hacker indonesia

Dalam rangka menjaga keamanan aplikasi berbasis web yang saya miliki, saya sengaja meluangkan waktu untuk melakukan cek log web server.

Cara yang saya lakukan boleh dibilang sederhana dan menurut saya bukan yang terbaik. Berikut ini adalah langkah - langkah yang saya lakukan untuk melacak dan blokir ip address hacker / attacker yang menyerang server saya.

1. Cek Log Web Server

Berdasarkan yang saya ketahui, jika suatu web server memberikan response 4XX atau 5XX, ada kemungkinan hacker mengirimkan request untuk melakukan serangan. Maka yang saya lakukan cukup mencari response web server yang memberikan status 4XX atau 5XX.

# cek response 4XX
cat log/access.log | grep '" 4'

# cek response 5XX
cat log/access.log | grep '" 5

Dari access log web server tersebut, saya menemukan request yang aneh seperti dibawah ini

180.97.106.164 - - [11/Apr/2018:20:39:25 +0000] "\x04\x01\x00P\xB4\xA3qR\x00" 400 182 "-" "-"  
180.97.106.164 - - [11/Apr/2018:22:05:10 +0000] "\x05\x02\x00\x02" 400 182 "-" "-"
66.240.205.34 - - [14/Apr/2018:13:21:14 +0000] "Gh0st\xAD\x00\x00\x00\xE0\x00\x00\x00x\x9CKS``\x98\xC3\xC0\xC0\xC0\x06\xC4\x8C@\xBCQ\x96\x81\x81\x09H\x07\xA7\x16\x95e&\xA7*\x04$&g+\x182\x94\xF6\xB000\xAC\xA8rc\x00\x01\x11\xA0\x82\x1F\x5C`&\x83\xC7K7\x86\x19\xE5n\x0C9\x95n\x0C;\x84\x0F3\xAC\xE8sch\xA8^\xCF4'J\x97\xA9\x82\xE30\xC3\x91h]&\x90\xF8\xCE\x97S\xCBA4L?2=\xE1\xC4\x92\x86\x0B@\xF5`\x0CT\x1F\xAE\xAF]" 400 182 "-" "-"
60.191.38.77 - - [17/Apr/2018:22:00:52 +0000] "Gh0st\xAD\x00\x00\x00\xE0\x00\x00\x00x\x9CKS``\x98\xC3\xC0\xC0\xC0\x06\xC4\x8C@\xBCQ\x96\x81\x81\x09H\x07\xA7\x16\x95e&\xA7*\x04$&g+\x182\x94\xF6\xB000\xAC\xA8rc\x00\x01\x11\xA0\x82\x1F\x5C`&\x83\xC7K7\x86\x19\xE5n\x0C9\x95n\x0C;\x84\x0F3\xAC\xE8sch\xA8^\xCF4'J\x97\xA9\x82\xE30\xC3\x91h]&\x90\xF8\xCE\x97S\xCBA4L?2=\xE1\xC4\x92\x86\x0B@\xF5`\x0CT\x1F\xAE\xAF]" 400 182 "-" "-"

Dari log web server tersebut, diketahui ada 3 IP Address yang mencurigakan, yaitu:

  • 180.97.106.164
  • 66.240.205.34
  • 60.191.38.77

Selain cek log web server, saya juga melakukan pengecekan dengan aplikasi nmap, sejauh ini tidak ada yang mencurigakan.

2. Cek dan Report ke AbuseIPDB

Setelah cek log web server saya menemukan log yang mencurigakan, kemudian saya melakukan cek ke AbuseIPDB. Dari AbuseIPDB, ternyata IP Address yang mencurigakan tersebut memang telah banyak mendapatkan report dan AbuseIPDB memberikan Confidence of Abuse is 100%.

Dari informasi ini saya yakin IP Address tersebut memang bermasalah dan saya juga memberikan report terhadap IP Address hacker nakal tersebut.

3. Blokir IP Address

Berdasarkan informasi AbuseIPDB tersebut, saya lalu melakukan blokir IP Address untuk antisipasi serangan Hacker dengan menggunakan iptables sebagai firewall.

iptables -A INPUT -s 180.97.106.164 -j DROP
iptables -A INPUT -s 60.191.38.77 -j DROP
iptables -A INPUT -s 66.240.205.34 -j DROP

Perintah iptables diatas kurang lebih berarti jika ada koneksi yang masuk ke server dari ip address yang diberikan, maka lakukan drop koneksi.

Untuk cek list rules iptables yang pernah dibuat.

iptables -L --line-numbers

Demikian langkah - langkah yang saya lakukan untuk mengamankan server. Jika ada saran yang lebih baik mengenai langkah - langkah saya tersebut, silakan kontak saja melalui twitter @kaklabs.

Photo by Josue Valencia