|
|||||||
|
|
|
|||||
|
|
|||||||
Gerakan Admin dipantau Hacker
Dengan semakin banyaknya para hacker di sekeliling kita, yang rata - rata cukup berhasil mendapatkan account di server - server UNIX seantero dunia. Tak berhenti sampai di situ, mereka (hacker) rata - rata sudah memiliki kemampuan dalam upaya menghindari kejaran dengan teknik - teknik menyembunyikan diri.
Cara - cara yang dipakai para hacker menurut Budi Rahardjo, pakar komputer dari ITB, mereka menerapkan dengan asumsi bahwa pihaknya telah berhasil mendapatkan "root". Budi mencontohkan, bahwa program - program yang disebut di dalam situs hacking sedapatnya digunakan selalu pada terminal umum, kemudian menjalankan rencana sebelum me-login, mereka umumnya melakukan koneksi di-bounce dulu setelah beberapa kali melewati wingate.
Kemudian mereka umumnya beretika untuk tidak menyerang target yang jelas - jelas berbahaya dengan tidak meninggalkan file - file seperti .rhoshts dan hosts.equiv di sistem sasaran serta tidak mengganggu atau mengubah isi file /etc/passwd, jangan tambahkan account baru. Jika mereka kebetulan perlu mengakses, rata - rata mereka simpan ekstensi file tersebut kemudian menjalankan tindakan cracking. Sedikit ruwet memang, setelah login denga username biasa, dan untuk mendapatkan root, rata - rata mereka menggunakan eksploit lokal dan menambahkan "/bin/sh" ke inetd.conf. Langkah - langkah tersebut dimaksudkan untuk menyembunyikannya sedikit (tidak secara terang - terangan menambahkan /bin/sh).
Bagi yang gemar ke telnet atau ftp out, proses yang mereka lakukan dengan tidak terburu - buru mengetikkan parameter nama host di command prompt. Cukup mengetikkan 'telnet' atau 'ftp', lalu di prompt telnet (atau ftp) ketikkan "op [nama.host.target.net]". Dengan cara ini jika sysadmin ingin melihat apa yang sedang dikerjakan oleh seluruh user (dengan 'ps -aux'), yang nampak hanyalah login dan nama proses (telnet).
Untuk menghindari kecurigaan, para hacker sengaja memanfaatkan sang sistem sebagai launchpad. Pemenuhan file - file log ditujukan pada hampir semua sistem mempunyai petunjuk path untuk file - file log ini di /etc/syslog.conf. Umumnya mereka melakukan pemeriksaan file ini (menggunakan 'find' atau 'which'), kemudian mencatat lokasi file - file log, yang kemudian ditelaah isinya.
Upaya lain yakni memodifikasi sesuai keinginan. Pada beberapa sistem, dengan menggunakan "tail" bisa mereka lihat apakah jejak mereka (baik nama login, maupun host) tercatat di file log. "Di sisi sekuritas sistem yang biasa dihack", tambah Budi, sysadmin akan dengan segera mengetahui keberadaannya. Meski begitu, si hacker memiliki antisipasi cepat dalam menghilangkan jejak dengan menggunakan perintah 'grep': # cat syslog | grep -v "attacking.host.com" syslog.
Semisal mencatat atau me-log-in dengan host asal attacking.host.com, dan log sistem akan mencatat "Connected ... from attacking.host.com". Sebagai tambahan referensi, bahwa file - file utmp dan wtmp merupakan file - file yang bertugas mencatat data login. Utmp dimaksudkan untuk menyimpan informasi mengenai siapa saja yang sedang ter-log-in. File wtmp menyimpan data para pengguna yang pernah memakai sistem, dan informasi berapa lama pengguna tersebut ter-login. Hampir setiap sysadmin akan mengandalkan kedua file ini sebagai langkah pertama dalam kasus pembobolan.
Para hacker lanjutan tidak akan menghapus file - file utmp dan wtmp, sama seperti diatas, karena hilangnya file ini akan memancing perhatian sang sysadmin. Saat mereka berhasil mendapatkan shell berprivilese root, mereka umumnya mengganti namanya dengan sesuatu yang tidak mencurigakan, dan tidak melakukan penyimpangan sehll tersebut pada direktori home milik user. Mereka umumnya menyembunyikan file - file binaries ber-suid lainnya, cukup dengan mengubah-ubah file konfigurasi, file - file webpage, dan sebagainya.
Upaya terakhir dari sang hacker adalah tetapnya menggunakan akal dan imajinasi. Seperti seorang admin, yang kemudian menempatkan selalu kata "paranoid" di otaknya, dengan maksud menggunakan backdoor - backdoor yang kreatif dan sulit ditemukan.
Akses ke komputer - komputer dan segala sesuatu yang berpotensi untuk mengajari dunia hacking mengenai dunia ini haruslah bebas dan total dari keterbatasan dan intimidasi. Semua informasi haruslah tersedia secara bebas atau cuma - cuma....Setuju !!
(K201)