apalagi untuk mendapatkan credit card, password, source code, info billing, database email dsb... (sungguh anda benar-benar perusak yang tidak tahu diri).
Tutorial ini terdiri dari 3 bagian utama, yaitu:
1. Celah Keamanan Host
2. Menyusup
3. Menghapus Jejak
Sangat mudah, dan saya akan menunjukkan hal tersebut kepada anda.
1. Celah Keamanan Host
Ada dua kategori script kiddies: pertama, seseorang yang melakukan scan di internet pada suatu host yang memiliki celah keamanan dengan exploit tertentu dan mencari website tertentu untuk mencoba berbagai exploit. Kelompok pertama ini melakukan scanning ribuan situs dengan suatu exploit tertentu. Mereka tidak peduli siapa yang mereka hack, dan untuk apa. Mereka tidak memasang target dan tidak memiliki tujuan yang pasti. Menurut pendapat saya orang-orang ini memiliki alasan yang terlalu dibuat-buat seperti:
- "Saya hanya memastikan agar mereka mengupdate web security-nya"
- "Saya hanya menyampaikan pesan politis saja kok!"
- "Saya melakukan deface untuk mendapatkan perhatian media massa"
Orang-orang yang mendeface menjadi terkenal atau untuk menunjukkan bahwa mereka sangat terampil dan hebat, perlu kedewasaan dan menyatakan bahwa ada cara yang lebih baik ketimbang melakukan deface dengan alasan yang dibuat-buat.
Scanning Script Kiddie: Anda perlu mengetahui adanya celah keamanan, entah itu pada service yang dijalankan, sistem operasi atau file CGI-nya. Bagaimana cara anda mengetahui adanya celah keamanan? Versi berapa yang dijalankan? anda perlu mengetahui bagaimana mencarinya exploit web di internet (dengan google.com). Menggunakan suatu script untuk scanning range ip pada port tertentu yang memiliki celah keamanan. Atau menggunakan netcraft untuk mengetahui jenis server, sistem operasi dan aplikasi yang dijalankan (frontpage, php, asp, dsb..). nMap dan port scanner lainnya dapat melakukan scanning dengan cepat terhadap ribuan ip pada suatu port yang terbuka. Ini merupakan teknik favorit bagi mereka yang ingin melakukan hacking secara massal.
Website Target Script Kiddie: Sebaiknya para script kiddies melakukan hack pada berbagai website lawas. Langkah utama adalah mengumpulkan informasi situs tersebut sebanyak mungkin. Mencari sistem operasi yang dijalankan melalui netcraft.com atau menggunakan: telnet Site 80 kemudian GET /HTTP/1.1 mencari service apa yang dijalankan melalui port scan. Mencari spesifikasi service dengan melakukan telnet. Mencari berbagai script CGI, atau file-file lainnya yang memungkinkan anda mengakses server tersebut dengan mengeksploitasi /cgi /cgi-bin dan browsing ke website tersebut.
Setelah mencari berbagai informasi yang anda miliki selanjutnya anda dapat melakukan:
2. Penyusupan
Untuk melakukan hal ini anda dapat mencari berbagai exploit yang dapat digunakan untuk mengakses website tersebut. JIka anda melakukan scanning dan anda akan mengetahui exploit apa yang tepat untuk digunakan. Dua temnpat utama untuk mencari exploit adalah melalui website securityfocus dan packetstormsecurity Setelah mendapatkan exploit, periksa dan pastikan bahwa exploit tersebut memang untuk versi service, sistem operasi, script dsb yang dijalankan. Exploit umumnya dibuat menggunakan dua bahasa pemrograman yaitu C dan Perl. Script Perl memiliki ekstensi .pl atau .cgi, sedangkan C memiliki ekstensi .c, untuk mengkompilasi suatu file C (pada sistem *nix) gunakan perintah gcc -o exploit12 file.c lalu: ./exploit12. Sedangkan untuk Perl cukup melakukan perintah chmod 700 file.pl (sebenarnya tidak diperlukan) lalu: file Perl.pl. Ini hanyalah teknik kompilasi yang sederhana atau hanya teori kemungkinan exploit. Lakukan saja sedikit penelitian bagaimana cara menggunakannya. Hal lain yanganda perlukan untuk memeriksa apakah exploit tersebut merupakan remote atau local. Jika exploit lokal maka anda harusmemiliki suatu account atau akses secara fisik pada computer tersebut. Jika remote maka anda dapat melakukannya melalui jaringan (internet).
Jangan hanya bisa mengkompilasi exploit, ada satu hal penting yang perlu anda ketahui yaitu:
Menghapus Jejak
Setelah anda mendapatkan informasi mengenai host dengan tujuan mencari suatu exploit yang cocok yang memungkinkan anda menyusup. Mengapa tidak segera melakukannya? masalahnya adalah menghapus jejak hacking anda tergolong sulit, sulit diprediksi. Hanya karena anda meng-"kill" sys log tidak berartibahwa anda tidak terlacak oleh logger atau IDS (Intrusion Detection System) yang dijalankan. Banyak sekali script kiddies yang meremehkan kemampuan para admin yang hostnya mereka jadikan sasaran. Sebagai gantinya para script kiddie mencoba menggunakan account isp kedua untuk memulai hacking, memang akan terlacak tapi takkan tertangkap. JIka anda tidak memiliki fasilitas ini maka anda HARUS memiliki banyak wingate, shell account atau trojan untuk melakukan bounce off. Menghubungkannya secara bersamaan akan menyulitkan seseorang melacak keberadaan anda.Log pada wingate dan shell seringkali dihapus setelah 2-7 hari. Meski log dipelihara seluruhnya, tetap sulit bagi admin untuk melacak lebih jauh wingate atau shell-nya script kiddie sebelum log tersebut harus dihapus. Dan jarang sekali seorang admin memperhatikan dengan seksama terjadinya suatu serangan, bahkan kecil kemungkinannya mau mengejar attacker, yang penting bagi mereka adalah mengamankan box mereka dan melupakan yang telah terjadi.
Untuk alasan keamanan, jika anda menggunakan wingate dan shell, jangan melakukan apapun untuk mem-"pissed off" admin terlalu banyak (yang membuat mereka memanggil otorisasi atau mencoba melacak keberadaan anda) dan hapuslah log anda agar aman. Bagaimana cara melakukannya?
Ringkasnya, kita memerlukan beberapa wingate. Wingate secara alami cenderung mengubah ip atau shutdown sepanjang waktu, jadi diperlukan daftar terbaru atau program yang melakukan scan di internet. Anda dapat mendapatkan daftar wingate yang up to date di
pada site cyberarmy atau anda juga bisa menggunakan program yang disebut winscan. Nah anggaplah anda memiliki 3 wingate:
21x.96.1x5.33 port 23
202.1x4.244.21x port 1080
203.87.131.9 port 23
Untuk menggunakannya jalankan telnet dan hubungkan ke port 23, akan terlihat respon seperti ini:
CSM Proxy Server >
Untuk menghubungkan ke wingate berikutnya kita ketikkan iport seperti ini:
CSM Proxy Server >202.1x4.24x21x:1080
JIka terjadi error maka proxy yang coba anda hubungi tidak ada atau anda harus login ke proxy. Jika semuanya berjalan dengan baik, anda akan mendapatkan 3 rangkaian dan shell account yang terhubung. Pada shell account tersebut anda dapat melakukan link shell bersamaan dengan:
[j00@server j00]$ ssh 212.x3.5x.74
Anda memperoleh free shell yang bekerja hingga mendapatkan shell lainnya yang dihack, berikut ini daftar dari free shell account. Ingat, mendaftarlah dengan informasi palsu dan jika memungkinkan, melalui suatu wingate.
SDF (freeshell.org) -
GREX (cyberspace.org) -
NYX -
ShellYeah -
HOBBITON.org -
FreeShells -
DucTape -
Free.Net.Pl (Polish server) -
XOX.pl (Polish server) -
IProtection -
CORONUS -
ODD.org -
MARMOSET -
flame.org -
freeshells -
LinuxShell -
takiweb -
FreePort -
BSDSHELL -
ROOTshell.be -
shellasylum.com -
Daforest -
FreedomShell.com -
LuxAdmin -
shellweb -
blekko -
Setelah sebelumnya mendapatkan shell, anda dapat mengkompilasi exploit, dan anda menjadi sulit dilacak. Agar lebih yakin, hapuslah semua bukuti yang menunjukkan keberadaan anda.
Baiklah, ada beberapa hal pada sisi server yang para script kiddies perlu ketahui. Keharusan untuk mengedit atau menghapus log. Script Kiddies sejati munkin menggunakan suatu rootkit yang secara otomatis dapat menghapus log. Ada 2 log utama daemon yang akan saya jelaskan, yaitu klogd yang berupa log kernel, dan syslogd yang berupa log sistem. Langkah pertama untuk melakukan "kill" daemon tersebut agar tidak me-log apapun tindakan anda.
[root@hacked root]# ps -def | grep syslogd
[root@hacked root]# kill -9 pid_of_syslogd
Pada baris pertama kita menemukan pid syslogd, sedangkan baris kedua kita melakukan "kill" daemon tersebut, anda juga dapat menggunakan /etc/syslog.pid untuk mencari pid syslogd.
[root@hacked root]# ps -def | grep klogd
[root@hacked root]# kill -9 pid_of_klogd
Langkah yang sama kita gunakan pula terhadap klogd
Sekarang default logger telah di kill, maka script kiddies perlu menghapusnya dari log. Untuk mencari dimana syslogd menaruh log, periksa file /etc/syslog.conf. Tentunya jika anda tidak peduli kalau admin mengetahui bahwa anda menghapus seluruh log. Dalam hal ini anda benar-benar seorang "perusak", seorang defacer sialan, sang admin akan mengetahui bahwa box mereka disusupi saat website tersebut terdeface. Jadi tidak ada point yang ditambahkan log tersebut, mereka akan menghapusnya. Adapun alasannya adalah agar para admin tidak mengetahui bahwa telah terjadi pembobolan. Saya akan menuliskan alasan utama orang-orang ini membobol suatu box (system).
Mendeface website - lamer, tidak ada tujuan, hanya ingin merusak sistem.
Sniffing password jaringan - ada beberapa program yang memungkinkan anda melakukan sniff password yang dikirimkan dari dan ke suatu sistem. Jika sistem ini berada pada jaringan ethernet maka anda dapat melakukan sniff packet (yang berisikan password) yang diperuntukkan pada berbagai sistem dalam segment tersebut.
Tutorial ini terdiri dari 3 bagian utama, yaitu:
1. Celah Keamanan Host
2. Menyusup
3. Menghapus Jejak
Sangat mudah, dan saya akan menunjukkan hal tersebut kepada anda.
1. Celah Keamanan Host
Ada dua kategori script kiddies: pertama, seseorang yang melakukan scan di internet pada suatu host yang memiliki celah keamanan dengan exploit tertentu dan mencari website tertentu untuk mencoba berbagai exploit. Kelompok pertama ini melakukan scanning ribuan situs dengan suatu exploit tertentu. Mereka tidak peduli siapa yang mereka hack, dan untuk apa. Mereka tidak memasang target dan tidak memiliki tujuan yang pasti. Menurut pendapat saya orang-orang ini memiliki alasan yang terlalu dibuat-buat seperti:
- "Saya hanya memastikan agar mereka mengupdate web security-nya"
- "Saya hanya menyampaikan pesan politis saja kok!"
- "Saya melakukan deface untuk mendapatkan perhatian media massa"
Orang-orang yang mendeface menjadi terkenal atau untuk menunjukkan bahwa mereka sangat terampil dan hebat, perlu kedewasaan dan menyatakan bahwa ada cara yang lebih baik ketimbang melakukan deface dengan alasan yang dibuat-buat.
Scanning Script Kiddie: Anda perlu mengetahui adanya celah keamanan, entah itu pada service yang dijalankan, sistem operasi atau file CGI-nya. Bagaimana cara anda mengetahui adanya celah keamanan? Versi berapa yang dijalankan? anda perlu mengetahui bagaimana mencarinya exploit web di internet (dengan google.com). Menggunakan suatu script untuk scanning range ip pada port tertentu yang memiliki celah keamanan. Atau menggunakan netcraft untuk mengetahui jenis server, sistem operasi dan aplikasi yang dijalankan (frontpage, php, asp, dsb..). nMap dan port scanner lainnya dapat melakukan scanning dengan cepat terhadap ribuan ip pada suatu port yang terbuka. Ini merupakan teknik favorit bagi mereka yang ingin melakukan hacking secara massal.
Website Target Script Kiddie: Sebaiknya para script kiddies melakukan hack pada berbagai website lawas. Langkah utama adalah mengumpulkan informasi situs tersebut sebanyak mungkin. Mencari sistem operasi yang dijalankan melalui netcraft.com atau menggunakan: telnet Site 80 kemudian GET /HTTP/1.1 mencari service apa yang dijalankan melalui port scan. Mencari spesifikasi service dengan melakukan telnet. Mencari berbagai script CGI, atau file-file lainnya yang memungkinkan anda mengakses server tersebut dengan mengeksploitasi /cgi /cgi-bin dan browsing ke website tersebut.
Setelah mencari berbagai informasi yang anda miliki selanjutnya anda dapat melakukan:
2. Penyusupan
Untuk melakukan hal ini anda dapat mencari berbagai exploit yang dapat digunakan untuk mengakses website tersebut. JIka anda melakukan scanning dan anda akan mengetahui exploit apa yang tepat untuk digunakan. Dua temnpat utama untuk mencari exploit adalah melalui website securityfocus dan packetstormsecurity Setelah mendapatkan exploit, periksa dan pastikan bahwa exploit tersebut memang untuk versi service, sistem operasi, script dsb yang dijalankan. Exploit umumnya dibuat menggunakan dua bahasa pemrograman yaitu C dan Perl. Script Perl memiliki ekstensi .pl atau .cgi, sedangkan C memiliki ekstensi .c, untuk mengkompilasi suatu file C (pada sistem *nix) gunakan perintah gcc -o exploit12 file.c lalu: ./exploit12. Sedangkan untuk Perl cukup melakukan perintah chmod 700 file.pl (sebenarnya tidak diperlukan) lalu: file Perl.pl. Ini hanyalah teknik kompilasi yang sederhana atau hanya teori kemungkinan exploit. Lakukan saja sedikit penelitian bagaimana cara menggunakannya. Hal lain yanganda perlukan untuk memeriksa apakah exploit tersebut merupakan remote atau local. Jika exploit lokal maka anda harusmemiliki suatu account atau akses secara fisik pada computer tersebut. Jika remote maka anda dapat melakukannya melalui jaringan (internet).
Jangan hanya bisa mengkompilasi exploit, ada satu hal penting yang perlu anda ketahui yaitu:
Menghapus Jejak
Setelah anda mendapatkan informasi mengenai host dengan tujuan mencari suatu exploit yang cocok yang memungkinkan anda menyusup. Mengapa tidak segera melakukannya? masalahnya adalah menghapus jejak hacking anda tergolong sulit, sulit diprediksi. Hanya karena anda meng-"kill" sys log tidak berartibahwa anda tidak terlacak oleh logger atau IDS (Intrusion Detection System) yang dijalankan. Banyak sekali script kiddies yang meremehkan kemampuan para admin yang hostnya mereka jadikan sasaran. Sebagai gantinya para script kiddie mencoba menggunakan account isp kedua untuk memulai hacking, memang akan terlacak tapi takkan tertangkap. JIka anda tidak memiliki fasilitas ini maka anda HARUS memiliki banyak wingate, shell account atau trojan untuk melakukan bounce off. Menghubungkannya secara bersamaan akan menyulitkan seseorang melacak keberadaan anda.Log pada wingate dan shell seringkali dihapus setelah 2-7 hari. Meski log dipelihara seluruhnya, tetap sulit bagi admin untuk melacak lebih jauh wingate atau shell-nya script kiddie sebelum log tersebut harus dihapus. Dan jarang sekali seorang admin memperhatikan dengan seksama terjadinya suatu serangan, bahkan kecil kemungkinannya mau mengejar attacker, yang penting bagi mereka adalah mengamankan box mereka dan melupakan yang telah terjadi.
Untuk alasan keamanan, jika anda menggunakan wingate dan shell, jangan melakukan apapun untuk mem-"pissed off" admin terlalu banyak (yang membuat mereka memanggil otorisasi atau mencoba melacak keberadaan anda) dan hapuslah log anda agar aman. Bagaimana cara melakukannya?
Ringkasnya, kita memerlukan beberapa wingate. Wingate secara alami cenderung mengubah ip atau shutdown sepanjang waktu, jadi diperlukan daftar terbaru atau program yang melakukan scan di internet. Anda dapat mendapatkan daftar wingate yang up to date di
pada site cyberarmy atau anda juga bisa menggunakan program yang disebut winscan. Nah anggaplah anda memiliki 3 wingate:
21x.96.1x5.33 port 23
202.1x4.244.21x port 1080
203.87.131.9 port 23
Untuk menggunakannya jalankan telnet dan hubungkan ke port 23, akan terlihat respon seperti ini:
CSM Proxy Server >
Untuk menghubungkan ke wingate berikutnya kita ketikkan iport seperti ini:
CSM Proxy Server >202.1x4.24x21x:1080
JIka terjadi error maka proxy yang coba anda hubungi tidak ada atau anda harus login ke proxy. Jika semuanya berjalan dengan baik, anda akan mendapatkan 3 rangkaian dan shell account yang terhubung. Pada shell account tersebut anda dapat melakukan link shell bersamaan dengan:
[j00@server j00]$ ssh 212.x3.5x.74
Anda memperoleh free shell yang bekerja hingga mendapatkan shell lainnya yang dihack, berikut ini daftar dari free shell account. Ingat, mendaftarlah dengan informasi palsu dan jika memungkinkan, melalui suatu wingate.
SDF (freeshell.org) -
GREX (cyberspace.org) -
NYX -
ShellYeah -
HOBBITON.org -
FreeShells -
DucTape -
Free.Net.Pl (Polish server) -
XOX.pl (Polish server) -
IProtection -
CORONUS -
ODD.org -
MARMOSET -
flame.org -
freeshells -
LinuxShell -
takiweb -
FreePort -
BSDSHELL -
ROOTshell.be -
shellasylum.com -
Daforest -
FreedomShell.com -
LuxAdmin -
shellweb -
blekko -
Setelah sebelumnya mendapatkan shell, anda dapat mengkompilasi exploit, dan anda menjadi sulit dilacak. Agar lebih yakin, hapuslah semua bukuti yang menunjukkan keberadaan anda.
Baiklah, ada beberapa hal pada sisi server yang para script kiddies perlu ketahui. Keharusan untuk mengedit atau menghapus log. Script Kiddies sejati munkin menggunakan suatu rootkit yang secara otomatis dapat menghapus log. Ada 2 log utama daemon yang akan saya jelaskan, yaitu klogd yang berupa log kernel, dan syslogd yang berupa log sistem. Langkah pertama untuk melakukan "kill" daemon tersebut agar tidak me-log apapun tindakan anda.
[root@hacked root]# ps -def | grep syslogd
[root@hacked root]# kill -9 pid_of_syslogd
Pada baris pertama kita menemukan pid syslogd, sedangkan baris kedua kita melakukan "kill" daemon tersebut, anda juga dapat menggunakan /etc/syslog.pid untuk mencari pid syslogd.
[root@hacked root]# ps -def | grep klogd
[root@hacked root]# kill -9 pid_of_klogd
Langkah yang sama kita gunakan pula terhadap klogd
Sekarang default logger telah di kill, maka script kiddies perlu menghapusnya dari log. Untuk mencari dimana syslogd menaruh log, periksa file /etc/syslog.conf. Tentunya jika anda tidak peduli kalau admin mengetahui bahwa anda menghapus seluruh log. Dalam hal ini anda benar-benar seorang "perusak", seorang defacer sialan, sang admin akan mengetahui bahwa box mereka disusupi saat website tersebut terdeface. Jadi tidak ada point yang ditambahkan log tersebut, mereka akan menghapusnya. Adapun alasannya adalah agar para admin tidak mengetahui bahwa telah terjadi pembobolan. Saya akan menuliskan alasan utama orang-orang ini membobol suatu box (system).
Mendeface website - lamer, tidak ada tujuan, hanya ingin merusak sistem.
Sniffing password jaringan - ada beberapa program yang memungkinkan anda melakukan sniff password yang dikirimkan dari dan ke suatu sistem. Jika sistem ini berada pada jaringan ethernet maka anda dapat melakukan sniff packet (yang berisikan password) yang diperuntukkan pada berbagai sistem dalam segment tersebut.
Posting Komentar