Threaded Mode | Linear Mode

***wenkhairu*** · (This post was last modified: 02-26-2012 05:13 PM by wenkhairu.)

Ketika seorang attacker berhasil masuk kedalam sebuah server sudah pasti dia memiliki pintu masuk cadangan, alias pintu masuk alternatif jika sewaktu-waktu dia ingin kembali masuk dalam server yang sudah di ambil alihnya, dan sudah pasti juga pasti dia meninggalkan sebuah file (backdoor) yang berfungsi sebagai pembuka jalan masuk, kadang-kadang juga attaker menyisipkan code jahat ke dalam file-file tertentu sehingga cukup sulit untuk di temukan keberadaaanya, di lain pihak (korban) akan merasa sulit jika sisipan kode tersbut terletak di antara baris-baris kode yang jumlahnya ribuan

Apa hubunganya dengan judul tulisan saya kali ini ? dalam tulisan ini saya akan mencoba mengajak teman-teman untuk belajar bagaiaman menemukan file-file backdoor maupun sisipan kode-kode jahat di dalam server kita setelah terjadi serangan (got hacked), seperti halnya Devilzc0de baru-baru ini terjadi insiden penemuan (bug) yang di temukan oleh salah seorang member devilzc0de (thanks buat poticous) di sonetnya DC, dalam hal ini kita akan mencoba mencari file-file backdoor atau malicious code yang di sisipkan dalam file-file tertentu, jika filenya sedikit saya rasa tidak menjadi masalah, bagaiaman jika filenya sampai puluhan giga ? atau ratusan mega ? saya rasa membutuhkan tenaga dan waktu juga untuk menemukan file-file yang mengandung kode berbahaya tersebut

Sebelum kita memulai mencari file-file tersebut, kita pahami dulu karakter dari file-file jahat tersebut, biasanya dan pastinya file-file tersebut menggunakan beberapa perintah yang dapat mengeksekusi perinta OS, seperti

Code:

passthru

shell_exec

system

phpinfo

base64_decode

chmod

mkdir

fopen

fclose

readfile

jika harus menelusuri per filenya saya rasa tidaklah mungkin, disini kita akan mencoba menggunakan salah satu utility yang ada pada system operasi linux(grep) dan windows (findstr), dengan mengguanakn grep maupun findstr kita tidak harus menelusuri file demi file, kita cukup menunggu hasilnya dan melakukan analisis file mana saja yang mungkin menjadi file-file jahat

GREP di linux
pada OS linux grep sudah terinstall secara default, jadi ga perlu nginstall lagi, cukup dengan mengetikan perintah dengan kombinasi sedeharan saja, ada beberapa versi grep yang belum mendukung (perl Regular Exresion) tetapi sekarang rata-rata sudah mendukung semua so hasil perncarian akan menjadi lebih spesifik

Saya asumsikan bahwa kita berada di folder tempat dimana file-file webkita di simpan, untuk memulai pencarian dengan menggunakan grep cukup login melalui SSH (yang tidak punya akses SSH tidak bisa mengguakan grep) kecuali download dulu semua file yang ada di hostingan bawa kerumah, pake linux trus pake grep.

Code:

grep -Rn "passthru *(" public_html/

baris perintah itu akan mencari semua string yang mengandung kata passtrhu, pada folder public_html untuk menyimpan hasil search bisa menambahkan option >> [nama file], misalnya

Code:

grep -Rn "passthru *(" public_html/ >> hasil.txt

yang perlu di ingat pada saat kita ingin menyimpan hasil search kedalam sebuah file adalah pengguanaan tanda > dan >>, cukup simle memang tapi hasilnya jauh berbeda, jika menggunakn opsi > (hanya satu) maka grep akan menimpa isi dari hasil sebelumnya, atau grep akan menyimpan hasil search yang paling terakhir saja, sedangkan jika menggunaakan option >> (dua) maka grep akan menambahkan hasil search di bawah hasil sebelumnya dalam satu file, hasil dari grep inilah yang nanti kita analis untuk menemukan file-file jahat, karena hasil dari perintah grep ini berupa sedikit string yang di cari, seperti nama file dan pada line berapa string tersebut di temukan, berikut perintah grep yang bisa digunakan

Code:

grep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile) *\(" public_html/ >> hasil.txt

findstr di windows
berbeda dengan linux, di windows di namankan dengan findstr, jika kita bekerja dengan windows mungkin peritah-perintah berikut bisa digunakan untuk membantu kita dalam mencari file-file jahat yang terdapat dalam server kita

Code:

findstr /r /s /n /c:"passthru *(" *.*

atau untukmencari semua keyword yang bernilai false postive bisa menggunakan

Code:

findstr /r /s /n "passthru shell_exec system( phpinfo base64_decode chmod mkdir fopen fclose readfile" *.*

Berikkut beberapa hasil pencarian mengguanakan grep pada server berbasis linux

Code:

public_html/xxxxxx/uploads/201010/post_10034_1286189160_c8dac5d30dc3377462340c29b451d7f2.attach:1115:    @system($cfe);

public_html/xxxxxx/uploads/201010/post_10034_1286189160_c8dac5d30dc3377462340c29b451d7f2.attach:1122:    @passthru($cfe)  

public_html/xxxxxx/task.php:59:        echo base64_decode("R0lGODlhAQABAIAAAP///wAAACH5BAEAAAAALAAAAAABAAEAAAICRAEAOw==");

public_html/chat/m/test.php:1:<?php phpinfo(); ?>

public_html/chat/plugins/filetransfer/uploads/fb506299b71f9559948df6d8feba354e:12:eval("?>".gzinflate(base64_decode("7f2HmtvI0S

.......

Segitu dulu dah, semoga berguna dan bermanfaat buat semua, thanks for reading

***eidelweiss*** · 02-26-2012, 04:39 PM

joss

**anbu** · 02-26-2012, 04:50 PM

ane biasa pake backdoor scanner devilzc0de om metal

**Matmund Newbie** · (This post was last modified: 02-26-2012 04:58 PM by Matmund Newbie.)

wowwwwwwwww...
Gurih inih..

(02-26-2012 04:50 PM)anbu Wrote: ane biasa pake backdoor scanner devilzc0de om

wow minta donk tools'a .. xixi

**nanda** · 02-26-2012, 05:02 PM

bang ,btw tu nama nya peticous apa poticous nohope

***ditatompel*** · 02-26-2012, 05:14 PM

om wenk.. Ane dulu pernah bikin simple script python buat ginian.. http://devilzc0de.org/forum/thread-10626.html mimisan

ketem · 02-26-2012, 05:19 PM

(02-26-2012 05:14 PM)ditatompel Wrote: om wenk.. Ane dulu pernah bikin simple script python buat ginian.. http://devilzc0de.org/forum/thread-10626.html

pokoknya kalo om dita dateng gath kudu bawa hdd external satu tera ane
buat ngopi tuntas isi laptop om dita ngakak

tuch laptop mengalahkan kantongb doraemon script apa aja ada hore

**chaer.newbie** · 02-26-2012, 06:07 PM

wkawkakkawkaa si wenk curhat inin ketawa

**Wayc0de** · 02-26-2012, 06:49 PM

wah keren om tutornya mantap

**nanda** · 02-26-2012, 06:57 PM

(02-26-2012 05:19 PM)ketem Wrote:
(02-26-2012 05:14 PM)ditatompel Wrote: om wenk.. Ane dulu pernah bikin simple script python buat ginian.. http://devilzc0de.org/forum/thread-10626.html

pokoknya kalo om dita dateng gath kudu bawa hdd external satu tera ane
buat ngopi tuntas isi laptop om dita

tuch laptop mengalahkan kantongb doraemon script apa aja ada

ente ketem bwa plastik asoy aja ngakak

Possibly Related Threads...
Thread:		Author	Replies:	Views:	Last Post
	[Tutor] Hunting Windows Server+Upload Shell Via phpmyadmin using Computer Search Engine	tey	18	687	05-19-2013 02:28 PM Last Post: GuestMac
	[Tutor] Jumping server kompas,10 up got rooted!!	KotoM	70	1,544	05-18-2013 01:05 AM Last Post: KotoM
	Windows Server Mass Deface	facl3ss	6	242	05-13-2013 02:49 PM Last Post: ibnoeabdulaziz
	[Tutor] mudahnya mencari file sensitif pada website	w0rmil_alazka	18	1,285	04-25-2013 10:57 AM Last Post: kid_1412
	SQL Injection "detail_prod" server luxembourg	[dc]zombierss[dc]	30	469	03-17-2013 11:41 AM Last Post: Rifaldi238
	ask root server web	Backtracktux	17	284	02-15-2013 10:58 AM Last Post: ciblex21
	Cara menyembunyikan login page pada WordPress	bazrezs	14	321	01-20-2013 07:29 PM Last Post: KangCyber07
	[Ask] Backdoor untuk CMS build in php	ironm4n	10	185	12-24-2012 10:03 PM Last Post: momoattacker
	[Tutor] [JS Overlay]jalan alternatif jika gak bisa upload backdoor/shell	RieqyNS13	19	511	12-20-2012 10:14 PM Last Post: ilhaam236
	[Ask] Server gak bisa di Symlink sama Config	tebe4rt	14	327	12-02-2012 10:38 AM Last Post: Regel