The Remote Attack

(Mengatasi Remote Attack)

Pengertian
Remote Attack adalah sebuah/beberapa
serangan yang diaktifkan untuk menyerang
sebuah mesin, di mana sebenarnya penyerang
(cracker) sekarang tidak mempunyai kendali
atas mesin tersebut; maksudnya serangan
tersebut ditujukan kepada mesin selain mesin
milik penyerang (apakah mesin tersebut berada
dalam satu subnet penyerang maupun berada
10,000 mil jauhnya)

Remote Machine adalah mesin (selain mesin

yang sedang kita pakai) yang bisa dicapai
melalui beberapa protokol baik mengakses
melalui internet, network, maupun media yang
lain
Sasaran Serangan

l Institusi finansial & bank

l Internet Service Provider (ISP)
l Perusahaan farmasi
l Lembaga pemerintah & pertahanan
l Perusahaan multinasional

Beberapa lembaga di atas adalah lembaga yang

paling rentan terhadap serangan cracker
Profil Cracker (Attacker)

l Pria berusia antara 16-25 tahun

l Meningkatkan kemampuan Cracking
l Memakai resource network untuk keperluan
pribadi
l Opportunis (mencoba mencari celah)
l Mengambil akses administrator (root)
l Melakukan akses backdoor
 Koneksi Perusahaan/Istansi dengan
Internet
Jaringan lokal (Intranet) Perusahaan
Jaringan luar atau Internet

Pengguna
Layanan

Permintaan
layanan

Proxy server mewakili

Pengguna Permintaan Proxy server & permintaan dan penerimaan
layanan gateway/firewall dari penyedia layanan

Pengguna Permintaan
layanan
Layanan

Perusahaan/instansi menggunakan teknik-teknik firewall

dan proxy server untuk hubungan berupa hosting
webserver, service e-mail, dan akses internet lain untuk
user
Modus Operasi

l Mencari jalan untuk akses informasi intra

corporate
l Umumnya Cracker tidak menyerang
webserver
– Cracker yang menyerang webserver umumnya
hanya (merubah file) untuk menjatuhkan citra
perusahaan/lembaga
l Menyerang server e-mail
– Server e-mail mempunyai saluran langsung ke
dalam intranet untuk bertukar e-mail
Modus Operasi Lanj.
l Menyerang router (cracker yang cukup canggih)
– Menggunakan scanner terhadap protokol SNMP
(Simple Network Management Protocol) yang pada
akhirnya router menjadi jembatan memasuki
intranet melalui internet
Cara Menyerang
Menggunakan teknik cloak (sembunyi waktu
menyerang sehingga administrator tidak
sadar mesinnya sedang diserang)
Teknik ‘cloak’ yang biasa digunakan :
l Bouncing (melompat) dari mesin yang sebelumnya
telah diserang melalui program telnet atau remote
shell ssh
l Bouncing dari mesin yang menjalankan windows
melalui wingate mereka
l Bouncing dari server proxy yang salah kofigurasinya
Teknik Mengumpulkan Informasi
l Menggunakan Software nslookup dalam
memberikan perintah ls <domain network>
l Melihat file HTML di server web anda untuk
mengidentifikasi host lain di intranet anda
l Melihat berbagai dukumen yang ada di
server file (FTP) anda
l Melakukan hubungan ke server mail anda
menggunakan perintah telnet host 25 dan
memberikan perintah expn <user>
l Mem-finger pengguna yang memiliki account
di mesin yang terbuka di internet

Teknik-teknik ini di jalankan di UNIX

(bukan windows)
 Implementasi

l Identifikasi komponen jaringan (secure way)

l Mencari mesin secure dengan cara cek
daftar export dari Network File System
(NFS) ke direktori /usr/bin, /etc dan /home
l Mengeksploitasi kelemahan Common
Gatewai Internet (CGI) untuk akses file
/etc/hosts.allow
l Selanjutnya identifikasi kelemahan mesin
(biasanya dengan program-program scanner
yang disembunyikan)
Scanning Target
l Port Transmission Control Protocol (TCP)
l Service Remote Procedure Call (RPC)
memakai port mapper
l Daftar export melalui NFSD (Network File
System Directory)
l Daftar share directory melalui
samba/netbios
l Melakukan finger untuk identifikasi account
default
l kelemahan CGI (Common Gateway Internet)
l Identifikasi kelemaha software-software
server yang dijalankan di mesin seperti :
sendmail, IMAP, POP3, RPC status & RPC
mounted
Final

l Ambil kendali administrator/root

l Clean up log
l Pasang program backdoor (anti-cracker)
l Pasang .rhosts file di /usr/bin untuk
menjalankan rsh & csh
l Menutup lubang security yang ada
The Machine Has Been Defeted
l Menjadikan jembatan antara internet dan
intranet network
l Menginstalasi sniffer untuk melihat traffic ;
password, no kartu kredit dll.
l Menghancurkan mesin dengan perintah
rm –rf /&
jika perintah tersebut dijalankan mesin akan
hancur lebur, butuh waktu berjam-jam sampai
berbulan-bulan untuk memperbaikinya jika
tidak pernah memback-up setting mesin
Antisipasi

Firewall
Protect RPC and Remote Access
Turn Off
auto-update
l Anti sniffer
(www.cert.org/ftp/tools/cpm)
l Protect NFS
l Protect FTP
l Blocked Unknown Application
l Blocked Unknown IP Address
l Blocked Unknown User
l dll
Daftar Pustaka

l Purbo, Onno W. 2006. Teknik Mengcrack

l Riley, Charles and Friends, 2003, The Best
Damn Cisco Internetworking Book Period
Syngress Publishing, Inc. Rockland MA
l Maximum Security: A Hacker's Guide to
Protecting Your Internet Site and Network
Macmillan, Computer Publishing
l http://www.theargon.com
l http://www.antionline.com/archives/documents/
advanced/
l http://www.rootshell.com