Jangan terburu-buru mengambil tindakan spekulatif karena boleh jadi tebakan kita salah. Tetaplah tenang namun terus memeriksa

Mengenali tanda-tanda hacking pada sistem Windows Written by WWW.EKURNIAWAN.NET Saturday, 28 September 2013 11:40

Bagi para pengguna server-server Windows, artikel dibawah ini adalah tanda-tanda umum jika server kita diserang. Jika salah satu tanda ditemukan. maka waspadalah dan perhatikan dengan teliti apa yang terjadi.

Jangan terburu-buru mengambil tindakan spekulatif karena boleh jadi tebakan kita salah. Tetaplah tenang namun terus memeriksa.

1. Ditemukannya rootkit yang terinstal atau berjalan

Rootkit tidak lain bentuk program (atau gabungan program-program) yang didesain khusus untuk melakukan bermacam tugas pengendalian kunci (dalam Windows dikenal dengan istilah "Administrator') dari sebuah sistem komputer, tanpa sepengetahuan pemilik atau pengelola sistem komputer bersangkutan. Secara singkat, Rootkit nyaris menyerupai Trojan.

Rootkit telah menjadi hal yang lazim disalahgunakan orang-orang untuk menyerang platform-platform windows, ini karena program-program rootkit tersedia bebas di internet dan cukup mudah digunakan oleh siapapun, termasuk pemula.

Apa yang dilakukan Rootkit?

Rootkit dapat melakukan banyak hal yang menakjubkan, seperti : - Menyembunyikan keberadaan dirinya saat sebuah sistem berhasil disusupi - Menangkap informasi vital seperti password user - Menginstal program backdoor yang dapat digunakan untuk akses jarak jauh oleh penyerang - Menginfeksi komputer - Mengendalikan sebuah komputer untuk digunakan sebagai batu loncatan untuk mengeksploitasi komputer-komputer lain

1/5

Mengenali tanda-tanda hacking pada sistem Windows Written by WWW.EKURNIAWAN.NET Saturday, 28 September 2013 11:40

File-file rootkit terkadang mudah dideteksi oleh program antivirus atau program removal third-party, tetapi beberapa kasus tertentu, rootkit cukup sulit dideteksi.

2. Ditemukannya aktivitas mencurigakan pada record-record file log

Indikasi kuat lain terjadinya pelanggaran/ penyerangan adalah dengan ditemukannya aktivitas-aktivitas mencurigakan pada catatan file-file log. Misalnya baris-baris informasi logon yang ganjil, restart sistem tanpa sebab, berjalannya sebuah layanan misterius secara berulang-ulang.

3. Ditemukannya account user dan gorup yang asing

Saat kita mendapati sebuah nama user atau nama group baru yang tak dikenal terdaftar dalam komputer kita, maka waspadalah karena itu boleh jadi indikasi terjadinya penyusupan. Seseorang telah menambahkan dirinya ke database user/ group yang dimiliki komputer kita. Yang lebih berbahaya lagi adalah ketika user asing tersebut memiliki hak akses istimewa, atau dengan kata lain menjadi bagian dari group Administrator.

4. Ditemukannya hak-hak user yang tidak sah

Pada server windows, kita memeriksa hak-hak user menggunakan tool User Manager dibawah Policies, User Rights. Ada 28 hak berbeda yang dapat diberikan ke user-user atau group-group. Secara umum, konfigurasi default untuk hak-hak ini sudah aman. Satu hak yang perlu diperhatikan adalah "SeDebugPrivilege". Hak ini membuat user-user dapat menghubungkan sebuah debugger ke proses-proses manapun dalam sistem, termasuk kernel.

5. Ditemukannya aplikasi yang berjalan otomatis secara tidak sah

Seorang penyusup lazimnya menjalankan program backdoor, yaitu program yang bisa berjalan secara tidak transparan atau luput dari perhatian si pemilik sistem. Shortcut dari program

2/5

Mengenali tanda-tanda hacking pada sistem Windows Written by WWW.EKURNIAWAN.NET Saturday, 28 September 2013 11:40

backdoor ini umumnya ditaruh pada folder StartUp.

6. Ditemukannya layanan yang tidak sah

Kebanyakan program backdoor akan menginstal dirinya sendiri sebagai sebuah layanan (service) yang akan dijalankan otomatis saat sistem melakukan boot up. Layanan-layanan ini dapat berjalan sebagai user siapa saja dengan hak akses "Logon as a Service".

7. Berubahnya keabsahan file-file penting

File-file penting yang dimiliki sistem operasi windows seperti Autoexec.bat, Autoexec.nt, Config.sys, System.ini dan Win.ini seringkali menjadi sasaran perubahan oleh penyusup, tentu saja dalam rangka mendukung tujuan jahatnya. File-file ini digunakan penyusup untuk menjalankan program backdor miliknya saat komputer melakukan boot.

8. Ditemukannya sharing yang tidak sah

Sharing atau "berbagi material" pada komputer dan jaringan merupakan teknologi yang bisa dibilang sudah cukup lama, dan sampai saat ini teknologinya semakin maju. Pelanggaran sahring besar kemungkinannya dilakukan oleh orang-orang disekitar kita, terutama yang memiliki akses ke jaringan. Oleh karena itu kita bisa dengan mudah mengenali pelakunya dengan mengidentifikasi workstation atau komputer mana yang menggunakan sharing.

9. Ditemukannya job terjadwal yang tidak sah

Penyusup dapat meninggalkan program backdoor miliknya dikomputer kita. File executable dari program backdoor ini bisa mereka daftarkan ke layanan windows Task Scheduler sehingga dapat dijalankan oleh windows secara terjadwal dilain waktu, tanpa sepengetahuan kita. Teknik ini biasanya sebagai trik penyusup untul bisa "bertamu" kembali ke sistem kita.

3/5

Mengenali tanda-tanda hacking pada sistem Windows Written by WWW.EKURNIAWAN.NET Saturday, 28 September 2013 11:40

10. Ditemukannya proses-proses yang tidak sah

Kita dapat menggunakan tool Task Manager atau perintah pulist.exe dan tlist.exe dari windows resource kit pada prompt perintah untuk memeriksa proses-proses yang sedang berjalan dalam sistem kita. Sejumlah aplikasi shareware/ freeware seperti filemon dan sysinternal juga tersedia untuk menampilkan file-file apa yangs sedang digunakan.

11. Ditemukannya file-file tersembunyi

Jika kita tidak sengaja menemukan file-file atau direktori-direktori yang disembunyikan pada salah satu lokasi sistem, maka itu pertanda kuat jika sistem kita telah dijebol, dan penyusup menaruh material-material asing untuk keperluannya, biasanya berupa program backdoor atau password cracker.

12. Berubahnya perizinan file atau key registry secara tidak sah

Salah satu solusi dari pengamanan sistem windows adalah membatasi perizinan pada file-file penting dan key-key registry, sehingga user-user yang tidak sah tidak bisa mengganggu material-material tersebut. Jika ternyata kita menemukan adanya perubahan pada setting permission file-file penting dan key-key registry, bisa dipastikan bahwa seseoarng telah merusaknya melalui program seperti backdoor atau keylogger.

Untuk memeriksa setting permission dari file-file yang dimiliki sistem kita, gunakan program xcacls.exe atau showacls.exe yang merupakan bagian dari bundel resource kit.

13. Berubahnya setting policy user atau komputer

Policy digunakan pada windows untuk menetapkan berbagai konfigurasi, juga digunakan untuk mengontrol apa yang bisa dan tidak bisa dilakukan oleh user-user. Untuyk komputer stand-alone atau workgroup, policy ini dikonfigurasi via Local Computer Policy. Sedangkan

4/5

Mengenali tanda-tanda hacking pada sistem Windows Written by WWW.EKURNIAWAN.NET Saturday, 28 September 2013 11:40

pada lingkungan domain Active Directory, opsi ini secara khusus dkonfigurasi menggunakan Group Policy pada mesin Domain Controller, kemudian di link ke Organizational Unit.

Disarankan untuk menyimpan salinan policy yang telah kita buat tersebut. Seandainya suatu waktu policy mengalami perubahan akibat ulah penyusup, kita dapat dengan mudah menentukan bagian mana saja yang telag berubah.

5/5