Panduan Komprehensif Penanganan dan Mitigasi Insiden Web Defacement Judi Online

Pendahuluan

Belakangan ini, insiden serangan siber berupa Web Defacement pada situs Pemerintahan dan Pendidikan di Indonesia semakin marak terjadi. Khususnya, Web Defacement yang menampilkan konten "Slot Gacor" atau judi online telah menjadi ancaman serius. Dokumen ini disusun oleh Direktorat Operasi Keamanan Siber untuk memberikan panduan komprehensif dalam penanganan dan pencegahan insiden tersebut.

Pengertian Web Defacement

Web defacement merupakan serangan pada website yang mengubah tampilan asli atau konten dari sebuah website. Pelaku serangan web defacement disebut sebagai defacer. Serangan ini sering dimanfaatkan untuk:

1. Menguji kemampuan defacer
2. Tindakan vandalisme elektronik
3. Agenda politik (menurunkan reputasi atau kredibilitas pihak tertentu)

Metode serangan web defacement umumnya memanfaatkan kelemahan sistem, memungkinkan pelaku memperoleh akses ke server dan kewenangan untuk mengganti atau menghapus konten website. Cara yang sering dijumpai antara lain:

• Eksploitasi kerentanan plugins framework
• SQL Injection yang memungkinkan akses administratif

Dampak Web Defacement Judi Online

1. Reputasi: Tampilan halaman judi online yang tidak pantas atau ilegal pada situs pemerintah menciptakan kesan negatif terhadap integritas institusi.
2. Kepercayaan: Masyarakat akan meragukan keamanan dan keandalan situs pemerintah, serta kemampuan pemerintah dalam melindungi data sensitif dan informasi publik.
3. Availability: Defacement dapat menyebabkan gangguan pada layanan yang disediakan oleh situs pemerintah serta menyebabkan ketidaknyamanan dan ketidakpuasan masyarakat terhadap pemerintah.

Alur Serangan Web Defacement Judi Online

Alur serangan merupakan suatu metode atau jalan yang digunakan oleh penyerang untuk melancarkan serangan. Alur serangan menggambarkan cara penyerang memanfaatkan kelemahan atau celah dalam sistem untuk memperoleh akses tidak sah terhadap sistem.

A. Initial Access

Initial access melibatkan upaya dalam memanfaatkan kerentanan dan kesalahan pada konfigurasi untuk dapat masuk ke dalam sistem. Web defacement judi online diidentifikasi memanfaatkan Exploit Vulnerability Apps dan Brute Force Attack untuk masuk ke dalam sistem.

Exploit Vulnerability Apps

Penyerang melakukan percobaan eksploitasi kerentanan pada software dan teknologi sistem yang digunakan. Kerentanan dapat berupa bug atau security misconfiguration. Berikut beberapa initial access yang dimanfaatkan penyerang dalam defacement judi online:

a. XSS Vulnerability 

Penyerang memanfaatkan kerentanan XSS (Cross Site Scripting) untuk melakukan injection payload XSS dengan tujuan untuk menyisipkan script judi online sehingga script akan tertanam pada salah satu halaman legitimate yang secara otomatis ketika diakses akan tereksekusi dan menampilkan halaman judi online.

b. File Upload Vulnerability 

Penyerang memanfaatkan kerentanan file upload yang tidak menerapkan filtering dan sanitasi dengan baik sehingga penyerang dapat melakukan upload webshell atau backdoor.

c. PHP Unit Vulnerability 

Penyerang sering memanfaatkan kerentanan PHP Unit yang dapat berdampak pada remote code execution. Penyerang akan melakukan instalasi backdoor atau webshell.

d. SQL Injection 

Kerentanan SQL Injection juga menjadi salah satu attack vector yang sering dimanfaatkan penyerang dalam melakukan defacement judi online. Kredensial hasil SQL Injection dapat digunakan untuk login aplikasi bahkan ke sistem.

Brute Force Login

Penyerang sering kali melakukan brute force attack pada aplikasi dan juga pada layanan remote access yang diaktifkan (SSH). Dalam beberapa kasus diketahui bahwa brute force terjadi karena penggunaan password yang tidak kuat sehingga dapat dengan mudah dilakukan brute force attack. Contoh penggunaan password yang dijumpai berhasil dilakukan brute force antara lain 12345, password, admin dan lainnya.

B. Execution

Penyerang akan melakukan aktivitas pada server untuk dapat melakukan penyisipan script judi online, beberapa aktivitas yang dilakukan antara lain:

1. Remote Execution Penyerang memanfaatkan backdoor yang telah tertanam pada server untuk melakukan remote code execution seperti melakukan pembuatan akun, serta membuat file-file deface. Beberapa webshell atau backdoor yang sering ditemukan pada defacement judi online yaitu:

• Lzt.zip.gz.txt.php
• Mad.php
• alfa.php

2. Upload script Judi Online dan Google Indexing Penyerang akan melakukan modifikasi pada file .htaccess untuk mengizinkan beberapa file webshell untuk dapat dieksekusi pada folder yang telah ditentukan. Kemudian penyerang akan membuat folder Slot-Gacor yang berisi file index.php dan Google Indexing dengan tujuan supaya akan tampil paling atas pada mesin pencarian Google.

Ketika sudah tampil maka tampilannya akan terindex pada google seperti gambar berikut ini (gambar ini hanya sebagai sample data pada saat dokumen ini ditulis).

        

C. Persistence

Penyerang melakukan mekanisme persistence untuk memastikan akses mereka terhadap server korban tetap tersedia. Berikut beberapa mekanisme persistence yang terjadi pada defacement judi online:

1. Penyisipan Backdoor/Webshell. Penyisipan dan upload backdoor atau webshell sering ditemukan pada insiden defacement. Penyerang memanfaatkan webshell sebagai pintu untuk masuk ke server. Beberapa webshell yang sering ditemukan antara lain Lzt.zip.gz.txt.php, Mad.php, b374k.php, dan alfa.php.
2. Pembuatan Process dan Service. Beberapa kasus dijumpai bahwa penyerang juga melakukan persistence dengan membuat process dan service yang secara terus-menerus berjalan untuk memastikan bahwa tampilan judi online tidak dapat dihapus. Ketika folder Slot-Gacor dihapus, secara otomatis services dan process akan melakukan generate folder dan isinya kembali. Services yang ditemukan pada insiden defacement judi online antara lain jj.service, ii.service, dan cahce-l.service.

Penanganan Insiden Web Defacement Judi Online

A. Preparation

1. Pembentukan Tim Tanggap Insiden Siber Pembentukan tim ini dapat membantu memfokuskan langkah penanganan insiden, sehingga proses penanganan dapat dilakukan dengan cepat dan tepat.
2. Penyiapan Dokumen Legal Dokumen-dokumen yang perlu disiapkan antara lain:
   • Dokumen topologi jaringan
   • Dokumen kebijakan atau prosedur penggunaan sistem
   • Dokumen informasi aset-aset
   • Dokumen Chain of Custody (CoC)
   • Dokumen Business Continuity Plan (BCP)
   • Dokumen Incident Response Plan (IRP)
3. Melakukan Koordinasi Dengan Pihak-Pihak Terkait Koordinasi dapat dilakukan dengan:
   • CSIRT Sektoral
   • CSIRT Organisasi
   • Aparat Penegak Hukum
   • Nat-CSIRT (BSSN)
4. Menyiapkan Jump Kit Penanganan Insiden Berikut merupakan beberapa tools yang dapat digunakan untuk proses penanganan dan analisis insiden web defacement judi online: Evidence Collection:
   • dd
   • FTK imager
   • KAPE
   Computer Forensics:
   • FTK Imager
   • Autopsy
   • Volatility
   IoC Scanner:
   • ThorLite
   • Yara Rules
   • Redline

B. Detection & Analysis

1. Melakukan akuisisi & pengumpulan barang bukti digital
   • Pengambilan artefak pada Windows dapat menggunakan tools KAPE GUI.
   • Pengambilan artefak pada Linux dapat dilakukan pada Log akses (/var/log/), bash history (/root dan /home)
   • Full Acquisition pada Windows dapat menggunakan tools FTK Imager.
   • Full Acquisition pada Linux dapat menggunakan tools dd dengan perintah:

     
     dd if=/dev/sdb of=USB_image.dd bs=4k conv=noerror,sync status=progress

2. Melakukan Scanning Pada Server Terdampak Scanning dapat dilakukan menggunakan Thor Lite Scanner. Berikut perintah untuk melakukan scanning spesifik folder:

   
   sudo ThorLinux -a Filescan --intense --norescontrol --cross-platform --alldrives -p [path]

3. Melakukan Pengecekan Koneksi Command and Center (CnC) Pada Windows:

   
   netstat -ano

   Pada Linux:

   
   sudo netstat -tulpn

4. Melakukan Pengecekan Mekanisme Persistent Pada Linux, menggunakan auditd:

   
   sudo apt install auditd
   sudo nano /etc/audit/rules.d/10-procmon.rules

   Tambahkan rules berikut:

   
   -a exit,always -F arch=b64 -S execve -k procmon
   -a exit,always -F arch=b32 -S execve -k procmon

   
   sudo service auditd restart
   sudo tail -f /var/log/audit/audit.log

   Untuk mengecek services yang berjalan:

   
   sudo systemctl list-units --type service | grep running
   sudo service name_service status

   Pada Windows: Gunakan GUI dengan mengetikkan "services.msc" setelah menekan Windows + R.
5. Melakukan Pencarian Malicious File atau Suspicious File Pada Linux:

   
   sudo apt install locate && update
   sudo locate slot- atau sudo locate gacor
   sudo locate nama_shell.php

   Atau menggunakan command find:

   
   sudo find / -type f -executable -printf "%T+ %p\n" 2>/dev/null | grep -Ev "000| /site-packages|/python|/node_modules|\.sample|gems" | sort -r | head -n 100

6. Melakukan analisis pada barang bukti digital yang telah dikumpulkan Analisis barang bukti dapat dilakukan pada log akses dan log system (auth, wtmp, btmp, auditd).

C. Containment, Eradication & Recovery

1. Melakukan pengarsipan dan penghapusan file malicious dan suspicious yang ditemukan
2. Melakukan modifikasi file .htaccess
3. Melakukan Pembatasan Akses pada Server Terdampak
4. Melakukan Kill Process dan Service Malicious atau Suspicious Pada Linux:

   
   sudo kill -9 PID_process
   sudo service name_service stop
   sudo service name_service disable
   sudo rm /etc/system/system/name_service.service
   sudo rm -r folder_slot
   sudo rm name_shell.php

   Pada Windows:

   
   taskkill /PID pid_process /F
   sc query state-all | find "name_service"
   sc stop name_service
   sc delete name_service

5. Melakukan Hardening Sistem dan Server
   • Penggantian seluruh kredensial
   • Audit user pada server
   • Pembaruan software, plugins, theme
   • Menerapkan keamanan pada remote access
6. Melakukan pemulihan atau recovery

Mitigasi Web Defacement

1. Aktifkan landing page pada halaman yang terkena defacement
2. Lakukan analisis dan scanning malware serta vulnerability
3. Lakukan penghapusan malware, patching, penggantian password
4. Lakukan recovery website dan notifikasi kepada seluruh user
5. Menghapus indexing Google menggunakan Google Search Console

Contoh Pencarian file Malware (Backdoor) yang telah Diinjeksikan ke Server

Untuk mencari file malware (backdoor) yang telah diinjeksikan ke server oleh penyerang judi online. Berikut adalah prosedur yang dapat Anda ikuti:

1. Periksa file yang baru dibuat atau dimodifikasi: Pada sistem Linux, gunakan perintah:

   find / -type f -mtime -7 -ls

   Contoh output:

   1234567 4 -rw-r--r-- 1 www-data www-data 3012 Jul 20 15:30 /var/www/html/wp-content/uploads/shell.php

2. Cari file berdasarkan pola nama yang mencurigakan:

   find / -type f \( -name "*.php" -o -name "*.txt" \) -print0 | xargs -0 grep -l "base64_decode" | xargs ls -la

   Contoh output:

   -rw-r--r-- 1 www-data www-data 1337 Jul 20 16:45 /var/www/html/wp-includes/js/tinymce/skins/lightgray/content.min.php

3. Gunakan command 'grep' untuk mencari string mencurigakan dalam file:

   grep -R "eval(" /var/www/html
   grep -R "base64_decode" /var/www/html
   grep -R "gzinflate" /var/www/html

   Contoh output:

   /var/www/html/wp-content/themes/twentytwenty/footer.php:<?php eval(base64_decode("ZXZhbChnzinflate(base64_decode(...

4. Periksa proses yang sedang berjalan:

   ps aux | grep -i "www-data"

   Contoh output mencurigakan:

   www-data  1234  0.5  0.8 123456 78912 ?        S    15:30   0:05 /usr/bin/php /var/www/html/wp-content/uploads/backdoor.php

5. Periksa cron jobs:

   crontab -l
   cat /etc/crontab
   ls -la /etc/cron.d/

   Contoh output mencurigakan:

   * * * * * root php /var/www/html/wp-content/uploads/update.php

6. Gunakan tools seperti LMD (Linux Malware Detect): Install LMD:

   wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
   tar -xvf maldetect-current.tar.gz
   cd maldetect-*
   ./install.sh

   Jalankan scan:

   maldet --scan-all /var/www/html

   Contoh output:

   {HEX}PHP.Trojan.Agent : /var/www/html/wp-content/uploads/cache.php

7. Gunakan ClamAV untuk scanning antivirus: Install ClamAV:

   sudo apt-get install clamav clamav-daemon

   Update definisi virus:

   sudo freshclam

   Jalankan scan:

   clamscan -r /var/www/html

   Contoh output:

   /var/www/html/wp-content/uploads/shell.php: Trojan.PHP.Agent FOUND

8. Periksa file konfigurasi server web (misalnya, Apache):

   grep -i "rewriterule" /etc/apache2/sites-enabled/*

   Contoh output mencurigakan:

   RewriteRule ^(.*)$ /malicious.php?q=$1 [L,QSA]

9. Periksa file .htaccess untuk aturan redirect mencurigakan:

   find /var/www/html -name ".htaccess" -type f -print0 | xargs -0 cat

   Contoh output mencurigakan:

   RewriteEngine On
   RewriteRule ^index\.php$ http://malicious-site.com/slot-gacor [R=301,L]

10. Gunakan tool seperti Rootkit Hunter: Install Rootkit Hunter:

    sudo apt-get install rkhunter

    Jalankan scan:

    sudo rkhunter --check

    Contoh output:

    [14:23:53] Warning: Hidden file found: /etc/.hidden_backdoor

Setelah menemukan file-file mencurigakan, jangan langsung menghapusnya. Sebaiknya:

1. Backup file tersebut untuk analisis lebih lanjut.
2. Isolasi file dengan mengubah permisi: chmod 000 file_mencurigakan.php
3. Analisis lebih lanjut menggunakan sandbox atau tools forensik.
4. Jika terbukti malicious, hapus file dan patch kerentanan yang dieksploitasi.
5. Lakukan pembaruan sistem dan aplikasi web secara menyeluruh.

Ingat, proses ini harus dilakukan dengan hati-hati dan sebaiknya untuk menghindari kerusakan sistem yang tidak diinginkan.

Contoh Peningkatan Keamanan Menggunakan .htaccess

Salah satu cara peningkatan keamanan website adalah menggunakan file .htaccess untuk solusi sementara apabila kita belum dapat memperbaiki celah keamanan dari sisi framework atau teknologi aplikasi yang digunakan.

# Blokir kata kunci terkait judi online
RewriteCond %{QUERY_STRING} \b(betting|casino|gambling|poker|gacor|slot)\b [NC]
RewriteRule .* - [F,L]

# Blokir akses ke file sensitif
<FilesMatch "^(wp-config\.php|php\.ini|\.htaccess)$">
    Order allow,deny
    Deny from all
</FilesMatch>

# Batasi metode HTTP yang diizinkan
<LimitExcept GET POST HEAD>
    deny from all
</LimitExcept>

# Batasi ukuran upload file, misalnya 10 Mb
LimitRequestBody 10240000

<IfModule mod_headers.c>
    # Disable content sniffing, since it's an attack vector.
    Header always set X-Content-Type-Options "nosniff"
    # Disable Proxy header, since it's an attack vector.
    RequestHeader unset Proxy
    # Add CORS-Header
    Header set Access-Control-Allow-Origin "*"
    Header set Access-Control-Allow-Methods "GET"
    # HSTS
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
    # Referrer Policy
    Header always set Referrer-Policy "strict-origin-when-cross-origin"
    # Clickjack Attack
    Header always set X-Frame-Options "SAMEORIGIN"
    # X-Xss-Protection
    Header always set X-Xss-Protection "1; mode=block"
    # Header Injection
    Header unset X-Forwarded-Host
</IfModule>


# Disable proxy headers
RequestHeader unset Proxy early

<IfModule mod_rewrite.c>

        Options -Indexes
        Options +FollowSymLinks
        RewriteEngine on
        RewriteBase /
        RewriteCond %{REQUEST_URI} ^system.*
        RewriteRule ^(.*)$ /index.php?/$1 [L]
        
        RewriteCond %{REQUEST_URI} ^application.*
        RewriteRule ^(.*)$ /index.php?/$1 [L]
        
		RewriteCond $1 !^(index\.php|images|css|js|robots\.txt|favicon\.ico) 
        # Send request via index.php (again, not if its a real file or folder)

        RewriteCond %{REQUEST_FILENAME} !-f
        RewriteCond %{REQUEST_FILENAME} !-d
        

        <IfModule mod_php7.c>
                RewriteRule ^(.*)$ index.php/$1 [L]
        </IfModule>                                     

        <IfModule !mod_php7.c>
                RewriteRule ^(.*)$ index.php?/$1 [L]
        </IfModule>
		
</IfModule>

Perlu diingat bahwa konfigurasi ini mungkin perlu disesuaikan dengan kebutuhan spesifik website Anda. Pastikan untuk menguji konfigurasi ini di lingkungan pengembangan sebelum menerapkannya di server produksi. Selain itu, tetap lakukan pembaruan berkala pada sistem dan aplikasi web Anda untuk meningkatkan keamanan secara keseluruhan

Rekomendasi

1. Pembaruan Sistem
2. Pengaturan Keamanan
3. Kontrol Akses
4. Pemantauan Keamanan
5. Perlindungan Password
6. Backup Rutin
7. Pelatihan Keamanan
8. Audit Keamanan

Referensi: Panduan_Penanganan_Insiden_Web_Defacement_Judi_Online, BSSN.