Sumber : http://kikil.com/security-hacking/t-defacer-28894.html Pertama kalinya, saya tidak mendeface, dan tidak akan pernah melakukannya.

Jadi bagaimana saya mengetahui cara mendeface? saya kira saya hanya melihat cara oran g-orang mendeface dan saya bukanlah ahlinya dalam hal ini. Jika saya melakukan k esalahan maka saya mohon maaf. Ini adalah cara sederhana saat anda memikirkan ba hwa mendeface itu hanya sekedar mengganti file di suatu computer. Saat ini, menc ari exploit merupakan hal pertama, exploit yang sesungguhnya buah dari keterampi lan, pengetahuan para hacker yang sejati. Saya tidak menganjurkan agar anda mend eface semua website, apalagi untuk mendapatkan credit card, password, source cod e, info billing, database email dsb (sungguh anda benar-benar perusak yang tidak tahu diri). Tutorial ini terdiri dari 3 bagian utama, yaitu: 1. Celah Keamanan Host 2. Menyusup 3. Menghapus Jejak Sangat mudah, dan saya akan menunjukkan hal tersebut kepada anda. 1. Celah Keamanan Host Ada dua kategori script kiddies: pertama, seseorang yang melakukan scan di inter net pada suatu host yang memiliki celah keamanan dengan exploit tertentu dan men cari website tertentu untuk mencoba berbagai exploit. Kelompok pertama ini melak ukan scanning ribuan situs dengan suatu exploit tertentu. Mereka tidak peduli si apa yang mereka hack, dan untuk apa. Mereka tidak memasang target dan tidak memi liki tujuan yang pasti. Menurut pendapat saya orang-orang ini memiliki alasan ya ng terlalu dibuat-buat seperti: - Saya hanya memastikan agar mereka mengupdate web security-nya - Saya hanya menyampaikan pesan politis saja kok! - Saya melakukan deface untuk mendapatkan perhatian media massa Orang-orang yang mendeface menjadi terkenal atau untuk menunjukkan bahwa mereka sangat terampil dan hebat, perlu kedewasaan dan menyatakan bahwa ada cara yang l ebih baik ketimbang melakukan deface dengan alasan yang dibuat-buat. Scanning Script Kiddie: Anda perlu mengetahui adanya celah keamanan, entah itu p ada service yang dijalankan, sistem operasi atau file CGI-nya. Bagaimana cara an da mengetahui adanya celah keamanan? Versi berapa yang dijalankan? anda perlu me ngetahui bagaimana mencarinya exploit web di internet (dengan google.com). Mengg unakan suatu script untuk scanning range ip pada port tertentu yang memiliki cel ah keamanan. Atau menggunakan http://www.netcraft.com/ untuk mengetahui jenis se rver, sistem operasi dan aplikasi yang dijalankan (frontpage, php, asp, dsb..). nMap dan port scanner lainnya dapat melakukan scanning dengan cepat terhadap rib uan ip pada suatu port yang terbuka. Ini merupakan teknik favorit bagi mereka ya ng ingin melakukan hacking secara massal. Website Target Script Kiddie: Sebaiknya para script kiddies melakukan hack pada berbagai website lawas. Langkah utama adalah mengumpulkan informasi situs terseb ut sebanyak mungkin. Mencari sistem operasi yang dijalankan melalui netcraft.com atau menggunakan: telnet http://www.site.com/ 80 kemudian GET /HTTP/1.1 mencari service apa yang dijalankan melalui port scan. Mencari spesifikasi service deng an melakukan telnet. Mencari berbagai script CGI, atau file-file lainnya yang me mungkinkan anda mengakses server tersebut dengan mengeksploitasi /cgi /cgi-bin d an browsing ke website tersebut. Setelah mencari berbagai informasi yang anda miliki selanjutnya anda dapat melak ukan:

2. Penyusupan Untuk melakukan hal ini anda dapat mencari berbagai exploit yang dapat digunakan untuk mengakses website tersebut. JIka anda melakukan scanning dan anda akan me ngetahui exploit apa yang tepat untuk digunakan. Dua temnpat utama untuk mencari exploit adalah melalui website http://www.securityfocus.com/ dan http://www.pac ketstormsecurity.org/. Setelah mendapatkan exploit, periksa dan pastikan bahwa exploit tersebut memang untuk versi service, sistem operasi, script dsb yang dijalankan. Exploit umumnya dibuat menggunakan dua bahasa pemrograman yaitu C dan Perl. Script Perl memilik i ekstensi .pl atau .cgi, sedangkan C memiliki ekstensi .c, untuk mengkompilasi suatu file C (pada sistem *nix) gunakan perintah : gcc -o exploit12 file.c lalu: ./exploit12. Sedangkan untuk Perl cukup melakukan perintah: chmod 700 file.pl (sebenarnya tidak diperlukan) lalu: file Perl.pl. Ini hanyalah teknik kompilasi yang sederhana atau hanya teori kemungkinan exploi t. Lakukan saja sedikit penelitian bagaimana cara menggunakannya. Hal lain yang anda perlukan untuk memeriksa apakah exploit tersebut merupakan remote atau loca l. Jika exploit lokal maka anda harus memiliki suatu account atau akses secara f isik pada computer tersebut. Jika remote maka anda dapat melakukannya melalui ja ringan (internet). Jangan hanya bisa mengkompilasi exploit, ada satu hal penting yang perlu anda ke tahui yaitu: Menghapus Jejak Setelah anda mendapatkan informasi mengenai host dengan tujuan mencari suatu exp loit yang cocok yang memungkinkan anda menyusup. Mengapa tidak segera melakukann ya? masalahnya adalah menghapus jejak hacking anda tergolong sulit, sulit diprediksi . Hanya karena anda meng- kill sys log tidak berarti bahwa anda tidak terlacak oleh logger atau IDS (Intrusion Detection System) yang dijalankan. Banyak sekali script kiddies yang meremehkan kemampuan para admin yang hostnya m ereka jadikan sasaran. Sebagai gantinya para script kiddie mencoba menggunakan a ccount isp kedua untuk memulai hacking, memang akan terlacak tapi takkan tertang kap. JIka anda tidak memiliki fasilitas ini maka anda HARUS memiliki banyak wing ate, shell account atau trojan untuk melakukan bounce off. Menghubungkannya secara bersamaan akan menyulitkan seseorang melacak keberadaan anda.Log pada wingate dan shell seringkali dihapus setelah 2-7 hari. Meski log d ipelihara seluruhnya, tetap sulit bagi admin untuk melacak lebih jauh wingate at au shell-nya script kiddie sebelum log tersebut harus dihapus. Dan jarang sekali seorang admin memperhatikan dengan seksama terjadinya suatu serangan, bahkan ke cil kemungkinannya mau mengejar attacker, yang penting bagi mereka adalah mengam ankan box mereka dan melupakan yang telah terjadi. Untuk alasan keamanan, jika anda menggunakan wingate dan shell, jangan melakukan apapun untuk mem- pissed off admin terlalu banyak (yang membuat mereka memanggil o torisasi atau mencoba melacak keberadaan anda) dan hapuslah log anda agar aman. Bagaimana cara melakukannya?

Ringkasnya, kita memerlukan beberapa wingate. Wingate secara alami cenderung men gubah ip atau shutdown sepanjang waktu, jadi diperlukan daftar terbaru atau prog ram yang melakukan scan di internet. Anda dapat mendapatkan daftar wingate yang up to date di http://www.cyberarmy.com/lists/wingate/ atau anda juga bisa menggunakan program yang disebut winscan. Nah anggaplah anda memiliki 3 wingate: 212.96.195.33 port 23 202.134.244.215 port 1080 203.87.131.9 port 23 Untuk menggunakannya jalankan telnet dan hubungkan ke port 23, akan terlihat res pon seperti ini: CSM Proxy Server > Untuk menghubungkan ke wingate berikutnya kita ketikkan iport seperti ini: CSM Proxy Server >202.134.244.215:1080 JIka terjadi error maka proxy yang coba anda hubungi tidak ada atau anda harus l ogin ke proxy. Jika semuanya berjalan dengan baik, anda akan mendapatkan 3 rangk aian dan shell account yang terhubung. Pada shell account tersebut anda dapat me lakukan link shell bersamaan dengan: [j00@server j00]$ ssh 212.23.53.74 Anda memperoleh free shell yang bekerja hingga mendapatkan shell lainnya yang di hack, berikut ini daftar dari free shell account. Ingat, mendaftarlah dengan inf ormasi palsu dan jika memungkinkan, melalui suatu wingate. SDF (freeshell.org) http://sdf.lonestar.org/ GREX (cyberspace.org) http://www.grex.org/ NYX http://www.nxy.net/ ShellYeah http://www.shellyeah.org/ HOBBITON.org http://www.hobbiton.org/ FreeShells http://www.freeshells.net/ DucTape http://www.ductape.net/ Free.Net.Pl (Polish server) http://www.free.net.pl/ XOX.pl (Polish server) http://www.xox.pl/ IProtection http://www.iprotection.com/ CORONUS http://www.coronus.com/ ODD.org http://www.odd.org/ MARMOSET http://www.marmoset.net/ flame.org http://www.flame.org/ freeshells http://freeshells.net.pk/ LinuxShell http://www.linuxshell.org/ takiweb http://www.takiweb.com/ FreePort http://freeport.xenos.net/ BSDSHELL http://free.bsdshell.net/ ROOTshell.be http://www.rootshell.be/ shellasylum.com http://www.shellasylum.com/ Daforest http://www.daforest.org/ FreedomShell.com http://www.freedomshell.com/ LuxAdmin http://www.luxadmin.org/ shellweb http://shellweb.net/

blekko

http://blekko.net/

Setelah sebelumnya mendapatkan shell, anda dapat mengkompilasi exploit, dan anda menjadi sulit dilacak. Agar lebih yakin, hapuslah semua bukuti yang menunjukkan keberadaan anda. Baiklah, ada beberapa hal pada sisi server yang para script kiddies perlu ketahu i. Keharusan untuk mengedit atau menghapus log. Script Kiddies sejati munkin men ggunakan suatu rootkit yang secara otomatis dapat menghapus log. Ada 2 log utama daemon yang akan saya jelaskan, yaitu klogd yang berupa log kernel, dan syslogd yang berupa log sistem. Langkah pertama untuk melakukan kill daemon tersebut agar tidak me-log apapun tindakan anda. [root@hacked root]# ps -def grep syslogd [root@hacked root]# kill -9 pid_of_syslogd Pada baris pertama kita menemukan pid syslogd, sedangkan baris kedua kita melaku kan kill daemon tersebut, anda juga dapat menggunakan /etc/syslog.pid untuk mencar i pid syslogd. [root@hacked root]# ps -def grep klogd [root@hacked root]# kill -9 pid_of_klogd Langkah yang sama kita gunakan pula terhadap klogd Sekarang default logger telah di kill, maka script kiddies perlu menghapusnya da ri log. Untuk mencari dimana syslogd menaruh log, periksa file /etc/syslog.conf. Tentunya jika anda tidak peduli kalau admin mengetahui bahwa anda menghapus sel uruh log. Dalam hal ini anda benar-benar seorang perusak , seorang defacer sialan, sang admin akan mengetahui bahwa box mereka disusupi saat website tersebut terde face. Jadi tidak ada point yang ditambahkan log tersebut, mereka akan menghapusn ya. Adapun alasannya adalah agar para admin tidak mengetahui bahwa telah terjadi pembobolan. Saya akan menuliskan alasan utama orang-orang ini membobol suatu bo x (system). Mendeface website lamer, tidak ada tujuan, hanya ingin merusak sistem.

Sniffing password jaringan ada beberapa program yang memungkinkan anda melakukan sniff password yang dikirimkan dari dan ke suatu sistem. Jika sistem ini berada pada jaringan ethernet maka anda dapat melakukan sniff packet (yang berisikan p assword) yang diperuntukkan pada berbagai sistem dalam segment tersebut. Melakukan DDoS attack. lamer, sang admin memiliki banyak kesempatan untuk memper hatikan bagaimana anda mengirimkan ratusan MB melalui koneksinya. Melakukan serangan lain pada suatu sistem teknik ini dan sniffing diatas sangat umum digunakan, bukan pekerjaan lamer. Anda mengetahui bagaimana dengan suatu ro otshell anda dapat melancarakan serangan dari sistem ini sebagai ganti dari kete rbatasan freeshell. Anda memiliki kendali mutlak terhadap log dari shell tersebu t. Memperoleh Informasi Sensitif Beberapa sistem perusahaan memiliki informasi berh arga seperti database Credit Card, source code piranti lunak, daftar username/pa ssword, dan informasi rahasia lainnya yang diinginkan seorang hacker. Untuk belajar dan bersenang-senang banyak orang melakukannya demi sensasi hackin g dan menambah pengalaman. Saya tidak melihat hal ini sebagai suatu kejahatan se panjang tidak merusak apapun. Kenyataannya beberapa orang hacker bahkan menolong admin tersebut melakukan patch terhadap hole yang ditemukan. Meski tergolong ileg al, asalkan tidak menghancurkan sistem orang lain.

Saya akan menjelaskan dasar-dasar file log seperti: utmp, wtmp, lastlog, dan .ba sh_history. File-file ini biasanya berada di /var/log/ tapi saya dengar juga bisa ada di /et c/ /usr/bin dan tempat lainnya.

Pada kebanyakan sistem yang berbeda langkah terbaik adalah melakukan find / -in ame utmp find / -iname wtmp find / -iname lastlog . dan juga mencari melalui direktori /usr/ /var/ dan /etc/ pada log lainnya. Sekarang akan saya jelaskan ketiga file ini: utmp merupakan file log yang mencatat siapa saja yang mengakses sistem, saya pik ir anda dapat melihat mengapa log ini harus ditambahkan. Karena anda tidak ingin membiarkan siapapun mengatahui bahwa anda berada dalam sistem tersebut. wtmp merupakan file log yang mencatat proses login dan logout, tentunya anda tid ak ingin pula hal ini diketahui oleh admin. Harus diedit untuk menunjukkan bahwa anda tidak pernah login atau logout dan lastlog yang merupakan suatu file yang mencatat rekaman seluruh aktifitas login. Selain itu history dari shell yang and a gunakan juga mencatat seluruh perintah yang anda ketikkan, anda harus mencari pada direktori $ HOME dan mengeditnya. .sh_history, .history, dan .bash_history merupakan nama umum, yang harus diedit bukan dihapus. Jika anda menghapusnya sama saja memberitahukan kepada admin bahw a Yuhuuu, Sistem Anda Kebobolan! . Para Newbie Script Kiddies seringkali mendeface dan diikuti rm -rf/ agar aman. S ebisa mungkin hindari hal ini kecuali anda memang rada-rada sinting. Dalam kasus ini saya sarankan agar tidak mencoba mengeksploitasi sistem lagi. Cara lain unt uk mencari file log adalah menjalankan suatu script yang memeriksa file-file ter buka (dan secara manual melihatnya untuk menentukan apa saja yang di-log) atau m encari file yang sudah diedit, melalui perintah seperti: find / -ctime 0 -print Ada beberapa script populer yang dapat menyembunyikan keberadaan anda dari log s eperti: zap, clear, dan cloak. Zap berfungsi untuk mengganti keberadaan anda pada log dengan angka 0, sedangkan Clear akan menghapus log dari keberadaan anda, dan Cloak akan mengganti kehadir an anda dengan informasi lain. Menurut pengalaman saya, acct-cleaner cukup berat digunakan script untuk menghapus log account. Banyak rootkit yang memiliki scri pt penghapus log, dan saat menginstallnya log tidak akan mengetahui keberadaan a nda. Jika anda berada pada sistem NT, maka file log-nya ada di C:\winNT\system32\LogF iles\, hapus file ini, para admin NT seringkali tidak memeriksa atau mengetahui artinya bila terhapus. Hal terakhir mengenai penghapusan jejak, saya tidak akan menjelaskan secara rinc i mengenai hal ini karena membutuhkan suatu pembahasan tersendiri. Saya hanya me mbicarakan mengenai rootkit. Apakah rootkit itu? Mereka ini digunakan secara lua s guna menghapus jejak anda saat memasuki suatu sistem. Menjadikan anda tetap hid den dalam sistem. Login tanpa password, tidak di log oleh wtmp atau lastlog dan b ahkan tanpa perlu ada pada file /etc/passwd. Dengan rootkit ini membuat perintah seperti ps untuk menyembunyikan proses, jadi tak seorangpun mengetahui program apa yang sedang anda jalankan. Mereka mengiri mkan laporan palsu pada netstat, ls dan seolah-olah semuanya berjalan dengan nor mal. Oh, jangan senang dulu, ada beberapa kelemahan dari rootkit, pada beberapa perintah yang dilakukan menimbulkan keanehan karena binary tidak bekerja secara

benar. Mereka juga meninggalkan fingerprint (cara mengetahui bahwa file ada dala m rootkit). Hanya admin yang hebat saja yang dapat memeriksa rootkit, jadi hal i ni bukanlah ancaman serius, tapi patut dipertimbangkan. Rootkit dibuat dengan su atu LKM (loadable kernel modul) yang sangat ideal untuk menyembunyikan keberadaa n anda dan kebanyakan admin tidak mengetahui adanya aktifitas mencurigakan. Dalam menulis tutorial ini saya mengikutkan perasaan. Saya tidak ingin ada lagi script kiddies yang melakukan scanning ratusan website untuk dieksploitasi. Saya tidak ingin nama dan nickname saya dicatut. Saya sudah lelah mendengar orang-orang berkata seperti ini, Tidak ada sistem komp uter yang aman 100%, Update webserver anda, Hacked by .dst. Meninggalkan nick atau nama kelompok mereka kemudian kabur begitu saja. Saya rasa banyak orang-orang y ang ingin mempelajari segala sesuatu dengan tujuan membobol sistem, yang seringk ali disamarkan atas nama ilmu pengetahuan. Tutorial ini mencoba mengatakan bahwa betapa sederhananya memasuki suatu sistem. Namun bukanlah panduan lengkap, saya tidak menjelaskan banyak hal. Saya harap a dmin menemukan tutorial ini dan merasa terbantu, mempelajari bahwa website-nya h arus dijaga dan sering melakukan patch. Melindungi diri sendiri dengan IDS dan m enemukan berbagai celah keamanan pada sistem anda sendiri (menggunakan vuln scan ner). Juga mengatur setting sistem eksternal untuk melakukan log bukanlah ide ya ng buruk. Para admin seharusnya melihat beberapa pemikiran script kiddies dan me mpelajari beberapa hal yang mereka lakukan dan menangkap basah mereka yang membob ol sistem anda. Ingatlah, Mendeface sama dengan perusak (lamer). Saya banyak mengetahui orang-or ang yang melakukan deface dan sekarang menyesalinya. Anda hanya akan menjadi scr ipt kiddie dan tetap seorang lamer abadi.