Dec 13, 2008

virus obok-obok jaringan kantor

Saturday, December 13, 2008 Oleh dennis sistiawan ·
Labels: , ,

Belum selesai mempelajari sesuatu yang baru, lagi-lagi virus menyerang kantor. Padahal AntiVirus pada server sudah saya update tiap hari dan setiap client akan otomatis terupdae jika server sudah update
Dua hari saya disibukkan dan dipusingkan dan harus kerja extra dengan lumpuhnya koneksi jaringan komputer dikantorku, dikarenakan serangan virus, yang memanfaatkan celah keamanan dari Microsoft. Ini terjadi disemua komputer baik itu server maupun client.
ya mungkin ini juga pelajaran bagi saya yang lupa (red=membela diri) males untuk melakukan patch dan update windows (terlalu banyak komputer).

Tiba-tiba semua komputer baik di kantor area aupun unit muncul
"Generic Host Process for Win32 Services", Faulting application svchost.exe, version 5.1.2600.2180, faulting module netapi32.dll, version 5.1.2600.2180, fault address 0×0000a3c0.”
eror terjadi di file
WER51f3.dir00svchost.exe.mdmp
TempWER51f3.dir00appcompat.txt

Ternyata bukan cuma di situbondo saja melainkan seluruh kantor sejatim koneksi jaringan down.
Gejala lain yang ditimbulkan virus ini adalah virus ini membuat kerja komputer semakin berat dari biasanya.

Seperti dilansir vaksincom

GHP Error akan muncul tiba-tiba dengan pesan "Generic Host Process for Win 32 Services Error"pada saat browsing yang mengakibatkan koneksi internet langsung terputus, meskipun sudah mencoba reset koneksi LAN / Wifi tetap tidak bisa terkoneksi kembali dan koneksi internet hanya bisa normal kembali jika komputer di restart. Tetapi celakanya, hal ini akan berulang lagi beberapa saat kemudian dan frekwensi munculnya sangat mengganggu. Ada pula yang mengeluhkan komputer mendapatkan pesan yang sama dan ketika di scan dengan antivirus tidak mendapatkan virus apapun dan kasus lain yang dilaporkan pada salah satu mailing list bahkan setelah mendapatkan pesan Generic Host Process komputer langsung menolak di instal antivirus.

Patching itu penting
Apapun masalahnya, solusi pertama dan terbaik jika anda menemukan masalah celah keamanan pada komputer anda adalah melakukan patching / penambalan atas celah keamanan Dcom. Jika OS anda ibaratnya adalah benteng yang pintu masuk dan keluarnya dijaga ketat baik oleh program antivirus, celah keamanan ibaratnya ada kelemahan pada tembok benteng yang rapuh dan virus bukan menyerang melalui pintu masuk melainkan masuk dari tembok yang rapuh tersebut. Program antivirus pada dasarnya tidak di desain untuk menjaga serangan yang mengeksploitasi celah keamanan sehingga secara teknis Operating System komputer yang mengandung celah keamanan dan terproteksi dengan antivirus update terbaru TETAP akan terinfeksi virus sekalipun virus yang menyerang itu sudah terdeteksi oleh program antivirus tersebut, sebab utamanya adalah karena celah keamanan memungkinkan banyak hal, termasuk eksekusi file virus tanpa dapat di intervensi oleh antivirus. Dalam banyak kasus malahan program antivirus kemudian dilumpuhkan oleh virus tersebut. Karena itu, anda sangat disarankan untuk melakukan penambalan celah keamanan RPC Dcom yang terbaru.

Gunakan Firewall
Karena aplikasi Dcom yang sangat luas ini, dalam beberapa kasus masih ditemui komputer yang tetap berhasil dieksploitasi sekalipun sudah di patch. Bahkan menurut laporan yang diterima Vaksincom, Windows XP Service Pack 3 sekalipun tetap mengalami celah keamanan baru tersebut. Pembahasan lebih mendalam untuk celah keamanan RPC Dcom ini akan dilakukan pada artikel berikut. Untuk sementara, guna mengamankan diri anda dari eksploitasi celah keamanan RPC Dcom, Vaksincom menyarankan anda menggunakan Firewall untuk melindungi komputer anda. Adapun port-port yang digunakan untuk menginisiasi koneksi dengan RPC dan perlu anda blok pada firewall anda adalah :

UDP Port 135, 137, 138 dan 445.

TCP Port 135, 139, 445 dan 593

Port-port di atas adalah port yang digunakan untuk menginisiasi koneksi dengan RPC dan eksploitasi celah keamanan RPC dapat dicegah oleh firewall dengan memblok port-port di atas

Ini beberapa Cara untuk mengatasi masalah tersebut
Cara 1
Tutup Port

Cara Menutup port diatas dengan menggunakan registry

Masuk Regedit Backup dulu regstry sebelum melakukan perubahan pada registry anda Secara Umum cari registry: HKLM\SOFTWARE\MICROSOFT\OLE temukan EnableDCOM ; EnableRemoteConnect edit Y atau N (jika tidak ada tambahkan Stringnya).
Kemudian HKLM\SOFTWARE\MICROSOFT\RPC\ClientProtokols temukan ncacn_ip_tcp ; ncadg_ip_udp buang semua. rpcrt4.dll
HKLM\SOFTWARE\MICROSOFT\RPC\DCOMProtokols temukan ncacn_ip_tcp buang. Itu untuk menutup port 135.
kemudian kita lakukan penutupan port 445: HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters temukan SMBDeviceEnabled Ganti dengan D=Word 00000000 (jika tidak ada tambahkan).

Kesimpulan Bila kita menggunakan Windows registry editor version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]"EnableDCOM"="N""EnableRemoteConnect"="N"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\NetBT\Parameters]"SMBDeviceEnabled"=dword:00000000"

Konsekuensinya jika kita menutup port 135 dan 445 file sharing dan tidak akan berfungsi.

Atau menggunakan Software wwdc
Download di : wwdc

Cara 2
Melakukan patch dan windows hotfix
Untuk Windows XP Minim SP2
WindowsXP-KB894391-x86-ENU
WindowsXP-KB824146-x86-ENU
WindowsXP-KB953155-x86-ENU
WindowsXP-KB954211-x86-ENU
WindowsXP-KB955069-x86-ENU
WindowsXP-KB956803-x86-ENU
WindowsXP-KB956841-x86-ENU
WindowsXP-KB957095-x86-ENU
WindowsXP-KB957097-x86-ENU
WindowsXP-KB958644-x86-ENU

Windows 2003 Minim SP1
WindowsServer2003-KB894391-x86-enu
WindowsServer2003-KB954211-x86-ENU
WindowsServer2003-KB955069-x86-ENU
WindowsServer2003-KB956803-x86-ENU
WindowsServer2003-KB956841-x86-ENU
WindowsServer2003-KB957095-x86-ENU
WindowsServer2003-KB957097-x86-ENU
WindowsServer2003-KB958644-x86-ENU

Untuk melakukan patch usahakan lewat safe mode
cari diregistry dengan key "x.exe" tanpa petik jika ada hapus saja lalu cari file tersebut letaknya berada di c:\windows\system32\ setelah ketemu hapus
lalu masuk ke C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ hapus semua file yang ada didalam folder ini (file ini hidden) jadi harus pilih show all file dulu pada folder option, setelah itu masuk ke service bisa menggunakan administratif tool atau pake run ketik "services.msc" cari vmwareservices jika ada disable aja. lalu lakukan patch system.setelah selesai restart komputer tsb.

NB :
Saya menggunakan cara kedua, karena semua komputer client masih butuh untuk sharing file, ya mudah-mudahan gak ada masalah lagi, walau belum seluruh komputer selesai dipatch.
Terima kasih untuk teman-teman NOC semua atas sharingnya dan tak lupa juga teman-teman baik di kantor area dan kantor unit atas bantuan melakukan patch system.
Untuk teman-teman di unit maaf masih belum sempat kesana karena masih menyelesaikan patch system disini.

[+/-] Selengkapnya...

Dec 3, 2008

Membuka file djvu

Wednesday, December 03, 2008 Oleh dennis sistiawan ·
Labels: , ,

Maaf teman-teman semuanya aku telah lama menghilang dari dunia ini karena kesibukanku, lain waktu aku posting tentang kesibukan baruku ini, hehehehe. wis ya langsung aja dari pada bertele-tele
Baru saja aku mendapat email dari manajerku, dia meminta bantuan untuk membuka atau membaca file dengan exktensi djvu baca DeJaVu, wew kaya groub band aja, hehehehe.file tersebut bernama MatiKetawaCaraRusia.djvu, lho buku Mati ketawa cara rusia ini kan pernah aku baca dan aku miliki sewaktu aku masih SMP, tapi kemana ya buku tersebut...?dah tertelan bumi kali, wis ilang dalane.....hehehehe.
mengenai isi buku tersebut udah lupa ceritanya, asik nanti bisa baca-baca lagi.

Sempat aku bingung, karena aku baru tahu kalau ada file dengan ekstensi djvu ini, sempat aku berfikir file ini dienskrip atau dirubah ekstensinya saja, ya daripada penasaran dan hanya meraba-raba langsung aku kontak paman google dengan key djvu viewer dan ternyata paman google berbaik hati :d

Ini sekilas tentang djvu file yang aku terjemahkan dari djvu.sourceforge.net
Djvu (dibaca "Déjà vu") satu set teknologi kompresi, sebuah format file, dan software untuk platform pengiriman melalui Web digital dokumen, dokumen discan, dan gambar resolusi tinggi.

Djvu dokumen men-download dan menampilkan secara cepat, tepat dan tampilan yang sama pada semua platform tanpa masalah kompatibilitas karena font, warna, dll djvu dapat dilihat sebagai alternatif unggul untuk PDF dan PostScript untuk dokumen digital, untuk TIFF (dan PDF) untuk discan bitonal dokumen, dan JPEG2000 ke JPEG untuk foto dan gambar, dan GIF untuk gambar palettized besar. Djvu Web adalah satu-satunya format yang praktis untuk mendistribusikan resolusi tinggi-scan dokumen dalam warna.

Kelebihan file-file djvu adalah sebagai berikut:

* Bitonal discan dokumen: 5 sampai 30KB per halaman di 300dpi (3 sampai 10 kali lebih kecil dari PDF atau tiff)
* Warna discan dokumen: 30 100KB per halaman di 300dpi (5 sampai 10 kali lebih kecil dari JPEG).
* Foto: 2 kali lebih kecil dari JPEG, lebih kurang sama dengan JPEG-2000, namun decoder / renderer yang progresif dan memiliki memori minimal persyaratan.
* Palettized gambar: 2 kali lebih kecil daripada GIF (hingga 10 kali jika itu kebanyakan teks).
* Digital (non discan) dokumen: antara 1 dan 3 kali lebih kecil dari PDF atau gzipped PS (tergantung jumlah gambar), tetapi rendering, halaman flipping, diperbesar, panning adalah incomparably lebih cepat, dan kualitas gambar pada layar desplays jauh lebih baik (antialiased teks, dll).

yang lebih penting lagi, file djvu dapat dengan cepat diload.

untuk dapat melihat file dengan ekstensi *.djvu ini anda dapat langsung mendownloadnya di djvu.sourceforge.net atau kalau ingin langsung disini
udah dulu ya aku mau coba instal DjvuViewer dulu takut ditunggu manajerku nih.

[+/-] Selengkapnya...

Recent Post

follow me on twetter