Sekarang article nya agak serius niiih.. awalnya berdasarkan pengalaman pribadi gw siih.. jadi pengen sedikit share disini.
Sistem yang akan kita pakai disini adalah Linux karena Linux adalah sistem jaringan yang paling umum untuk saat ini.. langsung aja deh..
Untuk mengetahui jaringan kita disusupi atau tidak adalah:
- Periksa file-file log kita (last log, proses accounting, semua log yang di buat syslog dan berhubungan dengan keamanan) agar mengetahui koneksi yang tidak semestinya.. oiya kalau firewall atau rooter mu mencatat ke lokasi lainya dengan compromised system, kita juga harus rutin mengecek log file nya.
- Gunakan superscan untuk memeriksa packet sniffer.
- periksalah file setuid dan setgid (setuid root) biasanya attacker meninggalkan setuid dari /bin/sh atau /bin/time untuk akses root (untuk mencari file setuid dan segid gunakan find / -user root -perm -4000 -print dan find / -group kmem -perm -2000 -print}.
- Periksa file binary yang berubah.(co : login, su, nestat, ifconfig, ls, find, du, df, libc, sync yang direferensikan /etc/inetd.conf ).
- Perhatikan adanya perubahan ataupun penambahan pada /etc/inetd.conf dan cek entri yang mengeksekusi program shell (co : /bin/sh ato /bin/csh).
- periksalah file yg dijalankan cron dan at (backdoor).
- Periksa file konfigurasi khususnya entri yang memakai (+).
- Carilah file yang dihiden (co : ".." ".. " "..^G" ). dini kita dapat lihat dengan command find / -name ".. " - print -xdev dan find / -name ".*" - print -xdev | cat -v
- Periksa file yang dimodifikasi di /etc/passwd.
- Periksa juga semua komputer pada jaringan lokal (Network Information System) karena sering kali host yg telah di-compromise, maka komputer lain yang berada didalam jaringan juga berubah.
Semoga bermanfaat.. thanks..
0 komentar:
Poskan Komentar