<![CDATA[BackBox Indonesia - Hardening]]> https://www.backboxindonesia.or.id/ Fri, 01 May 2026 07:13:31 +0000 MyBB <![CDATA[Meminimalisir serangan dos/ddos pada server]]> https://www.backboxindonesia.or.id/thread-245.html Wed, 08 May 2019 13:50:32 +0000 https://www.backboxindonesia.or.id/thread-245.html Untuk melanjutkan artikel sebelumnya tentang cara mengamankan server dari berbagai serangan.
Di post kali ini saya akan membahas bagaimana cara meminimalisir serangan DOS/DDOS pada server yang kita kelola secara teknisnya.
Yang akan kita bahas kali ini adalah:

  1. Blok traffic masuk ICMP
  2. Blok IP yang di sinyalir membahayakan server dengan iptables
  3. Batasi jumlah traffic masuk pada server
  4. Tutup port yang tidak di perlukan
  5. Batasi ukuran file yang di upload
  6. Pasang IDS & IPS untuk meminimalisir serangan

Pertama:
Oke langsung saja ke bahasan pertama yaitu mem blok traffic masuk ICMP.
Kenapa ICMP harus di batasi??
Karena perlu kita ketahui juga dalam serangan DOS/DDOS itu ada namanya teknik "Ping of death" atau bisa di sebut sebagai serangan yang di tujukan pada protokol ICMP.
Untuk cara menangkalnya cukup mudah, kita hanya menambahkan rule iptables saja.
Tetapi sebelum mengeksekusi perintahnya kita harus menggunakan user root terlebih dahulu.
Perintahnya kurang lebih seperti ini

Code:
$ iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

dan jika kalian ingin menghapus rute tersebut cukup mengganti "-A" menjadi "-D".

Code:
$ iptables -D INPUT -p icmp --icmp-type echo-request -j DROP

Cukup mudah bukan?? :)

Kedua:
Oke kita lanjut ke pembahasan kedua, yaitu membloking ip address yang di sinyalir membahayakan server.
Seperti biasa tools yang di gunakan masih menggunakan iptables.
Perintahnya serperti ini

Code:
$ iptables -A INPUT -s ipaddress -j DROP

Sebagai contoh kita akan memblok ip 1.1.1.1, dan perintahnya seperti ini.

Code:
$ iptables -A INPUT -s 1.1.1.1 -j DROP

Seperti pembahasan di atas, jika kita ingin meng unblock tinggal mengganti "-A" menjadi "-D".

Code:
$ iptables -D INPUT -s 1.1.1.1 -j DROP

Sudah mulai sedikit paham dengan iptables?? :)

Ketiga:
Lanjut ke pembahasan ke tiga yaitu tentang cara membatasi maksimal request yang masuk.
Kali ini masih seputar iptables, dan tidak perlu lagi seting di webserver.
Tujuannya yaitu menghidari bruteforce, DOS/DDOS pada web server, dan bisa juga di terapkan ke service yang lain.
Sebagai contoh bisa di terapkan juga ke port ssh agar tidak terjadi serangan bruterforce secara berturut turut.
Ketika ada salah satu ip yang mencoba mem bruteforce maka ip tersebut akan di block oleh iptables untuk sementara.
Perintahnya kurang lebih seperti ini

Code:
$ iptables -I INPUT -p tcp --dport [port] -i [interface] -m state --state NEW -m recent --set
$ iptables -I INPUT -p tcp --dport [port] -i [interface] -m state --state NEW -m recent  --update --seconds [waktu] --hitcount 4 -j DROP

Keterangan:
[port] = port yang akan kita batasi koneksinya
[interface] = interface jaringan yang di gunakan pada server
[waktu] = waktu tunggu setelah di blok oleh ip tables

Sebagai contoh apabila di server kita mempunyai 3 port yang di buka maka perintahnya seperti ini

Code:
$ iptables -I INPUT -p tcp --dport 22 -i ens3 -m state --state NEW -m recent --set
$ iptables -I INPUT -p tcp --dport 80 -i ens3 -m state --state NEW -m recent --set
$ iptables -I INPUT -p tcp --dport 443 -i ens3 -m state --state NEW -m recent --set
$ iptables -I INPUT -p tcp --dport 22 -i ens3 -m state --state NEW -m recent  --update --seconds 60 --hitcount 4 -j DROP
$ iptables -I INPUT -p tcp --dport 80 -i ens3 -m state --state NEW -m recent  --update --seconds 60 --hitcount 4 -j DROP
$ iptables -I INPUT -p tcp --dport 443 -i ens3 -m state --state NEW -m recent  --update --seconds 60 --hitcount 4 -j DROP

Port 22 = SSH
Port 80 = Web server
Port 443 = Web server
ens3 = Interface jaringan

Kurang lebih seperti itu teknisnya dalam membatasi koneksi yang masuk pada server menggunakan iptables.
Dan jangan lupa juga kalau kita sudah menginput rule iptables di atas, kita harus menyimpan rule tersebut dengan perintah iptables-save.

Code:
$ iptables-save


Keempat:
Untuk tahap ke empat yaitu menutup port yang tidak terpakai.
Kali ini caranya agak sedikit berbeda, yang di mana sebelum mematikan service kita harus mengecek terlebih dahulu port yang terbuka dengan netstat.
Perintah dasarnya seperti ini

Code:
$ netstat -ntlp

Untuk melihat service apa saja yang di jalankan, kita harus menggunakan user root agar bisa terlihar name servicenya.
Karena kalo kita menjalankan netstat menggunakan user biasa, nama service dan nomer pid nya tidak akan muncul di outputnya.

Setelah kita mengetahui pid dan port mana yang tidak terpakai, tahap selanjutnya adalah memberhentikan service tersebut.
Sebagai contoh

[Image: Screenshot-2019-05-08-20-20-41.png]

Di gambar tersebut terlihat service haproxy dan python yang sedang berjalan tetapi proses tersebut sebenernya tidak terpakai.
Selain itu juga port 31337 itu adalah port backdoor (bind shell), dan ini yang akan menyebabkan server kita menjadi tidak aman.
Untuk cara memberhentikan service dan backdoor tersebut ada banyak cara, yang pertama memberhentikan terlebih dahulu service haproxy yang sedang berjalan dengan cara seperti ini.

Code:
$ /etc/init.d/haproxy stop

atau

$ systemctl stop haproxy

Kemudian cara selanjutnya yaitu mendisable service tersebut saat restart dengan perintah ini.

Code:
$ systemctl disable haproxy

Selanjutnya jika service yang berjalan tidak ada di dalam systemctl atau init.d kita bisa mematikan proses secara paksa dengan perintah ini.

Code:
$ kill -9 <pid>

<pid> ini adalah pid proses yang keluar di dalam output netstat tadi, sebagai contoh pid yang menjalankan python yaitu 5615 dan perintahnya seperti ini.

Code:
$ kill -9 5615

Kalo kalian sudah terbiasa dengan perintah linux pastinya cara ini sangat mudah di lakukan. :)

Kelima:
Yang ke lima adalah bagaimana caranya agar koneksi yang di terima pada server bisa kita limit.
Karena secara default, bandwidth koneksi yang di gunakan itu rata" tanpa ada batasan ukurannya.
Di sini kita akan coba me limit bandwidth yang akan kita gunakan menggunakan aplikasi wondershaper.
Untuk installasi nya cukup mudah, kita tinggal mengetik saja perintah ini di terminal.

Code:
$ apt install make
$ git clone https://github.com/magnific0/wondershaper
$ cd wondershaper
$ make install
$ chmod +x /usr/bin/wondershaper
$ systemctl enable wondershaper

Setelah installasi selesai, kita tinggal menyesuaikan interface yang di pakai, kecepatan download dan upload pada setingan wondershaper dengan mengedit file /etc/conf.d/wondershaper.conf kemudian mengaktifkan service nya.

Code:
$ nano /etc/conf.d/wondershaper.conf
$ cat /etc/conf.d/wondershaper.conf
[wondershaper]
IFACE="ens3"
DSPEED="2048"
USPEED="2048"
$ systemctl start wondershaper

Kemudian jika kita ingin mengecek apakah wondershaper nya sudah bekerja dengan baik, kita bisa cek menggunakan aplikasi speedtest di terminal.

[Image: Screenshot-2019-05-09-05-45-30.png]

Kenapa hal ini harus kita lakukan??
Karena sebagai kita ketahui bahwa service DDOS itu bisa di beli secara online, dan bisa di jalankan juga tanpa menggunakan koneksi yang kita pakai.
Sehingga serangan yang di hasilkan bisa sangat besar jika server kita tidak di batasi bandwidth nya.

Keenam:
Dan yang terakhir adalah memasang IDS dan IPS pada web server.
Cara ini cukup mudah juga dalam proses installasinya, kita tinggal install saja aplikasi snort di terminal server kita.

Code:
$ apt install snort

Setelah proses installasi selesai, snort akan berjalan secara otomatis di system.
Dia juga akan menganalisa setiap request yang masuk apakah request tersebut mencurigakan atau tidak.
Kemudian hasil analisa tersebut akan masuk ke dalam log server untuk di analisa oleh kita.
Selain itu juga kita bisa membuat rule sendiri untuk pengamanan pada server kita.

Mungkin cukup sekian pembahasan kali ini tentang cara meminimalisir serangan DOS/DDOS pada server.
Kurang lebih nya mohon, di maklumi.
Karena saya sendiri pun masih belajar dan mendalami bagaimana cara mengamankan server dari berbagai serangan.
Next saya akan melanjutkan tulisan berikutnya.

Sekian...]]> Untuk melanjutkan artikel sebelumnya tentang cara mengamankan server dari berbagai serangan.
Di post kali ini saya akan membahas bagaimana cara meminimalisir serangan DOS/DDOS pada server yang kita kelola secara teknisnya.
Yang akan kita bahas kali ini adalah:

  1. Blok traffic masuk ICMP
  2. Blok IP yang di sinyalir membahayakan server dengan iptables
  3. Batasi jumlah traffic masuk pada server
  4. Tutup port yang tidak di perlukan
  5. Batasi ukuran file yang di upload
  6. Pasang IDS & IPS untuk meminimalisir serangan

Pertama:
Oke langsung saja ke bahasan pertama yaitu mem blok traffic masuk ICMP.
Kenapa ICMP harus di batasi??
Karena perlu kita ketahui juga dalam serangan DOS/DDOS itu ada namanya teknik "Ping of death" atau bisa di sebut sebagai serangan yang di tujukan pada protokol ICMP.
Untuk cara menangkalnya cukup mudah, kita hanya menambahkan rule iptables saja.
Tetapi sebelum mengeksekusi perintahnya kita harus menggunakan user root terlebih dahulu.
Perintahnya kurang lebih seperti ini

Code:
$ iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

dan jika kalian ingin menghapus rute tersebut cukup mengganti "-A" menjadi "-D".

Code:
$ iptables -D INPUT -p icmp --icmp-type echo-request -j DROP

Cukup mudah bukan?? :)

Kedua:
Oke kita lanjut ke pembahasan kedua, yaitu membloking ip address yang di sinyalir membahayakan server.
Seperti biasa tools yang di gunakan masih menggunakan iptables.
Perintahnya serperti ini

Code:
$ iptables -A INPUT -s ipaddress -j DROP

Sebagai contoh kita akan memblok ip 1.1.1.1, dan perintahnya seperti ini.

Code:
$ iptables -A INPUT -s 1.1.1.1 -j DROP

Seperti pembahasan di atas, jika kita ingin meng unblock tinggal mengganti "-A" menjadi "-D".

Code:
$ iptables -D INPUT -s 1.1.1.1 -j DROP

Sudah mulai sedikit paham dengan iptables?? :)

Ketiga:
Lanjut ke pembahasan ke tiga yaitu tentang cara membatasi maksimal request yang masuk.
Kali ini masih seputar iptables, dan tidak perlu lagi seting di webserver.
Tujuannya yaitu menghidari bruteforce, DOS/DDOS pada web server, dan bisa juga di terapkan ke service yang lain.
Sebagai contoh bisa di terapkan juga ke port ssh agar tidak terjadi serangan bruterforce secara berturut turut.
Ketika ada salah satu ip yang mencoba mem bruteforce maka ip tersebut akan di block oleh iptables untuk sementara.
Perintahnya kurang lebih seperti ini

Code:
$ iptables -I INPUT -p tcp --dport [port] -i [interface] -m state --state NEW -m recent --set
$ iptables -I INPUT -p tcp --dport [port] -i [interface] -m state --state NEW -m recent  --update --seconds [waktu] --hitcount 4 -j DROP

Keterangan:
[port] = port yang akan kita batasi koneksinya
[interface] = interface jaringan yang di gunakan pada server
[waktu] = waktu tunggu setelah di blok oleh ip tables

Sebagai contoh apabila di server kita mempunyai 3 port yang di buka maka perintahnya seperti ini

Code:
$ iptables -I INPUT -p tcp --dport 22 -i ens3 -m state --state NEW -m recent --set
$ iptables -I INPUT -p tcp --dport 80 -i ens3 -m state --state NEW -m recent --set
$ iptables -I INPUT -p tcp --dport 443 -i ens3 -m state --state NEW -m recent --set
$ iptables -I INPUT -p tcp --dport 22 -i ens3 -m state --state NEW -m recent  --update --seconds 60 --hitcount 4 -j DROP
$ iptables -I INPUT -p tcp --dport 80 -i ens3 -m state --state NEW -m recent  --update --seconds 60 --hitcount 4 -j DROP
$ iptables -I INPUT -p tcp --dport 443 -i ens3 -m state --state NEW -m recent  --update --seconds 60 --hitcount 4 -j DROP

Port 22 = SSH
Port 80 = Web server
Port 443 = Web server
ens3 = Interface jaringan

Kurang lebih seperti itu teknisnya dalam membatasi koneksi yang masuk pada server menggunakan iptables.
Dan jangan lupa juga kalau kita sudah menginput rule iptables di atas, kita harus menyimpan rule tersebut dengan perintah iptables-save.

Code:
$ iptables-save


Keempat:
Untuk tahap ke empat yaitu menutup port yang tidak terpakai.
Kali ini caranya agak sedikit berbeda, yang di mana sebelum mematikan service kita harus mengecek terlebih dahulu port yang terbuka dengan netstat.
Perintah dasarnya seperti ini

Code:
$ netstat -ntlp

Untuk melihat service apa saja yang di jalankan, kita harus menggunakan user root agar bisa terlihar name servicenya.
Karena kalo kita menjalankan netstat menggunakan user biasa, nama service dan nomer pid nya tidak akan muncul di outputnya.

Setelah kita mengetahui pid dan port mana yang tidak terpakai, tahap selanjutnya adalah memberhentikan service tersebut.
Sebagai contoh

[Image: Screenshot-2019-05-08-20-20-41.png]

Di gambar tersebut terlihat service haproxy dan python yang sedang berjalan tetapi proses tersebut sebenernya tidak terpakai.
Selain itu juga port 31337 itu adalah port backdoor (bind shell), dan ini yang akan menyebabkan server kita menjadi tidak aman.
Untuk cara memberhentikan service dan backdoor tersebut ada banyak cara, yang pertama memberhentikan terlebih dahulu service haproxy yang sedang berjalan dengan cara seperti ini.

Code:
$ /etc/init.d/haproxy stop

atau

$ systemctl stop haproxy

Kemudian cara selanjutnya yaitu mendisable service tersebut saat restart dengan perintah ini.

Code:
$ systemctl disable haproxy

Selanjutnya jika service yang berjalan tidak ada di dalam systemctl atau init.d kita bisa mematikan proses secara paksa dengan perintah ini.

Code:
$ kill -9 <pid>

<pid> ini adalah pid proses yang keluar di dalam output netstat tadi, sebagai contoh pid yang menjalankan python yaitu 5615 dan perintahnya seperti ini.

Code:
$ kill -9 5615

Kalo kalian sudah terbiasa dengan perintah linux pastinya cara ini sangat mudah di lakukan. :)

Kelima:
Yang ke lima adalah bagaimana caranya agar koneksi yang di terima pada server bisa kita limit.
Karena secara default, bandwidth koneksi yang di gunakan itu rata" tanpa ada batasan ukurannya.
Di sini kita akan coba me limit bandwidth yang akan kita gunakan menggunakan aplikasi wondershaper.
Untuk installasi nya cukup mudah, kita tinggal mengetik saja perintah ini di terminal.

Code:
$ apt install make
$ git clone https://github.com/magnific0/wondershaper
$ cd wondershaper
$ make install
$ chmod +x /usr/bin/wondershaper
$ systemctl enable wondershaper

Setelah installasi selesai, kita tinggal menyesuaikan interface yang di pakai, kecepatan download dan upload pada setingan wondershaper dengan mengedit file /etc/conf.d/wondershaper.conf kemudian mengaktifkan service nya.

Code:
$ nano /etc/conf.d/wondershaper.conf
$ cat /etc/conf.d/wondershaper.conf
[wondershaper]
IFACE="ens3"
DSPEED="2048"
USPEED="2048"
$ systemctl start wondershaper

Kemudian jika kita ingin mengecek apakah wondershaper nya sudah bekerja dengan baik, kita bisa cek menggunakan aplikasi speedtest di terminal.

[Image: Screenshot-2019-05-09-05-45-30.png]

Kenapa hal ini harus kita lakukan??
Karena sebagai kita ketahui bahwa service DDOS itu bisa di beli secara online, dan bisa di jalankan juga tanpa menggunakan koneksi yang kita pakai.
Sehingga serangan yang di hasilkan bisa sangat besar jika server kita tidak di batasi bandwidth nya.

Keenam:
Dan yang terakhir adalah memasang IDS dan IPS pada web server.
Cara ini cukup mudah juga dalam proses installasinya, kita tinggal install saja aplikasi snort di terminal server kita.

Code:
$ apt install snort

Setelah proses installasi selesai, snort akan berjalan secara otomatis di system.
Dia juga akan menganalisa setiap request yang masuk apakah request tersebut mencurigakan atau tidak.
Kemudian hasil analisa tersebut akan masuk ke dalam log server untuk di analisa oleh kita.
Selain itu juga kita bisa membuat rule sendiri untuk pengamanan pada server kita.

Mungkin cukup sekian pembahasan kali ini tentang cara meminimalisir serangan DOS/DDOS pada server.
Kurang lebih nya mohon, di maklumi.
Karena saya sendiri pun masih belajar dan mendalami bagaimana cara mengamankan server dari berbagai serangan.
Next saya akan melanjutkan tulisan berikutnya.

Sekian...]]> <![CDATA[Cara mengamankan server dari berbagai serangan]]> https://www.backboxindonesia.or.id/thread-244.html Tue, 07 May 2019 07:04:09 +0000 https://www.backboxindonesia.or.id/thread-244.html Kali ini saya akan membahas bermaca macam cara agar server yang kita kelola benar" aman dari segala serangan keamana yang sudah banyak di publish dalam beberapa dekade ini.
Saya sedikit miris juga dengan banyaknya perusahaan dan instansi yang menganggap kerentanan keamanan itu sangat sepele.
Selain itu minim sekali artikel yang membahas tentang cara mengamankan berbagai serangan secara teknis, sedangkan serangan keamanan sendiri telah banyak di ketahui banyak orang dalam beberapa tahun kebelakang ini.
Saya asumsikan orang-orang tersebut adalah wanna be hacker.

Mungkin di artikel ini saya akan menjelaskan sedikit tentang hal yang perlu kita pertimbangkan sebelum memulai ke topik yang sangat utama dalam artikel ini.
Sebelum memulai ke pembahasan yang lebih rinci alangkah baiknya kita mengetahui dulu hal-hal yang fundamental dalam membangun suatu system.
Hal pertama yang harus kita pikirkan adalah memilih system operasi terbaik dari yang terbaik.

Perlu kita ketahui bahwa system operasi di dunia ini sangatlah banyak, maka dari itu kita harus memilih system operasi terbaik agar mendapatkan hasil yang baik juga dalam segi kemampuan dalam menghandle setiap proses yang akan kita jalankan kedepannya.
Untuk membuktikan bahwa system operasi terbaik itu adalah dengan mencoba semua system operasi kemudian mencoba satu persatu kemampuannya sampai di mana, serta pergerakan aplikasi yang di gunakan apakah selalu update setiap saat, kemudian apakah system operasi tersebut bisa menahan setiap serangan atau tidak.
Kalau kita sudah mencoba sendiri semua system operasi dan mencoba pengetesan serangan, aplikasi dan lain lain, kita tidak akan pernah terhasut lagi oleh orang-orang yang fanatik terhadap salah satu system operasi, kemudian mendewa dewakan system operasi tersebut. h3h3
Karena ini sangat penting bagi kalian jika memang ingin membangun system yang benar-benar aman dari segala macam serangan.

Saya akan sedikit bercerita tentang penelitian saya dulu tentang system operasi yang terbaik itu seperti apa.
Mungkin tepatnya 1,5 tahun kebelakang sejak postingan ini di publish saya pernah meneliti system operasi dengan mencoba semua system operasi yang bisa di jadikan sebagi server serperti OpenBSD, FreeBSD, Redhat, Fedora, Centos, Ubuntu, Debian, Slackware, Gentoo, Arch, Alpine, windows, dll.
Dari semua system operasi itu cuma ada beberapa system operasi yang bisa menghandle serangan DOS/DDOS, selebihnya tidak bisa meng handle.
Saya sebut saja system operasi yang di maksud adalah

  • OpenBSD
  • Redhat
  • dan Fedora

Dan untuk system operasi dengan aplikasi default dan repository yang selalu update urutannya adalah

  • Archlinux
  • OpenBSD
  • Redhat
  • dan Fedora

Dari statement saya ini kalian boleh percaya atau tidak, yang pasti ini adalah hasil dari penelitian saya tentang pemilihan system operasi, yang pada saat itu juga saya membangun system linux sendiri dari awal (LFS) di perusahaan yang pernah saya tempati.
Jika kalian Ingin menggunakan system operasi yang paling aman untuk server, saya menyarankan menggunakan OpenBSD.
Hal ini di dukung juga oleh banyaknya artilkel yang menyebutkan bahwa OpenBSD adalah system operasi ter aman nomer 1 di antara system operasi yang lain.
Kenapa OpenBSD??
Saya sudah mencoba juga bahwa OpenBSD sendiri selain bisa menghandle DOS/DDOS, path system yang di gunakan seperti folder /etc/ dll tidak dapat tampil dan di baca dalam mode web server atau backdoor sekalipun. Jadi hanya folder web server saja yang dapat di akses secara umum.
Hal ini yang menunjukan bahwa openbsd bisa meminimalisir exploitasi kernel yang di gunakannya.
Selain itu juga config yang di gunakan dari beberapa aplikasi web server sudah di set dengan konfigurasi terbaik, sebagai contoh kecilnya di aplikasi nginx.
Yang di mana setingan default server_token di set menjadi off.
Tujuannya yaitu untuk menyembunyikan versi nginx yang di gunakan pada system OpenBSD.
Artinya setiap orang yang me request ke server tidak dapat mengetahui versi nginx yang di gunakan pada server.
Dan itu salah satu contoh kecil yang nyata kalau OpenBSD itu system operasi yang aman secara default.
Sampai sekarang pun saya menggunakan OpenBSD sebagai system operasi default untuk production.

Kemudian jika kalian bekerja di korporasi atau pemerintahan yang agak sedikit sulit mengoperasikan OpenBSD, kalian bisa menggunakan Redhat Enterprise sebagai system operasi terbaik nomor 2 dengan dukungan enterprise dari website official nya langsung.
Kenapa harus menggunakan Redhat??
Karena Redhat adalah salah satu system operasi enterprise yang punya banyak dukungan dalam mengupdate setiap aplikasi dan library, selain itu juga update yang di berikan juga sangat cepat tanggap jika menemukan bug yang sangat kritikal.
System operasi ini lah yang paling cocok untuk server setingkat korporasi atau pemerintahan versi saya sendiri.
Saya punya keinginan juga kalo di indonesia ini kedepannya mewajibkan menggunakan Redhat Enterprise sebagai system operasi standart untuk kebutuhan server di level korporasi dan pemerintahan. :)

Tetapi apabila kalian tidak punya cukup kocek untuk dukungan enterprise Redhat, kalian juga bisa mencoba system operasi yang free dan opensource yaitu Fedora sebagai system operasi terbaik ke 3.
Kenapa fedora dan bukan centos?? Centos juga kan turunan dari Redhat Enterprise??
Perlu saya sampaikan juga kalo Fedora itu sudah terpasang kernel, library, dan aplikasi yang paling update di antara turuna redhat yang lainnya (coba buktikan sendiri).
Selain itu juga Fedora sudah di seting secara default untuk bisa menghandle serangan DOS/DDOS.
Dan ini lah alasan fundamental saya kenapa saya lebih suka fedora daripada turunan redhat yang lain.

Dari penjelasan singkat ini saya hanya ingin menyampaikan kalau statement saya bisa saja salah, dan bisa saja benar.
Tapi tidak luput dari hal itu kalian bisa coba buktikan sendiri yang mana system operasi terbaik menurut versi kalian.
Di sini saya hanya mencoba menyampaikan apa yang telah saya teliti dan saya buktikan sendiri.
Selebihnya kalian bisa menilai sendiri. :)

Kembali ke bahasan awal yaitu apa dan bagaimana teknik untuk mengamankan server dari berbagai serangan.
Kali ini saya akan menjelaskan secara teknis menggunakan system operasi yang sangat banyak di gunakan oleh orang orang di dunia yaitu menggunakan Ubuntu sebagai dasar untuk pengamanan server.
Kenapa saya menggunakan Ubuntu dalam praktek pengamanannya??
Tugas saya kali ini adalah meng edukasi kepada setiap sysadmin yang telah terlanjur menggunakan ubuntu atau debian sebagai system operasi dasar yang di gunakan untuk kebutuhan server, walaupun saya sendiri menggunakan OpenBSD sebagai system operasi default untuk kebutuhan server yang saya kelola.
Selain itu juga setingan Ubuntu yang harus di rubah lebih kompleks daripada setingan OpenBSD sendiri.
Karena di OpenBSD sudah ter seting keamana secara default, kita hanya tinggal seting sedikit saja untuk mendapatkan hasil yang lebih baik.

Kedepannya saya akan menjelaskan beberapa judul yang telah saya tulis di bawah yaitu:

A. Meminimalisir serangan dos/ddos pada server
  1. Blok traffic masuk ICMP
  2. Blok IP yang di sinyalir membahayakan server dengan iptables
  3. Batasi jumlah traffic masuk pada server
  4. Tutup port yang tidak di perlukan
  5. Batasi ukuran file yang di upload
  6. Pasang IDS & IPS untuk meminimalisir serangan

B. Menangkal serangan bruteforce
  1. Jangan izinkan user root masuk ke dalam ssh atau gunakan user biasa untuk login ke ssh
  2. Gunakan private key yang di password untuk login ke ssh
  3. Ganti port default ssh menjadi port random
  4. Batasi pengecekan password yang salah dengan fail2ban
  5. Usahakan password yang di gunakan tidak mudah di tebak
  6. Segala hal yang berhubungan dengan password harus di bedakan

C. Meningkatkan keamanan pada aplikasi yang di pakai
  1. Enkripsi setiap script config database yang di gunakan di server atau pindahkan ke folder yang tidak biasanya
  2. Gunakan ssl di dalam webserver
  3. Jangan simpan private key di dalam server
  4. Jangan simpan file backup di dokumen publik webserver
  5. Rubah alamat phpmyadmin jadi alamat acak
  6. Rubah alamat login admin jadi alamat acak
  7. Gunakan OTP untuk login ke dalam aplikasi 
  8. Filter semua POST dan GET yang ada dalam aplikasi

D. Meningkatkan keamana jaringan pada server
  1. Batasi koneksi outgoing menggunakan iptables
  2. Nonaktifkan DNS di /etc/resolv.conf
  3. Hanya izinkan port yang terbuka saja yang bisa di akses publik menggunakan ufw/iptables
  4. Jangan buka port database ke publik
  5. Gunakan 1 ip gateway, 1 ip netmask, 1 ip broadcast, 1 ip address, dan 1 vlan untuk 1 aplikasi

E. Meningkatkan keamanan pada server
  1. Selalu update system operasi yang sedang di gunakan
  2. Sembunyikan versi PHP, apache, dll di header
  3. Non aktifkan directory listing di webserver
  4. Disable shell pada user web server "www-data" di /etc/passwd
  5. Non aktifkan fungsi execute command seperti exec, passthru, php-cgi kalo tidak di perlukan
  6. Di history command jangan tertinggal password apapun

F. Monitoring server untuk meningkatkan keamanan
  1. Selalu cek log aktivitas server (monitoring)
  2. Cek cronjob atau crontab setiap waktu di setiap user
  3. Cek setiap service yang berjalan agar tidak terjadi misconfigurasi
  4. Pasang alamat admin palsu (honeypot)

Untuk kelanjutan artikel kali ini saya akan post di thread yang berbeda.
Tunggu saja updatean selanjutnya.
Sekian.. ;)]]> Kali ini saya akan membahas bermaca macam cara agar server yang kita kelola benar" aman dari segala serangan keamana yang sudah banyak di publish dalam beberapa dekade ini.
Saya sedikit miris juga dengan banyaknya perusahaan dan instansi yang menganggap kerentanan keamanan itu sangat sepele.
Selain itu minim sekali artikel yang membahas tentang cara mengamankan berbagai serangan secara teknis, sedangkan serangan keamanan sendiri telah banyak di ketahui banyak orang dalam beberapa tahun kebelakang ini.
Saya asumsikan orang-orang tersebut adalah wanna be hacker.

Mungkin di artikel ini saya akan menjelaskan sedikit tentang hal yang perlu kita pertimbangkan sebelum memulai ke topik yang sangat utama dalam artikel ini.
Sebelum memulai ke pembahasan yang lebih rinci alangkah baiknya kita mengetahui dulu hal-hal yang fundamental dalam membangun suatu system.
Hal pertama yang harus kita pikirkan adalah memilih system operasi terbaik dari yang terbaik.

Perlu kita ketahui bahwa system operasi di dunia ini sangatlah banyak, maka dari itu kita harus memilih system operasi terbaik agar mendapatkan hasil yang baik juga dalam segi kemampuan dalam menghandle setiap proses yang akan kita jalankan kedepannya.
Untuk membuktikan bahwa system operasi terbaik itu adalah dengan mencoba semua system operasi kemudian mencoba satu persatu kemampuannya sampai di mana, serta pergerakan aplikasi yang di gunakan apakah selalu update setiap saat, kemudian apakah system operasi tersebut bisa menahan setiap serangan atau tidak.
Kalau kita sudah mencoba sendiri semua system operasi dan mencoba pengetesan serangan, aplikasi dan lain lain, kita tidak akan pernah terhasut lagi oleh orang-orang yang fanatik terhadap salah satu system operasi, kemudian mendewa dewakan system operasi tersebut. h3h3
Karena ini sangat penting bagi kalian jika memang ingin membangun system yang benar-benar aman dari segala macam serangan.

Saya akan sedikit bercerita tentang penelitian saya dulu tentang system operasi yang terbaik itu seperti apa.
Mungkin tepatnya 1,5 tahun kebelakang sejak postingan ini di publish saya pernah meneliti system operasi dengan mencoba semua system operasi yang bisa di jadikan sebagi server serperti OpenBSD, FreeBSD, Redhat, Fedora, Centos, Ubuntu, Debian, Slackware, Gentoo, Arch, Alpine, windows, dll.
Dari semua system operasi itu cuma ada beberapa system operasi yang bisa menghandle serangan DOS/DDOS, selebihnya tidak bisa meng handle.
Saya sebut saja system operasi yang di maksud adalah

  • OpenBSD
  • Redhat
  • dan Fedora

Dan untuk system operasi dengan aplikasi default dan repository yang selalu update urutannya adalah

  • Archlinux
  • OpenBSD
  • Redhat
  • dan Fedora

Dari statement saya ini kalian boleh percaya atau tidak, yang pasti ini adalah hasil dari penelitian saya tentang pemilihan system operasi, yang pada saat itu juga saya membangun system linux sendiri dari awal (LFS) di perusahaan yang pernah saya tempati.
Jika kalian Ingin menggunakan system operasi yang paling aman untuk server, saya menyarankan menggunakan OpenBSD.
Hal ini di dukung juga oleh banyaknya artilkel yang menyebutkan bahwa OpenBSD adalah system operasi ter aman nomer 1 di antara system operasi yang lain.
Kenapa OpenBSD??
Saya sudah mencoba juga bahwa OpenBSD sendiri selain bisa menghandle DOS/DDOS, path system yang di gunakan seperti folder /etc/ dll tidak dapat tampil dan di baca dalam mode web server atau backdoor sekalipun. Jadi hanya folder web server saja yang dapat di akses secara umum.
Hal ini yang menunjukan bahwa openbsd bisa meminimalisir exploitasi kernel yang di gunakannya.
Selain itu juga config yang di gunakan dari beberapa aplikasi web server sudah di set dengan konfigurasi terbaik, sebagai contoh kecilnya di aplikasi nginx.
Yang di mana setingan default server_token di set menjadi off.
Tujuannya yaitu untuk menyembunyikan versi nginx yang di gunakan pada system OpenBSD.
Artinya setiap orang yang me request ke server tidak dapat mengetahui versi nginx yang di gunakan pada server.
Dan itu salah satu contoh kecil yang nyata kalau OpenBSD itu system operasi yang aman secara default.
Sampai sekarang pun saya menggunakan OpenBSD sebagai system operasi default untuk production.

Kemudian jika kalian bekerja di korporasi atau pemerintahan yang agak sedikit sulit mengoperasikan OpenBSD, kalian bisa menggunakan Redhat Enterprise sebagai system operasi terbaik nomor 2 dengan dukungan enterprise dari website official nya langsung.
Kenapa harus menggunakan Redhat??
Karena Redhat adalah salah satu system operasi enterprise yang punya banyak dukungan dalam mengupdate setiap aplikasi dan library, selain itu juga update yang di berikan juga sangat cepat tanggap jika menemukan bug yang sangat kritikal.
System operasi ini lah yang paling cocok untuk server setingkat korporasi atau pemerintahan versi saya sendiri.
Saya punya keinginan juga kalo di indonesia ini kedepannya mewajibkan menggunakan Redhat Enterprise sebagai system operasi standart untuk kebutuhan server di level korporasi dan pemerintahan. :)

Tetapi apabila kalian tidak punya cukup kocek untuk dukungan enterprise Redhat, kalian juga bisa mencoba system operasi yang free dan opensource yaitu Fedora sebagai system operasi terbaik ke 3.
Kenapa fedora dan bukan centos?? Centos juga kan turunan dari Redhat Enterprise??
Perlu saya sampaikan juga kalo Fedora itu sudah terpasang kernel, library, dan aplikasi yang paling update di antara turuna redhat yang lainnya (coba buktikan sendiri).
Selain itu juga Fedora sudah di seting secara default untuk bisa menghandle serangan DOS/DDOS.
Dan ini lah alasan fundamental saya kenapa saya lebih suka fedora daripada turunan redhat yang lain.

Dari penjelasan singkat ini saya hanya ingin menyampaikan kalau statement saya bisa saja salah, dan bisa saja benar.
Tapi tidak luput dari hal itu kalian bisa coba buktikan sendiri yang mana system operasi terbaik menurut versi kalian.
Di sini saya hanya mencoba menyampaikan apa yang telah saya teliti dan saya buktikan sendiri.
Selebihnya kalian bisa menilai sendiri. :)

Kembali ke bahasan awal yaitu apa dan bagaimana teknik untuk mengamankan server dari berbagai serangan.
Kali ini saya akan menjelaskan secara teknis menggunakan system operasi yang sangat banyak di gunakan oleh orang orang di dunia yaitu menggunakan Ubuntu sebagai dasar untuk pengamanan server.
Kenapa saya menggunakan Ubuntu dalam praktek pengamanannya??
Tugas saya kali ini adalah meng edukasi kepada setiap sysadmin yang telah terlanjur menggunakan ubuntu atau debian sebagai system operasi dasar yang di gunakan untuk kebutuhan server, walaupun saya sendiri menggunakan OpenBSD sebagai system operasi default untuk kebutuhan server yang saya kelola.
Selain itu juga setingan Ubuntu yang harus di rubah lebih kompleks daripada setingan OpenBSD sendiri.
Karena di OpenBSD sudah ter seting keamana secara default, kita hanya tinggal seting sedikit saja untuk mendapatkan hasil yang lebih baik.

Kedepannya saya akan menjelaskan beberapa judul yang telah saya tulis di bawah yaitu:

A. Meminimalisir serangan dos/ddos pada server
  1. Blok traffic masuk ICMP
  2. Blok IP yang di sinyalir membahayakan server dengan iptables
  3. Batasi jumlah traffic masuk pada server
  4. Tutup port yang tidak di perlukan
  5. Batasi ukuran file yang di upload
  6. Pasang IDS & IPS untuk meminimalisir serangan

B. Menangkal serangan bruteforce
  1. Jangan izinkan user root masuk ke dalam ssh atau gunakan user biasa untuk login ke ssh
  2. Gunakan private key yang di password untuk login ke ssh
  3. Ganti port default ssh menjadi port random
  4. Batasi pengecekan password yang salah dengan fail2ban
  5. Usahakan password yang di gunakan tidak mudah di tebak
  6. Segala hal yang berhubungan dengan password harus di bedakan

C. Meningkatkan keamanan pada aplikasi yang di pakai
  1. Enkripsi setiap script config database yang di gunakan di server atau pindahkan ke folder yang tidak biasanya
  2. Gunakan ssl di dalam webserver
  3. Jangan simpan private key di dalam server
  4. Jangan simpan file backup di dokumen publik webserver
  5. Rubah alamat phpmyadmin jadi alamat acak
  6. Rubah alamat login admin jadi alamat acak
  7. Gunakan OTP untuk login ke dalam aplikasi 
  8. Filter semua POST dan GET yang ada dalam aplikasi

D. Meningkatkan keamana jaringan pada server
  1. Batasi koneksi outgoing menggunakan iptables
  2. Nonaktifkan DNS di /etc/resolv.conf
  3. Hanya izinkan port yang terbuka saja yang bisa di akses publik menggunakan ufw/iptables
  4. Jangan buka port database ke publik
  5. Gunakan 1 ip gateway, 1 ip netmask, 1 ip broadcast, 1 ip address, dan 1 vlan untuk 1 aplikasi

E. Meningkatkan keamanan pada server
  1. Selalu update system operasi yang sedang di gunakan
  2. Sembunyikan versi PHP, apache, dll di header
  3. Non aktifkan directory listing di webserver
  4. Disable shell pada user web server "www-data" di /etc/passwd
  5. Non aktifkan fungsi execute command seperti exec, passthru, php-cgi kalo tidak di perlukan
  6. Di history command jangan tertinggal password apapun

F. Monitoring server untuk meningkatkan keamanan
  1. Selalu cek log aktivitas server (monitoring)
  2. Cek cronjob atau crontab setiap waktu di setiap user
  3. Cek setiap service yang berjalan agar tidak terjadi misconfigurasi
  4. Pasang alamat admin palsu (honeypot)

Untuk kelanjutan artikel kali ini saya akan post di thread yang berbeda.
Tunggu saja updatean selanjutnya.
Sekian.. ;)]]> <![CDATA[Installasi Dan Konfigurasi Kippo SSH Honeypot Di Server Ubuntu/Debian]]> https://www.backboxindonesia.or.id/thread-123.html Tue, 10 May 2016 00:42:42 +0000 https://www.backboxindonesia.or.id/thread-123.html nih ane mau kasih tutorial hardening server bro :v

oke langsung aja

Alat yang dibutuhkan :
- Server Ubuntu/Debian
- Internet Jos alias jaringan 6G :v jangan 4G karna terlalu lemot wkwk, becanda cok :D
- Cewe Penghibur 18+ wetsss :v
catatan : disini ane kasih sesuai yang pernah ane praktekin, dan ane praktekinnya pake Virtual Private Server dengan menjalankan OS Ubuntu :3

langsung ya :v
yang pertama kita install dulu aplikasi "Kippo SSH Honeypot"
fungsinya ini untuk merekam dan membuat log setiap aktivitas sang attacker yang mencoba menerobos server kita.
jadi semuanya terekam, dari mulai login,ketikan yg ditulis di server kita alias command, bahkan perasaan sayang si attacker pada sang mantan juga bisa terekam (wehhh baper) :v wkwkwk ya kagak lah :D
intinya ini hanya fake login ya... (ntr di jelasin kok)

oke lu login dulu ke vps lu atau server lu
ane login pake putty, dan masuk sebagai root

Update Server

Quote:root@k1dd1es:~# apt-get update

Lalu Upgrade Server (BILA PERLU SAJA)

Quote:root@k1dd1es:~# apt-get upgrade

Ubah Port SSH..
Port SSH Yang Standar Kan 22, disini saya gunakan port untuk contoh 1298

Quote:root@k1dd1es:~# nano /etc/ssh/sshd_config
Quote:#What ports, IPs and protocols we listen for
Port 1298

Simpan konfigurasi
Lalu restart SSH
Quote:root@k1dd1es:~# /etc/init.d/sshd restart

Bisa Juga pakai command ini... pokoknya SSH nya di restart lah wkwkwk :v

Quote:root@k1dd1es:~# service ssh restart

Kalo udah lanjut install package khusus yang wajib di pasang untuk honeypotnya nanti, kalo lu udah install packagenya .. gak usah install lagi
Quote:root@k1dd1es:~# apt-get install python-dev openssl python-openssl python-pyasn1 python-twisted

Tungguin bro sampe selesai :3 ... jangan di tinggal tidur :D
Terus install subversion nya

Quote:root@k1dd1es:~# apt-get install subversion

Kalo udah, bikin user baru sekalian bikin direktorinya 
Quote:root@k1dd1es:~# useradd -d /home/honeypot -s /bin/bash -m honeypot -g sudo

Terus lanjut ke pergantian port ke 22 (ikutin aja)
Install package AuthBind
Quote:root@k1dd1es:~# apt-get install authbind

Bikin File Baru
Quote:root@k1dd1es:~# touch /etc/authbind/byport/22

Ubah Kepemilikan File
Quote:root@k1dd1es:~# chown honeypot /etc/authbind/byport/22

Ganti Hak Akses Filenya
Quote:root@k1dd1es:~# chmod 777 /etc/authbind/byport/22

Masuk Ke Langkah Konfigurasi Kippo Honeypot nya 
Quote:root@k1dd1es:~# su honeypot
Quote:honeypot@k1dd1es:/root$

Masuk Ke Direktori Utama

Quote:honeypot@k1dd1es:/root$ cd

Kalo Udah, Download SVN nya

Quote:honeypot@k1dd1es:~$ svn checkout http://kippo.googlecode.com/svn/trunk/ ./kippo

Tunggu Sampe Kelar :v , 
Next Masuk Ke Direktori Kippo

Quote:honeypot@k1dd1es:~$ cd kippo

Ubah Nama CFG Kippo

Quote:honeypot@k1dd1es:~/kippo$ mv kippo.cfg.dist kippo.cfg

Edit File Kippo.cfg

Quote:honeypot@k1dd1es:~/kippo$ nano kippo.cfg

Quote:# Port to listen for incoming SSH connections.
#
# (default: 2222)
ssh_port = 2222

Ubah Port Menjadi 22

Quote:# Port to listen for incoming SSH connections.
#
# (default: 2222)
ssh_port = 22

Save Konfigurasinya
Lanjut Bro :v Edit File start.sh

Quote:honeypot@k1dd1es:~/kippo$ nano start.sh

Isi File Aslinya
Quote:
#!/bin/sh



echo -n "Starting kippo in background..."

twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

Ganti :
twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

Menjadi :
authbind --deep twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

Kalo Gak Mau Ribet Di Kasih Tanda "#" Aja

Quote:
#!/bin/sh



echo -n "Starting kippo in background..."

#twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid
authbind --deep twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

Simpan Bro :D
Terakhir Jalanin Deh :p

Quote:./start.sh

Selamat Honeypot Anda Sudah Berjalan Hore ;)

oh ya di awal ane bilang kalau ini fake login (bertujuan untuk menjebak attacker agar kita mengetahui apa saja yang ia ingin lakukan, ex:backdooring,malware,rootkit)
coba login ke vps pakai port 22 (Default)
contoh
login : root
password : 123456

pasti berhasil login, tapi disini dibatasi dengan limited shell ... yang berarti tidak semua command bisa di eksekusi.
contohnya ane udh login, terus mau bikin user baru nongolnya gini
bash : adduser command not found <- ya kaya begini lah limited shell :3
silahkan memasukan command berikut

Quote:echo os.system("/bin/sh")

 lalu coba lah otak atik apaan kek di servernya, upload backdoor atau apa gitu rootkit,malware :v (tenang aja ini gak bikin vps berantakan, hanya fake)
secara tidak langsung attacker tidak sadar bahwa aktivitas nya sudah terekam di server kita (y)

lanjut login ke vps pake port 1298 dengan user & password yang benar

lihat file log 


Quote:root@k1dd1es:~# cat /home/honeypot/kippo/log/kippo.log

keliatan kan log yang tadi kita login pakai user root dan pass 123456 port 22, semua nya terekam disitu

oke nanti lanjut ke tutorial selanjutnya :v

maaf kalau tidak ada screenshoot, maaf juga kalo bahasa ane ada yg gak bener atau salah :v maklumlah newbie
maaf sekali lagi kalo trik ini udah basi bagi para master (-/\-)

Quote : Tidak Ada Sistem Komputer & Jaringan Yang Benar Benar Aman 100% Di Dunia Cyber ;)
( jiah gaya bener -_- ) :v]]> nih ane mau kasih tutorial hardening server bro :v

oke langsung aja

Alat yang dibutuhkan :
- Server Ubuntu/Debian
- Internet Jos alias jaringan 6G :v jangan 4G karna terlalu lemot wkwk, becanda cok :D
- Cewe Penghibur 18+ wetsss :v
catatan : disini ane kasih sesuai yang pernah ane praktekin, dan ane praktekinnya pake Virtual Private Server dengan menjalankan OS Ubuntu :3

langsung ya :v
yang pertama kita install dulu aplikasi "Kippo SSH Honeypot"
fungsinya ini untuk merekam dan membuat log setiap aktivitas sang attacker yang mencoba menerobos server kita.
jadi semuanya terekam, dari mulai login,ketikan yg ditulis di server kita alias command, bahkan perasaan sayang si attacker pada sang mantan juga bisa terekam (wehhh baper) :v wkwkwk ya kagak lah :D
intinya ini hanya fake login ya... (ntr di jelasin kok)

oke lu login dulu ke vps lu atau server lu
ane login pake putty, dan masuk sebagai root

Update Server

Quote:root@k1dd1es:~# apt-get update

Lalu Upgrade Server (BILA PERLU SAJA)

Quote:root@k1dd1es:~# apt-get upgrade

Ubah Port SSH..
Port SSH Yang Standar Kan 22, disini saya gunakan port untuk contoh 1298

Quote:root@k1dd1es:~# nano /etc/ssh/sshd_config
Quote:#What ports, IPs and protocols we listen for
Port 1298

Simpan konfigurasi
Lalu restart SSH
Quote:root@k1dd1es:~# /etc/init.d/sshd restart

Bisa Juga pakai command ini... pokoknya SSH nya di restart lah wkwkwk :v

Quote:root@k1dd1es:~# service ssh restart

Kalo udah lanjut install package khusus yang wajib di pasang untuk honeypotnya nanti, kalo lu udah install packagenya .. gak usah install lagi
Quote:root@k1dd1es:~# apt-get install python-dev openssl python-openssl python-pyasn1 python-twisted

Tungguin bro sampe selesai :3 ... jangan di tinggal tidur :D
Terus install subversion nya

Quote:root@k1dd1es:~# apt-get install subversion

Kalo udah, bikin user baru sekalian bikin direktorinya 
Quote:root@k1dd1es:~# useradd -d /home/honeypot -s /bin/bash -m honeypot -g sudo

Terus lanjut ke pergantian port ke 22 (ikutin aja)
Install package AuthBind
Quote:root@k1dd1es:~# apt-get install authbind

Bikin File Baru
Quote:root@k1dd1es:~# touch /etc/authbind/byport/22

Ubah Kepemilikan File
Quote:root@k1dd1es:~# chown honeypot /etc/authbind/byport/22

Ganti Hak Akses Filenya
Quote:root@k1dd1es:~# chmod 777 /etc/authbind/byport/22

Masuk Ke Langkah Konfigurasi Kippo Honeypot nya 
Quote:root@k1dd1es:~# su honeypot
Quote:honeypot@k1dd1es:/root$

Masuk Ke Direktori Utama

Quote:honeypot@k1dd1es:/root$ cd

Kalo Udah, Download SVN nya

Quote:honeypot@k1dd1es:~$ svn checkout http://kippo.googlecode.com/svn/trunk/ ./kippo

Tunggu Sampe Kelar :v , 
Next Masuk Ke Direktori Kippo

Quote:honeypot@k1dd1es:~$ cd kippo

Ubah Nama CFG Kippo

Quote:honeypot@k1dd1es:~/kippo$ mv kippo.cfg.dist kippo.cfg

Edit File Kippo.cfg

Quote:honeypot@k1dd1es:~/kippo$ nano kippo.cfg

Quote:# Port to listen for incoming SSH connections.
#
# (default: 2222)
ssh_port = 2222

Ubah Port Menjadi 22

Quote:# Port to listen for incoming SSH connections.
#
# (default: 2222)
ssh_port = 22

Save Konfigurasinya
Lanjut Bro :v Edit File start.sh

Quote:honeypot@k1dd1es:~/kippo$ nano start.sh

Isi File Aslinya
Quote:
#!/bin/sh



echo -n "Starting kippo in background..."

twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

Ganti :
twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

Menjadi :
authbind --deep twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

Kalo Gak Mau Ribet Di Kasih Tanda "#" Aja

Quote:
#!/bin/sh



echo -n "Starting kippo in background..."

#twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid
authbind --deep twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

Simpan Bro :D
Terakhir Jalanin Deh :p

Quote:./start.sh

Selamat Honeypot Anda Sudah Berjalan Hore ;)

oh ya di awal ane bilang kalau ini fake login (bertujuan untuk menjebak attacker agar kita mengetahui apa saja yang ia ingin lakukan, ex:backdooring,malware,rootkit)
coba login ke vps pakai port 22 (Default)
contoh
login : root
password : 123456

pasti berhasil login, tapi disini dibatasi dengan limited shell ... yang berarti tidak semua command bisa di eksekusi.
contohnya ane udh login, terus mau bikin user baru nongolnya gini
bash : adduser command not found <- ya kaya begini lah limited shell :3
silahkan memasukan command berikut

Quote:echo os.system("/bin/sh")

 lalu coba lah otak atik apaan kek di servernya, upload backdoor atau apa gitu rootkit,malware :v (tenang aja ini gak bikin vps berantakan, hanya fake)
secara tidak langsung attacker tidak sadar bahwa aktivitas nya sudah terekam di server kita (y)

lanjut login ke vps pake port 1298 dengan user & password yang benar

lihat file log 


Quote:root@k1dd1es:~# cat /home/honeypot/kippo/log/kippo.log

keliatan kan log yang tadi kita login pakai user root dan pass 123456 port 22, semua nya terekam disitu

oke nanti lanjut ke tutorial selanjutnya :v

maaf kalau tidak ada screenshoot, maaf juga kalo bahasa ane ada yg gak bener atau salah :v maklumlah newbie
maaf sekali lagi kalo trik ini udah basi bagi para master (-/\-)

Quote : Tidak Ada Sistem Komputer & Jaringan Yang Benar Benar Aman 100% Di Dunia Cyber ;)
( jiah gaya bener -_- ) :v]]>