Lagi-lagi worm…

Internet lemottt?!kadang tidak selalu masalah dari ISP nya. Kemarin saya sempat mengumpat-ngumpat ISP di sini karena aneh, kadang jaringan internet nya sering lemoooot, tapi kadang cepat.

Baru-baru ini coba iseng, scan internal network sampai level ISP nya. Jaringan local guesthouse nya menggunakan Linksys wireless broadband router, dan modem adsl nya menggunakan modem huawei. Internet share disini menggunakan metode NAT (Network Address Translation), namun saya tidak tahu setelah keluar dari modem bagaimana, maka coba buka koneksi dari http://www.show-ip.com , hasil nya keluar dan kemudian saya coba konek melalui servis http, aha…IP public, ini membuat process tracing lebih mudah.

Saya scan network lokal dan menemukan IP address untuk wireless router plus modem nya, dan kemudian mencoba masuk dari management interface. Untuk modem bisa menggunakan telnet, namun untuk username dan password nya tidak tahu, jadi cari informasi default password untuk jenis modem tersebut, setelah dicoba ternyata tipikal…password nya masih default.

Modem tersebut bisa dikonfigurasi dengan command line, mirip seperti modem pada umum nya. Jika network lemot, 2 kemungkinan…IP public modem tersebut di dos ataupun koneksi dari dalam ke luar (outgoing) terlalu padat.

DOS?!Oke, tipikal koneksi ADSL dengan auth ppp menggunakan dynamic IP. Maka saya coba restart modem ADSL secara remote, tujuan nya untuk melakukan re-authentifikasi dan mendapatkan IP yang baru. Apabila IP nya baru, maka mungkin bisa menanggulangi serangan DOS tersebut (walaupun gak yakin juga, ngapain orang bersusah payah melakukan DOS ke IP yang gak ada guna nya, cuma modem gitu loh…).

Modem di restart, setelah itu saya coba koneksi internet…ternyata lebih cepat dari sebelum nya, namun hanya berlaku selama 1-2 menit. Setelah itu kembali lemot.

Padahal IP nya sudah berganti, hampir gak mungkin melakukan serangan DOS ke satu network yang mempengaruhi seluruh IP di jaringan ISP nya. Dan yang lebih mencurigakan, setelah di restart ada jeda waktu beberapa saat sebelum kembali lemot, seperti ada koneksi yang putus dan kemudian kembali nyambung.

So, kembali ke dugaan kedua, ada worm (again?!). Saya ingat pernah internetan siang hari, dan itu semua orang di guesthouse bekerja, tinggal sendiri dan itu cepat, namun pada malam hari kembali lambat, selalu pada malam hari. Jadi saya coba melakukan quick scan pada jaringan lokal, untuk mengetahui siapa saja yang online. Ada satu IP yang online selain saya, dan itu masuk dalam range DHCP. Saya cek untuk port yang terbuka, ternyata hanya port 5101/tcp (admdog).

Cari-cari di internet, port itu biasa nya digunakan untuk servis ke salah satu layanan yahoo, ada juga yang menyebutkan jenis port awal untuk vnc server. Namun saya tidak menemukan keterangan tentang worm yang membuka port tersebut, ah…mungkin worm ini memang sengaja pilih port umum.

Hasil scan nmap menunjukan itu jenis sistem operasi windows XP SP2, dan port yang terbuka hanya 5101/tcp (ufh, firewalled). Lagipula tidak ada exploit public yang bisa menembus servis pack 2, disamping itu berhubung yang dibuka hanya port 5101/tcp maka seperti nya tidak ada port yang bisa di eksploitasi, so satu-satu nya cara untuk membuktikan adalah sniffing network untuk melihat lalu lintas data, atau…langsung blok dari wireless router.

Saya coba masuk ke wireless router linksys via web (lagi-lagi, default password). Setelah itu, saya lihat feature nya ada filtering berdasarkan mac-address, saya coba block seluruh akses ke wlan untuk komputer yang bermasalah itu. Setelah itu saya coba browsing, dan ternyata jauh lebih cepat. Hampir terbukti bahwa komputer tersebut penyebar worm, untuk lebih detail nya…saya ambil log dari linksys untuk melihat apa saja yang diakses oleh user dengan mac dan ip bermasalah itu. Ternyata dia berusaha untuk mengakses banyak IP dengan port yang aneh-aneh. Salah satu nya adalah:

IP: 192.94.209.34

Port:33425

Saya coba koneksi http ke ip dan port tersebut, dan hasil nya adalah download suatu file .exe. Saya bisa asumsikan file tersebut digunakan untuk keperluan worm, atau bahkan worm itu sendiri. Seperti yang kita ketahui, metode penyebaran worm adalah infeksi diri sendiri, kemudia scan, dan men-download binary file untuk kemudian di eksekusi di target, yang setelah terinfeksi target akam menjadi penyebar worm juga.

Saya penasaran dengan jenis worm ini, dan akan melakukan forensics lebih jauh, mungkin dengan metode malware nya honeynet project ataupun project-project lain, namun yang pasti…harus di eksekusi secara aman, salah satu nya adalah dengan menggunakan vmware yang sudah di install windows XP default (tanpa AV), untuk mengetahui hal-hal apa saja yang di infeksi oleh worm ini, file-file apa saja yang di ubah, registry windows apa saja yang terinfeksi, dan server mana yang di hubungi oleh worm ini. Adakalanya jika kita melakukan tracing, akan sampai pada server-server atau bahkan irc-chat room yang sangat menarik, dan bahkan bisa bertemu dengan b0t-master :).

Hm, interesting…jika ada yang mau mencoba juga bisa donlot file .exe tersebut, dan lihat apa yang dilakukan nya. Oh iya, di router linksyste WRT54G bisa gak sih filter berdasarkan source port/destination port yang didefinisikan sendiri?!saya sih mau nya filter berdasarkan aplikasi saja, jadi tidak perlu mem-blok mac-address orang tersebut, karena kasihan juga…gak bisa pakai internet :P.

Advertisements

One thought on “Lagi-lagi worm…

  1. wew baru baca postingan mu yang satu ini heb,
    di WRT54G bisa heb, ada regex nya itu di Adminstration, Cuman kalau firmware routernya default gak tahu saya, kalau dah di injeks/tuning pake dd-wrt atau openwrt, ada fasilitasnya.

    Password default lagi ya, hehehe.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s