Analisis Pendeteksian dan Pencegahan Serangan Backdoor Pada Layanan Server Budi Kurniawan 1, Muhamad Akbar 2, Edi Surya Negara 3 Mahasiswa Universitas Bina Darma 1 Dosen Universitas Bina Darma 2,3 Jl. A. Yani No.12 Plaju, Palembang 30624 email :
[email protected] 1
[email protected] 2,
[email protected] 3 Abstrack : Many of the problems that often occur in the computer network system is one of them backdoor . Backdoor in the world of hackers have made sense back door when leaving the hosts that have been entered . This door password login form . Backdoor is useful when the cracker wants to go back to the host / server , because if the root or admin password has been changed , we are still able to log in using backdoor password that has been installed . Backdoor initially created by the computer programmer as a mechanism that allows them to gain special access to their program . Due to an attack could come at any time we need a security system that can monitor an incoming data packets , whether it included the attack or not . One prevention efforts and improve computer security is by using Snort IDS and IPS use . Keywords: Backdoor, IDS, IPS, Snort, Keamanan jaringan. Abstrak : Banyak masalah yang sering terjadi pada sistem jaringan komputer yaitu salah satunya backdoor. Backdoor dalam dunia hacker memiliki arti membuat pintu belakang apabila akan meninggalkan host yang sudah dimasuki. Pintu ini berupa password login. Backdoor ini berguna apabila cracker ingin kembali ke host / server tersebut, karena jika password root atau admin telah diganti, kita masih bisa masuk menggunakan password backdoor yang telah dipasang. Backdoor pada awalnya dibuat oleh para programmer komputer sebagai mekanisme yang mengizinkan mereka untuk memperoleh akses khusus ke dalam program mereka. Dikarenakan suatu serangan dapat datang kapan saja maka dibutuhkan suatu sistem keamanan yang dapat memonitor suatu paket data yang masuk, apakah itu termasuk serangan atau bukan. Salah satu upaya pencegahan dan meningkatkan keamanan komputer yaitu dengan menggunkan IDS dan IPS menggunakan Snort. Kata kunci : Backdoor, IDS, IPS, Snort, Keamanan jaringan.
1.
PENDAHULUAN
dalam pengaksesan internet ada pula ancaman
Diskusi tentang masalah keamanan sebuah
besar yang mengintai, yaitu beberapa macam
jaringan komputer, sudah pasti sangat rawan
serangan
terhadap serangan dari luar. Banyak sebab yang
kerentanan
digunakan
jaringan komputer.
untuk
melakukan
kegiatan
penyerangan pada suatu jaringan komputer. Istilah hacker pada umum nya adalah seseorang yang memiliki keinginan dalam mengetahui secara mendalam mengenai kerja sistem dan jaringan komputer, kemudian menjadi orang yang ahli dalam bidang penguasaan sistem dan jaringan komputer. Tetapi dengan kemudahan
yang dari
bertujuan sebuah
untuk sistem
mencari keamanan
Banyak masalah yang sering terjadi pada sistem jaringan komputer yaitu salah satunya backdoor.
Backdoor
dalam
dunia
hacker
memiliki arti membuat pintu belakang apabila akan meninggalkan host yang sudah dimasuki. Pintu ini adalah password login. Backdoor ini berguna apabila cracker ingin kembali ke host /
Page | 1
server tersebut, karena jika password root atau
merupakan satu-satunya metode penelitian yang
admin telah diganti, kita masih bisa masuk
dapat
menggunakan password backdoor yang telah
menyangkut hubungan kasual (sebab akibat).
menguji
secara
benar
hipotesis
dipasang. Langkah-langkah
Backdoor pada awalnya dibuat oleh para programmer komputer sebagai mekanisme yang mengizinkan mereka untuk mendapatkan akses
untuk
membenarkan
1.
untuk diteliti, permasalahan yang dibahas
dan
pada penelitin ini adalah Bagaimana cara menganalisa serangan backdoor pada
buat ketika sebuah crash akibat bug terjadi.
sistem
Dikarenakan suatu serangan dapat datang
maka dibutuhkan suatu sistem keamanan yang
2.
Memilih
subjek
kelompok
satu upaya pencegahan dan meningkatkan
dan
instrumen
eksperimen
dan
kelompok
kontrol. Penelitian ini menjadikan IDS dan
keamanan komputer yaitu dengan menggunkan
IPS
IDS dan IPS menggunakan Snort.
Snort
sebagai
subjek
dalam
menganalisa serangan backdoor pada
Untuk mempelajari secara spesifik tentang
layanan server.
serangan Backdoor, maka dari itu penulis 3.
Memilih desain penelitian Penelitian ini dengan simulasi pada
kedalam rancangan penelitiannya yang berjudul
komputer yang saling berhubungan yang
DAN
betujuan
PENCEGAHAN SERANGAN BACKDOOR PADA LAYANAN SERVER”.
meningkatkan
Pemilihan subjek yang akan dibagi dalam
apakah itu termasuk serangan atau bukan. Salah
PENDETEKSIAN
untuk
pengukuran
dapat memonitor suatu paket data yang masuk,
tertarik untuk mengangkat permasalahan ini
jaringan
keamanan.
kapan saja seperti pada beberapa kasus diatas,
2.
Memilih dan merumuskan masalah. Adanya permasalahan yang signifikan
memperbaiki kode pada program yang mereka
“ANALISIS
eksperimen
adalah sebagai berikut:
khusus ke dalam program mereka, seringnya digunakan
metode
untuk
melakukan
analisis
terhadap backdoor. 4.
Melaksanakan prosedur
METODOLOGI PENELITIAN
Tindakan yang dilakukan pada penelitian
Dalam
ini
penelitian
ini
penulis
dengan
membuat
simulasi
pada
menggunakan Metode Eksperimen. Metode
komputer yang saling berhubungan untuk
Eksperimen adalah metode yang paling banyak
melakukan penetrasi. Selanjutnya, akan
dipilih dan paling produktif dalam penelitian.
dilakukan analisa pada server dengan
Bila dilakukan dengan baik, studi ekperimental
menggunakan IDS / IPS Snort.
menghasilkan bukti yang paling benar berkaitan dengan hubungan sebab-akibat. Menurut Gay (1981) dalam Emzir (2013: 63) menyatakan bahwa penelitian eksperimental
5.
Analisis data Analisis dilakukan dari pengamatan dan mencatat nilai dari parameter yang terjadi pada saat simulasi dilakukan.
Page | 2
6.
Merumuskan kesimpulan Setelah
melakukan
2.2 analisis,
data
Metode Analisis Backdoor adalah cara yang digunakan
selanjutnya penulis membuat kesimpulan
untuk
dan hasil yang sudah didapat.
sepengetahuan
masuk
kedalam
sistem
administrator.
tanpa
Backdoor
bertujuan untuk mempermudah memasuki sistem 2.1
Metode Pengumpulan Data
itu kembali jika jalan yang sudah dibuat dengan
Metode pengumpulan data berupa suatu
exploit telah ditutup oleh administrator. Maka
pernyataan (statement) tentang sifat, keadaan,
dibuatlah simulasi yang saling berhubungan
kegiatan tertentu dan sejenisnya. Pengumpulan
yang
bertujuan
untuk
melakukan
analisis
terhadap Backdoor yang menggunakan IDS / IPS data dilakukan untuk memperoleh informasi
Snort (Juju, 2008 : 205).
yang dibutuhkan dalam rangka mencapai tujuan penelitian (Gulo, 2002 : 110).
3
Tahap Tahap Analisis
3.1
Instalasi Software
Metode pengumpulan data yang dilakukan
Peneliti menginstall beberapa software yang
sebagai berikut:
digunakan
untuk
analisis
backdoor,
diantaranya Kali Linux. Kemudian install Virtual 1.
Studi Literatur
Box yang didalamnya terdapat Ubuntu yang di
Studi literatur adalah cara yang dipakai
gunakan sebagai server dan bertujuan untuk
untuk
melakukan analisis serangan backdoor dan telah
menghimpun
data-data
atau
di install IDS / IPS Snort. sumber-sumber yang berhubungan dengan topik
yang
diangkat
dalam
3.2
Instalasi Snort
suatu
Snort merupakan aplikasi yang digunakan
penelitian. Studi literatur bisa didapat dari
sebagai tool security yang berfungsi sebagai pendeteksi adanya intrusi pada jaringan. Intrusi
berbagai
2.
sumber,
jurnal,
buku
itu misalnya penyusupan, penyerangan, dan
dokumentasi, internet dan pustaka.
berbagai
Observasi
membahayakan.
macam
ancaman
lain
yang
Istilah keren Snort ini adalah Network Melakukan pengamatan dan menganalisa
Intrusion Prevention System (NIPS) dan Network
serta berkordinasi dengan bagian IT agar
Intrusion Detection System (NIDS). Snort sangat
memudahkan proses dokumentasi baik itu
handal untuk membentuk logging paket-paket dan traffic analysis pada jaringan secara real
informasi yang berhubungan dengan objek dan pekerjaan apa saja yang dilakukan.
time. Snort ini juga tidak hanya berjalan sebagai aplikasi pendeteksi adanya intrusi saja namun
juga dapat merespon tindakan penyerangan yang ada. Page | 3
Gambar 1 mysql dan php5 Gambar 5 pear install Image_Graph-0.7.2 Kemudian,
konfigurasi
database
dengan
memasukkan perintah : mysql -u root -pmhs create database snort ; grant ALL on root.* to snort@localhost; Gambar 2 pear install Numbers_Roman-1.0.2
grant ALL on snort.* to snort@localhost IDENTIFIED BY 'snort' ; grant ALL on snort.* to snort IDENTIFIED BY 'snort' ; exit Setelah itu, dibawah ini adalah perintah selanjutnya untuk Instal SNORT :
apt-get install snort-mysql snort-rulesGambar 3 pear install Numbers_Words-0.16.2
Gambar 4 pear install Image_Canvas-0.3.2
default acidbase
Gambar 6 Install Snort
Page | 4
Address range for the local
Selanjutnya, masukkan perintah untuk
network: 172.168.56.0/24
membuang db-pending-config : rm /etc/snort/db-pending-config Kemudian, konfigurasi BASE ketik perintah : pico /etc/acidbase/database.php $alert_user='snort'; $alert_password='snort'; $basepath='/acidbase'; $alert_dbname='snort'; $alert_host='localhost';
Gambar 7 Address Range
mysql password : snort
$alert_port=''; $DBtype='mysql';
Jika belum bisa diakses pada web, silahkan copy konfigurasi dari directory Acid base :
Gambar 8 mysql password Setelah semuanya sudah di install seperti perintah dan gambar diatas, selanjutnya
Gambar 9 Konfigurasi Acidbase
masukkan perintah untuk konfigurasi database :
Selanjutnya, Restart Apache dan Snort :
cd /usr/share/doc/snort-mysql
/etc/init.d/apache2 restart
zcat create_mysql.gz | mysql -u root -h localhost
/etc/init.d/snort restart
-pmhs snort
Snort bisa di jalankan menggunakan perintah :
Kemudian, masukkan perintah untuk
/usr/sbin/snort -m 027 -D -d -l /var/log/snort -u
Konfigurasi SNORT :
snort -g snort -c /etc/snort/snort.conf -S
pico /etc/snort/database.conf
HOME_NET=[172.168.26.0/24] -i eth0
output database: alert, mysql,
Adapun beberapa ERROR yang terjadi :
user=root password=snort dbname=snort
Pada masa lalu kita menjalankan snort menggun
host=localhost
akan
output database: log, mysql, user=root
snort -dev -c /etc/snort/snort.conf –D
password=snort dbname=snort host=localhost
Jika terjadi fatal error seperti :
# dibagian output database masukkan
ERROR: Failed to initialize dynamic preprocess
include database.conf
or: SF_SMTP version 1.1.8 Sebaiknya jalankan snort menggunakan perintah
Page | 5
: /etc/init.d/snort restart Kemudian, perbaiki Rules nya
3.3.
Simulasi Penetrasi Backdoor Peneliti membuka sebuah web yang
Jalankan snort -dev -c /etc/snort/snort.conf
vulnerable
yang
berada
didalam
server.
Akan keluar error seperti :
Masukkan Username dan Password agar bisa
Warning: /etc/snort/rules/dos.rules(42) => thresh
login ke web tersebut dan akan tampil web yang
old (in rule) is deprecated; use detection_filterins
sudah login tadi.
tead. ERROR: /etc/snort/rules/communitysmtp.rules(13) => !any is not allowed Fatal Error, Quitting. Perbaiki line yang error misalnya : pico /etc/snort/rules/dos.rules delete line 42 Izin Akses Non Localhost
Gambar 11 Login Web Vulnerable
Agar mesin non-localhost dapat mengakses, maka perlu mengedit : pico /etc/acidbase/apache.conf Kemudian tambahkan :
... allow from 127.0.0.0/255.0.0.0 (IP Address/subnetmaksnya Server IDS)
Gambar 12 Web Vulnerable
allow from 0.0.0.0/0.0.0.0
Kemudian, upload sebuah file backdoor.php
...
di website yang vulnerable tersebut.
Selanjutny, Restart Web Server : /etc/init.d/apache2 restart
Kemudian, akses ke : http://localhost/acidbase
Gambar 10 Buka http://localhost/acidbase
Page | 6
tertentu.
Dalam
skripsi
ni,
peneliti
menambahkan rules dengan backdoor C99.php. Untuk menambahkan rules tersebut, buat file
dengan
ekstensi
.rules
pada
folder
/etc/snort/rules dengan perintah nano c99.rules. Rules nya sebagai berikut :
Gambar 14 Hasil Upload Backdor
4
Hasil dan Pembahasan
4.1
Hasil Dari hasil analisis yang dilakukan, peneliti
membuka backdoor type c99.php yang telah didapatkan dan buka menu-menu yang ada di tampilan backdoor c99.php tersebut untuk mengeluarkan log / dumping log :
Gambar 16 nano c99.rules Kemudian langkah selanjutnya sebagai simulasi, peneliti membuka backdoor untuk membuat log backdoor berjalan pada snort.
Gambar 17 Log Snort Gambar 15 c99.php Sedangkan 4.2
Pembahasan
4.2.1 Deteksi Backdoor di Snort Langkah awal kita harus membuat rules
untuk
backdoor
yang
terenkripsi skripnya seperti b374k.php, IDS snort belum dapat mendeteksi apapun baik menggunakan acidbase ataupun log manual.
khusus yang dikhususkan untuk backdoor
Page | 7
4.2.2 Deteksi Backdoor Menggunakan 4.
Backdoor Scanner
Berikut hasil yang didapat dalam hal ini
Backdoor scanner merupakan scanner
Backdoorscanner
berhasil
yang berisi script scanning backdoor, yang
mendeteksi backdoor c99.php dan
berformat php yang ditanam di dalam folder
r57.php yang terdeteksi sebagai hidden
server yang akan di di proteksi oleh backdoor
shell
scanner, agar apabila ada backdoor didalam
ditandai dengan warna biru.
dan
dianggap
mencurigakan
folder tersebut dapat langsung terdeteksi. Berikut
langkah-langkah
pendeteksian
dengan menggunakan backdoor scanner antara lain :
1.
Download script backdoor.scanner di forum Devilzc0de. http://devilzc0de.org/forum/showthread.p hp?tid=4862
2.
Tanam script tersebut pada folder konten website yang akan di proteksi, simpan dengan ekstensi .php. Pada study kasus ini, script diletakkan pada folder default apache ubuntu yaitu pada folder : /var/www/backdoorscanner.php
3.
Langkah berikutnya panggil file tersebut melalui browser maka akan tampil pilihan sebagai berikut. Kemudian centang semua pilihan script yang akan dicari, sebagai
Gambar 19 Hidden shell c99.php
5.
Setelah mengetahui hasil backdoor yang sudah discan, cari salah satu type backdoor yang terdeteksi tadi dengan memilih other keyword, maka hasil nya
akan
terlihat
type
backdoor
tersebut.
opsi dalam pencarian backdoor atau script yang mencurigakan. Kemudian start scan tunggu hingga proses scanning selesai.
Gambar 18 Backdoorscanner.php
Gambar 20 Other keyword c99.php
Page | 8
6.
Berikut hasil yang di dapat setelah salah satu type backdoor di scan dengan menggunakan
pilihan
other
keyword.
Hasilnya yaitu backdoor c99.php dan r57.php.
Gambar 22 Konfigurasi php.ini
Gambar 21 hasil other keyword c99.php Gambar 15 script c99.php
4.2.3 Hardening Backdoor Pra Acident Gambar 23 Expose.php
Untuk tindakan Pra Accident, kita dapat (penguatan)
Edit Konfigurasi expose_php = Off ,
terhadap server, dengan melakukan tindakan
berguna agar php yang ada di server tidak
atau konfigurasi agar server tersebut tidak
mengekspose atau membuka script php pada
mudah ditanami backdoor. Kemudian lakukan
script yang ada server apabila terdapat celah
konfigurasi terdapat pada
keamanan php expose script.
melakukan
tindakan
hardening
/etc/php5/apache2/php.ini dan edit file tersebut. Edit konfigurasi untuk mencegah terjadi
Masih dalam konfigurasi php.ini, edit konfigurasi
disable_function
dengan
nya Bug LFI (Local File Inclusio)n, dan RFI
menambahkan Script :
(Remote File Inclusion) pada server, sehingga
eval,system,show_Source,symlink,exec,dl,shell_
attacker tidak bisa menarik file backdoor secara
exec,passthru,phpinfo,
langsung apabila website tersebut memiliki celah
escapeshellcmd, base64decode, phpuname.
escapeshellarg,
script
Disable_function berfungsi agar tidak
allow_url_fopen= Off dan allow_url_include =
menjalankan script php yang mencurigakan.
Off.
Script konfigurasi diatas didapat dari beberapa
keamanan
LFI
dan
RFI
.
Ubah
forum hacking yang ada di internet.
Page | 9
Konfigurasi safe_mode ubah menjadi On agar php selalu dalam posisi mode aman. Setelah semuanya di konfigurasi, peneliti mencoba upload backdoor c99.php . Ternyata, file backdoor c99.php tersebut tidak terbaca / tidak bisa di panggil yang bertuliskan Not Found. Dan jika dipanggil melalui backdoor.php, maka c99.php masih terbaca akan tetapi script nya tidak bisa di baca lagi dan hanya dideteksi folder-folder nya saja.
Gambar 24 c99.php not found
Referensi Emzir. 2011. Metodologi Penelitian Pendidikan. Jakarta : PT.Raja Grafindo Persada Gulo, W. 2002. Metodologi Penelitian. Jakarta : Grasindo Juju, Dominikus & Studio, M. 2008. Teknik Menangkal Kejahatan Internet. Jakarta : PT. Elex Media Komputindo.
Page | 10
