Page | 1
Analisis Pendeteksian dan Pencegahan Serangan Backdoor Pada Layanan
Server
Budi Kurniawan
1, Muhamad Akbar
2, Edi Surya Negara
3Mahasiswa Universitas Bina Darma
1Dosen Universitas Bina Darma
2,3Jl. A. Yani No.12 Plaju, Palembang 30624
: [email protected]
1[email protected]
2, [email protected]
3Abstrack :Many of the problems that often occur in the computer network system is one of them backdoor . Backdoor in the world of hackers have made sense back door when leaving the hosts that have been entered . This door password login form . Backdoor is useful when the cracker wants to go back to the host / server , because if the root or admin password has been changed , we are still able to log in using backdoor password that has been installed . Backdoor initially created by the computer programmer as a mechanism that allows them to gain special access to their program . Due to an attack could come at any time we need a security system that can monitor an incoming data packets , whether it included the attack or not . One prevention efforts and improve computer security is by using Snort IDS and IPS use .
Keywords: Backdoor, IDS, IPS, Snort, Keamanan jaringan.
Abstrak : Banyak masalah yang sering terjadi pada sistemjaringan komputeryaitu salah satunya
backdoor. Backdoor dalam dunia hacker memiliki arti membuat pintu belakang apabila akan meninggalkan host yang sudah dimasuki. Pintu ini berupa password login. Backdoor ini berguna apabila cracker ingin kembali ke host / server tersebut, karena jika password root atau admin telah diganti, kita masih bisa masuk menggunakan password backdoor yang telah dipasang. Backdoor
pada awalnya dibuat oleh para programmer komputer sebagai mekanisme yang mengizinkan mereka untuk memperoleh akses khusus ke dalam program mereka. Dikarenakan suatu serangan dapat datang kapan saja maka dibutuhkan suatu sistem keamanan yang dapat memonitor suatu paket data yang masuk, apakah itu termasuk serangan atau bukan. Salah satu upaya pencegahan dan meningkatkan keamanan komputer yaitu dengan menggunkan IDS dan IPS menggunakan
Snort.
Kata kunci : Backdoor, IDS, IPS, Snort, Keamanan jaringan.
1.
PENDAHULUAN
Diskusi tentang masalah keamanan sebuah jaringan komputer, sudah pasti sangat rawan terhadap serangan dari luar. Banyak sebab yang
digunakan untuk melakukan kegiatan
penyerangan pada suatu jaringan komputer. Istilah hacker pada umum nya adalah seseorang yang memiliki keinginan dalam mengetahui secara mendalam mengenai kerja sistem dan jaringan komputer, kemudian menjadi orang yang ahli dalam bidang penguasaan sistem dan jaringan komputer. Tetapi dengan kemudahan
dalam pengaksesan internet ada pula ancaman besar yang mengintai, yaitu beberapa macam
serangan yang bertujuan untuk mencari
kerentanan dari sebuah sistem keamanan jaringan komputer.
Banyak masalah yang sering terjadi pada sistem jaringan komputer yaitu salah satunya
backdoor. Backdoor dalam dunia hacker
memiliki arti membuat pintu belakang apabila akan meninggalkan host yang sudah dimasuki. Pintu ini adalah password login. Backdoor ini berguna apabila cracker ingin kembali ke host /
Page | 2
server tersebut, karena jika password root atauadmin telah diganti, kita masih bisa masuk menggunakan password backdoor yang telah dipasang.
Backdoor pada awalnya dibuat oleh para programmer komputer sebagai mekanisme yang mengizinkan mereka untuk mendapatkan akses khusus ke dalam program mereka, seringnya
digunakan untuk membenarkan dan
memperbaiki kode pada program yang mereka buat ketika sebuah crash akibat bug terjadi.
Dikarenakan suatu serangan dapat datang kapan saja seperti pada beberapa kasus diatas, maka dibutuhkan suatu sistem keamanan yang dapat memonitor suatu paket data yang masuk, apakah itu termasuk serangan atau bukan. Salah satu upaya pencegahan dan meningkatkan keamanan komputer yaitu dengan menggunkan IDS dan IPS menggunakan Snort.
Untuk mempelajari secara spesifik tentang serangan Backdoor, maka dari itu penulis tertarik untuk mengangkat permasalahan ini kedalam rancangan penelitiannya yang berjudul
“ANALISIS PENDETEKSIAN DAN
PENCEGAHAN SERANGAN BACKDOOR PADA LAYANAN SERVER”.
2.
METODOLOGI PENELITIAN
Dalam penelitian ini penulis
menggunakan Metode Eksperimen. Metode Eksperimen adalah metode yang paling banyak dipilih dan paling produktif dalam penelitian. Bila dilakukan dengan baik, studi ekperimental menghasilkan bukti yang paling benar berkaitan dengan hubungan sebab-akibat.
Menurut Gay (1981) dalam Emzir (2013: 63) menyatakan bahwa penelitian eksperimental
merupakan satu-satunya metode penelitian yang
dapat menguji secara benar hipotesis
menyangkut hubungan kasual (sebab akibat).
Langkah-langkah metode eksperimen
adalah sebagai berikut:
1. Memilih dan merumuskan masalah.
Adanya permasalahan yang signifikan untuk diteliti, permasalahan yang dibahas pada penelitin ini adalah Bagaimana cara menganalisa serangan backdoor pada sistem jaringan untuk meningkatkan keamanan.
2. Memilih subjek dan instrumen
pengukuran
Pemilihan subjek yang akan dibagi dalam kelompok eksperimen dan kelompok kontrol. Penelitian ini menjadikan IDS dan
IPS Snort sebagai subjek dalam
menganalisa serangan backdoor pada layanan server.
3. Memilih desain penelitian
Penelitian ini dengan simulasi pada komputer yang saling berhubungan yang
betujuan untuk melakukan analisis
terhadap backdoor.
4. Melaksanakan prosedur
Tindakan yang dilakukan pada penelitian ini dengan membuat simulasi pada komputer yang saling berhubungan untuk melakukan penetrasi. Selanjutnya, akan dilakukan analisa pada server dengan menggunakan IDS / IPS Snort.
5. Analisis data
Analisis dilakukan dari pengamatan dan mencatat nilai dari parameter yang terjadi pada saat simulasi dilakukan.
Page | 3
6. Merumuskan kesimpulan
Setelah melakukan analisis, data
selanjutnya penulis membuat kesimpulan dan hasil yang sudah didapat.
2.1 Metode Pengumpulan Data
Metode pengumpulan data berupa suatu pernyataan (statement) tentang sifat, keadaan, kegiatan tertentu dan sejenisnya. Pengumpulan data dilakukan untuk memperoleh informasi yang dibutuhkan dalam rangka mencapai tujuan penelitian (Gulo, 2002 : 110).
Metode pengumpulan data yang dilakukan sebagai berikut:
1. Studi Literatur
Studi literatur adalah cara yang dipakai
untuk menghimpun data-data atau
sumber-sumber yang berhubungan dengan
topik yang diangkat dalam suatu
penelitian. Studi literatur bisa didapat dari
berbagai sumber, jurnal, buku
dokumentasi, internet dan pustaka.
2. Observasi
Melakukan pengamatan dan menganalisa serta berkordinasi dengan bagian IT agar memudahkan proses dokumentasi baik itu informasi yang berhubungan dengan objek dan pekerjaan apa saja yang dilakukan.
2.2
Metode Analisis
Backdoor adalah cara yang digunakan
untuk masuk kedalam sistem tanpa
sepengetahuan administrator. Backdoor
bertujuan untuk mempermudah memasuki sistem itu kembali jika jalan yang sudah dibuat dengan exploit telah ditutup oleh administrator. Maka dibuatlah simulasi yang saling berhubungan yang bertujuan untuk melakukan analisis terhadap Backdoor yang menggunakan IDS / IPS Snort (Juju, 2008 : 205).
3
Tahap Tahap Analisis
3.1 Instalasi Software
Peneliti menginstall beberapa software yang digunakan untuk analisis backdoor, diantaranya Kali Linux. Kemudian install Virtual Box yang didalamnya terdapat Ubuntu yang di gunakan sebagai server dan bertujuan untuk melakukan analisis serangan backdoor dan telah di install IDS / IPS Snort.
3.2 Instalasi Snort
Snort merupakan aplikasi yang digunakan sebagai tool security yang berfungsi sebagai pendeteksi adanya intrusi pada jaringan. Intrusi itu misalnya penyusupan, penyerangan, dan
berbagai macam ancaman lain yang
membahayakan.
Istilah keren Snort ini adalah Network Intrusion Prevention System (NIPS) dan Network Intrusion Detection System (NIDS). Snort sangat handal untuk membentuk logging paket-paket dan traffic analysis pada jaringan secara real time. Snort ini juga tidak hanya berjalan sebagai aplikasi pendeteksi
adanya intrusi saja namun
juga dapat merespon tindakan penyerangan
yang ada.
Page | 4
Gambar 1 mysql dan php5Gambar 2 pear install Numbers_Roman-1.0.2
Gambar 3 pear install Numbers_Words-0.16.2
Gambar 4 pear install Image_Canvas-0.3.2
Gambar 5 pear install Image_Graph-0.7.2
Kemudian, konfigurasi database dengan
memasukkan perintah : mysql -u root -pmhs create database snort ;
grant ALL on root.* to snort@localhost; grant ALL on snort.* to snort@localhost IDENTIFIED BY 'snort' ;
grant ALL on snort.* to snort IDENTIFIED BY 'snort' ;
exit
Setelah itu, dibawah ini adalah perintah selanjutnya untuk Instal SNORT :
apt-get install snort-mysql
snort-rules-default acidbase
Page | 5
Address range for the localnetwork: 172.168.56.0/24
Gambar 7 Address Range
mysql password : snort
Gambar 8 mysql password
Setelah semuanya sudah di install seperti perintah dan gambar diatas, selanjutnya
masukkan perintah untuk konfigurasi database : cd /usr/share/doc/snort-mysql
zcat create_mysql.gz | mysql -u root -h localhost -pmhs snort
Kemudian, masukkan perintah untuk Konfigurasi SNORT :
pico /etc/snort/database.conf output database: alert, mysql,
user=root password=snort dbname=snort host=localhost
output database: log, mysql, user=root
password=snort dbname=snort host=localhost # dibagian output database masukkan
include database.conf
Selanjutnya, masukkan perintah untuk membuang db-pending-config : rm /etc/snort/db-pending-config
Kemudian, konfigurasi BASE ketik perintah : pico /etc/acidbase/database.php $alert_user='snort'; $alert_password='snort'; $basepath='/acidbase'; $alert_dbname='snort'; $alert_host='localhost'; $alert_port=''; $DBtype='mysql';
Jika belum bisa diakses pada web, silahkan
copy konfigurasi dari directory Acid base :
Gambar 9 Konfigurasi Acidbase
Selanjutnya, Restart Apache dan Snort :
/etc/init.d/apache2 restart /etc/init.d/snort restart
Snort bisa di jalankan menggunakan perintah : /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S
HOME_NET=[172.168.26.0/24] -i eth0 Adapun beberapa ERROR yang terjadi :
Pada masa lalu kita menjalankan snort menggun akan
snort -dev -c /etc/snort/snort.conf –D Jika terjadi fatal error seperti :
ERROR: Failed to initialize dynamic preprocess or: SF_SMTP version 1.1.8
Page | 6
:/etc/init.d/snort restart
Kemudian, perbaiki Rules nya
Jalankan snort -dev -c /etc/snort/snort.conf Akan keluar error seperti :
Warning: /etc/snort/rules/dos.rules(42) => thresh old (in rule) is deprecated; use detection_filterins tead.
ERROR: /etc/snort/rules/community-smtp.rules(13) => !any is not allowed Fatal Error, Quitting.
Perbaiki line yang error misalnya : pico /etc/snort/rules/dos.rules delete line 42
Izin Akses Non Localhost
Agar mesin non-localhost dapat mengakses, maka perlu mengedit :
pico /etc/acidbase/apache.conf Kemudian tambahkan :
<DirectoryMatch /usr/share/acidbase/> ...
allow from 127.0.0.0/255.0.0.0 (IP Address/subnetmaksnya Server IDS) allow from 0.0.0.0/0.0.0.0
...
</DirectoryMatch>
Selanjutny, Restart Web Server : /etc/init.d/apache2 restart
Kemudian, akses ke
:
http://localhost/acidbase
Gambar 10 Buka http://localhost/acidbase
3.3. Simulasi Penetrasi Backdoor
Peneliti membuka sebuah web yang
vulnerable yang berada didalam server. Masukkan Username dan Password agar bisa login ke web tersebut dan akan tampil web yang sudah login tadi.
Gambar 11 Login Web Vulnerable
Gambar 12 Web Vulnerable
Kemudian, upload sebuah
file
backdoor.php
di
website
yang
vulnerable
tersebut.
Page | 7
Gambar 14 Hasil Upload Backdor4
Hasil dan Pembahasan
4.1
HasilDari hasil analisis yang dilakukan, peneliti membuka backdoor type c99.php yang telah didapatkan dan buka menu-menu yang ada di tampilan backdoor c99.php tersebut untuk mengeluarkan log / dumping log :
Gambar 15 c99.php
4.2 Pembahasan
4.2.1 Deteksi Backdoor di Snort
Langkah awal kita harus membuat rules khusus yang dikhususkan untuk backdoor
tertentu. Dalam skripsi ni, peneliti
menambahkan rules dengan backdoor C99.php. Untuk menambahkan rules tersebut, buat file dengan ekstensi .rules pada folder /etc/snort/rules dengan perintah nano c99.rules.
Rules nya sebagai berikut :
Gambar 16 nano c99.rules
Kemudian langkah selanjutnya sebagai simulasi, peneliti membuka backdoor untuk membuat log backdoor berjalan pada snort.
Gambar 17 Log Snort
Sedangkan untuk backdoor yang
terenkripsi skripnya seperti b374k.php, IDS snort belum dapat mendeteksi apapun baik menggunakan acidbase ataupun log manual.
Page | 8
4.2.2
Deteksi Backdoor Menggunakan
Backdoor Scanner
Backdoor scanner merupakan scanner yang berisi script scanning backdoor, yang berformat php yang ditanam di dalam folder server yang akan di di proteksi oleh backdoor scanner, agar apabila ada backdoor didalam folder tersebut dapat langsung terdeteksi.
Berikut langkah-langkah pendeteksian dengan menggunakan backdoor scanner antara lain :
1.
Download script backdoor.scanner diforum Devilzc0de.
http://devilzc0de.org/forum/showthread.p hp?tid=4862
2.
Tanam script tersebut pada folder konten website yang akan di proteksi, simpan dengan ekstensi .php. Pada study kasus ini, script diletakkan pada folder default apache ubuntu yaitu pada folder : /var/www/backdoorscanner.php3.
Langkah berikutnya panggil file tersebut melalui browser maka akan tampil pilihan sebagai berikut. Kemudian centang semua pilihan script yang akan dicari, sebagai opsi dalam pencarian backdoor atau script yang mencurigakan. Kemudian start scan tunggu hingga proses scanning selesai.Gambar 18 Backdoorscanner.php
4.
Berikut hasil yang didapat dalam hal
ini
Backdoorscanner
berhasil
mendeteksi
backdoor c99.php
dan
r57.php
yang terdeteksi sebagai
hidden
shell
dan dianggap mencurigakan
ditandai dengan warna biru.
Gambar 19 Hidden shell c99.php
5.
Setelah mengetahui hasil
backdoor
yang sudah di
scan
, cari salah satu
type
backdoor
yang terdeteksi tadi dengan
memilih
other keyword
, maka hasil
nya akan terlihat
type backdoor
tersebut.
Page | 9
6.
Berikut hasil yang di dapat setelah salahsatu type backdoor di scan dengan menggunakan pilihan other keyword. Hasilnya yaitu backdoor c99.php dan r57.php.
Gambar 21 hasil other keyword c99.php Gambar 15 script c99.php
4.2.3
Hardening Backdoor Pra Acident
Untuk tindakan Pra Accident, kita dapat melakukan tindakan hardening (penguatan) terhadap server, dengan melakukan tindakan atau konfigurasi agar server tersebut tidak mudah ditanami backdoor. Kemudian lakukan konfigurasi terdapat pada
/etc/php5/apache2/php.ini dan edit file tersebut. Edit konfigurasi untuk mencegah terjadi nya Bug LFI (Local File Inclusio)n, dan RFI (Remote File Inclusion) pada server, sehingga attacker tidak bisa menarik file backdoor secara langsung apabila website tersebut memiliki celah
keamanan LFI dan RFI . Ubah script
allow_url_fopen= Off dan allow_url_include = Off.
Gambar 22 Konfigurasi php.ini
Gambar 23 Expose.php
Edit Konfigurasi expose_php = Off , berguna agar php yang ada di server tidak mengekspose atau membuka script php pada script yang ada server apabila terdapat celah keamanan php expose script.
Masih dalam konfigurasi php.ini, edit
konfigurasi disable_function dengan
menambahkan Script :
eval,system,show_Source,symlink,exec,dl,shell_
exec,passthru,phpinfo, escapeshellarg,
escapeshellcmd, base64decode, phpuname. Disable_function berfungsi agar tidak menjalankan script php yang mencurigakan. Script konfigurasi diatas didapat dari beberapa forum hacking yang ada di internet.
Page | 10
Konfigurasi safe_mode ubah menjadi Onagar php selalu dalam posisi mode aman. Setelah semuanya di konfigurasi, peneliti mencoba upload backdoor c99.php . Ternyata, file backdoor c99.php tersebut tidak terbaca / tidak bisa di panggil yang bertuliskan Not Found. Dan jika dipanggil melalui
backdoor.php, maka c99.php masih terbaca akan tetapi script nya tidak bisa di baca lagi dan hanya dideteksi folder-folder nya saja.
Gambar 24 c99.php not found
Referensi
Emzir. 2011. Metodologi Penelitian Pendidikan. Jakarta : PT.Raja Grafindo Persada Gulo, W. 2002. Metodologi Penelitian. Jakarta :
Grasindo
Juju, Dominikus & Studio, M. 2008. Teknik Menangkal Kejahatan Internet. Jakarta : PT. Elex Media Komputindo.
