Dengan dilaporkannya exploit terbaru untuk wordpress dibawah 2.8.4 maka, saya langsung melakukan upgrade blog saya yang berbasis wordpress ke versi terbaru (2.8.4). Meski di server sudah saya pasang beberapa tindakan preventation namun saya harus melakukan upgrade karena versi wordpress yang saya pakai memang sudah 2 kali mengalami 2 major upgrade. Meski demikian, upgrade major version cukup sulit terutama, saya harus  menyesuaikan template yang sudah saya custom sendiri dengan engine wordpress terbaru. Setelah berkutat selama 15 menit, akhirnya upgrade berhasil dengan baik, termasuk upgrade plugin-plugin yang saya gunakan. Disamping itu, ternyata ada fitur yang membuat saya tercengang, yaitu upgrade plugins secara otomatis (berbasis web), amazing.

Hampir semua pengguna internet yang tertarik dengan dunia underground mengenal yang namanya Astalavista. Situs tersebut dalam 5 tahun terakhir merupakan salah satu situs tujuan dari anggota underground untuk mendapatkan serial, crack, hacking tip, dan lainnya. Tetapi belakangan, situs tersebut dihack oleh seseorang yang masih belum diketahui identitasnya. Cracker tersebut dipercaya berhasil masuk melalui salah satu web aplikasi yang ada di server tersebut, setelah itu melakukan escalation privileges untuk mendapatkan root. Di berbagai forum, dibahas bahwa kemungkinan besar cracker tersebut memiliki 0day exploit kernel khususnya kernel 2.6.18-128.1.10.el5 yang merupakan kernel terbaru dari OS CentOS. Bahkan ada yang memercayai bahwa cracker tersebut mempunyai 0day untuk patch kernel grsec terbaru (scared). Berikut petikan salah satu pengurus webserver dari Astalavista:

From what Im seeing there on that paper they got shell through the web app and ran as apache for a while messing with some things and then downloaded something to get root on the server with the centos kernel – 2.6.18-128.1.10.el5

So unless that was all fake and they got the pass some other way then it was a kernel exploit that ultimately gave them root. I hadnt even heard about that version being vulnerable yet, heck it just came in update the other day.

Jika memang 0day exploit itu ada untuk kernel terbaru, sebaiknya segera amankan front end server Anda sehingga tidak memungkinan cracker masuk dan melakukan escalation privileges.

Sekitar 3 hari yang lalu, salah seorang tim development mendatangi saya dengan membawa mesin mikrotik yang akan digunakan sebagai gateway hotspot yang terkoneksi dengan existing radius server kami sebut saja radius A yang berfungsi sebagai AAA. Rekan saya tersebut mengeluhkan bahwa saat dilakukan koneksi dari mikrotik ke radius A, tiba-tiba hang dan harus soft reset server mikrotik.
Awal analisa saya adalah bugs di versi terbaru mikrotik, karena beberapa alasan berikut:
- Kami mempunyai 2 server radius (radius A yang lama untuk prepaid sistem voucher, dan radius B yang baru untuk postpaid)
- Mikrotik di beberapa site (sekitar 7 site) yang terhubung ke salah satu server radius A, tidak pernah ada masalah
- Pernah sekali mikrotik diupgrade versi ke yang lebih baru, ternyata gagal auth ke radius B (meski tidak sampai hang)
- Di log server radius A menyebutkan bahwa User sudah berhasil Login (Auth OK)

Berikutnya saya bersama rekan tersebut mencoba downgrade versi mikrotik, dan coba lagi ternyata….masih gagal dan hang.
Jujur saya sangat penasaran. Saya ingat benar, mulai troubleshoot mulai jam 10 siang ampe break makan siang dan lanjut lagi hingga jam 8 malam.
Akhirnya, saya coba mengarahkan mikrotik tersebut melakukan auth ke server radius B dan BERHASIL!!!!! what the heck….
Kembali saya masuk ke console radius A yang saya anggap bermasalah, dan coba telepon ke beberapa site yang menggunakan radius A tersebut sebagai AAA, ternyata tidak ada masalah.
Again what the heck….!!!!! Saya coba kembalikan settingan mikrotik supaya auth ke server radius A dan coba lagi, masih hang…
Hampir putus asa, dan rekan saya keluar sebentar buat membeli makan malam. Dan saat itulah, saya melihat titik terang…..
Dalam pikiranku berkata: “hold on…radius A ama radius B kan berbeda konsep billing systemnya, yang mana radius B yang berhasil auth menggunakan sistem postpaid, sementara radius A yang mana mikrotik jadi hang menggunakan sistem Prepaid.
aHa…….ini dia masalahnya, saya akhirnya periksa tabel di radius B dan benar, tidak ada apa-apa di tabel radreply karena hitungan postpaid flat. Sementara, saya periksa tabel radreply radius A, ternyata ada perhitungan start time untuk prepaid.
Sambil menunggu rekan saya datang, saya test mikrotik tersebut konek ke radius A dengan username tanpa radreply, dan berhasil login….:)
Coba cari di google mengenai hal tersebut tidak menemu juga
Benar deh, kadang log dan uncle google tidak 100% membantu karena di log radius A, authentifikasi sudah berhasil, tetapi kenapa mikrotik malah hang? hehehehehe….akhirnya bisa pulang dengan kesimpulan:
Ini mah serangga-nya mikrotik yang ndak mau menerima hasil radreply dari radius, jadi berdoa saja semoga dapat solusi lainnya.

Setelah mendapat notifikasi dari beberapa mailing list mengenai adanya bug baru di beberapa DNS software, saya langsung melakukan pengecekan di DNS server internal kami, dan hasilnya benar-benar sangat mencengangkan, bahwa hampir semua DNS server kami impact. Kecuali DNS cluster kami yang memang justeru obat dari bug ini tidak kena efek. Efek dari bug ini adalah (diambil dari sumber US-CERT):

The DNS query id generation is vulnerable to cryptographic analysis which provides a 1 in 8 chance of guessing the next query id for 50% of the query ids. This can be used to perform cache poisoning by an attacker.

This bug only affects outgoing queries, generated by BIND 9 to answer questions as a resolver, or when it is looking up data for internal uses, such as when sending NOTIFYs to slave name servers.

All users are encouraged to upgrade.

dan impactnya adalah:

A remote attacker could predict DNS query IDs and respond with arbitrary answers, thus poisoning DNS caches.

Continue Reading »