Mendeteksi serangan hacker ke web anda

Mungkin bagi para administrator yang mempunyai web atau pun blog, jarang yg memperhatikan masalah keamanan. Dimana kebanyakan para web admin berpikir bahwa situs yang mereka kelola itu telah aman 100%, dan di rasa tidak akan ada gangguan dari orang-orang iseng. Tapi jika suatu ketika sang admin situs melihat di browsernya bahwa pada halaman depan situs yang mereka telah berubah tampilan dengan adanya salam khas dari para peretas (cracker / defacer), mereka selalu di hadapkan ke pada penyesalan, marah, dan lain2.

Memang penyesalan selalu datang di akhir brotha…..
Bagaimanakah kita mengantisipasi hal semacam itu…..?
Pada artikel kali ini saya akan coba membuat trik , bagaimana mengidentifikasi serangan sedini mungkin agar tidak terjadi hal-hal yang tidak di inginkan pada situs yang kita kelola.



Disini kita akan mencoba Applikasi Craw Track
Anda bisa mengunjungi di http://www.crawltrack.net/

Peralatan yang dibutuhkan
1. Crawl Track (http://www.crawltrack.net/download/crawltrack3-2-1.zip)
2. Hosting /Domain / Sub Domain

mungkin buat yang sudah biasa berhubungan dengan aplikasi dan publishing website cara menginstal dan konfigurasi script ini adalah hal yang mudah.
Buat yang masih belajar atau mo mencoba untuk konfigurasi bisa membaca artikel saya di web pribadi saya.

Analysis and Identification of an attack on your website (Session Dummies 1)


Ok setelah selesai semua konfigurasi, kita akan mencoba membaca log dan mengindentifikasi jika terdapat serangan ke website kita.

1. Masuk ke Crawl Track dan login .
2. pada halaman utama , silahkan mencari Hacking attempts dan Klik untuk melihat History nya






Pada History, terdapat keterangan seperti berikut
- IP Used -------------> adalah IP Attacker yang di log
- Attack ---------------> Jumlah serangan yang dilakukan oleh Attacker
- Attack Details -------> Script yang coba Di Inject beserta Parameter code injection yang digunakan oleh Attacker


berdasarkan history yang di log oleh Crawl Track, Telah di indikasikan adanya serangan terhadap situs yang gw kelola, serangan yang terdeteksi dan yang digunakan oleh Attacker dari ip 208.38.187.136 (USA) , dengan melakukan remote file melalui PHPCentral Poll dimana file yg mau di inject an berasal dari alamat http://www.kyosan.com.tw/appserv/id1??????
Berdasarkan log tersebut kita bisa mengantisipasi, dan mencoba mempatching celah yang ada di website yang kita kelola.

Mudah-mudahan artikel ini berguna bagi yang ingin mengelola site sehingga bisa meminimalkan serangan dari pihak luar...
Labels: , , ,

0 comments:

Post a Comment