Server

by

Mitigasi Malware di Web Server dan Cara Membersihkannya

Malware selalu menjadi hal yang merepotkan. Umumnya pembuat malware tidak membuat malware untuk sekedar ajang pamer layaknya defacement. Malware dibuat demi tujuan yang lebih besar dan masif, dan biasanya tidak berjalan secara sendiri-sendiri melainkan menjadi sebuah network atau perkumpulan.

Discovery

Disuatu pagi tiba-tiba salah satu website yang kami kelola menunjukkan tampilan yang aneh.

Awal Permasalahan Malware

Awal Permasalahan Malware

Melihat pesan error seperti ini tentunya yang langsung terpikir adalah memeriksa source code-nya, ada yang tidak beres. Setelah diperisa ternyata benar script-nya telah disisipi oleh malware.

Sisipan malware untuk men-trigger sesuatu

Sisipan malware untuk men-trigger sesuatu

Sisipan malware

Sisipan malware di file index.php milik WordPress

Di tahap ini kita bisa meningkatkan asumsi kita terkait dampak lainnya, bagaimana jika yang telah disisipi tidak hanya file index.php ini saja? untuk memastikannya maka perlu dilakukan pencarian lebih dalam.

Mencari potongan string dalam satu atau lebih dokumen dapat menggunakan perintah berikut:

grep -rnw . -e '@include "'

Mencari script yang terinfeksi

Mencari script yang terinfeksi

Dari hasil pencarian kita menemukan dua script yang telah terinfeksi, yakni index.php dan wp-settings.php.

Recovery

Untuk membersihkannya kita perlu membuka script tersebut dengan vim atau nano, kemudian menghapus secara manual bagian yang terinfeksi tersebut. Opsi lain yang bisa diusahakan adalah dengan cara mengupload ulang script tersebut dari versi aslinya, misalnya dari repository atau sumber lainnya.

Cleaning

Sampai sini kita sudah melakukan memperbaiki script yang terdampak oleh infeksi malware. Membersihkan malware dari server tidak cukup hanya dengan menghapus file-file yang terdampak saja, namun pembersihan dilakukan sampai ke akar atau induknya.

Tahapan selanjutnya adalah memastikan kejadian yang sama tidak terulang kembali. Dari sudut pandang hacker, saat malware yang dibuat sudah berhasil masuk dan dieksekusi kedalam sebuah sistem, hacker umumnya akan membuat jalur pintas alternatif untuk memudahkan akses kembali di kemudian hari.

Dari hasil discovery sebelumnya kita bisa mencoba memahami apa yang dilakukan potongan code tersebut. Malware umumnya disisipkan dalam bentuk yang sukar untuk dibaca atau pahami. Itulah sebabnya hampir semua malware yang disisipkan kedalam script tertanam dalam bentuk obfuscated atau setidaknya dalam bentuk base64encode. Dalam kasus ini kami mendapatkan sisipan dalam bentuk base64encode, sehingga cukup mudah untuk di-decode.

Tool untuk decode tersedia cukup banyak secara online, salah satunya malwaredecoder.com. Berikutnya cukup paste potongan malware pada tool tersebut kemudian kita aman mendapatkan target dari yang dijalankan oleh malware.

 

Hasil decode

Hasil decode

Dari tool tersebut kami mendapat bahwa yang dieksekusi adalah .2980a2fe.ico. Setiap script index.php dijalankan maka secara otomatis induk malware ini juga akan dieksekusi. Selanjutnya adalah mencari induk ini yang sudah tersebar didalam server.

find . -type f -name ".*.ico"

Yang menarik adalah nama yang digunakan induk ini cukup random sehingga tidak bisa mencarinya hanya berpatokan nama, pencarian perlu dilakukan menggunakan regex. Kemudian induk tersebut menggunakan karakter dot/titik (.) sebagai prefix namanya, dimana ini merupakan hidden file untuk sistem linux.

Mencari induk malware

Mencari induk malware

Dari hasil pencarian kami mendapati beberapa induk yang tersebar ke beberapa directory. Yang perlu dilakukan adalah menghapusnya, bisa dilakukan secara manual satu persatu atau bisa menggunakan command.

find . -type f -name ".*.ico" -exec rm -rf {} \;

Namun perlu diantisipasi bahwa menghapus sekaligus menggunakan command berpotensi menghapus file yang sebetulnya merupakan file asli sistem dan bukan malware. Ada baiknya untuk meninjau daftarnya terlebih dahulu baru kemudian dapat mulai dihapus.

Bonus

Selama menggunakan web engine tersedia di internet tentunya potensi sepertinya akan tetap ada. Misalnya WordPress, dengan tingkat flexibilitas yang cukup tinggi semua orang bisa menginstall plugin dari berbagai sumber. Jalur masuk malware paling banyak berasal dari plugin dan theme WordPress.

Kita sebagai pengelola web server mungkin dapat “sedikit” memberikan kontrol terhadap akses terhadap file system. Kita bisa mengunci directory tertentu yang berisi script inti dari aplikasi web, sehingga dapat menghindari sisipan malware dari sumber manapun.

chattr [-R] +i path/to/dir/or/file

Command diatas membuat directory atau file tidak dapat dirubah, adapun jika ingin dirubah kembali cukup mengganti karakter + menjadi -

chattr [-R] -i path/to/dir/or/file

Selengkapnya dapat membaca artikel saya lainnya tentang rekomendasi keamanan untuk web server.

by

Dump dan Backup MySQL ke S3 DigitalOcean Spaces

Alur untuk backup otomatis database langsung ke S3 services, salah satunya ke DigitalOcean (DO) Spaces

Integrasi s3cmd

Download sesuai platform dari https://s3tools.org/s3cmd kemudian jalankan comman untuk konfigurasi :

s3cmd --configure

Lengkapi credentials sehingga dapat terhubung dengan S3 service

s3cmd lists

s3cmd lists

Script untuk Dump and Push

Buat sebuah file dengan nama do.sh berisi perintah berikut (sesuaikan variabel)

#!/bin/bash
DB_HOST={{db_name}}
DB_NAME={{db_name}}
DB_USER={{db_user}}
DB_PASS={{db_pass}}
S3_PATH=path/to/app/
FILE_NAME=mysql-$(date +%Y%m%d-%H_%M_%S)
echo "dump db..."
mysqldump -h $DB_HOST -u $DB_USER -p$DB_PASS $DB_NAME > $FILE_NAME.sql
echo "compress..."
tar -czvf $FILE_NAME.tar.gz $FILE_NAME.sql
echo "put to s3..."
s3cmd put $FILE_NAME.tar.gz s3://$S3_PATH
echo "clean up..."
rm -f $FILE_NAME*
view raw do.sh hosted with ❤ by GitHub

Atur Penjadwalan

Buka crontab mode edit dan tambahkan command berikut (waktu bisa disesuaikan) :

0 0 * * * /bin/sh ~/do.sh

by

Domain Local Apache di Windows Environment

Apache Web Server

Apache Web Server

Sebelumnya saya pernah menulis tentang bagaimana membuat custom local domain untuk apache pada macOS, kali ini saya akan share konfigurasi yang sama namun pada OS berbasis Windows. Secara umum alurnya tidak jauh berbeda, bahkan software-software yang digunakan pun masih tetap sama.

Kembali mengingatkan bahwa dalam konfigurasi ini kita ingin membuat lingkungan pengembangan aplikasi web kita menjadi lebih sederhana dan terstruktur, misalnya dari alamat local yang awalnya

http://localhost/project-A/subproject-A1/child-project-A11

cukup menjadi http://a11.local atau http://sub1.project-a1.local

Contoh domain diatas menggunakan .local, sebetulnya tidak ada keharusan untuk menggunakan domain tersebut karena sifatnya yang memang lokal kita bisa menggunakan domain yang kita inginkan, misalnya .dev, .private, .test, dan lain sebagainya. Bahkan kita bisa menggunakan public domain (TLD) yang sudah ada, misalnya .com, .net, .org, dan lain sebagainya.

Namun menggunakan TLD tidak disarankan, karena nanti dapat menyebabkan conflict dengan public domain yang sesungguhnya.

Project Structures

Saat kita memiliki beberapa project alangkah baiknya kita memiliki satu root folder yang berisi semua project didalamnya, kemudian berjenjang ke sub-folder sebagai representasi sub-aplikasi, dan seterusnya. Contohnya gambar dibawah adalah struktur project yang saat ini saya gunakan.

Saya menempatkan root folder langsung dibawah C:\, dengan begitu begitu saya perlu masuk kedalam folder tersebut melalui mode terminal (CLI) akan lebih mudah dijangkau. Dari struktur folder diatas umumnya saya membentuk domain lokal sesuai project

  • unram.local –> C:\Sites\unram
  • e-pay.unram.local –> C:\Sites\unram\e-pay
  • form.if.unram.local –> C:\Sites\unram\if\form
  • dan seterusnya

Hal ini juga untuk memudahkan dalam mengingat project ketika sudah di-deploy ke stage production

  • unram.local –> unram.ac.id
  • e-pay.unram.local –> e-pay.unram.ac.id
  • form.if.unram.local –> form.if.unram.ac.id
  • dan seterusnya

Web Development Tools

XAMPP adalah web development stack yang sudah familiar bagi pengguna Windows, dalam tulisan ini tools yang akan digunakan adalah software tersebut. Dengan menggunakan software ini kebutuhan software lainnya untuk web server dapat terpenuhi, diantaranya Apache, MySQL, dan PHP.

XAMPP Main

XAMPP Main

Apache Config

Mulai dari Apache, secara default XAMPP mengarahkan root folder untuk aplikasi-aplikasi web yang berjalan dibawah localhost ke C:\xampp\htdocs. Secara teknis kita tetap bisa menggunakan folder ini, namun sedikit lebih panjang ketika kita perlu akses melalui terminal, untuk itu kita perlu arahkan ke root folder yang telah dijelaskan diatas yakni C:\Sites.

Untuk mengarahkan root folder apache ke C:\Sites kita bisa merubah konfigurasi yang ada pada file httpd.conf. Untuk membuka file tersebut dari halaman main XAMPP pada bagian apache klik Config –> Apache (httpd.conf).

Setelah itu mestinya akan terbuka notepad yang berisi file httpd.conf

Yang perlu dilakukan selanjutnya adalah mencari baris yang berisi text

DocumentRoot "C:/xampp/htdocs"
<Directory "C:/xampp/htdocs">

Kemudian menggantinya dengan 

DocumentRoot "C:/Sites"
<Directory "C:/Sites">

Selanjutnya simpan (ctrl+s) dan tutup Notepad. Untuk memastikan tidak ada yg salah kita perlu stop apache dan start kembali. Jika pada kolom PID(s) dan Port(s) nya muncul angka berarti tidak ada masalah, konfigurasi sudah sesuai.

Apache Virtual Hosts

Dalam tulisan ini misalnya saya ingin membuat vhost untuk domain form.if.unram.local maka sebelumnya saya harus memiliki folder di C:\Sites\unram\if\form. Selanjutnya kita perlu menambahkan host baru pada konfigurasi apache, file yang perlu dibuka adalah C:\xampp\apache\conf\extra\httpd-vhosts.conf.

Pada baris paling akhir tambahkan text berikut

<VirtualHost *:80>
    ServerAdmin zaf@elektro08.com
    DocumentRoot "C:/Sites/unram/if/form"
    ServerName form.if.unram.local
    ErrorLog "logs/form.if.unram.local-error.log"
    CustomLog "logs/form.if.unram.local-access.log" common
</VirtualHost>

Konfigurasi diatas adalah untuk satu host yakni form.if.unram.local, jika ingin menambahkan host lainnya tinggal menambahkan konfigurasi yang sama seperti cara diatas, namun path dan name nya perlu disesuaikan. Jangan lupa setiap melakukan perubahan terhadap konfigurasi apache perlu distop dan distart kembali.

OS Hosts

Terakhir adalah melakukan konfigurasi pada internal DNS pada OS yang digunakan. Domain http://localhost akan selalu mengarah ke 127.0.0.1, custom domain http://form.if.unram.local tidak otomatis mendapatkan IP melainkan kita perlu memetakan domain tersebut menjadi domain local, yakni ke 127.0.0.1 juga.

Untuk memudahkan pengelolaan kita bisa menggunakan software Hosts File Editor.

Jika sudah diisi terakhir adalah tinggal mencoba akses domain local tersebut

by

Upload File Sederhana ke AWS S3 dengan PHP

AWS telah menyediakan SDK untuk memudahkan transaksi terhadap beberapa servicenya secara program, salah satu yang disediakan adalah untuk PHP. Namun terkadang kebutuhan tidak sesuai dengan usaha yang harus dikeluarkan. Untuk sekedar upload file ke S3 milik AWS kita perlu load/download paket lengkap dari SDK nya, rasanya agak berlebihan.

Setelah googling beberapa waktu akhirnya ketemu library dalam bentuk single file, yang dapat digunakan untuk beberapa kegiatan di S3, salah satunya untuk upload file.

Library nya ada di repository https://github.com/23Pstars/simple-php-s3-upload

Menggunakannya cukup sederhana, hanya perlu menyesuaikan script index.php dan melengkapi credentials untuk akun yang digunakan

<?php
include 'S3.php';
define('S3_ENDPOINT', 's3.amazonaws.com');
define('S3_BUCKET', 'bucket');
define('S3_DIR', 'path/to/dir');
define('S3_KEY', '*****');
define('S3_SECRET', '*****');
// submitted form
$_stored_filename = 'file.txt';
$_file_tmp_name = $_FILES['tmp_name'];
new S3(S3_KEY, S3_SECRET, false, S3_ENDPOINT);
S3::putObjectFile($_file_tmp_name, S3_BUCKET, S3_DIR . DS . $_stored_filename, S3::ACL_PUBLIC_READ);
$_uploaded_file = 'https://' . S3_ENDPOINT . DS . S3_BUCKET . DS . S3_DIR . DS . $_stored_filename;
view raw index.php hosted with ❤ by GitHub

by

Masalah User Tidak Bisa Login SSH di CWP

Akses SSH bagi user baru di CWP secara default adalah disable dengan alasan keamanan. Kita bisa mengaktifkan akses SSH hanya dengan mencentang enable SSH pada saat membuat atau memperbaiki user di CWP.

SSH Enable CWP

SSH Enable CWP

Namun terkadang meskipun SSH nya sudah di-enable, user tetap tidak dapat melakukan login ke server berbasis CWP dengan pesan error Permission Denied.

SSH Permission Denied

SSH Permission Denied

Hal ini terjadi karena password yang kita gunakan merupakan sebagian atau keseluruhan dari username. Untuk dapat menggunakan SSH kita perlu melakukan reset password dengan menentukan password baru adalah selain kata yang mengandung username.

by

Domain Lokal menggunakan Virtual Host di Apache

Apache Web Server

Apache Web Server

Web developer pastinya tidak asing lagi dengan alamat 127.0.0.1 a.k.a localhost. 127.0.0.1 maupun localhost merujuk pada suatu alamat pada mesin komputer kita, atau biasa disebut dengan host, disanalah si Apache biasanya bersarang.

Untuk project yang sifatnya masih development biasanya akan menggunakan alamat tersebut.
Hanya saja akan ada kendala dimana dalam satu host berisi lebih dari satu project atau aplikasi. Jika demikain tentu kita akan mengakses project tersebut secara nested.

http://localhost/project-A/subproject-A1/child-project-A11

Panjang? Tentunya.

Beberapa tahun terakhir saya selalu menggunakan alias pada domain lokal saat development.

http://a11.local atau https://a11.local Continue reading

by

Git Aliases via .profile dan .gitconfig

git status
git add .
git commit -m "messages"
git push origin master

Setiap hendak menyimpan code, setidaknya 4 command diatas yang paling sering kita ketik. Untuk sedikit memudahkan hal tersebut, git telah memberikan fasilitas aliases bagi kita untuk menyingkat perintah git.

Ada dua opsi yang bisa digunakan, menggunakan alias via .profile dan .gitconfig.

Pada opsi .profile, deklarasi dilakukan sejak pertama kali kita melakukan login ke sistem (~/.profile).

alias gs="git status "
alias gaa="git add ."
alias gcm="git commit -m "
alias gpom="git push origin master"

Namun saya tidak merekomendasiakan hal ini, karena scope alias adalah sistem. Kita tidak pernah tahu ada aplikasi lain yang menggunakan caller gs, gaa, gcm, dan gpom sehinga justru akan menjadi berbahaya.

Saya lebih prefer untuk menggunakan versi git. Versi git memiliki dua opsi juga, ingin ditentukan secara global atau ingin ditentukan per-project. Saya lebih suka yang per-project, karena saya biasanya menggunakan lebih dari satu code repository (gitlab, github, dan bitbucket). Dengan dideklarasikan per-project saya bisa menentukan alias untuk masing-masing repository.

Untuk per-project bisa dideklarasikan di .git/config yang ada pada masing-masing direktori project.

[alias]
  s = status
  aa = add .
  cm = commit -m
  pgm = push gitlab master
  pbm = push bitbucket master

Dengan begitu untuk menyimpan code ke repository saya cukup mengetik git s, git cm, dan git pgm (gitlab) saja. Meskipun sedikit lebih panjang dari deklarasi via .profile, namun saya rasa cukup aman karena setiap perinta selalu diawali dengan git ....

by

Mengganti Webuzo dengan CentOS Web Panel

Setelah beberapa tahun terakhir aktif menggunakan Webuzo, tiba saatnya move on kepada software lain. Kali ini tempat singgah berikutnya adalah CentOS Web Panel (CWP). CWP merupakan panel control untuk kebutuhan website pada server dengan distro CentOS.

Dengan banyaknya domain yang terdistribusi dalam beberapa server LRsoft, proses migrasi mungkin akan memakan banyak waktu. Tapi setidaknya proses ini hanya dilakukan sekali untuk jangan waktu yang panjang berikutnya.

Beberapa data yang perlu dimigrasi adalah file system, yakni semua script dan data lainnya yang berkaitan dengan sistem. Berikutnya adalah database, merupakan gudang data inti dari aplikasi atau web. Dan terakhir adalah DNS function, termasuk MX dan CNAME records.

Record MX untuk menentukan mail server yang digunakan jika layanan tersebut berada di luar server (Google, Yandex, dan lain sebagainya). Kemudian CNAME hanya merupakan alias untuk beberapa fungsionalitas address. Ada beberapa hal yang membuat saya akhirnya menjatuhkan pilihan pada CWP dibandingkan web panel lainnya. Continue reading

by

Ketika DDoS menyerang

DDoS everywhere

DDoS everywhere

Mengelola server merupakan pekerjaan yang tidak selalu mudah. Sesuatu yang sifatnya open public pastinya memiliki banyak ancaman yang tidak pernah dapat ditebak kapan datangnya. Berapa tahun terakhir saya bertugas untuk mengelola beberapa server yang menaungi cukup banyak website, mulai dari bisnis, personal, iseng, sampai yang tidak penting. Continue reading

by

Menambahkan sertifikat SSL untuk cURL di PHP

SSL Certificate Logo

SSL Certificate Logo

Sejak PHP versi 5.6 autentikasi SSL terhadap akses cURL (CURLOPT_SSL_VERIFYPEER) default menjadi TRUE. Hal ini mengakibatkan ketika menggunakan fungsi file_get_contents() selalu melakukan validasi sertifikat SSL terhadap URL tujuan yang menggunakan protokol SSL. Meskipun URL tujuan telah terinstall sertifikat SSL yang valid, namun cURL tidak dapat membuktikan validitas SSL jika belum memiliki dokumen pembanding sendiri (CA certs list).

Hari ini kebetulan saya juga mengalami masalah yang sama, ketika memasang webuzo di server yang baru. Tidak lama setelah konfigurasi telah selesai dilakukan saya baru sadar kalau beberapa fungsionalitas website tidak bekerja seperti biasanya. Setelah memeriksa berkas log saya mendapati pesan warning sebagai berikut:

PHP Warning:  file_get_contents(): SSL operation failed with code 1. OpenSSL Error messages:
error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed in /home/user/public_html/script.php on line 1
PHP Warning:  file_get_contents(): Failed to enable crypto in/home/user/public_html/script.php on line 1
PHP Warning:  file_get_contents(https://domain.com/index.html): failed to open stream: operation failed in/home/user/public_html/script.php on line 1

Continue reading