SlideShare ist ein Scribd-Unternehmen logo
1 von 37
Downloaden Sie, um offline zu lesen
D` Art of Thinking
                 saatnya memberikan otak kita sedikit nutrisi
                                                                        te
                                                                    w ri
                                                                R e-




                        Ahmad.Muammar.W.K
                             http://y3dips.echo.or.id




y3dips©2005
Jadwal
              Berkenalan dengan EcHo
              Siapakah ?
              Show me the Art ?
              Mari Diskusi !




y3dips©2005
EcHo
              indonEsian Community for Hackers and Opensource
              “ Belajar dan mencoba bersama kami “
              Mailing list, forum, ezine , IRC room, advisories
              y3dips, moby, the_day, comex, z3r0byt3, k-159, c-a-s-e, s`to , lirva32
              , anonymous
              http://www.echo.or.id




y3dips©2005
Siapakah ?
              Eric S Raymond says the basic difference is that “ hackers build things,
              crackers break them ”
              “ Those who has the tools but not the knowledge ” are Script Kiddies ; --
              Jeff Moss , black Hat.Inc




y3dips©2005
Hacker Hall Of Fame :
y3dips©2005
              http://tlc.discovery.com/convergence/hackers/hackers.html
Show me the Art ?
               Perjalanan memahami kembali “anatomi hacking” yang kita ketahui




y3dips©2005
Waktu ?
              Admin adalah juga seorang manusia biasa ….!
              Biarkan waktu berpihak kepada “kita”
              Saatnya berlibur ???!!! ( saatnya bekerja )
              Traffic ramai ?, tak ada salahnya menyumbang “suntikan“ traffic
                 Scanning target




y3dips©2005
Cari Target
              Traceroute, whois, dig, host, finger adalah standar ?
                 Tindak lanjutnyalah yang menjadikan tidak standar
              Tandai target-mu !
                 “high secure level” sampai “low secure level”
                 Jadi kau pilih yang mana ?




y3dips©2005
Server




                                                           Firewall

              Server




              Attacker                                                                        Server
                Attacker melakukan foot printing terhadap network (traceroute , nslookup, dig , whois)



y3dips©2005
os : Redhat
                                  Enterprise                                           os : Debian       Server
                                  - Apache                                             - Qmail
                                  - Mysql , SSH                                        - SSH
                                  open port                                            open port
                                  - 3306 , 80 , 22                                     - 22
                                                                                       - 110 , 25


                                                           Firewall

              Server




                                                                                                          os : win 2000
                                                                                                          - IIS5
                                                                                                          - MsSQL
                                                                                                          - MsFTP
                                                                                                          open port
                                                                                                          - 21
                                                                                                          - 80,1434




              Attacker                                                                        Server
                Attacker melakukan foot printing terhadap network (traceroute , nslookup, dig , whois)
                Attacker melakukan mass scanning terhadap multi server / multi hosts


y3dips©2005
os : Redhat
                                  Enterprise                                           os : Debian       Server
                                  - Apache                                             - Qmail
                                  - Mysql , SSH                                        - SSH
                                  open port                                            open port
                                  - 3306 , 80 , 22                                     - 22
                                                                                       - 110 , 25


                                                           Firewall

              Server




                                                                                                          os : win 2000
                                                                                                          - IIS5
                                                                                                          - MsSQL
                                                                                                          - MsFTP
                                                                                                          open port
                                                                                                          - 21
                                                                                                          - 80,1434




              Attacker                                                                        Server
                Attacker melakukan foot printing terhadap network (traceroute , nslookup, dig , whois)
                Attacker melakukan mass scanning terhadap multi server / multi hosts
                Attacker menandai target yang pertama kali akan di coba

y3dips©2005
Cari Target
              “Info are from everywhere”
                 Milis security, situs security , vendor security news , advisories
              Google™ dan search engine lainnya adalah teman baik “KITA”
              Tetapi “google mulai memutuskan hubungan” ?
                 Try google hack
              “Divide and Conguer”




y3dips©2005
Scanning
              Stealth scan (-sS , -sX, -sF) GAGAL !
              IDS menjadi masalah ? (eg /; snort , portsentry, etc)
              Bagaimana membreak desain yang ada ?
                 TIDAK ! Ikuti saja desain yang ada
              Lakukan saja “koneksi” atau sekedar “banner grabing”
              telnet , NC , THC-amap
              “Less bandwidh consuming”




y3dips©2005
Scanning
              Lakukan Specific scanning
              Code :




y3dips©2005
y3dips©2005
Cari Akses
              Exploitasi secara remote GAGAL TOTAL !!
                 Kejayaan masa lampau (wuftpd, Openssl-to-open, etc)
                 Diblok oleh firewall , IDS , IPS, ACL, etc
              Service service yang sudah relatif bertambah “aman”
                 Dukungan komunitas dan maraknya User Groups
              Miskinnya support “0day Xploits” ????           kiddies




y3dips©2005
Cari Akses
              Hanya berharap pada yang terbuka ??
                 Service umum di sebuah mesin komersil (http , https , ssh, ftp, smtp)
              http sedikit lebih leluasa ?
                 “Web hacking” ?
                 Jujur saja kalo kita perlu akses !!




y3dips©2005
Cari Akses
              Akrabkan diri dengan Web Aplikasi & Threat
              Beragamnya aplikasi berjalan diatas port 80
              Ramai itu menguntungkan “KITA” :P
              Dekatkan diri dengan Bugtraq
              “Lets Call back our friend Google™ ”
              SQL injection , Remote command execution !?




y3dips©2005
Cari Akses
              Bagaimana dengan HTTPS ?
              Hacking Web apps via ssl untuk https ????
                 stunnel , sslproxy
              “ Its Encrypted , huh!! “
                 Membingungkan IDS untuk melihat “ signature “
              Well my friend we`re l33t now!




y3dips©2005
Cari Akses




y3dips©2005
y3dips©2005
Aku Tamu ?
              Kamu adalah “nobody” “www” “apache”
              Butuh akses lebih ?
              0day exploits sudah langka bagimu ?
              Kenapa tidak bermain main dengan “Read file”
                 /etc/passwd !!!!????? Why not ☺




y3dips©2005
y3dips©2005
Aku Tamu ?
              Terlalu terbatas berkeliaran dengan “nobody” id
              “Pick a new id” ?
                 Setidaknya “berubahlah” menjadi USER
                 Temukan user id dan passwordnya
              Ambil info sekecil apapun , jadilah pemulung ??
              Config.php , config.inc.php , data.mdb , user.dat




y3dips©2005
y3dips©2005
y3dips©2005
Jadikan aku Raja?
              User ??
              Kenapa tidak menjadikan dirimu sebagai raja !
                 uid=0(root) gid=0(root) groups=0(root)
              “ 0day exploits are very rare ? “
                 Try another way ( Social engineering )
                 0ld tricks ??
              “ Success or failed , you choose ! “




y3dips©2005
Pintu belakang
              SSHv4, Bind-tty, remote shell, dan YAB® telah GAGAL !
              Firewall menjadi lebih GANAS!!!
                 Block semua koneksi dari luar
                 Membuka port yang hanya di gunakan (eg:/; 80, 22)
              Tidak bisa patching OPENSSH dengan backdoor ??!
                 Modifikasi sudoers, user, groups ??
              Semua koneksi dari dalam keluar not filtered ???




y3dips©2005
Pintu belakang
              Kenapa tidak kita jadikan diri kita TUAN RUMAH !!
              “Let them connect to us using “ Netcat & reverse shell ??




y3dips©2005
Reverse Shell




              Attacker
                                                                                       Server
                                                     Firewall

                 Attacker membuka koneksi ke server menggunakan port 80 (HTTP)
                 Attacker menemukan celah untuk memasang backdoor di komputer server




y3dips©2005
Reverse Shell




              Attacker
                                                                                                    Server
                                                        Firewall

                 Attacker membuka koneksi ke server menggunakan port 80 (HTTP)
                 Attacker menemukan celah untuk memasang backdoor di komputer server
                 Attacker melakukan akan koneksi ke backdoor yang di pasang di server
                 Attacker gagal melakukan koneksi dikarenakan rule yang di terapkan di firewall (IDS, ACL, IPS)




y3dips©2005
Reverse Shell




              Attacker
                                                                                                  Server
                                                       Firewall

                 Attacker membuka koneksi ke server menggunakan port 80 (HTTP)
                 Attacker menemukan celah untuk memasang backdoor di komputer server
                 Attacker melakukan akan koneksi ke backdoor yang di pasang di server
                 Attacker gagal melakukan koneksi dikarenakan rule yang di terapkan di firewall (IDS, ACL, IPS)
                 Attacker mengeksekusi script reverse shell via phpshell, cgi telnet , remote command execution
                 User di mesin melakukan koneksi balik ke mesin attacker dan membypass firewall (IDS,ACL,IPS)
                 Attacker menjalankan netcat untuk membinding shell untuk menerima koneksi dari User di Server


y3dips©2005
Reverse Shell
          Backdoor tidak selalu online !
              Tidak mencurigakan admin , karena port yang di binding tidak akan
              online 24 jam.
          Pengaktifannya bisa melalui backdoor lain di web applikasi yang
          relatif lebih gampang di sembunyikan
              PhpShell, cgi-telnet, remote command execution
          Minimalisir kecurigaan Tuan Rumah




y3dips©2005
Jejak-ku
          Log yang tidak biasa akan mencurigakan ?
              Working under web base relatively secure ( access.log )
          Jika sesuai prosedur apakah bahaya ?
          Jika dirasa perlu lakukan sedikit modifikasi log
              Rootkits , wipe log tools yang menghapus log user yang dinginkan serta
              waktu yang di inginkan
          Menghapus file log secara “membabi-buta” akan terlalu
          mencurigakan.




y3dips©2005
y3dips©2005
“Si bodoh”
              Defacing, ???!!
              Merubah file, menghapus file , dsb
              Menambah user secara mecolok
              Berlakulah biasa sampai kita “selesai”




y3dips©2005
Mari Diskusi
                 Bagi bagi ilmu dunk ?




y3dips©2005

Weitere ähnliche Inhalte

Ähnlich wie Art of Thinking [Re-write]

Ähnlich wie Art of Thinking [Re-write] (19)

Tutorial mikrotik-step-by-step
Tutorial mikrotik-step-by-stepTutorial mikrotik-step-by-step
Tutorial mikrotik-step-by-step
 
Tutorial mikrotik-step-by-step
Tutorial mikrotik-step-by-stepTutorial mikrotik-step-by-step
Tutorial mikrotik-step-by-step
 
Al12
Al12Al12
Al12
 
04 sniffing
04 sniffing04 sniffing
04 sniffing
 
Virtual hacking Modul
Virtual hacking ModulVirtual hacking Modul
Virtual hacking Modul
 
FreeBSD Proxy Server
FreeBSD Proxy ServerFreeBSD Proxy Server
FreeBSD Proxy Server
 
17290770 Setting Buat Router Mikrotik
17290770 Setting Buat Router Mikrotik17290770 Setting Buat Router Mikrotik
17290770 Setting Buat Router Mikrotik
 
Tutorial mikrotik-step-by-step(1)
Tutorial mikrotik-step-by-step(1)Tutorial mikrotik-step-by-step(1)
Tutorial mikrotik-step-by-step(1)
 
Tutorial mikrotik-step-by-step
Tutorial mikrotik-step-by-stepTutorial mikrotik-step-by-step
Tutorial mikrotik-step-by-step
 
Tutorial menginsatal konfigurasi linus debian server for lks
Tutorial menginsatal konfigurasi linus debian server for lksTutorial menginsatal konfigurasi linus debian server for lks
Tutorial menginsatal konfigurasi linus debian server for lks
 
Tutorial mikrotik-step-by-step
Tutorial mikrotik-step-by-stepTutorial mikrotik-step-by-step
Tutorial mikrotik-step-by-step
 
Pertemuan 10
Pertemuan 10Pertemuan 10
Pertemuan 10
 
Jawdat Mini Hackaton 2016 by Jumroh Arrasid
Jawdat Mini Hackaton 2016 by Jumroh ArrasidJawdat Mini Hackaton 2016 by Jumroh Arrasid
Jawdat Mini Hackaton 2016 by Jumroh Arrasid
 
Tutorial Mikrotik
Tutorial  MikrotikTutorial  Mikrotik
Tutorial Mikrotik
 
Metasploit, Use at your own risk
Metasploit, Use at your own riskMetasploit, Use at your own risk
Metasploit, Use at your own risk
 
Reni subarkah
Reni subarkahReni subarkah
Reni subarkah
 
mikrotik router dan cisco packet tracer
mikrotik router dan cisco packet tracermikrotik router dan cisco packet tracer
mikrotik router dan cisco packet tracer
 
Cain and Abel Tools
Cain and Abel ToolsCain and Abel Tools
Cain and Abel Tools
 
Tutorial step by_step_setting_mikrotik
Tutorial step by_step_setting_mikrotikTutorial step by_step_setting_mikrotik
Tutorial step by_step_setting_mikrotik
 

Mehr von Ammar WK

Vvdp-fgd-bssn
Vvdp-fgd-bssnVvdp-fgd-bssn
Vvdp-fgd-bssnAmmar WK
 
Pen-testing is Dead?
Pen-testing is Dead?Pen-testing is Dead?
Pen-testing is Dead?Ammar WK
 
How To [relatively] Secure your Web Applications
How To [relatively] Secure your Web ApplicationsHow To [relatively] Secure your Web Applications
How To [relatively] Secure your Web ApplicationsAmmar WK
 
A Journey Into Pen-tester land: Myths or Facts!
A Journey Into Pen-tester land: Myths or Facts!A Journey Into Pen-tester land: Myths or Facts!
A Journey Into Pen-tester land: Myths or Facts!Ammar WK
 
Cybercrime: A threat to Financial industry
Cybercrime: A threat to Financial industryCybercrime: A threat to Financial industry
Cybercrime: A threat to Financial industryAmmar WK
 
Bugbounty vs-0day
Bugbounty vs-0dayBugbounty vs-0day
Bugbounty vs-0dayAmmar WK
 
Advanced Persistent Threat
Advanced Persistent ThreatAdvanced Persistent Threat
Advanced Persistent ThreatAmmar WK
 
Hacker? : it's not about Black or White
Hacker? : it's not about Black or WhiteHacker? : it's not about Black or White
Hacker? : it's not about Black or WhiteAmmar WK
 
Introduction to IOS Application Penetration Testing
Introduction to IOS Application Penetration TestingIntroduction to IOS Application Penetration Testing
Introduction to IOS Application Penetration TestingAmmar WK
 
Burp suite
Burp suiteBurp suite
Burp suiteAmmar WK
 
Network security
Network securityNetwork security
Network securityAmmar WK
 
Penetration testing
Penetration testingPenetration testing
Penetration testingAmmar WK
 
Information Security Professional
Information Security ProfessionalInformation Security Professional
Information Security ProfessionalAmmar WK
 
Handout infosec defense-mechanism-y3dips
Handout infosec defense-mechanism-y3dipsHandout infosec defense-mechanism-y3dips
Handout infosec defense-mechanism-y3dipsAmmar WK
 
Layer 7 denial of services attack mitigation
Layer 7 denial of services attack mitigationLayer 7 denial of services attack mitigation
Layer 7 denial of services attack mitigationAmmar WK
 
How To Become A Hacker
How To Become A HackerHow To Become A Hacker
How To Become A HackerAmmar WK
 
y3dips - Who Own Your Sensitive Information?
y3dips - Who Own Your Sensitive Information?y3dips - Who Own Your Sensitive Information?
y3dips - Who Own Your Sensitive Information?Ammar WK
 
idsecconf2010-hacking priv8 network
idsecconf2010-hacking priv8 networkidsecconf2010-hacking priv8 network
idsecconf2010-hacking priv8 networkAmmar WK
 
Mastering Network HackingFU - idsecconf2008
Mastering Network HackingFU - idsecconf2008Mastering Network HackingFU - idsecconf2008
Mastering Network HackingFU - idsecconf2008Ammar WK
 
Attacking Blackberry For Phun and Profit
Attacking Blackberry For Phun and ProfitAttacking Blackberry For Phun and Profit
Attacking Blackberry For Phun and ProfitAmmar WK
 

Mehr von Ammar WK (20)

Vvdp-fgd-bssn
Vvdp-fgd-bssnVvdp-fgd-bssn
Vvdp-fgd-bssn
 
Pen-testing is Dead?
Pen-testing is Dead?Pen-testing is Dead?
Pen-testing is Dead?
 
How To [relatively] Secure your Web Applications
How To [relatively] Secure your Web ApplicationsHow To [relatively] Secure your Web Applications
How To [relatively] Secure your Web Applications
 
A Journey Into Pen-tester land: Myths or Facts!
A Journey Into Pen-tester land: Myths or Facts!A Journey Into Pen-tester land: Myths or Facts!
A Journey Into Pen-tester land: Myths or Facts!
 
Cybercrime: A threat to Financial industry
Cybercrime: A threat to Financial industryCybercrime: A threat to Financial industry
Cybercrime: A threat to Financial industry
 
Bugbounty vs-0day
Bugbounty vs-0dayBugbounty vs-0day
Bugbounty vs-0day
 
Advanced Persistent Threat
Advanced Persistent ThreatAdvanced Persistent Threat
Advanced Persistent Threat
 
Hacker? : it's not about Black or White
Hacker? : it's not about Black or WhiteHacker? : it's not about Black or White
Hacker? : it's not about Black or White
 
Introduction to IOS Application Penetration Testing
Introduction to IOS Application Penetration TestingIntroduction to IOS Application Penetration Testing
Introduction to IOS Application Penetration Testing
 
Burp suite
Burp suiteBurp suite
Burp suite
 
Network security
Network securityNetwork security
Network security
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 
Information Security Professional
Information Security ProfessionalInformation Security Professional
Information Security Professional
 
Handout infosec defense-mechanism-y3dips
Handout infosec defense-mechanism-y3dipsHandout infosec defense-mechanism-y3dips
Handout infosec defense-mechanism-y3dips
 
Layer 7 denial of services attack mitigation
Layer 7 denial of services attack mitigationLayer 7 denial of services attack mitigation
Layer 7 denial of services attack mitigation
 
How To Become A Hacker
How To Become A HackerHow To Become A Hacker
How To Become A Hacker
 
y3dips - Who Own Your Sensitive Information?
y3dips - Who Own Your Sensitive Information?y3dips - Who Own Your Sensitive Information?
y3dips - Who Own Your Sensitive Information?
 
idsecconf2010-hacking priv8 network
idsecconf2010-hacking priv8 networkidsecconf2010-hacking priv8 network
idsecconf2010-hacking priv8 network
 
Mastering Network HackingFU - idsecconf2008
Mastering Network HackingFU - idsecconf2008Mastering Network HackingFU - idsecconf2008
Mastering Network HackingFU - idsecconf2008
 
Attacking Blackberry For Phun and Profit
Attacking Blackberry For Phun and ProfitAttacking Blackberry For Phun and Profit
Attacking Blackberry For Phun and Profit
 

Art of Thinking [Re-write]

  • 1. D` Art of Thinking saatnya memberikan otak kita sedikit nutrisi te w ri R e- Ahmad.Muammar.W.K http://y3dips.echo.or.id y3dips©2005
  • 2. Jadwal Berkenalan dengan EcHo Siapakah ? Show me the Art ? Mari Diskusi ! y3dips©2005
  • 3. EcHo indonEsian Community for Hackers and Opensource “ Belajar dan mencoba bersama kami “ Mailing list, forum, ezine , IRC room, advisories y3dips, moby, the_day, comex, z3r0byt3, k-159, c-a-s-e, s`to , lirva32 , anonymous http://www.echo.or.id y3dips©2005
  • 4. Siapakah ? Eric S Raymond says the basic difference is that “ hackers build things, crackers break them ” “ Those who has the tools but not the knowledge ” are Script Kiddies ; -- Jeff Moss , black Hat.Inc y3dips©2005
  • 5. Hacker Hall Of Fame : y3dips©2005 http://tlc.discovery.com/convergence/hackers/hackers.html
  • 6. Show me the Art ? Perjalanan memahami kembali “anatomi hacking” yang kita ketahui y3dips©2005
  • 7. Waktu ? Admin adalah juga seorang manusia biasa ….! Biarkan waktu berpihak kepada “kita” Saatnya berlibur ???!!! ( saatnya bekerja ) Traffic ramai ?, tak ada salahnya menyumbang “suntikan“ traffic Scanning target y3dips©2005
  • 8. Cari Target Traceroute, whois, dig, host, finger adalah standar ? Tindak lanjutnyalah yang menjadikan tidak standar Tandai target-mu ! “high secure level” sampai “low secure level” Jadi kau pilih yang mana ? y3dips©2005
  • 9. Server Firewall Server Attacker Server Attacker melakukan foot printing terhadap network (traceroute , nslookup, dig , whois) y3dips©2005
  • 10. os : Redhat Enterprise os : Debian Server - Apache - Qmail - Mysql , SSH - SSH open port open port - 3306 , 80 , 22 - 22 - 110 , 25 Firewall Server os : win 2000 - IIS5 - MsSQL - MsFTP open port - 21 - 80,1434 Attacker Server Attacker melakukan foot printing terhadap network (traceroute , nslookup, dig , whois) Attacker melakukan mass scanning terhadap multi server / multi hosts y3dips©2005
  • 11. os : Redhat Enterprise os : Debian Server - Apache - Qmail - Mysql , SSH - SSH open port open port - 3306 , 80 , 22 - 22 - 110 , 25 Firewall Server os : win 2000 - IIS5 - MsSQL - MsFTP open port - 21 - 80,1434 Attacker Server Attacker melakukan foot printing terhadap network (traceroute , nslookup, dig , whois) Attacker melakukan mass scanning terhadap multi server / multi hosts Attacker menandai target yang pertama kali akan di coba y3dips©2005
  • 12. Cari Target “Info are from everywhere” Milis security, situs security , vendor security news , advisories Google™ dan search engine lainnya adalah teman baik “KITA” Tetapi “google mulai memutuskan hubungan” ? Try google hack “Divide and Conguer” y3dips©2005
  • 13. Scanning Stealth scan (-sS , -sX, -sF) GAGAL ! IDS menjadi masalah ? (eg /; snort , portsentry, etc) Bagaimana membreak desain yang ada ? TIDAK ! Ikuti saja desain yang ada Lakukan saja “koneksi” atau sekedar “banner grabing” telnet , NC , THC-amap “Less bandwidh consuming” y3dips©2005
  • 14. Scanning Lakukan Specific scanning Code : y3dips©2005
  • 16. Cari Akses Exploitasi secara remote GAGAL TOTAL !! Kejayaan masa lampau (wuftpd, Openssl-to-open, etc) Diblok oleh firewall , IDS , IPS, ACL, etc Service service yang sudah relatif bertambah “aman” Dukungan komunitas dan maraknya User Groups Miskinnya support “0day Xploits” ???? kiddies y3dips©2005
  • 17. Cari Akses Hanya berharap pada yang terbuka ?? Service umum di sebuah mesin komersil (http , https , ssh, ftp, smtp) http sedikit lebih leluasa ? “Web hacking” ? Jujur saja kalo kita perlu akses !! y3dips©2005
  • 18. Cari Akses Akrabkan diri dengan Web Aplikasi & Threat Beragamnya aplikasi berjalan diatas port 80 Ramai itu menguntungkan “KITA” :P Dekatkan diri dengan Bugtraq “Lets Call back our friend Google™ ” SQL injection , Remote command execution !? y3dips©2005
  • 19. Cari Akses Bagaimana dengan HTTPS ? Hacking Web apps via ssl untuk https ???? stunnel , sslproxy “ Its Encrypted , huh!! “ Membingungkan IDS untuk melihat “ signature “ Well my friend we`re l33t now! y3dips©2005
  • 22. Aku Tamu ? Kamu adalah “nobody” “www” “apache” Butuh akses lebih ? 0day exploits sudah langka bagimu ? Kenapa tidak bermain main dengan “Read file” /etc/passwd !!!!????? Why not ☺ y3dips©2005
  • 24. Aku Tamu ? Terlalu terbatas berkeliaran dengan “nobody” id “Pick a new id” ? Setidaknya “berubahlah” menjadi USER Temukan user id dan passwordnya Ambil info sekecil apapun , jadilah pemulung ?? Config.php , config.inc.php , data.mdb , user.dat y3dips©2005
  • 27. Jadikan aku Raja? User ?? Kenapa tidak menjadikan dirimu sebagai raja ! uid=0(root) gid=0(root) groups=0(root) “ 0day exploits are very rare ? “ Try another way ( Social engineering ) 0ld tricks ?? “ Success or failed , you choose ! “ y3dips©2005
  • 28. Pintu belakang SSHv4, Bind-tty, remote shell, dan YAB® telah GAGAL ! Firewall menjadi lebih GANAS!!! Block semua koneksi dari luar Membuka port yang hanya di gunakan (eg:/; 80, 22) Tidak bisa patching OPENSSH dengan backdoor ??! Modifikasi sudoers, user, groups ?? Semua koneksi dari dalam keluar not filtered ??? y3dips©2005
  • 29. Pintu belakang Kenapa tidak kita jadikan diri kita TUAN RUMAH !! “Let them connect to us using “ Netcat & reverse shell ?? y3dips©2005
  • 30. Reverse Shell Attacker Server Firewall Attacker membuka koneksi ke server menggunakan port 80 (HTTP) Attacker menemukan celah untuk memasang backdoor di komputer server y3dips©2005
  • 31. Reverse Shell Attacker Server Firewall Attacker membuka koneksi ke server menggunakan port 80 (HTTP) Attacker menemukan celah untuk memasang backdoor di komputer server Attacker melakukan akan koneksi ke backdoor yang di pasang di server Attacker gagal melakukan koneksi dikarenakan rule yang di terapkan di firewall (IDS, ACL, IPS) y3dips©2005
  • 32. Reverse Shell Attacker Server Firewall Attacker membuka koneksi ke server menggunakan port 80 (HTTP) Attacker menemukan celah untuk memasang backdoor di komputer server Attacker melakukan akan koneksi ke backdoor yang di pasang di server Attacker gagal melakukan koneksi dikarenakan rule yang di terapkan di firewall (IDS, ACL, IPS) Attacker mengeksekusi script reverse shell via phpshell, cgi telnet , remote command execution User di mesin melakukan koneksi balik ke mesin attacker dan membypass firewall (IDS,ACL,IPS) Attacker menjalankan netcat untuk membinding shell untuk menerima koneksi dari User di Server y3dips©2005
  • 33. Reverse Shell Backdoor tidak selalu online ! Tidak mencurigakan admin , karena port yang di binding tidak akan online 24 jam. Pengaktifannya bisa melalui backdoor lain di web applikasi yang relatif lebih gampang di sembunyikan PhpShell, cgi-telnet, remote command execution Minimalisir kecurigaan Tuan Rumah y3dips©2005
  • 34. Jejak-ku Log yang tidak biasa akan mencurigakan ? Working under web base relatively secure ( access.log ) Jika sesuai prosedur apakah bahaya ? Jika dirasa perlu lakukan sedikit modifikasi log Rootkits , wipe log tools yang menghapus log user yang dinginkan serta waktu yang di inginkan Menghapus file log secara “membabi-buta” akan terlalu mencurigakan. y3dips©2005
  • 36. “Si bodoh” Defacing, ???!! Merubah file, menghapus file , dsb Menambah user secara mecolok Berlakulah biasa sampai kita “selesai” y3dips©2005
  • 37. Mari Diskusi Bagi bagi ilmu dunk ? y3dips©2005