Navigate

Ada Penyusup Masuk ke Server

Anda punya web server sendiri atau server lain yang bisa diakses dari Publik, selain menambah fasilitas server juga bisa “menimbulkan” (mendapat) masalah. Saya tidak membahasa manfaat server, jika kita memakai Internet secara umum kita telah menggunakan layanan dari server. Manfaatnya bisa dirasakan sendiri. Salah satu masalah yang bisa terjadi di server adalah adanya “penyusup” masuk ke server sacara Ilegal dengan menggunakan user/password yang sah atau dengan menafaatkan kelemahan yang ada di server.

Melihat User Linux yang Online

Masalah yang sering terjadi adalah yang punya server tidak tahu kalau servernya sedang disusupi pengguna secara ilegal. karena secara fisik server tidak ada masalah. Pengamatan memang harus dilakukan secara software untuk mengbetahu apa yang sedang terjadi saat ini. Mislanya dengan mengetahu proses apa yang sedang berjalan, siapa saja user yang aktif, seberapa besar menggunaan trafik ke Internet.

Trafik Internet tiba-tiba melambat

Masalah yang lain adalah menemukan sumber masalah yang sebenarnya, perlu analisa secara forensik IT untuk memastikannya.  Jika Server berada di Lokasi kantor yang sama dengan akses internet yang kita gunakan, ada beberapa yang bisa kita rasakan atau dilihat antara lain :

  • Ada trafik (bisa jadi besar) yang tidak wajar, trafik Uploa da/Download hampir sama.
  • Koneksi Internet melambat
  • Penggunaan Resouuce Prosesor dan Memori yang sangat besar
  • Jika anda bisa masuk ke server, bisa melihat ada user yang masuk ke server secara ilegal, bisa dicek dengan mengetik : w
  • Ada trafik yang berjalan terus menerus, jika linu Linux/Unix bisa dicek dengan : netstat
  • Ada File-file asing (ilegal) yang biasanya “ditaruh” oleh penyusup untuk melakukan aksinya.
  • Jika bisa akses Log file, rekam jejak user dan IP pengakses umumnya akan terrekan di log file.
Netstat di Linux Server

Jika memang sudah diketahu masalahnya baru kita bisa memberikan solusi untuk memecahkan masalahnya. Misalkan jika ada pengguna ilegal masuk dengan salah satu user, user yang aktif bisa di paksa “keluar” dan di disable. Jika “penyusup” menaruh file asing di salah satu web, lebih baik web di disable sementara. File asing bisa dihapus atau di simpan dahulu untuk mengetahu cara kerjanya.

Melihat File Log di var/log

Beberapa kasus yang pernah saya alami, penyusup menaruh file di server beberapa file (Script) mempunyai tujuan yang beragam antara lain :

  • Menjadikan server kita sebagai alat scanner atau penyerang target Server yang lain.
  • Memasang Script (Web) Proxy Server di salah satu URL
  • Meng-inject file html/php dengan Iframe, yang biasanya terletak dibagian Footer.
  • Menaruh sebuah halaman tertentu sebagai bukti “meninggalkan jejak” disebuah server.
Sebuah Server "memakan" bandwidth 2 Mbps di tengah malam

Ada pengalaman lain mari kita berbagi disini. Semoga bermanfaat.

hackpenyusupSecurityserver
editor1:
Related Post
  1. Sambutan untuk Super Hercules Terbaru: Pesawat C-130J A-1344 Siap Tiba untuk Memperkuat TNI AU
  2. Introducing the Hytera MNC360 Revolutionizing In-Vehicle Communication
  3. Kebocoran Data Dukcapil Terbesar dan Paling Mengkhawatirkan di Indonesia?