Analisis Pendeteksian dan Pencegahan Serangan Backdoor Pada Layanan Server

Transkripsi

1 Analisis Pendeteksian dan Pencegahan Serangan Backdoor Pada Layanan Server Budi Kurniawan 1, Muhamad Akbar 2, Edi Surya Negara 3 Mahasiswa Universitas Bina Darma 1 Dosen Universitas Bina Darma 2,3 Jl. A. Yani No.12 Plaju, Palembang budi3sdr@gmail.com 1 muhamad.akbar@binadarma.ac.id 2, e.s.negara@binadarma.ac.id 3 Abstrack : Many of the problems that often occur in the computer network system is one of them backdoor. Backdoor in the world of hackers have made sense back door when leaving the hosts that have been entered. This door password login form. Backdoor is useful when the cracker wants to go back to the host / server, because if the root or admin password has been changed, we are still able to log in using backdoor password that has been installed. Backdoor initially created by the computer programmer as a mechanism that allows them to gain special access to their program. Due to an attack could come at any time we need a security system that can monitor an incoming data packets, whether it included the attack or not. One prevention efforts and improve computer security is by using Snort IDS and IPS use. Keywords: Backdoor, IDS, IPS, Snort, Keamanan jaringan. Abstrak : Banyak masalah yang sering terjadi pada sistem jaringan komputer yaitu salah satunya backdoor. Backdoor dalam dunia hacker memiliki arti membuat pintu belakang apabila akan meninggalkan host yang sudah dimasuki. Pintu ini berupa password login. Backdoor ini berguna apabila cracker ingin kembali ke host / server tersebut, karena jika password root atau admin telah diganti, kita masih bisa masuk menggunakan password backdoor yang telah dipasang. Backdoor pada awalnya dibuat oleh para programmer komputer sebagai mekanisme yang mengizinkan mereka untuk memperoleh akses khusus ke dalam program mereka. Dikarenakan suatu serangan dapat datang kapan saja maka dibutuhkan suatu sistem keamanan yang dapat memonitor suatu paket data yang masuk, apakah itu termasuk serangan atau bukan. Salah satu upaya pencegahan dan meningkatkan keamanan komputer yaitu dengan menggunkan IDS dan IPS menggunakan Snort. Kata kunci : Backdoor, IDS, IPS, Snort, Keamanan jaringan. 1. PENDAHULUAN Diskusi tentang masalah keamanan sebuah jaringan komputer, sudah pasti sangat rawan terhadap serangan dari luar. Banyak sebab yang digunakan untuk melakukan kegiatan penyerangan pada suatu jaringan komputer. Istilah hacker pada umum nya adalah seseorang yang memiliki keinginan dalam mengetahui secara mendalam mengenai kerja sistem dan jaringan komputer, kemudian menjadi orang yang ahli dalam bidang penguasaan sistem dan jaringan komputer. Tetapi dengan kemudahan dalam pengaksesan internet ada pula ancaman besar yang mengintai, yaitu beberapa macam serangan yang bertujuan untuk mencari kerentanan dari sebuah sistem keamanan jaringan komputer. Banyak masalah yang sering terjadi pada sistem jaringan komputer yaitu salah satunya backdoor. Backdoor dalam dunia hacker memiliki arti membuat pintu belakang apabila akan meninggalkan host yang sudah dimasuki. Pintu ini adalah password login. Backdoor ini berguna apabila cracker ingin kembali ke host / Page 1

2 server tersebut, karena jika password root atau admin telah diganti, kita masih bisa masuk menggunakan password backdoor yang telah dipasang. Backdoor pada awalnya dibuat oleh para programmer komputer sebagai mekanisme yang mengizinkan mereka untuk mendapatkan akses khusus ke dalam program mereka, seringnya digunakan untuk membenarkan dan memperbaiki kode pada program yang mereka buat ketika sebuah crash akibat bug terjadi. Dikarenakan suatu serangan dapat datang kapan saja seperti pada beberapa kasus diatas, maka dibutuhkan suatu sistem keamanan yang dapat memonitor suatu paket data yang masuk, apakah itu termasuk serangan atau bukan. Salah satu upaya pencegahan dan meningkatkan keamanan komputer yaitu dengan menggunkan IDS dan IPS menggunakan Snort. Untuk mempelajari secara spesifik tentang serangan Backdoor, maka dari itu penulis tertarik untuk mengangkat permasalahan ini kedalam rancangan penelitiannya yang berjudul ANALISIS PENDETEKSIAN DAN PENCEGAHAN SERANGAN BACKDOOR PADA LAYANAN SERVER. 2. METODOLOGI PENELITIAN Dalam penelitian ini penulis menggunakan Metode Eksperimen. Metode Eksperimen adalah metode yang paling banyak dipilih dan paling produktif dalam penelitian. Bila dilakukan dengan baik, studi ekperimental menghasilkan bukti yang paling benar berkaitan dengan hubungan sebab-akibat. Menurut Gay (1981) dalam Emzir (2013: 63) menyatakan bahwa penelitian eksperimental merupakan satu-satunya metode penelitian yang dapat menguji secara benar hipotesis menyangkut hubungan kasual (sebab akibat). Langkah-langkah metode eksperimen adalah sebagai berikut: 1. Memilih dan merumuskan masalah. Adanya permasalahan yang signifikan untuk diteliti, permasalahan yang dibahas pada penelitin ini adalah Bagaimana cara menganalisa serangan backdoor pada sistem jaringan untuk meningkatkan keamanan. 2. Memilih subjek dan instrumen pengukuran Pemilihan subjek yang akan dibagi dalam kelompok eksperimen dan kelompok kontrol. Penelitian ini menjadikan IDS dan IPS Snort sebagai subjek dalam menganalisa serangan backdoor pada layanan server. 3. Memilih desain penelitian Penelitian ini dengan simulasi pada komputer yang saling berhubungan yang betujuan untuk melakukan analisis terhadap backdoor. 4. Melaksanakan prosedur Tindakan yang dilakukan pada penelitian ini dengan membuat simulasi pada komputer yang saling berhubungan untuk melakukan penetrasi. Selanjutnya, akan dilakukan analisa pada server dengan menggunakan IDS / IPS Snort. 5. Analisis data Analisis dilakukan dari pengamatan dan mencatat nilai dari parameter yang terjadi pada saat simulasi dilakukan. Page 2

3 6. Merumuskan kesimpulan Setelah melakukan analisis, data selanjutnya penulis membuat kesimpulan dan hasil yang sudah didapat. 2.1 Metode Pengumpulan Data Metode pengumpulan data berupa suatu pernyataan (statement) tentang sifat, keadaan, kegiatan tertentu dan sejenisnya. Pengumpulan data dilakukan untuk memperoleh informasi yang dibutuhkan dalam rangka mencapai tujuan penelitian (Gulo, 2002 : 110). Metode pengumpulan data yang dilakukan sebagai berikut: 1. Studi Literatur Studi literatur adalah cara yang dipakai untuk menghimpun data-data atau sumber-sumber yang berhubungan dengan topik yang diangkat dalam suatu penelitian. Studi literatur bisa didapat dari berbagai sumber, jurnal, buku dokumentasi, internet dan pustaka. 2. Observasi Melakukan pengamatan dan menganalisa serta berkordinasi dengan bagian IT agar memudahkan proses dokumentasi baik itu informasi yang berhubungan dengan objek dan pekerjaan apa saja yang dilakukan. 2.2 Metode Analisis Backdoor adalah cara yang digunakan untuk masuk kedalam sistem tanpa sepengetahuan administrator. Backdoor bertujuan untuk mempermudah memasuki sistem itu kembali jika jalan yang sudah dibuat dengan exploit telah ditutup oleh administrator. Maka dibuatlah simulasi yang saling berhubungan yang bertujuan untuk melakukan analisis terhadap Backdoor yang menggunakan IDS / IPS Snort (Juju, 2008 : 205). 3 Tahap Tahap Analisis 3.1 Instalasi Software Peneliti menginstall beberapa software yang digunakan untuk analisis backdoor, diantaranya Kali Linux. Kemudian install Virtual Box yang didalamnya terdapat Ubuntu yang di gunakan sebagai server dan bertujuan untuk melakukan analisis serangan backdoor dan telah di install IDS / IPS Snort. 3.2 Instalasi Snort Snort merupakan aplikasi yang digunakan sebagai tool security yang berfungsi sebagai pendeteksi adanya intrusi pada jaringan. Intrusi itu misalnya penyusupan, penyerangan, dan berbagai macam ancaman lain yang membahayakan. Istilah keren Snort ini adalah Network Intrusion Prevention System (NIPS) dan Network Intrusion Detection System (NIDS). Snort sangat handal untuk membentuk logging paket-paket dan traffic analysis pada jaringan secara real time. Snort ini juga tidak hanya berjalan sebagai aplikasi pendeteksi adanya intrusi saja namun juga dapat merespon tindakan penyerangan yang ada. Page 3

4 Gambar 1 mysql dan php5 Gambar 2 pear install Numbers_Roman Gambar 3 pear install Numbers_Words Gambar 5 pear install Image_Graph Kemudian, konfigurasi database dengan memasukkan perintah : mysql -u root -pmhs create database snort ; grant ALL on root.* to snort@localhost; grant ALL on snort.* to snort@localhost IDENTIFIED BY 'snort' ; grant ALL on snort.* to snort IDENTIFIED BY 'snort' ; exit Setelah itu, dibawah ini adalah perintah selanjutnya untuk Instal SNORT : apt-get install snort-mysql snort-rulesdefault acidbase Gambar 4 pear install Image_Canvas Gambar 6 Install Snort Page 4

5 Address range for the local network: /24 Gambar 7 Address Range mysql password : snort Selanjutnya, masukkan perintah untuk membuang db-pending-config : rm /etc/snort/db-pending-config Kemudian, konfigurasi BASE ketik perintah : pico /etc/acidbase/database.php $alert_user='snort'; $alert_password='snort'; $basepath='/acidbase'; $alert_dbname='snort'; $alert_host='localhost'; $alert_port=''; $DBtype='mysql'; Jika belum bisa diakses pada web, silahkan copy konfigurasi dari directory Acid base : Gambar 8 mysql password Setelah semuanya sudah di install seperti perintah dan gambar diatas, selanjutnya masukkan perintah untuk konfigurasi database : cd /usr/share/doc/snort-mysql zcat create_mysql.gz mysql -u root -h localhost -pmhs snort Kemudian, masukkan perintah untuk Konfigurasi SNORT : pico /etc/snort/database.conf output database: alert, mysql, user=root password=snort dbname=snort host=localhost output database: log, mysql, user=root password=snort dbname=snort host=localhost # dibagian output database masukkan include database.conf Gambar 9 Konfigurasi Acidbase Selanjutnya, Restart Apache dan Snort : /etc/init.d/apache2 restart /etc/init.d/snort restart Snort bisa di jalankan menggunakan perintah : /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[ /24] -i eth0 Adapun beberapa ERROR yang terjadi : Pada masa lalu kita menjalankan snort menggun akan snort -dev -c /etc/snort/snort.conf D Jika terjadi fatal error seperti : ERROR: Failed to initialize dynamic preprocess or: SF_SMTP version Sebaiknya jalankan snort menggunakan perintah Page 5

6 : /etc/init.d/snort restart Kemudian, perbaiki Rules nya Jalankan snort -dev -c /etc/snort/snort.conf Akan keluar error seperti : Warning: /etc/snort/rules/dos.rules(42) => thresh old (in rule) is deprecated; use detection_filterins tead. ERROR: /etc/snort/rules/communitysmtp.rules(13) =>!any is not allowed Fatal Error, Quitting. Perbaiki line yang error misalnya : pico /etc/snort/rules/dos.rules delete line 42 Izin Akses Non Localhost Agar mesin non-localhost dapat mengakses, maka perlu mengedit : pico /etc/acidbase/apache.conf Kemudian tambahkan : <DirectoryMatch /usr/share/acidbase/>... allow from / (IP Address/subnetmaksnya Server IDS) allow from / </DirectoryMatch> Selanjutny, Restart Web Server : /etc/init.d/apache2 restart Kemudian, akses ke : Simulasi Penetrasi Backdoor Peneliti membuka sebuah web yang vulnerable yang berada didalam server. Masukkan Username dan Password agar bisa login ke web tersebut dan akan tampil web yang sudah login tadi. Gambar 11 Login Web Vulnerable Gambar 12 Web Vulnerable Kemudian, upload sebuah file backdoor.php di website yang vulnerable tersebut. Gambar 10 Buka Page 6

7 tertentu. Dalam skripsi ni, peneliti menambahkan rules dengan backdoor C99.php. Untuk menambahkan rules tersebut, buat file dengan ekstensi.rules pada folder /etc/snort/rules dengan perintah nano c99.rules. Rules nya sebagai berikut : Gambar 14 Hasil Upload Backdor 4 Hasil dan Pembahasan 4.1 Hasil Dari hasil analisis yang dilakukan, peneliti membuka backdoor type c99.php yang telah didapatkan dan buka menu-menu yang ada di tampilan backdoor c99.php tersebut untuk mengeluarkan log / dumping log : Gambar 16 nano c99.rules Kemudian langkah selanjutnya sebagai simulasi, peneliti membuka backdoor untuk membuat log backdoor berjalan pada snort. 4.2 Pembahasan Gambar 15 c99.php Deteksi Backdoor di Snort Langkah awal kita harus membuat rules khusus yang dikhususkan untuk backdoor Gambar 17 Log Snort Sedangkan untuk backdoor yang terenkripsi skripnya seperti b374k.php, IDS snort belum dapat mendeteksi apapun baik menggunakan acidbase ataupun log manual. Page 7

8 4.2.2 Deteksi Backdoor Menggunakan Backdoor Scanner Backdoor scanner merupakan scanner yang berisi script scanning backdoor, yang berformat php yang ditanam di dalam folder server yang akan di di proteksi oleh backdoor scanner, agar apabila ada backdoor didalam folder tersebut dapat langsung terdeteksi. Berikut langkah-langkah pendeteksian dengan menggunakan backdoor scanner antara lain : 1. Download script backdoor.scanner di forum Devilzc0de. hp?tid= Tanam script tersebut pada folder konten website yang akan di proteksi, simpan dengan ekstensi.php. Pada study kasus ini, script diletakkan pada folder default apache ubuntu yaitu pada folder : /var/www/backdoorscanner.php 3. Langkah berikutnya panggil file tersebut melalui browser maka akan tampil pilihan sebagai berikut. Kemudian centang semua pilihan script yang akan dicari, sebagai opsi dalam pencarian backdoor atau script yang mencurigakan. Kemudian start scan tunggu hingga proses scanning selesai. 4. Berikut hasil yang didapat dalam hal ini Backdoorscanner berhasil mendeteksi backdoor c99.php dan r57.php yang terdeteksi sebagai hidden shell dan dianggap mencurigakan ditandai dengan warna biru. Gambar 19 Hidden shell c99.php 5. Setelah mengetahui hasil backdoor yang sudah discan, cari salah satu type backdoor yang terdeteksi tadi dengan memilih other keyword, maka hasil nya akan terlihat type backdoor tersebut. Gambar 18 Backdoorscanner.php Gambar 20 Other keyword c99.php Page 8

9 6. Berikut hasil yang di dapat setelah salah satu type backdoor di scan dengan menggunakan pilihan other keyword. Hasilnya yaitu backdoor c99.php dan r57.php. Gambar 22 Konfigurasi php.ini Gambar 21 hasil other keyword c99.php Gambar 15 script c99.php Hardening Backdoor Pra Acident Untuk tindakan Pra Accident, kita dapat melakukan tindakan hardening (penguatan) terhadap server, dengan melakukan tindakan atau konfigurasi agar server tersebut tidak mudah ditanami backdoor. Kemudian lakukan konfigurasi terdapat pada /etc/php5/apache2/php.ini dan edit file tersebut. Edit konfigurasi untuk mencegah terjadi nya Bug LFI (Local File Inclusio)n, dan RFI (Remote File Inclusion) pada server, sehingga attacker tidak bisa menarik file backdoor secara langsung apabila website tersebut memiliki celah keamanan LFI dan RFI. Ubah script allow_url_fopen= Off dan allow_url_include = Off. Gambar 23 Expose.php Edit Konfigurasi expose_php = Off, berguna agar php yang ada di server tidak mengekspose atau membuka script php pada script yang ada server apabila terdapat celah keamanan php expose script. Masih dalam konfigurasi php.ini, edit konfigurasi disable_function dengan menambahkan Script : eval,system,show_source,symlink,exec,dl,shell_ exec,passthru,phpinfo, escapeshellarg, escapeshellcmd, base64decode, phpuname. Disable_function berfungsi agar tidak menjalankan script php yang mencurigakan. Script konfigurasi diatas didapat dari beberapa forum hacking yang ada di internet. Page 9

10 Konfigurasi safe_mode ubah menjadi On agar php selalu dalam posisi mode aman. Setelah semuanya di konfigurasi, peneliti mencoba upload backdoor c99.php. Ternyata, file backdoor c99.php tersebut tidak terbaca / tidak bisa di panggil yang bertuliskan Not Found. Dan jika dipanggil melalui backdoor.php, maka c99.php masih terbaca akan tetapi script nya tidak bisa di baca lagi dan hanya dideteksi folder-folder nya saja. Gambar 24 c99.php not found Referensi Emzir Metodologi Penelitian Pendidikan. Jakarta : PT.Raja Grafindo Persada Gulo, W Metodologi Penelitian. Jakarta : Grasindo Juju, Dominikus & Studio, M Teknik Menangkal Kejahatan Internet. Jakarta : PT. Elex Media Komputindo. Page 10