Selasa, 18 November 2014

Cara Mengecek Service FTP di Solaris 10



Tulisan ini saya buat sebagai catatan saya pribadi dan semoga bermanfaat untuk teman pembaca semua, kali ini saya mau memberikan info bagaimana cara nya mengecek service ftp server pada OS Solaris 10.

1. Untuk mengecek service nya sudah aktif atau belum adalah :

# inetadm | grep ftp
enabled   online         svc:/network/ftp:default

2. Untuk Enable service ftp, command nya adalah :

# inetadm -e ftp

atau

# /usr/sbin/svcadm enable ftp

3. Untuk Disable service ftp, command nya adalah :

# inetadm -d ftp

atau

# /usr/sbin/svcadm disable ftp

Info lebih lanjut :
# man inetadm
# man svcadm

Semoga bermanfaat..


Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Rabu, 12 November 2014

Monitoring DNS Linux dengan DNSTOP dan Query Log



Saya akan sedikit share bagaimana cara nya untuk bisa melihat statistik dari hasil query user yang menggunakan DNS Linux, Cara nya dengan menggunakan tools dnstop yang akan di install pada DNS Server Linux nya. Kebetulan saya coba nya pakai Linux Centos.

Cara nya adalah :

1. Download dulu dnstop :

# wget http://pkgs.repoforge.org/dnstop/dnstop-0.0.20080502-1.el6.rf.x86_64.rpm
--2014-11-12 14:27:02--  http://apt.sw.be/redhat/el6/en/x86_64/rpmforge/RPMS/dnstop-0.0.20080502-1.el6.rf.x86_64.rpm
Resolving apt.sw.be... 193.1.193.67
Connecting to apt.sw.be|193.1.193.67|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29807 (29K) [application/x-redhat-package-manager]
Saving to: “dnstop-0.0.20080502-1.el6.rf.x86_64.rpm”

100%[========================================================================================>] 29,807      26.8K/s   in 1.1s  

2014-11-12 14:27:04 (26.8 KB/s) - “dnstop-0.0.20080502-1.el6.rf.x86_64.rpm” saved [29807/29807]

2. Kemudian install dnstop nya :

# rpm -ivh dnstop-0.0.20080502-1.el6.rf.x86_64.rpm
warning: dnstop-0.0.20080502-1.el6.rf.x86_64.rpm: Header V3 DSA/SHA1 Signature, key ID 6b8d79e6: NOKEY
Preparing...                ########################################### [100%]
   1:dnstop                 ########################################### [100%]


3. Jalankan dnstop nya, untuk melihat statistik IP yang melakukan query ke DNS Linux kita bisa dilihat dengan perintah :

# dnstop eth8 -Q



Untuk melihat level 3 dari domain bisa jalankan perintah berikut :

# dnstop -l 3 eth8

2 new queries, 220 total queries                  Mon Aug  4 05:56:50 2008
Sources              count      %
---------------- --------- ------
180.248.xxx.26          72   32.7
77.89.xx.108             7    3.2
186.xxx.13.108           5    2.3
90.xxx.94.39             4    1.8
178.xx.77.83             4    1.8
187.xxx.149.23           4    1.8
xxx.13.249.70            4    1.8
1.xxx.169.102            4    1.8
189.xx.191.126           4    1.8
xxx.239.194.97           3    1.4

Untuk Melihat Top10 TLD bisa setelah running command diatas, lalu tekan “1” :

5 new queries, 1525 total queries                 Mon Aug  4 06:11:09 2008
TLD                                count      %
------------------------------ --------- ------
net                                  520   34.1
biz                                  502   32.9
in-addr.arpa                         454   29.8
in                                    23    1.5
org                                   15    1.0
com                                   11    0.7

Untuk melihat Top10 domain, bisa dengan sambil menekan tombol “2” :

3 new queries, 1640 total queries                 Mon Aug  4 06:13:20 2008
SLD                                count      %
------------------------------ --------- ------
cyberciti.biz                        557   34.0
nixcraft.net                         556   33.9
74.in-addr.arpa                       34    2.1
208.in-addr.arpa                      29    1.8
195.in-addr.arpa                      28    1.7
192.in-addr.arpa                      27    1.6
64.in-addr.arpa                       27    1.6
theos.in                              23    1.4
203.in-addr.arpa                      20    1.2
202.in-addr.arpa                      18    1.1
212.in-addr.arpa                      15    0.9
nixcraft.com                          13    0.8
217.in-addr.arpa                      13    0.8
213.in-addr.arpa                      12    0.7
128.in-addr.arpa                      12    0.7
193.in-addr.arpa                      12    0.7
simplyguide.org                       12    0.7
cricketnow.in                          3    0.2

Lebih detail lagi Top10 subdomain nya bisa juga tekan “3” :

www.cyberciti.biz         60   39.0
figs.cyberciti.biz        33   21.4
ns1.nixcraft.net          18   11.7
ns3.nixcraft.net          13    8.4
ns2.nixcraft.net          13    8.4
theos.in                   5    3.2
nixcraft.com               5    3.2
cyberciti.biz              2    1.3
jobs.cyberciti.biz         1    0.6
bash.cyberciti.biz         1    0.6

Untuk melihat Top10 jenis yang di query bisa dengan menekan tombol “t” :

Query Type     Count      %
---------- --------- ------
A?               224   56.7
AAAA?            142   35.9
A6?               29    7.3

Untuk melihat yang terkoneksi dengan DNS server bisa juga menekan tombol “d” :

Source         Query Name        Count       %
-------------- ------------- ---------  ------
xx.75.164.90   nixcraft.net          20    9.1
xx.75.164.90   cyberciti.biz         18    9.1
x.68.25.4      nixcraft.net           9    9.1
xxx.131.0.10   cyberciti.biz          5    4.5
xx.104.200.202 cyberciti.biz          4    4.5
202.xxx.0.2    cyberciti.biz          1    4.5


beberapa fungsi tombol yang bisa digunakan sewaktu dnstop running :

 s - Sources list
 d - Destinations list
 t - Query types
 o - Opcodes
 r - Rcodes
 1 - 1st level Query Names      ! - with Sources
 2 - 2nd level Query Names      @ - with Sources
 3 - 3rd level Query Names      # - with Sources
 4 - 4th level Query Names      $ - with Sources
 5 - 5th level Query Names      % - with Sources
 6 - 6th level Query Names      ^ - with Sources
 7 - 7th level Query Names      & - with Sources
 8 - 8th level Query Names      * - with Sources
 9 - 9th level Query Names      ( - with Sources
^R - Reset counters
^X - Exit
 ? - this

Nah sekarang bagaimana cara nya untuk melihat log query dari DNS, misal nya kita menggunakan BIND DNS dan ingin tahu siapa saja atau dari IP mana saja yang query ke domain tertentu. Caranya adalah :

1. Hidupkan Query Log nya :

# rndc querylog

2. Monitor hasil nya di log message :

# tail -f /var/log/messages

Nov 12 15:28:54 named-sdb[6826]: client 135.80.14.68#284: query: cvebodkzkxepyp.passiontimes.hk IN A + Nov 12 15:28:54 named-sdb[6826]: client 135.80.14.21#50937: query: mdwvybgryn.passiontimes.hk IN A +

Nov 12 15:28:54 named-sdb[6826]: client 135.80.14.18#43033: query: gnqbqb.passiontimes.hk IN A +Nov 12 15:28:54 named-sdb[6826]: client 135.80.14.17#50937: query: qtmlgx.passiontimes.hk IN A +EDC

Nov 12 15:28:54 named-sdb[6826]: client 135.80.14.15#24522: query: uditmbatkvsl.passiontimes.hk IN A +EDC

3. Untuk disable Query Log bisa dengan perintah yang sama :

# rndc querylog


Semoga Bermanfaat untuk teman semua


Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Selasa, 11 November 2014

Tentang Samsung Knox - Security Pada Handphone Samsung



Kali ini saya ingin sedikit membahas mengenai mobile security solution yang diberikan oleh samsung. Dimana kalau saya lihat samsung saat ini sudah memperhatikan security dari perangkat mobile nya.

Samsung KNOX adalah sebuah solusi keamanan yang dirancang oleh Samsung. Setiap perangkat Samsung yang dilengkapi dengan Samsung KNOX dapat memungkinkan pemakainya untuk melakukan aktivitas pribadi dengan aktivitas kantor secara terpisah dalam satu perangkat yang dimiliki tanpa harus membawa lebih dari satu perangkat.

Ada dua versi Samsung KNOX, versi personal/consumer atau pelanggan biasa dan versi Enterprise. Di versi personal, Samsung KNOX dapat dimanfaatkan untuk melindungi data-data penting personal Anda agar tidak dapat diakses orang lain dan tentunnya dengan tingkat enksripsi yang tinggi. Sementara Samsung KNOX Enterprise khusus dirancang untuk kebutuhan bisnis dan membutuhkan peran IT Manager untuk mengatur setiap akun pengguna Samsung KNOX. Untuk versi enterprise ini mirip seperti layanan milik blackberry enterprise.




KNOX menggabungkan Enhanced Security (SE) Android dan pengaturan akses integritas yang diimplementasikan dalam hardware dan kerangka Android. Hal ini memisahkan penggunaan bisnis dan pribadi dari perangkat mobile pada umumnya, terkait tingkat kemanan dan sistem file enkripsi tingkat tinggi, menawarkan perlindungan data bisnis dan aplikasi dari kebocoran data, virus dan serangan malware. Bobot perangkat ringan dan kompatibel dengan infrastruktur perusahaan pengguna seperti MDM, VPN dan layanan direktori. KNOX juga memberikan kepastian dan kenyamanan bagi departemen IT  menerapkan pengelolaan strategi Bawa Perangkat Anda Sendiri (Bring Your Own Device-BYOD)

Zona dalam Samsung KNOX yang dilengkapi dengan tingkat keamanan maksimal dirancang terpisah dengan zona pribadi. Di zona pribadi, pengguna dapat menikmati seluruh kelebihan smartphone Android Samsung yang mereka miliki seperti biasa. Misalnya untuk mengakses facebook, Twitter, Foto, Mendengarkan Music, Akses email, dan lainnya. Sementara di zona Samsung KNOX, seluruh aplikasi yang ada ditentukan secara khusus oleh perusahaan / Manager IT, karena Samsung KNOX dapat dirancang khusus sesuai dengan kebijakan perusahaan. Dan IT Manager yang bertanggung jawab atas sistem keamanan perusahaan merupakan pemegang kunci utama dari Samsung KNOX setiap karyawan / user.



Oleh karena itu, di zona Samsung KNOX hanya akan terdiri dari aplikasi yang berguna untuk kepentingan bisnis atau pekerjaan saja, seperti email, browser, kontak dan kalender yang ditandai dengan adanya simbol kunci di icon di applikasi nya. Sebagai admin dari Samsung Knox, IT Manager dapat melakukan banyak hal secara remote ke perangkat karyawan. Seperti misalnya menghapus data Samsung KNOX pengguna jika pengguna sudah tidak bekerja lagi, menambahkan atau menghapus aplikasi hingga menonaktifkan sementara akun Samsung KNOX karyawan / user jika sewaktu-waktu perangkat tersebut hilang.

Di dalam zona Samsung KNOX, ruang gerak penggunanya dapat dibatasi guna melindungi kebocoran data. Jadi aktivitas di zona Samsung Knox tidak akan sebebas di zona pribadi seperti biasanya. Contoh gampangnya, Anda tidak akan bisa melakukan copy-paste isi email yang ada di zona Knox ke zona pribadi Anda. Atau jika Anda memotret di zona Knox, hasilnya hanya akan muncul di gallery zona Knox saja dan tidak akan muncul di gallery zona pribadi. Toko aplikasi pun berbeda. Di zona Samsung Knox, Anda tidak akan bisa mengunduh aplikasi dari Google PlayStore, sebagai gantinya tersedia toko aplikasi khusus Samsung KNOX yang berisikan aplikasi pilihan yang berhubungan dengan kegiatan bisnis.

Untuk berpindah ke zona Samsung KNOX pun sangat mudah. Anda hanya perlu mengklik icon Samsung KNOX seperti menjalankan aplikasi biasa dan dengan sekejap Anda akan masuk ke zona KNOX. Satu hal yang perlu dicatat, Samsung KNOX ini hanya tersedia eksklusif untuk perangkat Samsung saja. Selain itu, KNOX juga tidak akan bisa digunakan pada Custom ROM. KNOX juga dapat digunakan untuk mencegah pengguna agar tidak bisa melakukan rooting.

Sistem keamanan yang ditawarkan Samsung KNOX ini telah mendapatkan sertifikasi STIG (Security Technical Implementation Guide). Bahkan KNOX juga telah diloloskan oleh Departemen Pertahanan Amerika untuk digunakan di lingkungan internal mereka.

Saat ini perangkat Samsung yang mendukung Samsung KNOX hanya Samsung Galaxy S3 LTE Version, Samsung Galaxy S4, Samsung Galaxy S5, Samsung Galaxy Note 3, Samsung Galaxy Note 4 dan Samsung Galaxy Note 10.1 edisi 2014.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Senin, 20 Oktober 2014

Feature Baru Pada Android 5.0 - Lollipop



Android 5.0 membawa perubahan yang paling menonjol dalam hal desain sejak hari Android 4.0 Ice cream sandwich. Dinamakan "Material Design", Google telah memberikan semua desain baru untuk Android 5.0 dan meminta pengembang App untuk mengikuti hal yang sama dalam rangka untuk membangun kualitas App desain sistem yang ekonomis. Warna yang hidup dan berani dikombinasikan dengan semua tipografi baru membuat Android 5.0 menonjol dari rilis sebelumnya dan Android tetap menjaga kenyamanan saat digunakan.

Meskipun desain adalah fitur yang paling ditonjolkan dari Android 5.0, Android 5.0 adalah sistem operasi Android pertama yang mendukung prosesor 64-bit dan ART (Android Run Time), adalah runtime standar yang digunakan android untuk menggantikan Dalvik. Google menjanjikan 4X peningkatan kinerja dengan ART runtime.
Google juga memasukan feature optimasi hemat baterai yang mungkin dapat memberikan Anda sampai 90 menit penggunaan tambahan dibandingkan dengan versi Android sebelumnya.

Ini Feature terbaru dari Android Versi 5.0 (Lollipop) :

Material Design
·       A bold, colorful, and responsive UI design for consistent, intuitive experiences across all your devices
·       Responsive, natural motion, realistic lighting and shadows, and familiar visual elements make it easier to navigate your device
·       Vivid new colors, typography, and edge-to-edge imagery help to focus your attention

Notifications
·       New ways to control when and how you receive messages – only get interrupted when you want to be
·       View and respond to messages directly from your lock screen. Includes the ability to hide sensitive content for these notifications
·       For fewer disruptions, turn on Priority mode via your device’s volume button so only certain people and notifications get through. Or schedule recurring downtime like 10pm to 8am when only Priority notifications can get through
·       With Lollipop, incoming phone calls won’t interrupt what you’re watching or playing. You can choose to answer the call or just keep doing what you’re doing
·       Control the notifications triggered by your apps; hide sensitive content and prioritize or turn off the app’s notifications entirely
·       More intelligent ranking of notifications based on who they’re from and the type of communication. See all your notifications in one place by tapping the top of the screen

Battery
·       Power for the long haul
·       A battery saver feature which extends device use by up to 90 mins
·       Estimated time left to fully charge is displayed when your device is plugged in
·       Estimated time left on your device before you need to charge again can now be found in battery settings

Security
·       Keep your stuff safe and sound
·       New devices come with encryption automatically turned on to help protect data on lost or stolen devices
·       SELinux enforcing for all applications means even better protection against vulnerabilities and malware
·       Use Android Smart Lock to secure your phone or tablet by pairing it with a trusted device like your wearable or even your car

Device Sharing
·       More flexible sharing with family and friends
·       Multiple users for phones. If you forget your phone, you still can call any of your friends (or access any of your messages, photos etc.) by simply logging into another Android phone running Lollipop. Also perfect for families who want to share a phone, but not their stuff
·       Guest user for phones and tablets means you can lend your device and not your stuff
·       Screen pinning: pin your screen so another user can access just that content without messing with your other stuff

New Quick Settings
·       Get to the most frequently used settings with just two swipes down from the top of the screen
·       New handy controls like flashlight, hotspot, screen rotation and cast screen controls
·       Easier on/off toggles for Wi-Fi, Bluetooth, and location
·       Manually adjust your brightness for certain conditions. Then, adaptive brightness will kick in based on ambient lighting

Connectivity
·       A better internet connection everywhere and more powerful Bluetooth low energy capabilities
·       Improved network handoffs resulting in limited interruption in connectivity. For example, continue your video chat or VoIP calls without interruption as you leave the house and switch from your home Wi-Fi back to cellular
·       Improved network selection logic so that your device connects only if there is a verified internet connection on Wi-Fi
·       Power-efficient scanning for nearby Bluetooth low energy (“BLE”) devices like wearables or beacons
·       New BLE peripheral mode

Runtime and Performance
·       A faster, smoother and more powerful computing experience
·       ART, an entirely new Android runtime, improves application performance and responsiveness
·       Up to 4x performance improvements
·       Smoother UI for complex, visually rich applications
·       Compacting backgrounded apps and services so you can do more at once
·       Support for 64 bit devices, like the Nexus 9, brings desktop class CPUs to Android
·       Support for 64-bit SoCs using ARM, x86, and MIPS-based cores
·       Shipping 64-bit native apps like Chrome, Gmail, Calendar, Google Play Music, and more
·       Pure Java language apps run as 64-bit apps automatically
Media
·       Bolder graphics and improved audio, video, and camera capabilities
·       Lower latency audio input ensuring that music and communication applications that have strict delay requirements provide an amazing realtime experience
·       Multi-channel audio stream mixing means professional audio applications can now mix up to eight channels including 5.1 and 7.1 channels
·       USB Audio support means you can plug USB microphones, speakers, and a myriad of other USB audio devices like amplifiers and mixers into your Android device
·       OpenGL ES 3.1 and Android extension pack brings Android to the forefront of mobile graphics putting it on par with desktop and console class performance
·       A range of new professional photography features for Android Lollipop that let you
·       Capture full resolution frames around 30 fps
·       Support raw formats like YUV and Bayer RAW
·       Control capture settings for the sensor, lens, and flash per individual frame
·       Capture metadata like noise models and optical information
·       State of the art video technology with support for HEVC main profile to allow for UHD 4K 10-bit video playback, tunneled hardware video decoding to save power and improved HLS support for streaming

OK Google
·       Easy access to information and performing tasks
·       Even if your screen is off, you can say “OK Google” on devices with digital signal processing support such as Nexus 6 and Nexus 9
·       Talk to Google on the go to get quick answers, send a text, get directions and more

Android TV
·       Support for living room devices
·       User interface adapted for the living room
·       Less browsing, more watching with personalized recommendations for content like movies and TV shows
·       Voice search for Google Play, YouTube and supported apps so you can just say what you want to see
·       Console-style Android gaming on your TV with a gamepad
·       Cast your favorite entertainment apps to your big screen with Google Cast support for Android TV devices

Accessibility
·       Enhanced low vision and color blind capabilities
·       Boost text contrast or invert colors to improve legibility
·       Adjust display to improve color differentiation

Now in 68+ languages
·       15 new additions
·       Basque, Bengali, Burmese, Chinese (Hong Kong), Galician, Icelandic, Kannada, Kyrgyz, Macedonian, Malayalam, Marathi, Nepali, Sinhala, Tamil, Telugu

Device set up
·       Get up and running in no-time
·       Tap & go: instant set up of your new Android phone or tablet by simply tapping it to your old one (requires NFC)
·       Whenever you get a new Android phone or tablet, you can bring over your apps from Google Play automatically from any of your old Android devices

And a whole lot more
·       Tap & pay: easily manage multiple payment apps by quickly switching between them
·       Print preview and page range support
·       Revamped display for battery, Bluetooth, data usage, and Wi-Fi settings and new search functionality
·       New device level feedback for Nexus devices in Settings > about phone > send feedback
·       Easier sharing with
·       Improved ranking of your options within the share menu
·       Android Beam: lets you share a file with someone nearby by gently tapping the two devices together
·       Where supported by the hardware, your device will wake up as soon as you pick it up or tap the screen twice
·       Improved hardware keyboard accessory support including support for multilingual, emoji input, search key, and improved app and system key chords

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Bugs POODLE - Celah Keamanan Pada SSL v3.0



Tanggal 14 Oktober pihak google sudah mengeluarkan rincian dari kerentanan dalam desain SSL versi 3.0. Penyerang dapat mendapatkan akses terhadap data sensitive melalui session web yang tereknripsi seperti password, cookies, dan autentikasi lainnya. Bodo Möller menemukan masalah ini bekerjasama dengan Thai Duong dan Krzysztof Kotowicz (juga Googler).

Protokol SSL ini telah ada sejak 18 tahun yang lalu. Protokol ini telah digantikan oleh TLS 1.0 TLS 1.1 dan TLS 1.2. Walaupun begitu masih banyak server yang masih support terhadap SSL 3.0 ini. Layanan TLS  menyediakan sebuah fungsi downgrade dance. Maksudnya adalah awalnya pada saat handshake, server akan menawarkan protokol keamanan tertinggi misalnya TLS, tapi bila client ternyata tidak support terhadap protokol tersebut maka server akan menawarkan protokol security yang lebih rendah.

Nah ketiga peneliti diatas menemukan jenis serangan yang dapat meminta server untuk tidak menggunakan protokol TLS, tapi menggunakan protokol SSL 3.0  (downgrade dance). Setelah melakukan downgrade maka penyerang akan dengan mudah menjebol protokol SSL ini dan dapat mencuri http cookies atau http authorization header content. Kelemahan protokol SSL 3.0 ini  karena menggunakan enkripsi RC4 stream cipher atau Block cipher (CBC). Pata website kelemahan ini bisa dieksploitasi dengan serangan man in middel attack, penyerang mencuri HTTP cookies kemudian mendecrypt cookies dengan teknik serangan BEAST.

Banyak layanan yang rawan terhadap serangan Poodle ini,  Apache, nginx, Postfix, Dovecot, HAProxyserver dan puppet. Pada sisi client browser Firefox, Internet Explorer, Chrome, juga masih support SSL 3.0. Untuk menangani serangan ini dianjurkan untuk menonaktifkan protokol SSL 3.0 dan menggunakan TLS- Fallback- SCSV.

Ada layanan yang dapat digunakan untuk menguji apakah server kita rawan terhadap celah keamanan ini, silahkan dicoba disini http://www.poodlescan.com/

Beberapa bahan bacaan tentang celah keamanan ini bisa dilihat disini:

http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
https://www.us-cert.gov/ncas/alerts/TA14-290A
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566


Saat ini satu-satunya cara untuk mengatasi bug tersebut adalah dengan menonaktifkan (disable) SSLv3, cara nya :

Debian/Ubuntu
Buka file /etc/apache2/mods-available/ssl.conf dibagian SSLProtocol ubah menjadi

SSLProtocol all -SSLv2 -SSLv3

restart Apache

service apache2 restart

Fedora/RedHat/CentOS
Buka file /etc/httpd/conf.d/ssl.conf dibagian SSLProtocol ubah menjadi

SSLProtocol all -SSLv2 -SSLv3

restart Apache

service apache2 restart

Menonaktifkan SSL 3.0, atau CBC-mode cipher dengan SSL v3.0, bisa digunakan untuk mencegah masalah ini, tetapi akan menyebabkan masalah kompatibilitas yang signifikan pada webserver, Oleh karena itu respon yang kami rekomendasikan adalah untuk mengaktifkan TLS_FALLBACK_SCSV. Ini adalah mekanisme yang memecahkan masalah yang disebabkan oleh SSL v3.0. Hal ini juga mencegah downgrade ke TLS 1,2-1,1 atau 1,0 dan  dapat membantu mencegah serangan di masa depan.

Untuk web browser Google Chrome telah mendukung TLS_FALLBACK_SCSV sejak Februari dan dengan demikian akan aman untuk digunakan tanpa masalah kompatibilitas. Selain itu, Google Chrome akan mulai perubahan pengujian hari yang menonaktifkan fallback untuk SSL v3.0. Perubahan ini akan merusak beberapa situs dan situs tersebut akan perlu diperbarui dengan cepat.

Semoga bermanfaat untuk teman semua

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Install Antivirus Clamav di Linux Centos



Disini saya akan share sedikit info bagaimana cara nya untuk menginstall antivirus clamav dan bagaimana cara scan nya pada Linux Centos.

1. Aktifkan repository EPEL pada Linux Centos :

CentOS 6 – 32-bit

# rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm


CentOS 6 – 64-bit

# rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm


CentOS 5 – 32-bit

# rpm -Uvh http://dl.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm


CentOS 5 – 64-bit

# rpm -Uvh http://dl.fedoraproject.org/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm


2. Install Clamav antivirus nya :

# yum install clamav clamd
Failed to set locale, defaulting to C
Loaded plugins: fastestmirror, rhnplugin, security
This system is not registered with RHN.
RHN support will be disabled.
Loading mirror speeds from cached hostfile
 * epel: mirror.smartmedia.net.id

Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package clamav.i386 0:0.98.4-1.el5 set to be updated
--> Processing Dependency: clamav-db = 0.98.4-1.el5 for package: clamav
---> Package clamav.x86_64 0:0.98.4-1.el5 set to be updated
---> Package clamd.x86_64 0:0.98.4-1.el5 set to be updated
--> Running transaction check
---> Package clamav-db.x86_64 0:0.98.4-1.el5 set to be updated
--> Finished Dependency Resolution

Dependencies Resolved

==================================================================================================================================
 Package                         Arch                         Version                            Repository                  Size
==================================================================================================================================
Installing:
 clamav                          i386                         0.98.4-1.el5                       epel                       1.8 M
 clamav                          x86_64                       0.98.4-1.el5                       epel                       1.6 M
 clamd                           x86_64                       0.98.4-1.el5                       epel                       261 k
Installing for dependencies:
 clamav-db                       x86_64                       0.98.4-1.el5                       epel                        86 M

Transaction Summary
==================================================================================================================================
Install       4 Package(s)
Upgrade       0 Package(s)

Total download size: 90 M
Is this ok [y/N]: y
Downloading Packages:
(1/4): clamd-0.98.4-1.el5.x86_64.rpm                                                                       | 261 kB     00:00    
(2/4): clamav-0.98.4-1.el5.x86_64.rpm                                                                      | 1.6 MB     00:00    
(3/4): clamav-0.98.4-1.el5.i386.rpm                                                                        | 1.8 MB     00:00    
(4/4): clamav-db-0.98.4-1.el5.x86_64.rpm                                                                   |  86 MB     00:30    
----------------------------------------------------------------------------------------------------------------------------------
Total                                                                                             2.8 MB/s |  90 MB     00:32    
warning: rpmts_HdrFromFdno: Header V4 DSA signature: NOKEY, key ID 217521f6
epel/gpgkey                                                                                                | 1.7 kB     00:00    
Importing GPG key 0x217521F6 "Fedora EPEL " from /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL
Is this ok [y/N]: y
Running rpm_check_debug
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing     : clamav-db                                                                                                  1/4
  Installing     : clamav                                                                                                     2/4
  Installing     : clamav                                                                                                     3/4
  Installing     : clamd                                                                                                      4/4

Installed:
  clamav.i386 0:0.98.4-1.el5                clamav.x86_64 0:0.98.4-1.el5                clamd.x86_64 0:0.98.4-1.el5              

Dependency Installed:
  clamav-db.x86_64 0:0.98.4-1.el5                                                                                                

Complete!


3. Update dulu database signature antivirus clamav nya :

# freshclam
ClamAV update process started at Mon Oct 20 09:59:28 2014
main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
WARNING: getfile: daily-19121.cdiff not found on remote server (IP: 198.50.172.102)
WARNING: getpatch: Can't download daily-19121.cdiff from db.id.clamav.net
WARNING: getfile: daily-19121.cdiff not found on remote server (IP: 193.1.193.64)
WARNING: getpatch: Can't download daily-19121.cdiff from db.id.clamav.net
WARNING: getpatch: Can't download daily-19121.cdiff from db.id.clamav.net
WARNING: Incremental update failed, trying to download daily.cvd
Downloading daily.cvd [100%]
daily.cvd updated (version: 19521, sigs: 1209168, f-level: 63, builder: dgoddard)
Downloading bytecode.cvd [100%]
bytecode.cvd updated (version: 242, sigs: 46, f-level: 63, builder: dgoddard)
Database updated (3633439 signatures) from db.id.clamav.net (IP: 198.50.172.102)

4. Lakukan scanning virus pada folder yang di inginkan :

# clamscan -r /home

Semoga bermanfaat juga untuk teman semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171


Senin, 13 Oktober 2014

Scanning Malware Di Linux




Wah... sudah lama juga nih belum update blog nya, baru sempat sekarang, Kali ini saya akan coba sharing sedikit mengenai bagaimana cara nya untuk melakukan deteksi malware di OS Linux, Dulu pernah saya bahas juga untuk simple audit security dilinux pada tulisan ini.

Linux Malware Detect (LMD) adalah scanner malware untuk Linux yang dirilis di bawah lisensi GNU GPLv2, dirancang untuk mendeteksi adanya ancaman malware yang sudah tertanam di Linux. Selain itu, LMD ini sudah akan mendeteksi malware berdasarkan signature file nya yang berbasis hash MD5 yang dibandingkan juga dengan HEX pattern nya, Hasil scan LMB ini juga dapat dengan mudah diekspor ke sejumlah alat deteksi seperti ClamAV.

Kebetulan saya pakai Linux Centos untuk mencoba Linux Malware Detect ini. Langkah-langkah untuk melakukan instalasi nya adalah :

1. Download dulu LMD nya :

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

2. Setelah selesai download, jangan lupa di extract :

# tar -xvzf maldetect-current.tar.gz 
maldetect-1.4.2/
maldetect-1.4.2/CHANGELOG
maldetect-1.4.2/cron.daily
maldetect-1.4.2/README
maldetect-1.4.2/files/
maldetect-1.4.2/files/ignore_file_ext
maldetect-1.4.2/files/sigs/
maldetect-1.4.2/files/sigs/rfxn.ndb
maldetect-1.4.2/files/sigs/md5.dat
maldetect-1.4.2/files/sigs/hex.dat
maldetect-1.4.2/files/sigs/maldet.sigs.ver
maldetect-1.4.2/files/sigs/rfxn.hdb
maldetect-1.4.2/files/tmp/
maldetect-1.4.2/files/VERSION.hash
maldetect-1.4.2/files/ignore_inotify
maldetect-1.4.2/files/hexstring.pl
maldetect-1.4.2/files/maldet
maldetect-1.4.2/files/conf.maldet
maldetect-1.4.2/files/clean/
maldetect-1.4.2/files/clean/gzbase64.inject.unclassed
maldetect-1.4.2/files/clean/base64.inject.unclassed
maldetect-1.4.2/files/sess/
maldetect-1.4.2/files/pub/
maldetect-1.4.2/files/internals.conf
maldetect-1.4.2/files/quarantine/
maldetect-1.4.2/files/inotify/
maldetect-1.4.2/files/inotify/tlog
maldetect-1.4.2/files/inotify/inotifywait
maldetect-1.4.2/files/inotify/libinotifytools.so.0
maldetect-1.4.2/files/hexfifo.pl
maldetect-1.4.2/files/ignore_paths
maldetect-1.4.2/files/ignore_sigs
maldetect-1.4.2/files/modsec.sh
maldetect-1.4.2/cron.d.pub
maldetect-1.4.2/COPYING.GPL
maldetect-1.4.2/.ca.def
maldetect-1.4.2/install.sh

3. Kita masuk dulu kedalam folder hasil extract tadi, lalu jalankan instalasi nya dan pastikan linux nya sudah terkoneksi ke internet karena dibutuhkan untuk download signature yang dibutuhkan :

# ./install.sh 
Linux Malware Detect v1.4.2
            (C) 2002-2013, R-fx Networks
            (C) 2013, Ryan MacDonald
inotifywait (C) 2007, Rohan McGovern
This program may be freely redistributed under the terms of the GNU GPL

installation completed to /usr/local/maldetect
config file: /usr/local/maldetect/conf.maldet
exec file: /usr/local/maldetect/maldet
exec link: /usr/local/sbin/maldet
exec link: /usr/local/sbin/lmd
cron.daily: /etc/cron.daily/maldet

imported config options from /usr/local/maldetect.last/conf.maldet
maldet(4130): {sigup} performing signature update check...
maldet(4130): {sigup} local signature set is version 201205035915
maldet(4130): {sigup} new signature set (2014100624041) available
maldet(4130): {sigup} downloaded http://cdn.rfxn.com/downloads/md5.dat
maldet(4130): {sigup} downloaded http://cdn.rfxn.com/downloads/hex.dat
maldet(4130): {sigup} downloaded http://cdn.rfxn.com/downloads/rfxn.ndb
maldet(4130): {sigup} downloaded http://cdn.rfxn.com/downloads/rfxn.hdb
maldet(4130): {sigup} downloaded http://cdn.rfxn.com/downloads/maldet-clean.tgz
maldet(4130): {sigup} signature set update completed
maldet(4130): {sigup} 11792 signatures (9899 MD5 / 1893 HEX)

4. Edit file konfigurasi nya :

# vi /usr/local/maldetect/conf.maldet

Berikut option konfigurasi sederhana nya :

# [ EMAIL ALERTS ]
##
# The default email alert toggle
# [0 = disabled, 1 = enabled]
email_alert=1

# The subject line for email alerts
email_subj="maldet alert from $(hostname)"

# The destination addresses for email alerts
# [ values are comma (,) spaced ]
email_addr="tecmint.com@gmail.com"

# Ignore e-mail alerts for reports in which all hits have been cleaned.
# This is ideal on very busy servers where cleaned hits can drown out
# other more actionable reports.
email_ignore_clean=0

##
# [ QUARANTINE OPTIONS ]
##
# The default quarantine action for malware hits
# [0 = alert only, 1 = move to quarantine & alert]
quar_hits=1

# Try to clean string based malware injections
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = clean]
quar_clean=1

# The default suspend action for users wih hits
# Cpanel suspend or set shell /bin/false on non-Cpanel
# [NOTE: quar_hits=1 required]
# [0 = disabled, 1 = suspend account]
quar_susp=0
# minimum userid that can be suspended
quar_susp_minuid=500


Untuk melakukan scanning malware, misal nya kita akan melakukan scan terhadap folder home, maka perintah nya adalah :

# maldet --scan-all /home/
Linux Malware Detect v1.4.2
            (C) 2002-2013, R-fx Networks
            (C) 2013, Ryan MacDonald
inotifywait (C) 2007, Rohan McGovern
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(4397): {scan} signatures loaded: 11792 (9899 MD5 / 1893 HEX)
maldet(4397): {scan} building file list for /home/, this might take awhile...
maldet(4397): {scan} file list completed, found 61819 files...
maldet(4397): {scan} 61819/61819 files scanned: 0 hits 0 cleaned
maldet(4397): {scan} scan completed on /home/: files 61819, malware hits 0, cleaned hits 0
maldet(4397): {scan} scan report saved, to view run: maldet --report 100714-1657.4397

Anda dapat memeriksa hasil report scan malware  dengan menjalankan perintah berikut dan menambahkan report ID nya :

# maldet --report nomor xxxx.xxxxx

Dari contoh diatas, maka perintah nya :

# maldet --report 100714-1657.4397

Untuk mengkarantina file yang terinfeksi, jalankan perintah berikut sesuai dengan laporan ID nya, maka file suspect  akan dikarantina untuk pembersihan :

# Maldet -q SCAN ID
# Maldet -quarantine SCAN ID

Untuk membersihkan semua hasil malware dari scan sebelumnya :

# Maldet -n SCAN ID
# Maldet --clean SCAN ID

Mengembalikan file yang telah Anda dikarantina :

# Maldet -s FILENAME
# Maldet --restore FILENAME

Semoga bermanfaat untuk teman semua :)

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171