Lieur-Euy® Blog`s
Home » Lieur-Euy® Blog`s

Mesin Lawas

Gak tau kenapa, kok akhir akhir ini kerja ngerasa jenuh dan sangat melelahkan, apa karena suasana yang kurang kondusif kali yah ?

iseng iseng, jadi kepengen tau ni komputer yang tiap hari aku pake. Selidik punya sidik ni komputer di beli skitar tahun 2000an, bisa di bilang udah 4-5 tahunan.
dan komputer ini satu-satunya yang pake Linux Full di kantor (debian etch)

iseng code : 

uname -ar;hostname;cat /etc/issue;cat /proc/cpuinfo;lsusb;lspci;dmesg | grep -i memory;df -h

Iseng Result : 

Linux thunderbox 2.6.18-6-686 #1 SMP Sat Dec 27 09:31:05 UTC 2008 i686 GNU/Linux
thunderbox
Debian GNU/Linux 4.0 \n \l

processor       : 0
vendor_id       : GenuineIntel
cpu family      : 15
model           : 1
model name      : Intel(R) Pentium(R) 4 CPU 1.70GHz
stepping        : 2
cpu MHz         : 1715.335
cache size      : 256 KB
fdiv_bug        : no
hlt_bug         : no
f00f_bug        : no
coma_bug        : no
fpu             : yes
fpu_exception   : yes
cpuid level     : 2
wp              : yes
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm up
bogomips        : 3433.88

Bus 004 Device 002: ID 07d1:3c03 D-Link System
Bus 004 Device 001: ID 0000:0000
Bus 003 Device 001: ID 0000:0000
Bus 002 Device 001: ID 0000:0000
Bus 001 Device 001: ID 0000:0000
00:00.0 Host bridge: Silicon Integrated Systems [SiS] SiS645 Host & Memory & AGP Controller (rev 02)
00:01.0 PCI bridge: Silicon Integrated Systems [SiS] Virtual PCI-to-PCI bridge (AGP)
00:02.0 ISA bridge: Silicon Integrated Systems [SiS] SiS962 [MuTIOL Media IO] (rev 04)
00:02.1 SMBus: Silicon Integrated Systems [SiS] SiS961/2 SMBus Controller
00:02.5 IDE interface: Silicon Integrated Systems [SiS] 5513 [IDE]
00:02.7 Multimedia audio controller: Silicon Integrated Systems [SiS] AC'97 Sound Controller (rev a0)
00:03.0 USB Controller: Silicon Integrated Systems [SiS] USB 1.0 Controller (rev 0f)
00:03.1 USB Controller: Silicon Integrated Systems [SiS] USB 1.0 Controller (rev 0f)
00:03.2 USB Controller: Silicon Integrated Systems [SiS] USB 1.0 Controller (rev 0f)
00:03.3 USB Controller: Silicon Integrated Systems [SiS] USB 2.0 Controller
00:04.0 Ethernet controller: Silicon Integrated Systems [SiS] SiS900 PCI Fast Ethernet (rev 91)
00:09.0 Modem: PCTel Inc HSP MicroModem 56 (rev 02)
01:00.0 VGA compatible controller: nVidia Corporation NV11 [GeForce2 MX/MX 400] (rev b2)
Memory: 1031816k/1048560k available (1543k kernel code, 16060k reserved, 578k data, 196k init, 131056k highmem)
Freeing initrd memory: 4391k freed
Freeing unused kernel memory: 196k freed
Filesystem            Size  Used Avail Use% Mounted on
/dev/hda1              18G  9.7G  7.0G  59% /
tmpfs                 507M     0  507M   0% /lib/init/rw
udev                   10M   52K   10M   1% /dev
tmpfs                 507M     0  507M   0% /dev/shm
/dev/hdd              366M  366M     0 100% /media/PHOTO SMAN 2
emil@thunderbox:~$

HeHeHeHe :D ada komentar ?

admin 21 January 2009 *NIX, Gado-Gado, Linux No Comments

How much memory is in this machine?

Solaris

1. dmesg | grep mem
2. prtdiag | grep Memory
3. prtconf -v | grep Memory

AIX

1. bootinfo -r
2. lsattr -E1 sys0 -a realmem
3. getconf REAL_MEMORY

HPUX

1. dmesg | grep Physical
2. /opt/ignite/bin/print_manifest | grep Memory
3. machinfo | grep Memory

Linux

1. dmesg | grep Memory
2. grep -i memtotal /proc/meminfo
3. free

OpenVMS

1. show mem /page

FreeBSD

1. dmesg | grep memory
2. grep memory /var/run/dmesg.boot
3. sysctl -a | grep mem

admin 17 January 2009 *NIX, Linux No Comments

Create a tar archive from a directory

Since I started working with cPanel server I always needed to create archives from directories.
For example backing up a user’s home directory.

How can you do this? It’s not difficult at all. For exemple to backup a user home directory you would have to run:

tar -pczf rchive.tar.gz /home/USERNAME

You can read more about tar by reading it’s manual.

man tar
admin 2 January 2009 *NIX, Linux No Comments

3 Bidadari Kecil

Searah Jarum Jam :

  1. Fedora Siti Azzkya (Emil Rachman & Mei Yulia)
  2. Fatiha Siti Azzahra (Emil Rachman & Mei Yulia)
  3. Kalila Sabiya Pribadi (Yogie Pribadi Mulya & Riva Susanti)
admin 17 October 2008 Gado-Gado 7 Comments

Install Rootkit Hunter

Rootkit Hunter adalah … Klik Disini Adja Dech
Langsung saja, masalah ini kita selesaikan secara Adat !! :

Pra-Installasi :

  1. Siapkan Komputer
  2. Rokok Sampoerna Mild
  3. Teh Kotak / Kopi
  4. XMMS biar lebih asyik dengerin music

BEGIN :
1. Login ke Shell server menggunakan akses Root

emil@thunderbox:~$ su
Password:

2. Langkah selanjutnya COPAS adja dech :

wget http://transact.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.3.2.tar.gz
tar -xzvf rkhunter-1.3.2.tar.gz
cd rkhunter-1.3.2
./installer.sh --layout default --install
vim /etc/cron.daily/rkhunter.sh

Masukin ini (COPAS maning)

#!/bin/bash
(/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "Daily Rkhunter Scan Report" email@domain.com):
[Esc]:wq

Buat ngetest scan, berhasil atau tidak pada saat installasi
[sourcecode language='bash']chmod +x /etc/cron.daily/rkhunter.sh

Buat Update database rkhunter

rkhunter --update

Selamat Mencoba..!

admin 5 August 2008 *NIX, Linux, Security 1 Comment

1st Client Ask

Client pertama yang nanya, setelah Yahoo Status di pajang di PasarHosting

(10:41:13 PM) cs2_tunasindo: bos
(10:41:14 PM) cs2_tunasindo: malem
(10:41:16 PM) cs2_tunasindo: mau tanya nih'
(10:41:19 PM) cs2_tunasindo has buzzed you!
(10:41:30 PM) cs2_tunasindo: www.klikxxxxxx.com gak bisa dibuka kenapa yak
(10:41:32 PM) erahman2001: silahkan pak
(10:42:54 PM) erahman2001: terbuka dengan baik o pak
(10:43:06 PM) cs2_tunasindo: sebentar
(10:43:38 PM) cs2_tunasindo: kenapa disini gak bisa dibuka ya?
(10:43:47 PM) cs2_tunasindo: biasanya apanya tuh?
(10:44:04 PM) erahman2001: ada kemungkin salah masukin password lebih dari 3 kali
(10:44:19 PM) erahman2001: baik cpanel ato webmail pak
(10:44:25 PM) cs2_tunasindo: trus?
(10:44:31 PM) cs2_tunasindo: solusinya gimana dong
(10:44:31 PM) erahman2001: jadi kemungkinnan IP address nya di band
(10:44:42 PM) erahman2001: kalo boleh tau IP bapak berapa ?
(10:44:49 PM) cs2_tunasindo: IP yang mana?
(10:45:03 PM) erahman2001: ip internet nya yang bapak pakai sekarang ?
(10:45:08 PM) cs2_tunasindo: sebentar
(10:46:13 PM) cs2_tunasindo: 125.161.xxx.xxx
(10:47:11 PM) erahman2001: mohon tunggu sebentar pak >:D<
(10:47:23 PM) cs2_tunasindo: ok
(10:47:56 PM) erahman2001: oke pak
(10:48:16 PM) erahman2001: silahkan di resfresh web browser nya untuk www.klikxxxxxx.com
(10:48:21 PM) cs2_tunasindo: ok
(10:48:39 PM) cs2_tunasindo: siip
(10:48:46 PM) cs2_tunasindo: itu gimana ceritanya bos
(10:48:53 PM) cs2_tunasindo has buzzed you!
(10:49:02 PM) erahman2001: ach jangan panggil bos pak
(10:49:04 PM) erahman2001: :D
(10:49:12 PM) cs2_tunasindo: soalnya tadi mau edit
(10:49:29 PM) cs2_tunasindo: eh masuk cpanel lulpa user ama pass
(10:49:32 PM) cs2_tunasindo: gak sesuai
(10:49:40 PM) cs2_tunasindo: hehehe
(10:49:40 PM) erahman2001: begini dari IP yang bapak gunakan ada kemungkinnan salah masukkan password cpanel / webmail ato akses apapun ke server bentuk nya
(10:49:57 PM) erahman2001: ketika 3 x salah masukin password maka server akan ngeblock IP bapak
(10:50:32 PM) erahman2001: server menganggap IP tsb akan melakukan tindakan tindakan ilegal / hacking
(10:50:43 PM) cs2_tunasindo: oooo
(10:50:51 PM) erahman2001: demi keamanan server dan situs bapak .. jadi server memblock ip tsb
(10:51:16 PM) erahman2001: di khawatirkan ada yang berusaha menebak-nebak password
(10:51:27 PM) erahman2001: begitu pak >:D<
(10:51:32 PM) cs2_tunasindo: iya deh
(10:51:36 PM) erahman2001: silahkan di edit web nya pak
(10:51:55 PM) erahman2001: ada lagi yang bisa saya bantu pak >:D<
(10:52:12 PM) cs2_tunasindo: sementara itu dulu
(10:52:41 PM) erahman2001: terima kasih pak .. semoga sukses dengan klikxxxxxx.com
(10:53:15 PM) cs2_tunasindo: iya
(10:53:22 PM) cs2_tunasindo: tapi ini belum sukses mau ngeditnya ni
(10:53:36 PM) cs2_tunasindo: nyari orang yang dulu daftarin dulu
(10:53:57 PM) erahman2001: pastinya ada proses pak ..
(10:54:02 PM) erahman2001: <-- ikut mendoakan
admin 4 August 2008 Linux No Comments

My Task’s

Pe Er yang blom kelar :

  1. Melakukan koneksi VPN dari Server Colo ke Server ivas TELKOM (Windblow OS)
  2. Melakukan koneksi VPN dari kantor Bogor ke salah satu Kantor Client di JKT (biar bisa remote pc karyawan disana, and gak usah bulak balik lagi BGR-JKT terus buat maintenance)
  3. Install server buat Client di Tanjung Priuk
  4. Pelajari lebih jaun tentang installasi openSSL (https://) <– masih cupu disini HeHeHe..
  5. Research TCExam
  6. Apa lagi yah ? (om apa lagi …? HeHeHe )
admin 24 July 2008 *NIX, Gado-Gado, Linux, Security No Comments

Siapa Gwe..?? ( psyBNC Log )

<-psyBNC> You have Messages. Type /QUOTE PLAYPRIVATELOG to read your messages.
<-psyBNC> Starting playing Log
<-psyBNC> Sun Jul 13 06:08:26 :(guyh!~user@125.164.121.181) mas ajarin akun jd hecker bayarbrp?
<-psyBNC> Use ERASEPRIVATELOG to kill the log
ERASEPRIVATELOG
<-psyBNC> Log erased

HeHehe Siapa Gwe … Masih Cupu Gini …!! Sorry Om .. om bisa belajar ke yang lain adja .!!

admin 14 July 2008 *NIX, Gado-Gado, Linux, Security No Comments

MySQL Replication With Local and Hosting Server (WHM)

Basa basinya apa yah disini .. ??? mungkin sedikit catatan saja, apa yang sudah berhasil di oprek. intinya membuat replikasi database MySQL dari Server MySQL di Lokal (kantor) ke database MySQL Server Hosting di Alam Gaib sana.

[Informasi Saja]
Server Lokal (Kantor) = Master = 125.232.2x.xxx (Debian)
Server Hosting = Slave = 76.24.2x.xxx (Centos)
Database Name = cobadb
Database User = usercoba
Database Pass = rahasia123
MySQL Version Debian = mysql Ver 14.12 Distrib 5.0.32, for pc-linux-gnu (i486) using readline 5.2
MySQL Version Centos = mysql Ver 14.12 Distrib 5.0.51a, for redhat-linux-gnu (i686) using readline 5.0
Login = root

Konfigurasi yang harus kita lakukan adalah :
————- Server Lokal (MASTER) : ————–

Edit file my.cnf :

root@thunderbox:~$ vim /etc/mysql/my.cnf

Pastikan pada bagian :

[mysqld]
...........
...........
# bind-address          = 127.0.0.1
...........
...........
[Dan Seterusnya]
#
# * Logging and Replication
#
...........
...........
[Dan Seterusnya]
server-id              = 1
log_bin                = /var/log/mysql/mysql-bin.log
binlog_do_db           = cobadb

Save :

:wq

Restart Service MySQL :

root@thunderbox:~$ /etc/init.d/mysql restart

Login ke MySQL Server dengan Login root :

root@thunderbox:~$ mysql -u root -p
Enter password:

Buat User dengan replication privileges:

mysql> GRANT REPLICATION SLAVE ON *.* TO 'usercoba'@'%' IDENTIFIED BY 'rahasia123';
mysql> FLUSH PRIVILEGES;
mysql> USE cobadb;
mysql> FLUSH TABLES WITH READ LOCK;
mysql> SHOW MASTER STATUS;
+------------------+----------+--------------+------------------+
| File             | Position | Binlog_Do_DB | Binlog_Ignore_DB |
+------------------+----------+--------------+------------------+
| mysql-bin.000005 |       98 | cobadb       |                  |
+------------------+----------+--------------+------------------+
1 row in set (0.00 sec)mysql> QUIT;

*) Simpan-Catat informasi diatas, karena akan digunakan untuk konfigurasi pada MySQL Slave Server Langkah terakhir adalah Unlock table cobadb yang sebelumnya kita lock

root@thunderbox:~$ mysql -u root -p
Enter password:
mysql> UNLOCK TABLES;
mysql> QUIT;

— Now the configuration on the master is finished. On to the slave… —


Read more…

admin 1 July 2008 *NIX, Linux No Comments

Ini Proses Apa Yah..??!!

Iseng iseng .. cek, sambil nunggu jam pulang kerja

# ps -aux

aih aih .. ini seh jam pulang kerja bakalan telat lagi :

# ps aux|grep nobody
USER       PID %CPU %MEM   VSZ  RSS  TT  STAT STARTED      TIME COMMAND
nobody    6003  0.0  0.2  3952 3556  ??  S     7:02AM   0:31.37 /bin/bash(perl)
……….
……….
[dan seterusnya]

Siaga Satu !!!!

Hehehe nah pertanyaan nya adalah kenapa dianggap mencurigakan? memang sih agak-agak susah untuk mengkatagorikan suato proses mencurigakan atau tidak soalnya perlu sedikit pengalaman dan sering baca-baca. Tapi yang pasti untuk kasus diatas gampang banget mengetahui kalau proses tersebut mencurigakan alasannya yaitu.

1. User nobody gak punya shell jadi dia gak di ijinin buat login (/bin/bash itu kan shell)
2. /bin/bash itu aplikasi mandiri sementara disini /bin/bash (perl) yang artinya dia itu perl yang di eksekusi seolah-oleh /bin/bash

Ok dari dua kemungkinan itu aja dulu kita udah ada gambaran untuk mencurigai proses dengan PID 6003 tersebut. Selanjutnya saya berusaha memastikan apakah betul-betul ilegal atau tidak dengan cara mengetikan ps axj dan berikut ini hasilnya

# ps axj|grep nobody
USER       PID  PPID  PGID   SESS JOBC STAT  TT       TIME COMMAND
nobody    6003     1  6003 c83f5c40    0 S     ??    0:31.46 /bin/bash (perl)
nobody   17104 18172 18172 c5123900    0 S     ??    0:00.37 /usr/local/apache/bin/httpd -DSSL
nobody   19345 18172 18172 c5123900    0 S     ??    0:00.15 /usr/local/apache/bin/httpd -DSSL
……….
……….
[dan seterusnya]

Kemudian kita cari tahu ada di mana sih aplikasi yang sedang jalan ini

# lsof -a -d cwd -p 6003
COMMAND  PID   USER   FD   TYPE     DEVICE SIZE/OFF NODE NAME
perl    6003 nobody  cwd   VDIR 116,131072     1024    2 /

Nah lho koq di / (root) kan disana gak ada bash :D katanya di /bin/

ok semakin terlihat kejanggalan proses tersebut dimana PPID nya 1 :D nah udah lah lengkap sudah kecurigaan nya sekarang mari kita mencari apa yang harus dicari.

# lsof -i -a -n -p 6003
COMMAND  PID   USER   FD   TYPE     DEVICE SIZE/OFF NODE NAME
perl    6003 nobody    3u  IPv4 0xe5892a00      0t0  TCP *:sd (LISTEN)

Dari hasil lsof dengan option -i -a -n -p ketemu deh kalo ternyata dia juga membuka port dengan nama sd. hmmm sd apaan ya??? ya udah lah cari tau dulu sd itu apa dan port berapa.

# cat /etc/services |grep sd sd
9876/tcp   #Session Director sd
9876/udp   #Session Director

Nah nah ternyata port nya 9876 namanya Session Director sekarang kita test siapa tau dapet info lebih dari port tersebut.

# netstat -an |grep 9876
tcp4       0      0  *.9876                 *.*                    LISTEN

Ketemu open port tcp4 port 9876 di semua IP yang ada di box sekarang kita coba port tersebut.

# telnet localhost 9876 T
rying 127.0.0.1…
Connected to 127.0.0.1.
Escape character is ‘^]’.
Sua senha:
Senha Incorreta!
Connection closed by foreign host.

Naaah ketemu ternyata ketika di test menggunakan telnet di langsung respon dengan Sua senha (artinya kira-kira Password Euy :D dalam bahasa portugis) kemudian setelah dicoba ngetik sembarang text dia langsung keluar pesan Senha Incorreta! (password salah) dan close. Ya udah lah gpp toh cuman ngetes dowang yang pasti sekarang tau kalau kemungkinan aplikasi yang sedang jalan itu adalah bot atau shell (backdoor?) yang pasti ilegal.

Lanjut berhubung dengan lsof tidak ditemukan lokasi dari aplikasi asli yang sedang berjalan kemungkinan ini adalah bot hit and run yang biasa dipake ketika orang inject web (biasanya mambo). Dimana dia akan mendownload file kemudian menjalankan file tersebut dan kabur yang kemudian bikin pusing admin box karena file nya tidak ada tapi proses nya jalan terus.

Ya udah lah sekarang kita matiin dulu prosess nya biar server gak terlalu berat.

# kill -9 6003

Selanjutnya kita iseng-iseng mencari siapa tahu bisa ketemu file yang bisa dipakai untuk download atau mendapatkan shell access untuk user nobody. Karena sudah pasti kalau nobody bisa meng execute file ber extensi PHP dan ada yang namanya phpshell maka yang kita kejar sekarang adalah file PHP yang ada kata-kata wget didalam nya.

# cd /home find ./*/public_html/ -depth 1 -name “*.php” | xargs grep “wget”

dan berikut ini adalah salah satu contoh hasil dari proses diatas.

./xxeditedxx/public_html/samiyo.php:echo sr(15,”<strong>”.$lang[$language.'_text16'].$arrow.”</strong>”,”
<select name=”\”with\”"><option value=”\”wget\”">wget</option><option value=”\”fetch\”">fetch</option><option value=”\”lynx\”">lynx</option><option value=”\”links\”">links</option><option value=”\”curl\”">curl</option><option value=”\”GET\”">GET</option></select>

“.in(’hidden’,'dir’,0,$dir).ws(2).”<strong>”.$lang[$language.'_text17'].$arrow.”</strong>”.in(’text’,'rem_file’,78,’http://’));

Nah selanjutnya tinggal masuk ke folder tersebut dan hapus atau kalau mau sadis ya suspend aja deh account host-nya :P.

admin 1 July 2008 Linux 4 Comments
« Older Entries