aha….. dah lama gak nulis blog. biasalah orang moody emang gak bisa diandalin jadi blogger. 😀
yang gw tulis ini problem lama dan gw dah berurusan dengan problem ini mulai dari Oktober 2008.
Apakah dia?? dia adalah Conficker AKA Downadup.
berawal dari ditemukannya vulnerability pada Sistem Operasi Windows 2000 & Family (XP, 2003, Vista) oktober 2008 lalu
(http://www.milw0rm.com/exploits/7104) muncullah worm yang memanfaatkan vulnerability tersebut. awal-awalnya muncull worm yang biasa dikenal dengan nama gimmiv, tapi yang satu itu kurang ngetrend…hehehe… mungkin masih banyak kekurangan pada coding nya sehingga worm tersebut tidak bertahan lama.
selang 1 atau 2 minggu kemudian sejak Vulnerability tersebut dipublish, gw gak tau tepat nya……. salah satu IT cabang kantor gw menelepon tentang keadaan cabang yang penuh dengan problem. kalau dilihat dari gejala nya tanpa melakukan diagnosa dulu mungkin gw dah langsung memvonis bahwa masalah-masalah tersebut bersumber dari sisi Network dan kalau gw main asal tembak pasti gantian gw yang dimaki-maki orang network karena dari sisi mereka memang tak terjadi apa-apa.
Problem yang gw temui (sepintas memang mirip2 masalah network) :
– Sharing Printer, Folder Failed
– Tidak bisa join domain
– Jaringan Lambat
Gw inisiatif untuk langsung mengecek ke server domain cabang tersebut, login sukses, coba cek replikasi dengan perintah
replmon /showreps
hasilnya tidak ada replikasi yang berhasil di cabang tersebut.
hmmmm……..
dicoba cek service-service yang running dengan perintah
services.msc
hasilnya…….. Service Browser, Server & Workstation dalam kondisi Stop. pantesan….. replikasi gagal.
Wong gimana mo replikasi dengan sukses sementara service-service tersebut adalah service critical yang digunakan Operating system Windows untuk berkomunikasi. tanpa service-service tersebut Domain Controller tidak akan bisa melakukan browsing ke komputer-komputer lain di network, tidak bisa melakukan sharing sysvol dan netlogon (2 Sharing paling penting dalam Replikasi).
yo wis kedua service tadi gw hidupkan dan 15 menit kemudian kembali gw lakukan replmon /showreps hasilnya replikasi sudah normal.
oh ya buat yang suka liat service tadi lewat layar item putih (command prompt) bisa pakai perintah ini :
sc query browser
sc query lanmanserver
sc query lanmanworkstation
untuk menjalankan service-service tadi :
sc start browser
sc start lanmanserver
sc start lanmanworkstation
siiiip…..eh ya gossip2nya conficker variant terbaru tidak lagi menyebabkan service2 ini Stop. gosipnya lho…..
Berhenti sampai situ??? belum!
gw masih harus tau kenapa service tersebut dalam kondisi stop, apakah karena OS nya kah, virus atau karena intervensi admin?
beruntung sebelumnya gw memang udah baca tentang vulnerability ini jadinya kesimpulan gw memang mengarah kepada virus/Worm.
Gw langsung deploy patch MS-08067 untuk memastikan bahwa vulnerability itu sudah teratasi….. dan memang keampuhan patch ini terbukti banget karena server tersebut running dengan normal sampai saat tulisan ini gw publish.
untuk download patch nya silahkan kunjungi situs Microsoft :
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx
untungnya saat ini hampir semua antivirus termasuk yang gratisan (AVG, AVIRA) sudah bisa mendeteksi dan membasmi nya kalau akhir 2008 boro-boro ada, antivirus yang punya BO(Buffer Overflow) Protection justru malah banyak yang hang begitu terserang worm ini, selain itu saat ini juga sudah ada removal khusus untuk worm ini keluaran dari Symantec (release awal 2009), Silahkan download disini :
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe
Tools dari symantec ini cukup ampuh, bahkan dalam beberapa kasus yang gw temui tools ini lebih ampuh daripada Symantec Endpoint Protection (SEP) terupdate… padahal mereke berdua masih satu nenek moyang. aneh juga yah…heheheh
Norman, F-Secure dan beberapa vendor antivirus lain juga mengeluarkan removal nya, silahkan googling karena gw lupa catat link nya.
Beberapa hal yang harus diperhatikan dalam membasmi worm ini diantaranya :
– Worm ini memiliki 3 metode penyebaran (Flashdisk, Folder Sharing, Vulnerability Windows (MS08-067), jangan sekali-kali merasa aman hanya dengan mendeploy patch MS08-067. Pastikan password untuk username selevel admin lokal bukan password yang mudah ditebak apalagi tanpa password dan tentu saja Gunakanlah selalu antivirus yang terupdate (antivirus yang baik adalah antivirus yang terupdate).
– Kantor gw sempat mengalami musibah account user yang terus menerus ter-Lock, hal ini sehubungan dengan Account Lockout Policy di domain kantor gw. worm ini melakukan brute force password dengan menggunakan username aktif sehingga masalah account lockout ini terus menerus terjadi, solusinya : lakukan pembasmian menyeluruh.
– melakukan pembasmian setengah-setengah akan menghasilkan frustasi yang tiada ujung. lakukan pembasmian secara menyeluruh dalam jaringan anda, jangan biarkan satu pun komputer ber OS windows luput dari pemeriksaan dan pastikan Windows yang masih fresh install telah menggunakan patch ini sebelum disambungkan ke jaringan.
dah ah mules…..gw buang air dulu yeah,….hehehehheeh :D, selamat mengamankan asset anda. :p
Pak untuk pacth-ny MS08-067 itu untuk XP bisa pa ndak ? ato cuma buat Server doang ? MS Server..
bisa bro.
patch tersebut untuk windows 2000 keatas (2000 All version, XP, 2003) untuk windows vista dan 2008 juga ada tapi severity nya masih dianggap important saja oleh mikocok bukan critical.