Selasa, 23 November 2010

Patching dan Menutup Port untuk masuknya virus

Patching itu penting
Apapun masalahnya, solusi pertama dan terbaik jika anda menemukan masalah celah keamanan pada komputer anda adalah melakukan patching / penambalan atas celah keamanan Dcom. Jika OS anda ibaratnya adalah benteng yang pintu masuk dan keluarnya dijaga ketat baik oleh program antivirus, celah keamanan ibaratnya ada kelemahan pada tembok benteng yang rapuh dan virus bukan menyerang melalui pintu masuk melainkan masuk dari tembok yang rapuh tersebut.

Program antivirus pada dasarnya tidak di desain untuk menjaga serangan yang mengeksploitasi celah keamanan sehingga secara teknis Operating System komputer yang mengandung celah keamanan dan terproteksi dengan antivirus update terbaru TETAP akan terinfeksi virus sekalipun virus yang menyerang itu sudah terdeteksi oleh program antivirus tersebut, sebab utamanya adalah karena celah keamanan memungkinkan banyak hal, termasuk eksekusi file virus tanpa dapat di intervensi oleh antivirus. Dalam banyak kasus malahan program antivirus kemudian dilumpuhkan oleh virus tersebut. Karena itu, anda sangat disarankan untuk melakukan penambalan celah keamanan RPC Dcom yang terbaru.


Gunakan Firewall
Karena aplikasi Dcom yang sangat luas ini, dalam beberapa kasus masih ditemui komputer yang tetap berhasil dieksploitasi sekalipun sudah di patch. Bahkan menurut laporan yang diterima Vaksincom, Windows XP Service Pack 3 sekalipun tetap mengalami celah keamanan baru tersebut. Pembahasan lebih mendalam untuk celah keamanan RPC Dcom ini akan dilakukan pada artikel berikut. Untuk sementara, guna mengamankan diri anda dari eksploitasi celah keamanan RPC Dcom, Vaksincom menyarankan anda menggunakan Firewall untuk melindungi komputer anda. Adapun port-port yang digunakan untuk menginisiasi koneksi dengan RPC dan perlu anda blok pada firewall anda adalah :

UDP Port 135, 137, 138 dan 445.

TCP Port 135, 139, 445 dan 593

Port-port di atas adalah port yang digunakan untuk menginisiasi koneksi dengan RPC dan eksploitasi celah keamanan RPC dapat dicegah oleh firewall dengan memblok port-port di atas
Ini beberapa Cara untuk mengatasi masalah tersebut

Cara 1
Tutup Port


Cara Menutup port diatas dengan menggunakan registry
Masuk Regedit Backup dulu regstry sebelum melakukan perubahan pada registry anda Secara Umum cari registry: HKLM\SOFTWARE\MICROSOFT\OLE temukan EnableDCOM ; EnableRemoteConnect edit Y atau N (jika tidak ada tambahkan Stringnya).
Kemudian HKLM\SOFTWARE\MICROSOFT\RPC\ClientProtokols temukan ncacn_ip_tcp ; ncadg_ip_udp buang semua. rpcrt4.dll
HKLM\SOFTWARE\MICROSOFT\RPC\DCOMProtokols temukan ncacn_ip_tcp buang. Itu untuk menutup port 135.

kemudian kita lakukan penutupan port 445: HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters temukan SMBDeviceEnabled Ganti dengan D=Word 00000000 (jika tidak ada tambahkan).
Kesimpulan Bila kita menggunakan Windows registry editor version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]“EnableDCOM”=”N”"EnableRemoteConnect”=”N”
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\NetBT\Parameters]“SMBDeviceEnabled”=dword:00000000″

Konsekuensinya jika kita menutup port 135 dan 445 file sharing dan tidak akan berfungsi.

Atau menggunakan Software wwdc
Download di : wwdc

Cara 2
Melakukan patch dan windows hotfix


Untuk Windows XP Minim SP2
WindowsXP-KB894391-x86-ENU
WindowsXP-KB824146-x86-ENU
WindowsXP-KB953155-x86-ENU
WindowsXP-KB954211-x86-ENU
WindowsXP-KB955069-x86-ENU
WindowsXP-KB956803-x86-ENU
WindowsXP-KB956841-x86-ENU
WindowsXP-KB957095-x86-ENU
WindowsXP-KB957097-x86-ENU
WindowsXP-KB958644-x86-ENU

Windows 2003 Minim SP1
WindowsServer2003-KB894391-x86-enu
WindowsServer2003-KB954211-x86-ENU
WindowsServer2003-KB955069-x86-ENU
WindowsServer2003-KB956803-x86-ENU
WindowsServer2003-KB956841-x86-ENU
WindowsServer2003-KB957095-x86-ENU
WindowsServer2003-KB957097-x86-ENU
WindowsServer2003-KB958644-x86-ENU

Untuk melakukan patch usahakan lewat safe mode
cari diregistry dengan key “x.exe” tanpa petik jika ada hapus saja lalu cari file tersebut letaknya berada di c:\windows\system32\ setelah ketemu hapus
lalu masuk ke C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ hapus semua file yang ada didalam folder ini (file ini hidden) jadi harus pilih show all file dulu pada folder option, setelah itu masuk ke service bisa menggunakan administratif tool atau pake run ketik “services.msc” cari vmwareservices jika ada disable aja. lalu lakukan patch system.setelah selesai restart komputer tsb.

NB:
Untuk teknik ke 2 mungkin lebih tepat dilakukan untuk jaringan yang masih membutuhkan file sharing.

1 komentar:

Aji N mengatakan...

gan...jika port 445 dan 135 ditutup, share printernya jalan apa tidak yah?

Posting Komentar

 
Copyright 2009 Tutorial Yang Bermanfaat. Powered by Blogger Blogger Templates create by Deluxe Templates. WP by Masterplan