BAB 4 HASIL PENELITIAN

Transkripsi

1 BAB 4 HASIL PENELITIAN Pada bab ini akan dijelaskan mengenai deskripsi data yang telah diterima oleh kedua honeypot yaitu Dionaea dan Glastopf dan analisa data. Data tersebut diperoleh setelah kedua honeypot tersebut berjalan selama 7 hari pada tanggal 16 November November 20. Kedua honeypot tersebut menggunakan ip publik sehingga traffic yang masuk ke dalam honeypot berasal dari seluruh dunia dan traffic yang masuk ke dalam Dionaea belum tentu sama dengan traffic yang masuk ke Glastopf. Data tersebut diambil dengan melihat data yang muncul pada tampilan web interface dari honeypot tersebut yaitu Carniwwwhore dan GlasIF. 4.1 Hasil Penelitian Berikut adalah hasil penelitian yang diperoleh dari kedua honeypot: Dionaea Dionaea adalah low-interaction honeypot yang fungsi utamanya mendapat copy dari malware. Dionaea menarik serangan dengan cara menyediakan bug yang biasa dicari oleh para penyerang untuk dapat menyusupkan malware. Dionaea menggunakan Carniwwwhore sebagai web interface sehingga serangan yang diterima Dionaea dapat dilihat dengan mudah Tampilan web interface Dionaea Berikut adalah beberapa tampilan dari Carniwwwhore: 38

2 39 Gambar 4.1 Overview Carniwwwhore Gambar 4.1 adalah gambar tampilan utama Carniwwwhore (web interface Dionaea). Pada gambar di atas dapat dilihat jumlah serangan/malware yang diterima selama 7 hari. Pada sumbu x dapat dilihat tanggal harinya dan pada sumbu y dapat dilihat jumlah serangan yang didapat. Di sebelah kiri ada menu Dionaea untuk melihat lebih detail tentang serangan yang didapat Dionaea.

3 40 Gambar 4.2 Tampilan jumlah serangan per hari Dionaea Pada gambar 4.2 dapat dilihat jumlah serangan per hari. Di sebelah kiri terdapat menu seperti protocols (melihat protokol yang digunakan), transports (tcp/udp), attacks (melihat serangan lebih detail), hosts (melihat ip penyerang), dan ports (port yang digunakan).

4 41 Gambar 4.3 Tampilan serangan Dionaea Gambar 4.3 adalah tampilan menu attacks pada Dionaea. Pada menu ini dapat dilihat detail serangan yang dilakukan seperti waktu, ip penyerang, protokol dan port yang digunakan Data Dionaea Setelah Dionaea dijalankan selama 7 hari pada tanggal 16 November November 20, diperoleh data serangan yang dikelompokan berdasarkan waktu, negara penyerang, dan port yang diserang.

5 42 Serangan berdasarkan waktu Gambar 4.4 Grafik jumlah penyerang terhadap waktu Pada tabel di atas dapat dilihat serangan terhadap waktu selama 7 hari. Dalam 1 hari dibagi menjadi 3 waktu yaitu pagi (pukul 04:00-12:00 WIB), siang (pukul 12:00-20:00 WIB), dan malam (pukul 20:00-4:00 WIB). Dari segi waktu selama 7 hari dalam WIB, dapat dilihat serangan paling banyak terjadi pada malam hari lalu siang hari dan yang paling sedikit pada pagi hari. Hal ini disebabkan karena banyak attacker yang menjalankan serangannya dengan menggunakan bot berasal dari Negara yang beda waktunya jauh dengan Indonesia sehingga di negeri penyerang masih siang hari sedangkan di Indonesia sudah malam hari. Seperti diketahui bahwa pada siang hari aktifitas manusia paling banyak terjadi. Serangan berdasarkan negara penyerang

6 43 Selain jumlah serangan yang diterima oleh Dionaea, kita juga dapat melihat ip penyerang. Jika ip penyerang tersebut dikelompokan berdasarkan negara asal ip tersebut maka didapat negara yang paling sering melakukan serangan pada diagram dibawah ini. Gambar 4.5 Diagram negara yang sering menyerang Dari data negara yang paling banyak melakukan serangan, terdapat negara dengan 5 urutan teratas yaitu Rusia (28%), Brasil (14%), Taiwan (12%), Jepang (8%), dan Jerman (4%). Negara seperti Rusia (GMT+3), Jerman (GMT+1), jarak waktunya jauh dibanding Indonesia sehingga jumlah serangan paling banyak terjadi pada malam hari (pukul 20:00-04:00 WIB) yaitu (Rusia) dan (Jerman). Hal ini dikarenakan pada saat waktu malam hari (sesuai pengelompokan kita) maka di waktu Rusia dan Jerman berada pada waktu manusia mulai beraktifitas (siang hari) sehingga

7 44 kapasitas serangan lebih besar pada waktu ini. Pada Brasil (GMT-3) yang memiliki beda waktu sangat jauh dari Indonesia menunjukkan serangan paling banyak pada pagi hari yaitu serangan karena pada pukul 4:00 WIB maka di waktu di Brasil adalah menjelang malam sehingga serangan masih tinggi terjadi. Perbedaan waktu yang sangat jauh inilah yang membuat serangan dari negara Brasil juga banyak terjadi pada malam hari yaitu serangan. Pada Taiwan (GMT+8) dan Jepang (GMT+9) yang beda waktunya sedikit dengan Indonesia maka serangan paling banyak terjadi pada siang hari yaitu (Taiwan) dan (Jepang). Serangan berdasarkan port yang diserang Dionaea membuka semua services yang ada sehingga data yang didapat sangat banyak. Kita juga dapat mengetahui nomor port yang diserang. Berikut adalah diagram yang menggambarkan port yang sering diserang dalam seminggu: Gambar 4.6 Diagram port yang banyak diserang

8 45 Dari gambar di atas dapat dilihat port 445 sering diserang ( serangan) karena port ini digunakan untuk file sharing seperti printer sharing. Hal ini yang menyebabkan port ini paling rentan untuk dimasukkan worm. World Wide Web (www) merupakan bagian dari Internet yang paling populer, sehingga serangan kedua paling banyak pada port 80 yaitu 7915 serangan. Serangan ketiga paling banyak pada port 1433 yang digunakan oleh MSSQL. Seperti yang diketahui mssql adalah database yang cukup rentan untuk diserang seperti serangan buffer overflow sehingga jika seorang attacker mengirim terlalu banyak data, kemungkinan terjadi overflow pada ukuran tertentu dan akan menulis data disekitar area buffer komputer. Buffer Overflow ini mungkin saja malicious user menjalankan perintah kewenangan pada remote system. Port lainnya adalah port 5060 dan 5061 yang sering digunakan untuk layanan voice dan media melalui internet, lalu port 3306 yang digunakan oleh mysql, port 21 untuk transfer data dan port lainnya Glastopf Glastopf adalah honeypot yang bertujuan untuk menangkap serangan/request yang ditujukan ke web aplikasi. Glastopf menggunakan fitur google dork list untuk menarik serangan. Glastopf menggunakan GlasIF sebagai web interface untuk melihat serangan yang telah diterima Tampilan web interface Glastopf Berikut adalah beberapa tampilan dari GlasIF:

9 46 Gambar 4.7 Dashboard GlasIF Pada gambar 4.7 dapat dilihat tampilan dashboard dari GlasIF. Pada tampilan nii dapat dilihat jumlah serangan per hari dan per jam. Selain itu dapat juga dilihat lima ip yang paling banyak melakukan serangan, lima ip yang terakhir menyerang, dan lima file terakhir yang berhasil dimasukkan. Di atas terdapat beberapa menu seperti raw data

10 47 untuk melihat log serangan, search untuk mencari serangan tertentu, dan admin untuk mengubah user dan password GlasIF. Gambar 4.8 Log Glastopf Gambar 4.8 adalah tampilan menu raw data. Pada gambar ini dapat dilihat log serangan yang terjadi seperti waktu, ip penyerang dan target, dan request yang dilakukan Data Glastopf Pada data yang diterima Glastopf dapat dilihat host penyerang dan request yang dilakukan. Berikut adalah tabel data serangan yang diterima oleh Glastopf setelah dijalankan selama 7 hari pada tanggal 16 November November 20: Attacker Destination Time Request Negara xxx xxx //20 /phpmyadmin/ Indonesia

11 xxx.213. proxyjudge2.xxx 17//20 Jerman 134.net nv xx 203.xxx //20 /user/soapcaller.bs Republic of x Korea xxx //20 China xxx xxx //20 /appconf.htm Turkey xxx. 203.xxx //20 /phpmyadmin/ Indonesia xxx xxx //20 /w00tw00t.at.blackhats.romania Rusia 9 n.anti-sec:) xxx xxx //20 /phpmyadmin/scrixxx/setup.ph Rusia 9 p 173.xxx xxx //20 /appconf.htm United 59 States xxx //20 Ukraine 23 m 203.xxx xxx //20 /w00tw00t.at.blackhats.romania Hongkong 187 n.anti-sec:) 203.xxx xxx //20 /phpmyadmin/scrixxx/setup.ph Hongkong 187 p 128.xxx xxx //20 /phpmyadmin/scrixxx/setup.ph Australia 99 p 128.xxx xxx //20 /pma/scrixxx/setup.php Australia

12 xxx xxx //20 /w00tw00t.at.blackhats.romania Australia 99 n.anti-sec:) 128.xxx xxx //20 /myadmin/scrixxx/setup.php Australia 99 Tabel 4.1 Tabel Serangan Glastopf Pada Glastopf, yang hanya membuka port 80 dapat dilihat asal ip yang menyerang dan request yang dilakukan. Glastopf dapat menarik serangan dengan menambahkan path atau file yang vulnerable yang sering dicari oleh penyerang di database Glastopf. Path atau file tersebut dapat kita lihat pada dan menambahkan pada tabel path dalam database sehingga saat penyerang mencari file tersebut maka mereka akan menemukan dan menyerang Glastopf kita. Kita dapat mengidentifikasi data yang diterima Glastopf sebagai serangan jika penyerang menyisipkan file tertentu, meminta dan mengakses file yang tidak diperbolehkan untuk publik, dan me-request path yang kita tambahkan di database. Dari data di atas, dapat dilihat request yang dilakukan biasa mencari vulnerabilities di phpmyadmin dan webserver seperti /phpmyadmin/scripts/setup.php dari Hongkong, Rusia, dan Australia dan request /w00tw00t.at.blackhats.romanian.anti-sec:) yang biasa dilakukan oleh Rusia dan Hongkong. Serangan lainnya adalah request /user/soapcaller.bs dari Korea. Request ini dilakukan oleh tools yaitu Morfeus F***ing Scanner yaitu scanner yang mencari bug yang terdapat dalam php atau web aplikasi lainnya. soapcaller.bs adalah halaman yang sangat rentan untuk diserang.

13 Perbandingan dan pencegahan Dari data yang didapat dari kedua honeypot di atas, dapat dilihat bahwa Dionaea dapat mengumpulkan malware yang banyak pada port 80 dalam satu minggu sebanyak Sedangkan pada Glastopf hanya menerima serangan terhadap web aplikasi sebanyak 16 serangan. Dari data di atas dapat dilihat bahwa kinerja Dionaea lebih sensitif dalam menangkap serangan yang tersebar di internet. Dari data di atas dapat dilihat serangan/tingkah laku para attacker yang sering terjadi yaitu serangan pada port 445 dan mencari bug pada webserver (port 80). Cara yang paling umum adalah menutup port yang sering diserang pada firewall. Untuk serangan pada port 445, dapat dicegah dengan salah satu cara yaitu menutup services file sharing sehingga port tersebut ditutup. Di regedit pada folder berikut : HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters Temukan SMBDeviceEnabled Ganti dengan D=Word Untuk serangan yang mengarah pada web aplikasi dapat dilakukan beberapa cara seperti: Memblok ip yang mencurigakan di firewall, salah satu contohnya seperti ip pada tabel di atas. Menurut Shreeraj Shah (2004), dapat dicegah dengan menginstal Modsecurity yang merupakan firewall untuk aplikasi web sehingga lebih meningkatkan keamanan terutama utnuk apache.