Gesang_[at]_localbox

Blok windows shortcut exploit

Pamadi Gesang — Tue, 27 Jul 2010 15:17:57 +0000

Malware terbaru yang mengexploitasi kelemaham pada windows shorcut yang dikenal dengan nama CPLINK, dimana sampai saat ini(tanggal posting) belum ada update dari microsoft cukup merepotkan.

Malware tersebut menyebar melalui usb walaupun autorun dalam kondisi disable dan menginfeksi di windows xp/vista/7.

Untuk mencegah atau membersihkanya bisa menggunakan tool gratis dari Sophos yang bisa di dowload pada link berikut:

http://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploit-protection-tool.html

VMware update untuk kernel 2.6.27

Pamadi Gesang — Sat, 22 Nov 2008 09:12:13 +0000

Setelah migrasi dari Ubuntu 7.10 ke Ubuntu 8.10 (Interpid Ibex) ada sedikit masalah yang timbul pada saat install VMware-server-1.0.7 yang dikarenakan Interpid menggunakan kernel 2.6.27, dimana untuk kernel versi ini VMware-server belum mensupportnya terutama untuk vmmon mudule.
Setelah mencari-cari akhirnya ketemu vmware update yang bisa di download di :

http://www.insecure.ws/warehouse/vmware-update-2.6.27-5.5.7-2.tar.gz

Untuk instalasinya sepertti biasa, misal sebagai berikut:

# tar zxvf VMware-server-1.0.7-108231.tar.gz -C /usr/src

# tar zxvf vmware-update-2.6.27-5.5.7-2.tar.gz -C /usr/src

# cd /usr/src/vmware-server-distrib

# ./vmware-install.pl

Setelah ada pesan error yang kurang lebih sebagai berikut:

make[2]: *** [/tmp/vmware-config5/vmmon-only/linux/driver.o] Error 1
make[1]: *** [_module_/tmp/vmware-config5/vmmon-only] Error 2
make[1]: Leaving directory `/usr/src/linux-headers-2.6.27-7-generic'
make: *** [vmmon.ko] Error 2
make: Leaving directory `/tmp/vmware-config5/vmmon-only'
Unable to build the vmmon module.

Selanjutnya masuklah ke direktori vmware-update

# cd /usr/src/vmware-update-2.6.27-5.5.7-2

# ./runme.pl

Selanjutnya adalah bermain-main dengan VMware-server

Jbchroot, Menjalankan aplikasi dengan chroot sebagai user bukan root

Pamadi Gesang — Sun, 16 Nov 2008 08:45:22 +0000

Menjalankan aplikasi atau service dengan chroot sebagai user bukan root di linux akan menemui kendala tidak seperti di platform *BSD, tapi kadang kita menemui kondisi dimana kita harus me-jail suatu servis/aplikasi di direktori tertentu dan dijalankan sebagai user selain root dengan alasan keamanan. Seperti saya pernah menemui kesulitan untuk menjalankan WebGoat yang sengaja di install untuk demo hacking aplikasi web. Karena WebGoat di buat sedemikian vulnerable maka akan sangat riskan menjalankan WebGoat yag bisa diakses ke publik atau peserta hacking aplikasi web.

WebGoat sendiri berjalan di atas Tomcat, maka untuk meminimalkan resiko saya putuskan untuk men-jail tomcat dan menjalankan sebagai user bukan root. Karena OS yang di gunakan kebetulan linux maka saya berusaha mencari cara untuk melakukan hal tersebut diatas, setelah beberapa lama akhirnya menemukan aplikasi kecil yang bernama jbcroot yang mempunyai kemampuan seperti yang dimaksud diatas. Sourcecode jbchroot dapat di download disini.

Untuk meng-compile sourcecode jbchroot bisa dengan menjalankan perintah sebagai berikut:

# gcc -O jbchroot.c -o jbchroot

Jika berhasil sebaiknya di copy ke direktory /usr/bin/

# cp jbchroot /usr/bin

# chmod ug+x /usr/bin/jbchroot

Untuk menggunakannya jbchroot berikut ini sintax-nya

# jbchroot [-g/G group-yg-dipakai] [-u/U user-yg-dipakai] [newroot-directory] [command]

misal:

# jbchroot -U tomcat /chroot/tomcat /apache-tomcat/bin/startup.sh

Perhatian:

Sebelum menggunakan jbchroot/chroot harus di buat dulu environment yang dibutuhkan untuk aplikasi yang akan dijalankan.
Untuk menjalankan service/aplikasi yg menggunakan port dibawah 1024 harus menggunakan root privilege, maka gunakan port diatas 1024 jika user selain root.

Just my 0,002 cents

Killall di debian

Pamadi Gesang — Sat, 04 Oct 2008 16:28:09 +0000

Secara default di debian program killall tidak terinstal, tapi tidak perlu bingung untuk menginstallnya cukup jalankan perintah sebagai berikut:

apt-get install psmisc

Reverse SSH tunnel

Pamadi Gesang — Wed, 10 Sep 2008 23:10:29 +0000

Beberapa waktu lalu saya mendapatkan tugas untuk mengadministrasi server linux, tapi berhubung jam kerja sudah habis saya putuskan untuk dikerjakan dari rumah. Tapi ada sedikit halangan yaitu server linux tersebut(Linux B) berada di LAN dan terhubung ke internet melalui modem yang tidak bisa port forwarding, tetapi untungnya gateway di rumah menggunakan linux jadi bisa port forwarding. Dengan kondisi ini maka saya putuskan untuk menggunakan reverse SSH tunnel agar saya bisa mengakses server linux(linux B) dari rumah melalui ssh. Maka sebelum pulang kerumah ada beberapa hal yang harus saya lakukan untuk melakukan hal tersebut. Untuk lebih jelasnya berikut ini network map-nya.

Untuk melakukan reverse SSH tunnel berdasarkan skenario yang ada di gambar diatas sebaiknya autentikasi ssh-nya menggunakan key agar kita tidak repot memasukan password dan bisa dijalankan memalui crontab. Berikut langkah-langkah yang harus dilakukan untuk menjalankan ssh dengan autentikasi key.

di server linux(Linux B) kita generate ssh-key dengan perintah sebagai berikut:

# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): <-- enter
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): <-- tekan enter, tanpa passphare
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is: <-- tekan enter, tanpa passphare
f4:58:8a:43:5b:73:2d:89:25:6c:7b:76:25:91:be:3e root@localhost

dari output diatas terdapat 2 key yang sersimpan di direktori /[user-home]/.ssh yaitu id_rsa sebagi private key dan id_rsa.pub sebagai public key.

Selanjutnya kita harus mengkopi public key (id_rsa.pub) ke Workstation linux(10.10.0.5), hal ini bisa dilakukan dengan USB disk atau melalui scp, pada kasus ini jika menggunakan scp berati kita terlebih dahulu harus mengatifkan port forwarding di gateway linux(Linux A) agar bisa melakukan scp ke Workstation linux(10.10.0.5). Untuk kita harus login ke Gateway linux(123.123.123.123) dan jalankan perintah berikut:

# iptables -t nat -I PREROUTING -p tcp -i ppp0 --dport 42222 -j DNAT --to 10.10.0.5:22
# iptables -A FORWARD -i ppp0 -o eth0 -p tcp --dport 22 -j ACCEPT

Setelah port forwarding aktif selajutnya kita login ke Linux B dan untuk melakukan scp dengan perintah sebagai berikut:

# cd /[home user]/.ssh
# scp -P 42222 id_rsa.pub user@123.123.123.123:/home/user

selanjutnya login ke Workstation linux secara langsung atau melalui ssh dari Linux B dengan perintah sebagai berikut:

# ssh user@123.123.123.123 -p 42222

setelah masuk ke Workstation linux baik secara langsung atau melalui ssh maka jalankan perintah berikut:

$ cd /home/user
$ cat id_rsa.pub >> .ssh/authorized_keys
$ rm id_rsa.pub

Kemudian pastikan pada file konfigurasi (/etc/ssh/sshd_config) SSH server dari Workstation linux untuk baris berikut ada dan jika tidak ada maka masukan baris berikut ini:

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

Kemudian restart SSH server-nya, misal untuk ubuntu atau debian dengan perintah(sebagai root):

# /etc/init.d/ssh restart

Selanjutnya kita mengaktifkan port forwarding di gateway linux menggunakan iptables, karena sebelumnya diatas sudah di buat dan menggunakan port yang sama maka bisa dilanjutkan ke langkah berikutnya.

Masuk lagi ke Linux B dan buatlah script dengan nama /usr/sbin/tunnel.sh isi sebagai berikut

#!/bin/sh
REMOTE_HOST="123.123.123.123" # ip address dari gateway
LISTEN_PORT=22022 # listening port pada Workstation linux

COMMAND="ssh -p 42222 -N -f -R ${LISTEN_PORT}:localhost:22 user@$REMOTE_HOST"
pgrep -f "$COMMAND" > /dev/null 2>&1 || $COMMAND

# end of file

Keterangan

-p 42222 merupakan port yang di forward oleh gateway, hal ini menyesesuaikan skenario yg ada, jika mesin tujuan tidak di belakang gateway dan port ssh nya tidak dirubah maka opsi ini bisa di hilangkan.
${LISTEN_PORT} merupakan listening port mesin tujuan yang pada kasus ini adalah Workstation linux
localhost:22 port yang di tunnel dari server linux(Linux B), pada kasus ini adalah ssh server.
user@$REMOTE_HOST user yang di gunakan untuk ssh dan ip address/host dari mesin tujuan.
pgrep -f "$COMMAND" > /dev/null 2>&1 || $COMMAND, jika COMMAND tersebut masih aktif maka batalkan dan jika tidak aktif maka di jalankan.

Ubah file permission-nya agar bisa dieksekusi

# chmod +x /usr/sbin/tunnel.sh

Nah, sampai sini reverse ssh tunnel sudah bisa di jalankan

# /usr/sbin/tunnel.sh

Sekarang kita bisa melakukan ssh ke Linux B dari Workstation linux dengan perintah:

$ ssh root@localhost -p 22022

Agar koneksi reverse ssh tunnel bisa lancar dan otomatis melakukan koneksi jika down maka masukanlah ke crontab. Misal kita set agar setiap 5 menit melakukan koneksi, maka di Linux B jalankan perintah:

# crontab -e

dan masukan baris berikut ini

0-59/5 * * * * /usr/sbin/tunnel.sh

Untuk kasus lain misal kita ingin memforward port 80(web server) dari remote host melalui reverse ssh tunnel ke port 8088 host/komputer lokal yang melewati port 808 gateway linux berarti tinggal merubah scriptnya dan port forwarding pada gateway, misal sebagai berikut

#!/bin/sh
REMOTE_HOST="123.123.123.123" # ip address dari gateway
LISTEN_PORT=8808 # listening port pada Workstation linux

COMMAND="ssh -p 808 -N -f -R ${LISTEN_PORT}:localhost:80 user@$REMOTE_HOST"
pgrep -f "$COMMAND" > /dev/null 2>&1 || $COMMAND

# end of file

Dan iptables di gateway linux:

# iptables -t nat -I PREROUTING -p tcp -i ppp0 --dport 808 -j DNAT --to 10.10.0.5:22
# iptables -A FORWARD -i ppp0 -o eth0 -p tcp --dport 22 -j ACCEPT

Maka kita dapat mengakses web server dari remote host di komputer lokal kita dengan url sebagai berikut:

http://localhost:8808

Nah, demikian tulisan kali ini dan semoga bermanfaat.

thx.

M0n0wall, embedded firewall yang ringan, hemat biaya dan mudah

Pamadi Gesang — Fri, 30 Nov 2007 05:26:00 +0000

M0n0wall merupakan embedded firewall berbasiskan freeBSD yang ringan dan mudah penggunaannya. Bisa dikatakan ringan karena untuk menjalankannya tidak memerlukan spesifikasi hardware yang tinggi atau dapat dijalankan di pc lawas(PII/PIII), hal ini akan sangat membantu mengurangi biaya yang dikeluarkan untuk membangun firewall. Meskipun demikian m0n0wall sudah cukup untuk memenuhi kebutuhan firewall untuk jaringan skala menengah ke bawah. Untuk konfigurasi dan administrasinya tidaklah terlalu menyulitkan karena bisa dilakukan melalui web(webGUI, support SSL) jadi tidak perlu berurusan dengan shell kecuali ketika pertama kali booting untuk mengatur interface atau IP Addressnya, reset password ataupun untuk reset konfgurasi.

Hardware requirement

Memori yang dibutuhkan cukup 64 MB atau lebih dan bisa kurang tetapi akan sangat membahayakan karena m0n0wall tidak menggunakan swap space. Storage yang diperlukanpun tidak besar, bisa dijalankan melalui cdrom atau floppy. Jika menggunakan CF(Compact Flash) maka cukup 8 MB atau lebih, jika menggunakan Hardisk juga tidak memerlukan kapasitas yang besar( 512 Mb bisa kurang atau lebih). Pada dasarnya kebutuhan hardware untuk menjalankan m0n0wall tidaklah menyulitkan atau bisa berjalan di genericPC(PC standar), karena merupakan turunan freeBSD maka hampir semua hardware yang bisa dijalankan di freeBSD/i368 bisa di dijalankan di m0n0wall.

Fitur

Fitur yang ditawarkan cukup lengkap dan sudah memenuhi kebutuhan untuk dioperasikan sebagai firewall ataupun router untuk internet connection sharing.

Fitur-fitur m0n0wall antaralain:

web interface (supports SSL) untuk konfigurasi
serial console interface for recovery
set LAN IP address
reset password
restore factory defaults
reboot system
wireless support (access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco)
captive portal(http://en.wikipedia.org/wiki/Captive_portal), untuk mengatur authentifikasi client yang akan mengakses internet/jaringan lain.
802.1Q VLAN support
stateful packet filtering
block/pass rules
logging
NAT/PAT (including 1:1)
DHCP client, PPPoE, PPTP and Telstra BigPond Cable support on the WAN interface
IPsec VPN tunnels (IKE; with support for hardware crypto cards, mobile clients and certificates)
PPTP VPN (with RADIUS server support)
static routes
DHCP server and relay
caching DNS forwarder
DynDNS client and RFC 2136 DNS updater
SNMP agent
traffic shaper
SVG-based traffic grapher
firmware upgrade through the web browser
Wake on LAN client
configuration backup/restore
host/network aliases

Dengan fitur yang sedemikian lengkap m0n0wall dapat menjadi solusi yang cepat untuk membangun firewall karena proses instalasinya yang tidak memakan waktu lama, menghemat biaya dan relatif aman(default).

M0n0wall menyediakan beberapa image binary yang bisa didapatkan secara gratis di:

http://m0n0.ch/wall/downloads.php

paket image binary tersebut antara lain :

Generic PC/ standard PC untuk di install ke CF atau hardisk:
generic-pc-1.231.img versi terakhir(saat ini)
CD-ROM (ISO) image untuk standar PC: cdrom-1.231.iso
dan lain-lain

untuk dokumentasi dan tutorialnya bisa di lihat di:
- http://doc.m0n0.ch/handbook/

Referensi:
- http://m0n0.ch/wall/
- http://wikipedia.org