log garbage ?

Discussion in 'Masalah Teknik dan Keamanan' started by pedagang, 4 Aug 2015.

Thread Status:
Not open for further replies.
  1. pedagang

    pedagang Expert 1.0

    Messages:
    674
    Likes Received:
    109
    Trophy Points:
    43
    mohon diterangkan log garbage berikut ini
    (dari web site juga banyak log yg acces denied)

    sebenarnya nggak ada masalah apa-apa, hanya ingin tahu saja

     
  2. masiqbal

    masiqbal Expert 2.0

    Messages:
    863
    Likes Received:
    249
    Trophy Points:
    43
    Dugaan saya ada yg coba hack dengan menginject cookie ke browser.
     
    pedagang likes this.
  3. pedagang

    pedagang Expert 1.0

    Messages:
    674
    Likes Received:
    109
    Trophy Points:
    43
    @masiqbal makasih, dipelajari

    itu karena bikin signature dg web tsb dan sedikit komen kasar pada forum inggris

    - ini web baru, belum ada pengunjung, jadi kemungkinan dia langsung sending ke website (server)
    - yg terdeteksi dia coba edit dan delete content web
    - ban IP nggak bisa karena IP dia selalu berubah
    - beberapa berhasil di ban dan kicked oleh hiawatha web server seperti log yg di atas
    - cek lewat rkhunter tidak ada apa-apa

    apakah dari log tersebut merupakan serangan yg biasa saja dan tidak perlu diperhatikan ?
     
  4. masiqbal

    masiqbal Expert 2.0

    Messages:
    863
    Likes Received:
    249
    Trophy Points:
    43
    Kemungkinan dia pakai browser emulator semacam selenium. Yg dia lakukan adalah cookie/session hijacking. Saya belum pernah pakai hiawatha, tapi harusnya bisa di-blok oleh web server apapun, dengan cara mengecek apakah ada HTTP_COOKIE dengan pola tersebut. Misalnya Anda pakai PHP kemungkinan besar tidak bikin session id dengan nama JSESSIONID. Dengan demikian, jika ada request menyertakan cookie key JSESSIONID ditolak aja. Kalau saya kadang tidak menolak unauthorized request, tapi saya redirect ke website lain misalnya website polisi buat iseng2. Hehehe.
     
    pedagang likes this.
  5. mustafaramadhan

    mustafaramadhan Hosting Guru

    Messages:
    3,237
    Likes Received:
    857
    Trophy Points:
    113
    Ini berarti 'keberhasilan' hiawatha untuk mendeteksi 'kelakuan' menyimpang dari 'pengunjung'. Ini tidak akan terdeteksi oleh RKHunter karena 'pengunjung' tidak berhasil 'obrak-abrik' system.
     
    pedagang likes this.
  6. pedagang

    pedagang Expert 1.0

    Messages:
    674
    Likes Received:
    109
    Trophy Points:
    43
    @masiqbal makasih lagi, pelajaran-nya makin mengerucut (sessionid), untuk sementara sy manfaatkan dg cara redirect, selanjutnya mungkin dg penguatan block pada web server

    @mustafaramadhan , iya Pak, masih aman.
     
  7. pedagang

    pedagang Expert 1.0

    Messages:
    674
    Likes Received:
    109
    Trophy Points:
    43
    wah, ngeri juga,
    sessionid terlalu banyak
    sy mendahulukan penguatan web server (hiawatha) yg standar
     
  8. pedagang

    pedagang Expert 1.0

    Messages:
    674
    Likes Received:
    109
    Trophy Points:
    43
    ada log yg flooding juga, tapi sudah-lah, sudah cukup mendapat clue
    terimakasih pada masiqbal yg telah memberi pencerahan soal cara baca log
    dan terimakasih pada mustafaramadhan dg panel yg mudah ngatur hiawatha dll

    case closed
     
  9. Abang Noob

    Abang Noob Poster 2.0

    Messages:
    161
    Likes Received:
    22
    Trophy Points:
    18
    ini berlaku untuk hiawatha sebagai webserver sendiri, atau bisa sebagai hiawatha-proxy pak?
     
  10. mustafaramadhan

    mustafaramadhan Hosting Guru

    Messages:
    3,237
    Likes Received:
    857
    Trophy Points:
    113
    Kedua-duanya.
     
    Abang Noob likes this.
Thread Status:
Not open for further replies.

Share This Page

Loading...