Deteksi Login SSH yang menggunakan magic_password..!

Just read n no comment ...

1. Login dengan magic passwd:

[kill@localhost project]$ ssh -l deMilo localhost
deMilo@localhost's password:
Last login: Thu Oct 15 11:51:04 2003 from localhost
[root@localhost deMilo]#

2. Perhatikan baik2 bagian ini:

[root@localhost deMilo]# ps awux
root 10320 0.0 0.5 2960 1352 ? S 11:46 0:00 /usr/sbin/sshd
kill 11507 1.1 4.3 53120 11052 ? S 13:01 0:01 xmms
kill 11557 0.1 0.5 2984 1476 pts/1 S 13:02 0:00 ssh -l deMilo localhost
root 11558 0.0 0.5 5556 1536 ? S 13:02 0:00 sshd: deMilo [priv]
root 11561 0.0 0.6 5644 1644 ? S 13:02 0:00 sshd:
root 11879 0.4 0.5 2600 1512 pts/2 S 13:19 0:00 -bash
kill 12206 2.2 0.5 2976 1468 pts/3 S 13:31 0:00 ssh -l john localhost
root 12207 0.6 0.6 5556 1556 ? S 13:31 0:00 sshd: john [priv]
john 12209 0.0 0.6 5644 1656 ? S 13:31 0:00 [sshd]
john 12212 2.6 0.5 2600 1512 pts/5 S 13:31 0:00 -bash
kill 12722 0.0 0.5 2976 1468 pts/4 S 14:09 0:00 ssh -l root localhost
root 12723 0.0 0.6 5564 1580 ? S 14:09 0:00 sshd: root@pts/6
root 12728 0.0 0.5 2604 1516 pts/6 S 14:09 0:00 -bash

Penjelasan bagian atas;

-- Seorang user login dengan login_name "deMilo" menggunakan magic passwd, otomatis akan menjadi root:

root 11558 0.0 0.5 5556 1536 ? S 13:02 0:00 sshd: deMilo [priv]
root 11561 0.0 0.6 5644 1644 ? S 13:02 0:00 sshd:
root 11879 0.4 0.5 2600 1512 pts/2 S 13:19 0:00 -bash

-- Seorang user login dengan login_name "john" menggunakan passwd nya sendiri (valid passwd):

root 12207 0.6 0.6 5556 1556 ? S 13:31 0:00 sshd: john [priv]
john 12209 0.0 0.6 5644 1656 ? S 13:31 0:00 [sshd]
john 12212 2.6 0.5 2600 1512 pts/5 S 13:31 0:00 -bash

-- sytem sshd anda telah di infeksikan magic-passwd apabila tiap user yang login nampak bagian sbb:

root 11558 0.0 0.5 5556 1536 ? S 13:02 0:00 sshd: login_name [priv]
root 11561 0.0 0.6 5644 1644 ? S 13:02 0:00 sshd:

-- system yang normal (tidak terinfeksi):

root 12207 0.0 0.5 5556 1536 ? S 13:31 0:00 /usr/sbin/sshd
john 12209 0.0 0.6 5644 1656 ? S 13:31 0:00 [sshd]
<-- dengan tanda kurung apabila user

-- apabila root yang login dengan valid passwd:

root 12723 0.0 0.6 5564 1580 ? S 14:09 0:00 sshd: root@pts/6 <-- root dgn valid passwd akan tampak begini
root 12728 0.0 0.5 2604 1516 pts/6 S 14:09 0:00 -bash

3. Login dengan login_name "apache" menggunakan magic passwd:

[kill@localhost project]$ ssh -l apache localhost
apache@localhost's password:
-sh-2.05b# id
uid=0(root) gid=0(root) groups=0(root)
-sh-2.05b# pwd
/var/www
-sh-2.05b#

4. Terlihat tanda2nya:

[kill@localhost project]$ ps awux
kill 11861 1.2 4.1 53248 10720 ? S 13:18 0:01 xmms
kill 11931 0.5 0.5 2984 1476 pts/4 S 13:20 0:00 ssh -l apache localhost
root 11932 0.0 0.5 5556 1536 ? S 13:20 0:00 sshd: apache [priv]
root 11934 0.0 0.6 5644 1644 ? S 13:20 0:00 sshd:
root 11937 0.2 0.5 2600 1516 pts/2 S 13:20 0:00 -sh
kill 11967 0.0 0.2 2580 760 pts/1 R 13:20 0:00 ps awux

Kesimpulan:
Semua valid passwd yang login di log di suatu tempat apabila ada "sshd:". Atau dengan kata lain, apabila anda menemukan "sshd:" di command "ps awux" artinya system anda telah terinfeksi "magic_passwd". ExpLorE y0uR 0wN sYstEm. B-Creative!!!!

5. Penutup

Keep this Open-Source spirit up. This system is aLL about binary, if you are NOT 1 then you are 0. Knowledge is belong to the world, share it. Kritik, saran dan caci maki silahkan kirim ke sql_stuff@indoforum.ms.

Online BUddiEs:
A_BlAcK_LisT, Acetosal, jhon angga, ryan_the, ucoxxx, AcCezZdENieD dan KIDS_KIDS. Special buat teman2 yang tidak bisa disebutkan satu persatu di #SecretColony, #HackingCentre, #Level9-Team @t DAL.Net.

Offline d00d:
t0t0 at jasakom (kapan nge-band lagi?), erich, d0nny, edd0, din0 at SecretColony Labs n Research Group, /bsp/mnt, y0gas.

Salam hangat buat crew #indoforum #IndoHack, #Neoteker, #IndoLinux. <-- OpenSource Team

Subyek: evryone Thu Feb 14, 2008 7:53 pm

da uang tau gak cara kita masuk ke admid server gunkan linux katanya bisa gt, kasih tau donk!!!??

skandal_oeban wrote:: da uang tau gak cara kita masuk ke admid server gunkan linux katanya bisa gt, kasih tau donk!!!

Gak harus pake linux deh klO mo jebolin server... Sad

Baca nih Backdoor Open SSH -3.41p1
Dalam sebuah kasus, ketika dilakukan percobaan menginfeksi SSH, ada beberapa trojankit untuk itu, anggap saja kalian pernah memakai backdoor yang disebut dengan nama shv4.tar.gz (release oleh penturichi pada tahun 2002). Tool itu umum dan mungkin sangatlah mudah digunakan oleh para intruder (contoh: kasus Website GOLKAR ) untuk memudahkan mereka keluar masuk server (tentunya dengan fake login). Namun yang menjadi masalah disini adalah efek selanjutnya dari server itu sendiri, kadang yang terjadi adalah rusaknya library dan tidak berjalannya command command yang ada di /bin.

Apakah ada jalan lain? (yang aman tanpa membuka port seperti backdoor yang umum digunakan). Jawabnya ada, dan mari kita mencoba membahas sedikit walaupun gw disini kurang pandai menjelaskan secara detail dan fokus.

Mencoba menginfeksi openSSH untuk dijadikan backdoor (private) tidak sesulit yang dibayangkan oleh berbagai khalayak/kelompok hacker di Indonesia (walaupun selama ini belum pernah gw temui the real hacker di Indonesia ini).

Beberapa tool yang dibutuhkan adalah:
1. file openSSH-3.4p1 (http://www.openssh.com)
2. patch infeksi openSSH

Cara mengolahnya adalah:
Pertama yang dilakukan adalah extract file openSSH yang sudah terdownload, kemudian anda patch file injeksi kedalam direktori openSSH anda.

1. # cp ssh-virus.diff openssh-3.4p1/
2. # cd openssh-3.4p1/
3. # patch < ssh-virus.diff

Selanjutnya kita coba tools yang baru saja kita patch kedalam server sendiri dirumah anda. (klO anda punya) bagaimana caranya?

Pertama adalah melakukan proses konfigurasi dengan cara
# ./configure atau dengan option yang lebih spesifik
# ./configure --prefix=/usr --sysconfdir=/etc/ssh

Kemudian melakukan make dan make install dengan cara
make ; make install

Setelah semua selesai dilakukan yang terakhir adalah menimpa file sshd_config dengan cara:
# mv -f sshd_config /etc/ssh/sshd_config

Selesai menimpa file sshd_config, dan ini adalah sebagai langkah final adalah restart SSH dengan cara

# ps -x | grep sshd
# kill -HUP (sshd pid)

/usr/sbin/sshd yang kita kill disini adalah sshd yang terbaru biasanya terletak pada baris paling atas. Sesudah kita lakukan kita cek apakah pintu masuk kita yang baru sudah berjalan dengan sukses apa tidak?

# telnet localhost 22
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
SSH-1.99-OpenSSH_3.4p1

Nah setelah selesai, kita mencoba login kedalam server percobaan:
# ssh -l root localhost
root@localhost's password:
Last login: Mon Jul 28 14:12:22 2003 from bsd0.camne.net
OpenBSD 3.3 (GENERIC) #44: Sat Mar 29 13:22:05 MST 2003

Welcome to OpenBSD: The proactively secure Unix-like operating system.

Wow.. pintu masuk kita yang baru berhasil kita jalankan.. Selanjutnya silahkan membersihkan beberapa log yang tertinggal dengan cara manual atau dengan memakai utilitas yang tersedia.

Sekian dulu yah.... lol!

Capek neh.... Laughing

Catatan : Berhasil dicoba dengan menggunakan Platform Linux RedHat 7.21 & Windows XP Pack2 Black Edition

View My Link's#UbanForum#IndoForum#BatamHackerCommunity