Contoh-contoh serangan yang ditemukan di log akses

 (nishtahir.com)
1 poin oleh GN⁺ 2024-01-29 | 1 komentar | Bagikan ke WhatsApp

Analisis log akses penyerang

  • Jika sebuah IP diekspos ke internet publik, trafik berbahaya akan langsung masuk.
  • Salah satu jenis serangan yang sering terjadi adalah serangan directory traversal untuk mencari file .env.
  • Penyerang juga menelusuri file umum lainnya seperti kredensial dan file konfigurasi AWS, repositori Git, dan sebagainya.
  • Ada juga serangan yang mencari direktori umum yang bisa saja terekspos karena kesalahan administrator.
  • Penyerang juga mencoba mencari alat akses jarak jauh dan alat konfigurasi yang umum digunakan.

Shellshock

  • Ditemukan serangan yang memanfaatkan kerentanan Shellshock.
  • Kerentanan ini menargetkan web server yang menjalankan skrip CGI dengan versi bash yang rentan.
  • Penyerang dapat menyisipkan fungsi ke dalam variabel lingkungan HTTP_USER_AGENT untuk mengeksekusi perintah arbitrer.

LuCI Injection

  • Ditemukan serangan yang menargetkan antarmuka web LuCI pada router OpenWRT.
  • Serangan ini menyuntikkan perintah yang berupaya mengunduh dan menjalankan shell script yang di-host di server jarak jauh.

Zyxel Injection

  • Ditemukan serangan yang tampaknya memanfaatkan kerentanan yang tersedia pada perangkat Zyxel.
  • Serangan ini menggunakan zhttpd untuk menyisipkan perintah shell ke dalam URL.

Pendapat GN⁺:

  1. Artikel ini menekankan pentingnya keamanan dengan menunjukkan beragamnya serangan siber terhadap IP yang terbuka ke publik serta risikonya.
  2. Artikel ini menunjukkan bahwa kerentanan lama seperti Shellshock masih terus dimanfaatkan, sekaligus mengingatkan pentingnya pembaruan sistem dan patch kerentanan secara berkelanjutan.
  3. Fakta bahwa penyerang menargetkan alat dan direktori yang umum digunakan menegaskan pentingnya hanya mengekspos layanan seminimal mungkin, serta menambahkan autentikasi dan pembatasan IP bila diperlukan.

Bacaan terkait

1 komentar

 
GN⁺ 2024-01-29
Komentar Hacker News
  • Menarik bahwa para penyerang memantau sertifikat yang baru diterbitkan untuk menemukan target. Dalam beberapa jam setelah mendapatkan sertifikat dari Let's Encrypt, server menerima ratusan percobaan akses. Pelajarannya adalah server baru harus diamankan secepat mungkin sebelum terekspos ke internet.
  • Dulu saya meninjau access log saat mengelola situs yang di-host sendiri, dan menggunakan IDS untuk menandai percobaan serangan. Namun, saya berhenti meninjau log dan membayar biaya IDS. Sebagai gantinya, lebih baik mencari konten berguna yang merangkum kerentanan dan serangan umum untuk diterapkan dalam pengelolaan server, serta memprioritaskan siklus patch yang cepat. Log sangat berguna untuk diagnosis setelah masalah terjadi.
  • Penulis menyatakan bahwa ia bukan pakar keamanan, sambil menunjukkan bahwa contoh pertama dalam artikel itu bukan directory traversal melainkan penemuan kredensial dan konfigurasi. Directory traversal berarti teknik yang memungkinkan penyerang keluar dari web root atau membuat server menyajikan sesuatu di luar direktori normal.
  • Penting untuk menjalankan fail2ban di server, dan menambahkan jail kustom untuk menangkap serangan yang spesifik terhadap fitur yang disediakan situs. Sudah waktunya memeriksa apakah konfigurasi default fail2ban masih efektif.
  • Masalahnya adalah banyak serangan berasal dari negara yang bermusuhan. Meski kontroversial, memblokir rentang IP dari negara-negara yang tidak dapat diajak berbisnis bisa berguna. Dengan cara ini, semua pemindaian terhadap layanan baru dapat diblokir.
  • Selama sekitar satu tahun menjalankan server HTTP/S yang dirancang sendiri, saya menerima banyak traffic penyerang pada port yang terbuka (22, 80, 443), tetapi tidak punya waktu untuk menganalisis apa yang sebenarnya dicoba para penyerang. Tulisan ini memberikan banyak informasi.
  • Jika Anda menerima log semacam ini di AWS, saya menyarankan untuk menempatkan AWS WAF di depan VPC agar membantu melindungi diri. Biayanya tidak terlalu mahal dan dapat mencegah banyak masalah.
  • Berdasarkan pengalaman mengelola WAF dari berbagai perusahaan selama bertahun-tahun, saya menyarankan memindahkan DNS ke Cloudflare dan menerapkan beberapa aturan WAF pada situs untuk membantu menyelesaikan masalah. WAF bukan obat mujarab, jadi aplikasi tetap harus diperkuat agar siap menghadapi serangan.
  • Pada web host yang saya kelola, percobaan serangan yang paling umum berkaitan dengan WordPress, tetapi penulis tidak menyebutkannya. Mungkin penulis meng-host konten WordPress sehingga tidak bisa membedakan traffic normal dan serangan.
  • Alih-alih istilah 'directory traversal', ungkapan yang benar adalah 'directory enumeration'. Traversal biasanya berarti keluar dari web root dengan menggunakan path seperti '.. / .. /'.