Page 1
Page | 1
Analisis Pendeteksian dan Pencegahan Serangan Backdoor Pada Layanan
Server
Budi Kurniawan 1, Muhamad Akbar
2, Edi Surya Negara
3
Mahasiswa Universitas Bina Darma 1 Dosen Universitas Bina Darma
2,3
Jl. A. Yani No.12 Plaju, Palembang 30624
email : [email protected] 1
[email protected] 2, [email protected]
3
Abstrack : Many of the problems that often occur in the computer network system is one of them
backdoor . Backdoor in the world of hackers have made sense back door when leaving the hosts
that have been entered . This door password login form . Backdoor is useful when the cracker
wants to go back to the host / server , because if the root or admin password has been changed ,
we are still able to log in using backdoor password that has been installed . Backdoor initially
created by the computer programmer as a mechanism that allows them to gain special access to
their program . Due to an attack could come at any time we need a security system that can
monitor an incoming data packets , whether it included the attack or not . One prevention efforts
and improve computer security is by using Snort IDS and IPS use .
Keywords: Backdoor, IDS, IPS, Snort, Keamanan jaringan.
Abstrak : Banyak masalah yang sering terjadi pada sistem jaringan komputer yaitu salah satunya
backdoor. Backdoor dalam dunia hacker memiliki arti membuat pintu belakang apabila akan
meninggalkan host yang sudah dimasuki. Pintu ini berupa password login. Backdoor ini berguna
apabila cracker ingin kembali ke host / server tersebut, karena jika password root atau admin telah
diganti, kita masih bisa masuk menggunakan password backdoor yang telah dipasang. Backdoor
pada awalnya dibuat oleh para programmer komputer sebagai mekanisme yang mengizinkan
mereka untuk memperoleh akses khusus ke dalam program mereka. Dikarenakan suatu serangan
dapat datang kapan saja maka dibutuhkan suatu sistem keamanan yang dapat memonitor suatu
paket data yang masuk, apakah itu termasuk serangan atau bukan. Salah satu upaya pencegahan
dan meningkatkan keamanan komputer yaitu dengan menggunkan IDS dan IPS menggunakan
Snort.
Kata kunci : Backdoor, IDS, IPS, Snort, Keamanan jaringan.
1. PENDAHULUAN
Diskusi tentang masalah keamanan sebuah
jaringan komputer, sudah pasti sangat rawan
terhadap serangan dari luar. Banyak sebab yang
digunakan untuk melakukan kegiatan
penyerangan pada suatu jaringan komputer.
Istilah hacker pada umum nya adalah seseorang
yang memiliki keinginan dalam mengetahui
secara mendalam mengenai kerja sistem dan
jaringan komputer, kemudian menjadi orang
yang ahli dalam bidang penguasaan sistem dan
jaringan komputer. Tetapi dengan kemudahan
dalam pengaksesan internet ada pula ancaman
besar yang mengintai, yaitu beberapa macam
serangan yang bertujuan untuk mencari
kerentanan dari sebuah sistem keamanan
jaringan komputer.
Banyak masalah yang sering terjadi pada
sistem jaringan komputer yaitu salah satunya
backdoor. Backdoor dalam dunia hacker
memiliki arti membuat pintu belakang apabila
akan meninggalkan host yang sudah dimasuki.
Pintu ini adalah password login. Backdoor ini
berguna apabila cracker ingin kembali ke host /
Page 2
Page | 2
server tersebut, karena jika password root atau
admin telah diganti, kita masih bisa masuk
menggunakan password backdoor yang telah
dipasang.
Backdoor pada awalnya dibuat oleh para
programmer komputer sebagai mekanisme yang
mengizinkan mereka untuk mendapatkan akses
khusus ke dalam program mereka, seringnya
digunakan untuk membenarkan dan
memperbaiki kode pada program yang mereka
buat ketika sebuah crash akibat bug terjadi.
Dikarenakan suatu serangan dapat datang
kapan saja seperti pada beberapa kasus diatas,
maka dibutuhkan suatu sistem keamanan yang
dapat memonitor suatu paket data yang masuk,
apakah itu termasuk serangan atau bukan. Salah
satu upaya pencegahan dan meningkatkan
keamanan komputer yaitu dengan menggunkan
IDS dan IPS menggunakan Snort.
Untuk mempelajari secara spesifik tentang
serangan Backdoor, maka dari itu penulis
tertarik untuk mengangkat permasalahan ini
kedalam rancangan penelitiannya yang berjudul
“ANALISIS PENDETEKSIAN DAN
PENCEGAHAN SERANGAN BACKDOOR
PADA LAYANAN SERVER”.
2. METODOLOGI PENELITIAN
Dalam penelitian ini penulis
menggunakan Metode Eksperimen. Metode
Eksperimen adalah metode yang paling banyak
dipilih dan paling produktif dalam penelitian.
Bila dilakukan dengan baik, studi ekperimental
menghasilkan bukti yang paling benar berkaitan
dengan hubungan sebab-akibat.
Menurut Gay (1981) dalam Emzir (2013:
63) menyatakan bahwa penelitian eksperimental
merupakan satu-satunya metode penelitian yang
dapat menguji secara benar hipotesis
menyangkut hubungan kasual (sebab akibat).
Langkah-langkah metode eksperimen
adalah sebagai berikut:
1. Memilih dan merumuskan masalah.
Adanya permasalahan yang signifikan
untuk diteliti, permasalahan yang dibahas
pada penelitin ini adalah Bagaimana cara
menganalisa serangan backdoor pada
sistem jaringan untuk meningkatkan
keamanan.
2. Memilih subjek dan instrumen
pengukuran
Pemilihan subjek yang akan dibagi dalam
kelompok eksperimen dan kelompok
kontrol. Penelitian ini menjadikan IDS dan
IPS Snort sebagai subjek dalam
menganalisa serangan backdoor pada
layanan server.
3. Memilih desain penelitian
Penelitian ini dengan simulasi pada
komputer yang saling berhubungan yang
betujuan untuk melakukan analisis
terhadap backdoor.
4. Melaksanakan prosedur
Tindakan yang dilakukan pada penelitian
ini dengan membuat simulasi pada
komputer yang saling berhubungan untuk
melakukan penetrasi. Selanjutnya, akan
dilakukan analisa pada server dengan
menggunakan IDS / IPS Snort.
5. Analisis data
Analisis dilakukan dari pengamatan dan
mencatat nilai dari parameter yang terjadi
pada saat simulasi dilakukan.
Page 3
Page | 3
6. Merumuskan kesimpulan
Setelah melakukan analisis, data
selanjutnya penulis membuat kesimpulan
dan hasil yang sudah didapat.
2.1 Metode Pengumpulan Data
Metode pengumpulan data berupa suatu
pernyataan (statement) tentang sifat, keadaan,
kegiatan tertentu dan sejenisnya. Pengumpulan
data dilakukan untuk memperoleh informasi
yang dibutuhkan dalam rangka mencapai tujuan
penelitian (Gulo, 2002 : 110).
Metode pengumpulan data yang dilakukan
sebagai berikut:
1. Studi Literatur
Studi literatur adalah cara yang dipakai
untuk menghimpun data-data atau
sumber-sumber yang berhubungan dengan
topik yang diangkat dalam suatu
penelitian. Studi literatur bisa didapat dari
berbagai sumber, jurnal, buku
dokumentasi, internet dan pustaka.
2. Observasi
Melakukan pengamatan dan menganalisa
serta berkordinasi dengan bagian IT agar
memudahkan proses dokumentasi baik itu
informasi yang berhubungan dengan objek
dan pekerjaan apa saja yang dilakukan.
2.2 Metode Analisis
Backdoor adalah cara yang digunakan
untuk masuk kedalam sistem tanpa
sepengetahuan administrator. Backdoor
bertujuan untuk mempermudah memasuki sistem
itu kembali jika jalan yang sudah dibuat dengan
exploit telah ditutup oleh administrator. Maka
dibuatlah simulasi yang saling berhubungan
yang bertujuan untuk melakukan analisis
terhadap Backdoor yang menggunakan IDS / IPS
Snort (Juju, 2008 : 205).
3 Tahap Tahap Analisis
3.1 Instalasi Software
Peneliti menginstall beberapa software
yang digunakan untuk analisis backdoor,
diantaranya Kali Linux. Kemudian install Virtual
Box yang didalamnya terdapat Ubuntu yang di
gunakan sebagai server dan bertujuan untuk
melakukan analisis serangan backdoor dan telah
di install IDS / IPS Snort.
3.2 Instalasi Snort
Snort merupakan aplikasi yang digunakan
sebagai tool security yang berfungsi sebagai
pendeteksi adanya intrusi pada jaringan. Intrusi
itu misalnya penyusupan, penyerangan, dan
berbagai macam ancaman lain yang
membahayakan.
Istilah keren Snort ini adalah Network
Intrusion Prevention System (NIPS) dan Network
Intrusion Detection System (NIDS). Snort sangat
handal untuk membentuk logging paket-paket
dan traffic analysis pada jaringan secara real
time. Snort ini juga tidak hanya berjalan sebagai
aplikasi pendeteksi adanya intrusi saja namun
juga dapat merespon tindakan penyerangan
yang ada.
Page 4
Page | 4
Gambar 1 mysql dan php5
Gambar 2 pear install Numbers_Roman-1.0.2
Gambar 3 pear install Numbers_Words-0.16.2
Gambar 4 pear install Image_Canvas-0.3.2
Gambar 5 pear install Image_Graph-0.7.2
Kemudian, konfigurasi database dengan
memasukkan perintah :
mysql -u root -pmhs
create database snort ;
grant ALL on root.* to snort@localhost;
grant ALL on snort.* to snort@localhost
IDENTIFIED BY 'snort' ;
grant ALL on snort.* to snort IDENTIFIED BY
'snort' ;
exit
Setelah itu, dibawah ini adalah perintah
selanjutnya untuk Instal SNORT :
apt-get install snort-mysql snort-rules-
default acidbase
Gambar 6 Install Snort
Page 5
Page | 5
Address range for the local
network: 172.168.56.0/24
Gambar 7 Address Range
mysql password : snort
Gambar 8 mysql password
Setelah semuanya sudah di install seperti
perintah dan gambar diatas, selanjutnya
masukkan perintah untuk konfigurasi database :
cd /usr/share/doc/snort-mysql
zcat create_mysql.gz | mysql -u root -h localhost
-pmhs snort
Kemudian, masukkan perintah untuk
Konfigurasi SNORT :
pico /etc/snort/database.conf
output database: alert, mysql,
user=root password=snort dbname=snort
host=localhost
output database: log, mysql, user=root
password=snort dbname=snort host=localhost
# dibagian output database masukkan
include database.conf
Selanjutnya, masukkan perintah untuk
membuang db-pending-config :
rm /etc/snort/db-pending-config
Kemudian, konfigurasi BASE ketik perintah :
pico /etc/acidbase/database.php
$alert_user='snort';
$alert_password='snort';
$basepath='/acidbase';
$alert_dbname='snort';
$alert_host='localhost';
$alert_port='';
$DBtype='mysql';
Jika belum bisa diakses pada web, silahkan
copy konfigurasi dari directory Acid base :
Gambar 9 Konfigurasi Acidbase
Selanjutnya, Restart Apache dan Snort :
/etc/init.d/apache2 restart
/etc/init.d/snort restart
Snort bisa di jalankan menggunakan perintah :
/usr/sbin/snort -m 027 -D -d -l /var/log/snort -u
snort -g snort -c /etc/snort/snort.conf -S
HOME_NET=[172.168.26.0/24] -i eth0
Adapun beberapa ERROR yang terjadi :
Pada masa lalu kita menjalankan snort menggun
akan
snort -dev -c /etc/snort/snort.conf –D
Jika terjadi fatal error seperti :
ERROR: Failed to initialize dynamic preprocess
or: SF_SMTP version 1.1.8
Sebaiknya jalankan snort menggunakan perintah
Page 6
Page | 6
:
/etc/init.d/snort restart
Kemudian, perbaiki Rules nya
Jalankan snort -dev -c /etc/snort/snort.conf
Akan keluar error seperti :
Warning: /etc/snort/rules/dos.rules(42) => thresh
old (in rule) is deprecated; use detection_filterins
tead.
ERROR: /etc/snort/rules/community-
smtp.rules(13) => !any is not allowed
Fatal Error, Quitting.
Perbaiki line yang error misalnya :
pico /etc/snort/rules/dos.rules
delete line 42
Izin Akses Non Localhost
Agar mesin non-localhost dapat mengakses,
maka perlu mengedit :
pico /etc/acidbase/apache.conf
Kemudian tambahkan :
<DirectoryMatch /usr/share/acidbase/>
...
allow from 127.0.0.0/255.0.0.0 (IP
Address/subnetmaksnya Server IDS)
allow from 0.0.0.0/0.0.0.0
...
</DirectoryMatch>
Selanjutny, Restart Web Server :
/etc/init.d/apache2 restart
Kemudian, akses ke :
http://localhost/acidbase
Gambar 10 Buka http://localhost/acidbase
3.3. Simulasi Penetrasi Backdoor
Peneliti membuka sebuah web yang
vulnerable yang berada didalam server.
Masukkan Username dan Password agar bisa
login ke web tersebut dan akan tampil web yang
sudah login tadi.
Gambar 11 Login Web Vulnerable
Gambar 12 Web Vulnerable
Kemudian, upload sebuah file backdoor.php
di website yang vulnerable tersebut.
Page 7
Page | 7
Gambar 14 Hasil Upload Backdor
4 Hasil dan Pembahasan
4.1 Hasil
Dari hasil analisis yang dilakukan, peneliti
membuka backdoor type c99.php yang telah
didapatkan dan buka menu-menu yang ada di
tampilan backdoor c99.php tersebut untuk
mengeluarkan log / dumping log :
Gambar 15 c99.php
4.2 Pembahasan
4.2.1 Deteksi Backdoor di Snort
Langkah awal kita harus membuat rules
khusus yang dikhususkan untuk backdoor
tertentu. Dalam skripsi ni, peneliti
menambahkan rules dengan backdoor C99.php.
Untuk menambahkan rules tersebut, buat
file dengan ekstensi .rules pada folder
/etc/snort/rules dengan perintah nano c99.rules.
Rules nya sebagai berikut :
Gambar 16 nano c99.rules
Kemudian langkah selanjutnya sebagai
simulasi, peneliti membuka backdoor untuk
membuat log backdoor berjalan pada snort.
Gambar 17 Log Snort
Sedangkan untuk backdoor yang
terenkripsi skripnya seperti b374k.php, IDS
snort belum dapat mendeteksi apapun baik
menggunakan acidbase ataupun log manual.
Page 8
Page | 8
4.2.2 Deteksi Backdoor Menggunakan
Backdoor Scanner
Backdoor scanner merupakan scanner
yang berisi script scanning backdoor, yang
berformat php yang ditanam di dalam folder
server yang akan di di proteksi oleh backdoor
scanner, agar apabila ada backdoor didalam
folder tersebut dapat langsung terdeteksi.
Berikut langkah-langkah pendeteksian
dengan menggunakan backdoor scanner antara
lain :
1. Download script backdoor.scanner di
forum Devilzc0de.
http://devilzc0de.org/forum/showthread.p
hp?tid=4862
2. Tanam script tersebut pada folder konten
website yang akan di proteksi, simpan
dengan ekstensi .php. Pada study kasus
ini, script diletakkan pada folder default
apache ubuntu yaitu pada folder :
/var/www/backdoorscanner.php
3. Langkah berikutnya panggil file tersebut
melalui browser maka akan tampil pilihan
sebagai berikut. Kemudian centang semua
pilihan script yang akan dicari, sebagai
opsi dalam pencarian backdoor atau script
yang mencurigakan. Kemudian start scan
tunggu hingga proses scanning selesai.
Gambar 18 Backdoorscanner.php
4. Berikut hasil yang didapat dalam hal
ini Backdoorscanner berhasil
mendeteksi backdoor c99.php dan
r57.php yang terdeteksi sebagai hidden
shell dan dianggap mencurigakan
ditandai dengan warna biru.
Gambar 19 Hidden shell c99.php
5. Setelah mengetahui hasil backdoor
yang sudah discan, cari salah satu type
backdoor yang terdeteksi tadi dengan
memilih other keyword, maka hasil
nya akan terlihat type backdoor
tersebut.
Gambar 20 Other keyword c99.php
Page 9
Page | 9
6. Berikut hasil yang di dapat setelah salah
satu type backdoor di scan dengan
menggunakan pilihan other keyword.
Hasilnya yaitu backdoor c99.php dan
r57.php.
Gambar 21 hasil other keyword c99.php
Gambar 15 script c99.php
4.2.3 Hardening Backdoor Pra Acident
Untuk tindakan Pra Accident, kita dapat
melakukan tindakan hardening (penguatan)
terhadap server, dengan melakukan tindakan
atau konfigurasi agar server tersebut tidak
mudah ditanami backdoor. Kemudian lakukan
konfigurasi terdapat pada
/etc/php5/apache2/php.ini dan edit file tersebut.
Edit konfigurasi untuk mencegah terjadi
nya Bug LFI (Local File Inclusio)n, dan RFI
(Remote File Inclusion) pada server, sehingga
attacker tidak bisa menarik file backdoor secara
langsung apabila website tersebut memiliki celah
keamanan LFI dan RFI . Ubah script
allow_url_fopen= Off dan allow_url_include =
Off.
Gambar 22 Konfigurasi php.ini
Gambar 23 Expose.php
Edit Konfigurasi expose_php = Off ,
berguna agar php yang ada di server tidak
mengekspose atau membuka script php pada
script yang ada server apabila terdapat celah
keamanan php expose script.
Masih dalam konfigurasi php.ini, edit
konfigurasi disable_function dengan
menambahkan Script :
eval,system,show_Source,symlink,exec,dl,shell_
exec,passthru,phpinfo, escapeshellarg,
escapeshellcmd, base64decode, phpuname.
Disable_function berfungsi agar tidak
menjalankan script php yang mencurigakan.
Script konfigurasi diatas didapat dari beberapa
forum hacking yang ada di internet.
Page 10
Page | 10
Konfigurasi safe_mode ubah menjadi On
agar php selalu dalam posisi mode aman.
Setelah semuanya di konfigurasi, peneliti
mencoba upload backdoor c99.php . Ternyata,
file backdoor c99.php tersebut tidak terbaca /
tidak bisa di panggil yang bertuliskan Not
Found. Dan jika dipanggil melalui
backdoor.php, maka c99.php masih terbaca akan
tetapi script nya tidak bisa di baca lagi dan
hanya dideteksi folder-folder nya saja.
Gambar 24 c99.php not found
Referensi
Emzir. 2011. Metodologi Penelitian Pendidikan.
Jakarta : PT.Raja Grafindo Persada
Gulo, W. 2002. Metodologi Penelitian. Jakarta :
Grasindo
Juju, Dominikus & Studio, M. 2008. Teknik
Menangkal Kejahatan Internet. Jakarta
: PT. Elex Media Komputindo.