----- Original Message ----- From: "samurai" <[EMAIL PROTECTED]> To: <[email protected]> Sent: Tuesday, March 08, 2005 11:26 AM Subject: Re: [tanya-jawab] mail server di crack
> nah ...yang ini nie..saya belom tau jurusnya ...bisa diperjelas dikit > mas....soalnya gini,,pagi ini saya cek mail server saya eh..dia masuk > lagi...dan file-file trojan dia letakkan di direktory /bin dengan nama > sp0...yang dialamnya ada perintah untuk mengacaukan server saya...dan untuk > pembersihan trjoan saya delet manual semuanya berserta linknya ...dan saya > cek dengan chrootkit...kemudian server sepertinya aman...kemudian saya blok > ssh untuk sementara dan port yang gak perlu dengan iptables sehingga ketika > saya scan port server cuma port 80, 110 ,25 dan 143 aja yang aktif... > hmm taunya dia masuk lagi gimana? ada tanda2nya? mungkin saja dia tidak masuk, tapi ada program/daemon yg sengaja mendownload dari internet, file2 yg diperlukan buat ngerjain anda. scan port pake apa? nmap? secara default nmap tidak mengcover port2 tinggi.. Sapa tau ada daemon di port tinggi.. gunakan : netstat -lpn > nah sekarang ssh saya blok...karena setelah saya cek dari log ssh...memang > sepertinya ada user yang masuk sesuai dengan perkiraan anda... > bisa tolong dijelaskan gimana maksudnya pseudo-user...padahal di file > /etc/hosts.denny saya buat sshd : ALL EXCEPT ip_pc_saya untuk monitoring.. > pseudo-user adalah user yg ditujukan utk menjalankan service2 seperti httpd ( user apache ), atau user yg dibuat sebagai pengganti root dalam menjalankan tugasnya ( alasan keamanan ). Dan biasanya shellnya /bin/false bukannya shell aktif seperti bash ato sh. SSH pake tcp_wrapper? bukan standalone yak? > >1 lagi utk user2 yg bisa login via ssh, perhatikan file .authorize_keys di > > masing2 $HOME/.ssh > > hal diatas memungkinkan user tsb bisa login tanpa ditanya password, > biarpun > > password diganti tetep bisa login. > nah...bisa dijelasin cara ini ..kok bisa...??? dan penangannya gimana.. > > > > SSH bisa digunakan dgn berbagai macam cara salah satu nya menggunakan password dan berdasarkan public/private key. Urutan auth pada SSH : Host-Based auth lalu Public Key lalu baru password secara interaktif. Jika kita taro public key pada $HOME/.ssh/authorized_keys di kompie tujuan dan private key pada $HOME/.ssh/ ( biasanya pake RSA/DSA ) proses authorisasi akan berhenti pada mekanisme Public Key. dan langsung masuk ke shell. Utk lebih jelas ttg mekanisme ini, silahkan googling.. :) Good Luck!! IWY > > Terima kasih > > > samurai > > > -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis Tidak bisa posting? Baca: http://linux.or.id/problemmilis http://linux.or.id/tatatertibmilis
