Perubahan Ifconfig pada Centos 7

No Comments

Ternyata ada perubahan ifconfig pada Centos 7…

Halo,

Rasanya sudah berabad-abad saya tidak menulis di blog pribadi ini. Kesibukan memiliki anak kecil memang lebih menyenangkan daripada hal lain hehe.

Tapi keinginan mencoba teknologi yang belum pernah dikuasai selalu membara #halaah

Awalnya saya ingin mencoba GlusterFS tetapi kali ini ada satu hal baru yang membuat saya sedikit tertegun, ketika ingin melihat ip pada OS Centos 7 dengan perintah ifconfig malah muncul error “command not found”…

Pertama saya kira instalasi error atau salah ketik, ternyata setelah melihat ke forum Centos perintah ifconfig sudah deprecated atau diskontinyu sejak tahun 2009 oleh The Linux Foundation.  Wow, baru tahu saya haha…

Perintah penggantinya adalah sbb:

ip addr

atau cukup:

ip a

Untuk melakukan perintah yang mirip dengan ifconfig enp0s3 up adalah sbb:

ip link set enp0s3 up

Berikut adalah perubahan-perubahan pada net-tools:

Deprecated command

Replacement command(s)

arp ip n (ip neighbor)
ifconfig ip a (ip addr), ip link, ip -s (ip -stats)
iptunnel ip tunnel
iwconfig iw
nameif ip link, ifrename
netstat ss, ip route (for netstat-r), ip -s link (for netstat -i), ip maddr (for netstat-g)
route ip r (ip route)

Untuk setting dengan GUI bisa dengan menjalankan perintah:

nmtui

Pastikan pilihan “Automatically Connect” di beri tanda silang untuk IP DHCP, sedangkan untuk IP Statik tinggal pilih IPv4 Configuration atau IPv6 Configuration dan pilih “Manual”.

Atau cara manualnya dengan edit file di /etc/sysconfig/network-scripts/ifcfg-enp0s3 –> untuk ifcfg-enp0s3 tergantung interface yang muncul ketika menjalankan perintah “ip a” (punya saya ada interface lo dan enp0s3).

sudo vi /etc/sysconfig/network-scripts/ifcfg-enp0s3

Pastikan baris ONBOOT=yes

Jangan lupa restart service networknya:

systemctl restart network

===========================================================================================

Tetapi jika ingin tetap menggunakan ifconfig install saja paket net-tools:

yum install net-tools

Catatan:

Hal ini berlaku hanya pada OS Linux keluarga RHEL seperti Centos dan Fedora yang minimal install (maklum internet rumah kurang cepat). Untuk keluarga Debian sendiri masih menggunakan paket net-tools dan kita masih bisa menggunakan ifconfig seperti biasanya.

Sepertinya perubahan ifconfig pada Centos 7 menjadi ip addr menjadikan perintah untuk konfigurasi jaringan lebih powerful. Mari kita coba untuk membiasakannya.

 

Semoga bermanfaat.

Terima kasih.

Salam,

iKONs

 

Sumber:

Categories: Troubleshooting Tags: , ,

Mount Partisi OS Windows yang sedang Hibernation or Fast Restarting

No Comments

Akhir-akhir ini seringkali saya mengalami gagal mount disk OS Windows 10, errornya kira2 seperti ini “Mount Partisi OS Windows yang sedang Hibernation or Fast Restarting”:

[email protected]:~/Downloads$ sudo mount /dev/sdb3 /mnt/
The disk contains an unclean file system (0, 0).
Metadata kept in Windows cache, refused to mount.
Failed to mount '/dev/sdb3': Operation not permitted
The NTFS partition is in an unsafe state. Please resume and shutdown
Windows fully (no hibernation or fast restarting), or mount the volume
read-only with the 'ro' mount option.

Perintah mount /dev/sdb3 /mnt tidak berhasil dijalankan oleh OS Linux, menurut error diatas partisi NTFS yang akan di mount sedang dalam kondisi hibernation atau fast restarting sehingga harus restart, login OS Windows dan shutdown secara normal. Padahal seingat saya tadi malam shutdown seperti biasa, entahlah mungkin ada error dengan OS Windowsnya.

Solusinya adalah mematikan fitur hibernasi di OS Windows dengan cara menjalankan perintah ini di cmd (jangan lupa run as administrator):

powercfg /h off

Atau langsung saja di OS Linux jalankan perintah ini:

sudo ntfsfix /dev/sdx

*sdx diatas adalah sda1, sdb1 atau sdb2 –> tergantung lokasi partisi OS Windows yang akan di mount.

 

Berikut sedikit coretan saya tentang mount partisi OS Windows yang sedang hibernation or fast restarting

Semoga bermanfaat,

iKONs.

 

Sumber:
AskUbuntu, 2016, Unable to mount Windows (NTFS) filesystem due to hibernation

Simple Static Malware Analysis, apa itu?

No Comments

Apa itu simple static malware analysis?

Ternyata sudah selama 1 tahun 4 bulan dan 8 hari sejak terakhir saya posting sesuatu di blog ini, lama juga…

Well, saatnya mulai menulis lagi, dari yang simple terlebih dahulu.

Static Malware Analysis

Apa itu simple static malware analysis? menurut Dennis Distler(1), malware analysis dibagi menjadi 2 (dua) metode dasar yaitu static malware analysis dan dynamic malware analysis. Keduanya memiliki tujuan yang sama, bedanya hanya pada static malware analysis file malware tidak dijalankan melainkan diperiksa kodenya tanpa menjalankannya untuk memahami tingkah laku dan kode yang membangun file malware tersebut.

Mengapa saya memilih static malware analysis? dari pengalaman pribadi kebanyakan kasus adalah sebuah perangkat komputer terjangkit sebuah malware dan untuk mengetahui jenis malware apa yang menginfeksi diperlukan static malware analysis.

Pertama yang perlu dilakukan untuk melakukan static malware analysis adalah dengan melakukan dump memory (RAM), tools yang digunakan bisa dengan FTK Imager atau Volatility .

Berikut langkah-langkah selanjutnya yang perlu diperhatikan(2):

  1. File Fingerprinting
    Dimana kita melakukan proses hashing (MD5 atau SHAxxx) pada file dump memory yang telah kita lakukan sebelumnya.
  2. Virus Scanning
    Salah satu website yang sering dikunjungi para malware analyst adalah virustotal.com, disini terdapat banyak produk antivirus yang siap untuk menganalisa file mencurigakan yang kita upload.
  3. Analyzing memory artefacts (Pagefile.sys,hiberfile.sys)
    Dua file di OS Windows yang memiliki konten yang cukup untuk dilakukan analisis adalah Pagefile.sys (hidden file di folder %SystemDrive%\pagefile.sys) dan Hiberfile.sys (lokasinya di %SystemDrive%\hiberfile.sys)
  4. Packer Detection
    Malware yang bagus selalu dikaburkan filenya (obfuscated) dengan cara dibungkus oleh program packer. Untuk mendeteksi program packer yang digunakan agar kita dapat membongkar file malwarenya adalah PEiD.
  5. Disassembly
    Terakhir dilakukan disassembly atau debugging untuk mencari tahu file DLL (OS Windows) yang digunakan oleh file malware untuk dapat menginfeksi korbannya.

Dari langkah diatas memang diperlukan waktu yang cukup lama untuk mempelajari dan mempraktekkannya dalam sebuah malware analysis. Biasanya yang saya lakukan untuk melakukan static malware analysis di OS Windows secara cepat dan simple adalah dengan menggunakan tools ProcessExplorer dari SysInternal Microsoft. Tools ini sebenarnya mirip dengan Task Manager dari OS Windows, hanya saja dilengkapi dengan

Download ProcessExplorer pada link diatas, kemudian jalankan di perangkat yang telah terinfeksi atau terindikasi oleh malware. Seperti ini tampilannya:

      processexplorer1
Gambar 1. Tampilan ProcessExplorer.

Dari tampilan ProcessExplorer diatas kita perlu mencari sebuah Process, yang biasanya tidak memiliki “Company Name”, atau sebuah process yang memiliki child process (proses lain yang dijalankan oleh sebuah proses) yang sekiranya mencurigakan, biasanya penggunaan CPU atau RAM besar, selalu crash dsb.

processexplorer2

Gambar 2. Process MiPhoneHelper.exe

Kali ini kita mencoba process MiPhoneHelper.exe yang berasal dari aplikasi bawaan handphone Redmi milik istri saya. Klik kanan process tersebut kemudian klik “Check Virus Total”, setelah itu klik kanan dan pilih properties, tampilan selanjutnya adalah sebagai berikut:

processexplorer3

Gambar 3. ProcessExplorer Properties

Pada gambar diatas dapat kita lihat bahwa VirusTotal mendeteksi bahwa tidak ada (0) produk antivirus (dari 55 buah)  yang dapat mendeteksi process tersebut mengandung malware. Kita juga dapat melihat lokasi file tersebut di OS serta lokasi di Registry. Memudahkan untuk dilakukan pengambilan atau penghapusan file terduga malware. Selain itu ProcessExplorer dapat melihat beberapa hal seperti berikut:

  • TCP/IP
    Seharusnya file normal tidak akan melakukan koneksi keluar (internet) kecuali memang file tersebut memerlukannya. File malware saat ini banyak yang dikendalikan oleh sebuah program pada server C&C (Command Centre). Silahkan IP address yang muncul di menu ini diperiksa di IpVoid.com
    processexplorer4
    Gambar 4. Menu ProcessExplorer TCP/IP
  • Security
    Perhatikan disini biasanya malware melakukan privilege escalation (dari non administrator menjadi administrator), seharusnya file yang benar memiliki BUILTIN\Administrator dan NT AUTHORITY\Local account and member of Administrator – Deny
    processexplorer5
    Gambar 5. Menu Security ProcessExplorer
  • Environment
    Disini kita dapat melihat lebih dekat file tersebut lokasinya ada dimana dan environment OS pada saat diperiksa. Malware biasanya merubah atau menambahkan pada Path atau PATHEXT
    processexplorer6
    Gambar 6. Menu Environment ProcessExplorer
  • Strings
    Ini adalah salah satu favorit saya untuk melihat strings (kata/rangkaian kata) pada sebuah file malware. Cari strings seperti perintah untuk menjalankan file *.bat atau file tidak berbentuk, bahkan kadang GET/POST dari HTTP request juga digunakan. Sekali lagi cari dan googling…

    simple static malware analysis
    Process Explorer

    Gambar 7. Menu Strings ProcessExplorer

 

Kadang ditemukan sebuah file malware yang hanya merupakan backdoor untuk mendownload file malware lain ke dalam OS. Selalu perhatikan segala hal yang mencurigakan dan cari di mbah google. Cara diatas sering saya gunakan ketika membantu teman atau melakukan simple static malware analysis, cepat dan cukup akurat. Selanjutnya mungkin akan saya bahas lebih lanjut mengenai static malware analysis atau dynamic malware analysis.

Semoga tulisan simple static malware analysis ini dapat bermanfaat bagi yang membutuhkannya, jangan lupa isi kolom dibawah jika ada yang ingin ditanyakan.

Terima kasih.

Salam,

iKONs

Referensi:

  1. Dennis Distler, Malware Analysis: An Introduction, SANS Institute, 2007
Categories: Malware Tags:

Cara menghapus proteksi read only flashdisk

8 Comments

Pada suatu hari teman saya meminta tolong agar dibantu untuk memperbaiki flashdisknya, dia cerita kalau flashdisk tersebut sebelumnya di pasang ke handphone Androidnya. Setelah itu flashdisk tidak dapat di hapus atau di copy file, seperti terkunci (write protected).

Flashdisk kok di pasang ke handphone? seperti ini penampakannya:

IMG_0912

Ada colokan untuk mikro-USB ternyata, jadi colokannya ada 2 (bolak-balik).

Kembali lagi ke laptop…

Begini hasil dari fdisk -l:

Flashdisk write protect

Dapat kita lihat di gambar di atas bahwa flashdisk ada di /dev/sdb1.

Mari kita coba format dengan partisi FAT:

Flashdisk write protect

Tidak bisa di format begitu saja, normalnya ketika di format maka akan muncul tulisan error bahwa flashdisk masih di mount di system.

Kalau ada read-only file system pada saat kita akan format disk tersebut maka kemungkinannya ada 3 (tiga), yaitu:

  1. Disk tersebut ada kunci secara hardware, biasanya berupa saklar, banyak ditemui di memory card (SD Card, Micro SD, Memory Duo dsb).
  2. Disk tersebut dikunci oleh suatu software (dalam kasus teman saya mungkin oleh partisi manager di Android).
  3. Disk tersebut rusak karena alasan yang kadang tidak jelas #nohope

Solusinya jika yang terjadi nomor 2 (dua) adalah dengan menghapus kuncinya (read only to 0), berikut cara menghapus proteksi read only flashdisk:

~# sudo hdparm -r0 /dev/sdx

Dimana sdx adalah lokasi disk yang dituju (lihat dengan df -ah atau fdisk -l).

Berikut penampakannya:

Flashdisk write protect

Dari gambar di atas dapat dilihat bahwa setting readonly di ubah menjadi 0 (off).

Mari kita coba untuk memformat flashdisk tersebut:

Flashdisk write protect

Well, dapat dilihat bahwa sekarang flashdisk tersebut tidak memiliki error “Read only filesystem”, mari kita coba untuk unmount dan mount ulang…dan coba lakukan read dan write….ternyata berhasil!

UPDATE:

Setelah coba di cabut dan di colok ulang ke USB, ternyata flashdisk tersebut tidak bisa di baca oleh system, berikut errornya:

Flashdisk read protect

Terdapat error I/O pada flashdisk tersebut, sayang sekali untuk tipe error seperti ini hampir dapat dipastikan bahwa flashdisk telah rusak…

Saran saya adalah gunakan merk flashdisk yang memiliki track record baik seperti Sandisk atau Corsair (saya mempunyai beberapa kenangan buruk dengan merk Kingston).

 

Semoga bermanfaat,

iKONs

 

Sumber:

http://ubuntuforums.org/showthread.php?t=2175479