Simak langkah-langkah berikut untuk menanggulangi serangan hacking
pada website anda :
1) Login ke cPanel, pastikan ’Last Login From’ tercantum IP publik anda
Langkah pertama adalah mengecek pada bagian “Last login from” melalui panel
kontrol anda. Pastikan harus selalu tercantum alamat IP publik dari mana
terakhir kali anda melakukan login. Bagaimana cara menemukan IP publik kita?
Cara termudah adalah dengan membuka situs domain checker semacam http://who.is.
Biasanya tepat pada portalnya akan muncul tulisan Your IP is 183.7.xxx.xxx.
Itulah alamat IP publik anda. Kembali lagi jika pada “Last login from”
tercantum alamat IP lain yang tidak anda ketahui, catat. Hal ini berbahaya
sebab logikanya jika alamat IP lain bisa login ke kontrol panel kita, berarti
mereka memiliki username, password, dan semua akses ke situs kita. Dan inilah
indikasi awal bahwa website kita mendapat serangan.
2) Menyalakan fitur Log Archiving
Website akses log menyimpan rekaman mendetail tentang siapa yang melakukan
koneksi ke situs kita, baik melalui HTTP (pengunjung normal) maupun melalui FTP
(transfer file). Umumnya, log tersebut dihapus setiap harinya. Padahal peranan
akses log sangatlah penting. Agar akses log tidak terhapus, lakukan langkah
berikut:
1. Login ke cPanel > Raw Log Manager
2. Cek pada kotak “Archive Logs”.
3. Uncek pada kotak “Remove the previous month’s archived logs”
4. Klik Save
Dengan demikian Archive Log akan memaksa setiap log agar disimpan. Jika
Archive Log dinyalakan maka setiap traffic akses akan terekam, termasuk
serangan. Dan percayalah, dengan mempelajarinya akan berguna bagi anda untuk
melakukan evaluasi sekuriti website anda.
3) Langkah darurat; segera offline kan
website anda
Jika halaman anda terinfeksi virus yang memiliki kemungkinan virus tersebut
bisa menyerang pengunjung situs anda, maka segera lindungi pengunjung anda dan
juga reputasi anda. Yaitu dengan membuat website anda berstatus offline. Bisa
dengan menambahkan beberapa baris kode pada .htaccess, maupun mengupload
tampilan halaman under construction. Jika anda melakukannya dengan segera, anda
memiliki kemungkinan untuk menghindarkan situs anda mendapat predikat “This
site may harm your computer” dari Google. Selain itu, penyerang biasanya telah
menginstal backdoor script pada halaman index anda yang memungkinkan mereka
untuk kembali ke server anda. Menetapkan status offline pada situs anda
sementara, sedikitnya memiliki kemungkinan untuk mengunci dan membuat penyerang
tidak bisa masuk melalui backdoor yang telah diinstal.
4) Semua administrators situs melakukan scan pada PC masing-masing
Fakta bahwa di tahun 2009, penyebab nomor satu dari hacking website adalah
PC webmaster yang terinfeksi oleh malware. Malware semacam gumblar, dan martuz
(yang telah kita bahas pada edisi sebelumnya, red.) bertindak sebagai jembatan
dalam mencuri informasi login FTP dan mengirimkannya ke komputer remote.
Komputer remote inilah yang kemudian menyuntik halaman website korban dengan
JavaScript atau iframes tersembunyi yang mengarahkan pengunjung website korban
ke website berbahaya yang menyimpan gumblar dan martuz lainnya. Untuk
menghindarinya, pastikan setiap orang yang memiliki akses password ke website
anda melakukan setidaknya dua kali scan antivirus dan antispyware pada local
komputer masing-masing dengan scanner yang bervariasi. Karena selama PC
webmaster terinfeksi, mengubah password situs tidak akan berpengaruh sama sekali.
Bukankah password baru dengan mudah dapat dicuri lagi?
5) Ganti semua password anda
Setelah PC administrator bebas dari virus dan spyware, gantilah semua
password yang berhubungan dengan situs anda. Panel kontrol, FTP, koneksi
database, email akun, dan halaman administrator anda. Pergunakan kombinasi
password yang kuat. Yaitu password yang tidak mudah ditembus karena mengandung
kombinasi kata, angka, dan karakter yang rumit.
6) Upgrade semua third party script ke versi terbaru
Sesuai yang pernah kita bahas pada edisi sebelumnya bahwa serangan semacam
Remote File Inclusion (RFI) memanfaatkan vulnerability pada script versi lama
dari script third party kita untuk menyusup ke dalam situs kita. Dan
satu-satunya cara untuk menangkal serangan RFI ini adalah menggunakan versi
terbaru dari script third party yang telah memiliki kekebalan terhadap RFI.
Baik plugin, addon website hingga Content Management System (CMS) anda, segera
upgrade ke versi terbaru.
Jika anda menggunakan CMS semacam Joomla maupun WordPress, anda bisa
mengikuti perkembangan rilis terbaru melalui situs resmi masing-masing CMS yang
anda pakai. Update versi WordPress bisa dicek melalui wordpress.org, Joomla
pada joomla.org, dan sebagainya. Cek juga situs secunia.com, sebuah situs yang
berisi laporan sekuriti setiap third party script. Halaman situs secunia.com
mendaftar kerentanan yang ditemukan pada plugin atau addon. Dengan mengecek di
halaman tersebut, anda mengetahui apakah third party script yang anda
pergunakan aman atau terdapat vulnerability di dalamnya.
7) Cek kode PHP anda untuk menemukan lubang sekuriti
Jika anda mencurigai bahwa script yang anda tulis sendiri mungkin saja
memiliki kerentanan sekuriti, cara teraman adalah dengan berhenti mempergunakan
script tersebut hingga anda telah memeriksanya dengan sangat teliti. Setelah
membuat kopian lokal untuk anda sendiri, hapus scriptnya dari server. Karena
selama script masih ada di dalamnya, setiap orang yang telah mengetahui letak
lubang sekuritinya tetap bisa mengakses dan mengeksploitasinya.
8 ) Temukan dan perbaiki semua script berbahaya yang anda temukan
Anda bisa mengidentifikasi file apa yang dihack dengan mengecek setiap file
mencurigakan melalui File Manager di cPanel anda. File yang mencurigakan
memiliki kriteria sebagai berikut:
* Halaman dengan tanggal modifikasi lebih baru dari terakhir kali anda
menyimpannya.
* File baru dengan nama dan lokasi yang mencurigakan. Beberapa hack
menginstal file dengan nama seperti hacked.html atau vulnerable.php, dan
sebagainya. Nama lainnya mungkin hanya tersusun secara acak. Beberapa file
terinstal di lokasi yang membuatnya tampak mencurigakan, misal sebuah file .php
di dalam folder /images. Jika anda menemukan file-file tersebut, cek tanggalnya
dan cari file lain dengan tanggal yang sama untuk menemukan file apa saja yang
mungkin terinfeksi. Sayangnya, anda tidak bisa begitu saja menghapus semua file
yang bukan milik anda.
Beberapa adalah file sistem yang belum pernah anda ketahui sebelumnya. Jika
anda ragu, lakukan pencarian Google dengan nama file tersebut, atau post sebuah
pertanyaan pada forum tertentu.
* Cek direktori root anda (“/”) dan subdirektorinya untuk menemukan file
yang berbahaya. Bahkan jika anda menghapus semua konten di public_html anda dan
mempublish ulang situs anda, hal tersebut tidak akan menulis ulang direktori
diatas dan setara public_html. Untuk itulah anda perlu melakukan pengecekan
manual pada area root direktori juga.
Ada lagi
cara termudah untuk memperbaiki situs kita jika kita tidak memiliki kemampuan koding
yang mumpuni. Yaitu dengan mereplace website kita dengan backup segar yang kita
ketahui bersih. Tetapi dengan melakukannya sama saja dengan menghancurkan bukti
yang mungkin kita perlukan untuk menemukan bagaimana serangan terjadi dan
bagaimana cara mencegahnya terjadi lagi. Untuk itu
sebelumnya anda bisa membuat kopian dari situs yang dihack, sehingga bisa
anda pelajari kemudian.
9) Cek bahwa file atau permission folder anda sudah secure
Melalui File Manager, pastikan permission dari folder dan file anda sudah
sebagaimana mestinya. 755 untuk folder, dan 644 untuk file.
Permission seperti 777 dan 666 yang identik dengan world-writable harus
dicurigai. Jika anda menemukan permission world-writable pada sebuah file atau
folder, segera lakukan pengecekan karena di sanalah area dimana penyerang bisa
mengoprek halaman tersebut dengan mudah. Jika anda tidak menemukan alasan yang
sangat kuat mengapa harus melonggarkan permission pada suatu file atau folder,
maka rapatkan kembali permissionnya menjadi 755 atau 644.
10) Ganti lagi semua password anda
Untuk menghindari seseorang “mengintip” ke dalam situs kita ketika kita
melakukan penggantian password sebelumnya, maka setelah memastikan situs kita
bersih, lakukan penggantian password kembali. Tentunya tetap dengan
mempergunakan kombinasi serumit mungkin.
11) Blok akses IP yang menyerang anda
Setelah anda mengetahui IP yang melakukan login tanpa izin seperti pada
langkah pertama dan kedua pada artikel ini, blok akses terhadap IP tersebut
melalui salah satu fitur IP Deny Manager di cPanel.
12) Pentingkah untuk melaporkan penyerang secara legal?
Hacking adalah pelanggaran terhadap aturan dan layanan semua webhosting
ataupun ISP. Jika anda bisa membuktikan secara akurat bahwa seseorang
menggunakan sebuah IP address tertentu untuk melakukan hacking, anda dapat
melaporkan insiden ini kepada webhosting atau ISP dengan harapan bahwa mereka
akan menutup akun pelaku. Tetapi biar bagaimanapun, bahkan jika anda berhasil,
sama saja seperti membunuh seekor semut. Karena faktanya bahwa perharinya
terdapat jutaan request berbahaya yang diluncurkan kepada jutaan website oleh
ribuan server berbahaya. Jika satu server dimatikan, tidak berpengaruh apapun
terhadap penyerang. Toh mereka masih memiliki ribuan server lainnya. Daripada
menghabiskan waktu untuk membalas dengan melaporkan penyerang kepada pihak
berwajib, ada baiknya kita meluangkan waktu kita untuk terus meningkatkan
pendalaman mengenai ilmu sekuriti website kita. Dan meningkatkan kesadaran
bahwa setiap saat pasti akan ada gelombang besar serangan terhadap website
kita.
Tag :
Tutorial Blog
0 Komentar untuk "Cara Mengatasi Serangan Hacking pada Website"