Budiwijaya.or.id Belajar linux, ubuntu, debian

Dari situs avertlabs, terlihat bagaimana sebuah botnet mengirimkan spam.

$GET "http://example.com:25/outtask/urlTask8_c_2.txt?id=MAGID-ID-STRING&flag=1"
10
12|http://serv2.example.com/outtask/tasks/task_12_letter_1162390208.txt|
http://get.example.com:8092/cgi-bin/cgi2.cgi|
http://serv2.example.com/report2.cgi|1||
http://mail.example.com:8888/cgi-bin/put|

20|http://serv2.example.com/outtask/tasks/task_20_letter_1162390209.txt|
http://get.example.com:8091/cgi-bin/cgi2.cgi|
http://serv2.example.com/report2.cgi|1||
http://mail.example.com:8888/cgi-bin/put|

22|http://serv2.example.com/outtask/tasks/task_22_letter_1162390209.txt|
http://get.example.com:8092/cgi-bin/cgi2.cgi|
http://serv2.example.com/report2.cgi|1||
http://mail.example.com:8888/cgi-bin/put|

Cara kerjanya sebagai berikut:

1. Bot konek ke server untuk mendapatkan tasklist(tugas)
2. Bot memprosesnya secara baris per baris
--- 1. Download isi dari spam
--- 2. Download alamat email tujuan, download juga server smtp (mx) untuk mengirimkan spam
--- 3. Mengirimkan spam ke tujuan
3. Melaporkan bahwa telah mengirimkan spam melalui URLs khusus
4. Kembali ke nomor 1.

-----

Ternyata banyak juga yang terkena effect dari di shutdownnya McColo. Sebuah perusahaan hosting yg ternyata banyak menghosting botnet. Salah satunya adalah google.

Dan juga terlihat dari mailserver kantor temen saya, di bulan November 2008 juga turun drastis untuk email rejectednya.

Bulan kemaren, saya memperbaiki beberapa situs yang kena deface massal di salah satu server. Pelakunya orang turki, tapi berbeda dengan yang mendeface situsnya mas cahyo.

Saya sendiri masih belum tahu darimana pelaku masuk untuk mendeface. Kemungkinan besar dari salah satu CMS yang diinstall.

Hal ini mungkin disebabkan karena semua file-file hosting di-set kepemilikan www-data. Dan pada saat salah satu CMS/program yang diinstall ada bug-nya, maka bisa merembet ke semua situs yang berkepemilikan www-data.

Memang kurang ajar orang2 ini. Situs rekan KLAS di defacenya pula. Kayaknya ini baru saja terjadi. Sebab semalem masih ada postingan dari mas cahyo tentang Seminar di St.Hendrikus 2.

Selain di blognya mas cahyo, kemaren saya juga sempet benerin beberapa situs yang di deface juga oleh orang Turkish. Turkish merajalela nih..

Mau tau caranya hacking proxy? Ayo cepat ikutan Cangkru'an Linux dengan Tema Hacking Proxy. Acaranya terselenggara atas kerjasama, KLAS, APJII-JATIM dan DHARMALA INTILAND.

sumber: apjii-jatim

To update ssh-key that affected by openssl's bug, try this two simple command.

sudo rm /etc/ssh/ssh_host_{dsa,rsa}_key*
sudo dpkg-reconfigure -plow openssh-server

That's it.

But firstly you must update your openssl.

sudo apt-get update
sudo apt-get upgrade

Oh, if you're not sure about your server, just check with this tool:
http://buaya.klas.or.id/lain/dowkd/dowkd.tar.gz

--budiw

Debian's patch to openssl is having bug for 2 years? Oh my..

http://metasploit.com/users/hdm/tools/debian-openssl/
http://daviey.mooo.com/blogroll/weak-ssh-key.html
http://dev.osso.nl/herman/blog/2008/05/14/weak-ssl-key-vulnerabilities-not-so-funny/

(Drumroll please...)
And the e x p l o i t:
http://milw0rm.com/exploits/5622