56 File konfigurasi vsftpd berada di etcvsftpd.conf. disarankan untuk
setidaknya memiliki dua parameter berikut : Allow anonymous FTP? Disabled by default
anonymous_enable=NO Uncomment this to allow local users to log
in. local_enable=YES
4.3.1.2.2. Pytbull server
Salin reverse shell dari folder server pada pytbull ke server yang terdapat IDSIPS. Kemudian jalankan perintah berikut :
sudo python
locationserverpytbull- server.py
Reverse Shell sendiri merupakan sebuah program yang menyediakan sebuah port yang siap digunkan oleh client untuk melakukan remote.
4.3.2. Menjalankan Pytbull
Jika telah memilih modul clientSideAttack, perlu menjalankan reverse shell pada server dengan menjalankan perintah berikut
.pytbull-server.py -p 34567
Sejak file diunduh di direktori saat ini, dapat juga dibuat folder pdf dan memulai dari direktori induk.
mkdir pdf cd pdf
..pytbull-server.py -p 34567
Jalankan Pytbull yang berada di sisi client. Sebagai contoh untuk memulai Pytbull tess ke 192.168.100.48, yang menjalankan Snort.
57 sudo .pytbull -t 192.168.100.48
Sebagai catatan anda perlu melakukan adaptasi atau perubahan file config.cfg pada port yang digunakan untuk menjalankan reverse shell jika
anda menggunakan parameter optional –ppada sisi remote.
Secara umum, reverse shell bekerja sebagai berikut : 1.
Client yang menjalankan Pytbull client mengirim instruksi ke server yang menjalankan reverse shell untuk mengunduh file
PDF yang berbahaya. 2.
Server mengunduh file berbahaya menggunakan perintah wget dari pihak ketiga server di internet, yang memasang file
berbahaya. Itu akan memicu alert. Snort atau Suricata. 3.
Alert tersebut akan dikumpulkan oleh client melalui FTP.
Gambar 4.1 Reverse Shell
58
4.3.3. Konfigurasi Pytbull
Pada komputer client dengan sistem operasi Ubuntu 14.04 yang telah terinstall Pytbull, diperlukan beberapa konfigurasi. Pada file konfigurasi Pytbull
dialkukan beberapa perubahan agar Pytbull dapat melakukan pengujian terhadap IDS.
Berikut adalah
isi konfigurasi
file Pytbull
yang berada
di optPytbullconfconfig.cfg :
[CLIENT] ipaddr
= 192.168.1.100 alamat IP pytbull client
iface = eth0 useproxy = 0
proxyhost = proxyport =
proxyuser = proxypass =
[PATHS] db = datapytbull.db
urlpdf = http:192.168.1.100TESTFILE
pdfdir = pdfmalicious pcapdir = pcap
tempfile = tmppytbull.tmp alertsfile = varlogsnortalert
log pada snort alertsfile
= varlogsuricatafast.log
log pada suricata [ENV]
sudo = usrbinsudo nmap = usrbinnmap
nikto = usrbinnikto niktoconf = etcniktoconfig.txt
hping3 = usrsbinhping3 tcpreplay = usrbintcpreplay
ab = usrbinab ping = binping
ncrack = usrlocalbinncrack ncrackusers = datancrack-users.txt
ncrackpasswords
= datancrack-
59 passwords.txt
localhost = 127.0.0.1 [FTP]
ftpproto = ftp ftpport = 21
ftpuser = q ftppasswd = 1
[TIMING] sleepbeforegetalerts = 2
sleepbeforenexttest = 1 sleepbeforetwoftp = 2
urltimeout = 5 [SERVER]
reverseshellport = 12345 [TESTS]
clientSideAttacks = 1 testRules = 1
badTraffic = 1 fragmentedPackets
= 1 bruteForce = 1
evasionTechniques = 1
shellCodes = 1 denialOfService = 1
pcapReplay = 1 normalUsage
= 1 ipReputation = 0
[TESTS_PARAMS] ipreputationnbtests = 10
4.4. Pemilihan Modul Pengujian Pytbull
Modul pengujian yang dipilih dan akan digunakan untuk melakukan serangan pada Snort dan Suricata ini mewakili dari kesimpulan yang dibuat pada laporan
yang disusun oleh “Verizon Business Risk Team”. Dari laporan tersebut dapat disimpulkan limabelas teratas serangan terhadap celah keamanan, yaitu :
