Mitigasi host yang menjadi bot

awalnya saya hanya melakukan rutinitas pengecekan firewall di kantor yang saya tangani.

dari hasil monitoring, ada lalu lintas yang tidak wajar dari salah satu host. kemudian saya mencoba mencari tau lebih jauh.

aktifitas tidak wajar

aktifitas tidak wajar

dari gambar diatas, dapat diketahui bahwa host tersebut berasal dari farmserver, dimana aktifitas outgoing yang tidak normal menuju port tertentu.

mitigasi selanjutnya saya remote SSH server tersebut. hal pertama yang saya cek adalah konsumsi resource

resource penuh

resource penuh

selain resource penuh, ada proses yang tidak wajar berjalan pada server, saya mitigasi lebih jauh terkait proses tersebut dengan melihat lebih rinci dengan perintah :

ps aux | grep netsnd

proses tidak wajar

proses tidak wajar

hasilnya adalah gambar diatas.  ada proses yang menjalankan file tttt yang targetnya random. oke, disini sudah jelas kalau memang aneh. saya lanjutkan migitasinya dengan mencari keberadaan file tttt dan kemudian membaca isi file tersebut,

letak file tttt dan rekan2 nya

letak file tttt dan rekan2 nya

dari hasil pencarian, menemukan letak file tersebut, kemudian saya membaca isi dari file tersebut dan file-file lainnya.

menjalankan nmap

menjalankan nmap

dari sana dapat dibaca, bahwasannya, proses yang tidak wajar tersebut adalah menjalankan perintah nmap pada host random di internet.

proses tersebut akan memakan resource, baik CPU, RAM dan Network.

darisana sudah bisa disimpulkan, bahwa server tersebut sudah menjadi ROBOT yang dikendalikan oleh orang lain diluar sana untuk proses-proses yang dia inginkan.

oiya, selain menjalankan perintah nmap, rupanya server tersebut juga digunakan untuk mining

miner

miner

siapa pelakunya ? bagaimana cara masuknya ? 

diperlukan mitigasi lebih dalam untuk mengetahui pelakunya, sementara ini, server tersebut saya karantina agar tidak berproses sementara waktu, dengan demikian, aplikasi diserver tersebut juga tidak dapat diakses sampai dengan waktu yang belum ditentukan.

terima kasih telah mau membaca. :*

Bagikan saja, itu tidak berat

Konfigurasi One to Many Destination NAT pada firewall Palo Alto

Oke kali ini saya akan bahas tentang saat saya mengkonfigurasi Destination NAT pada firewall Palo Alto.

jadi kasusnya begini, satu buah IP public, bisa di NAT ke beberapa IP server lokal, dalam kasus ini ada empat buah server.

PORT FOWARD

ilustrasinya begitu, saya tidak bisa menggambar 😀

ini kasus baru bagi saya, dan mungkin juga bagi kantor yang tempat saya bekerja sekarang. pasalnya belum ada konfigurasi seperti itu, biasanya, satu IP publik, untuk di NAT kedalam satu IP lokal

maksud dari Destination NAT tersebut adalah, jika user melakukan akses yang bertujuan ke port 80/443 , maka yang menjawab adalah server A , kemudian jika user melakukan akses ke port 70 , maka yang menjawab adalah server B. dan seterusnya.

istilah seperti ini dalam dunia perjaringan adalah port fowarding, yaitu mengarahkan request client ke server sesuai port.

nah untuk melakukan itu di firewall palo alto, ternyata cukup mudah, ( ya kan firewall tersebut harganya ratusan juta, tentunya dilengkapi fitur yang membuat malas memanjakan usernya. 😀

tapi karena ini awal, jadi ya menjadi susah bagi saya, harus mencari tutorial dan bertanya sana sini. dan memakan waktu seharian semalaman lebih untuk proses mencari tahu, untuk implementasinya sendiri memakan waktu seharian juga + trial dan error . 😀 😀

oke, sudah cukup basa basinya, sekarang langsung praktek.

  1. memberikan address pada 4 IP server lokal, dan 1 IP publik. caranya bisa di baca disini

Addresses server pada firewall Palo Alto

2. membuat grup port untuk masing-masing server,

grup port

grup port

diatas adalah salah satu server, server yang lainnya juga sama cara membuatnya.

3. setelah diberikan address, selanjutnya adalah melakukan SNAT dan DNAT kira-kira begini Prof Of Conceptnya

destination nat palo alto

destination nat palo alto

untuk Source NAT ( dari server lokal ke internet ) disini konfigurasinya Many To One, yaitu 4 buah server yang keluarnya hanya 1 buah IP publik, untuk Many to One, tidak perlu menggunakan port fowarding.

nah, untuk Destination NAT, ( dari internet ke server lokal ) disini konfigurasinya Many To One, menggunakan port fowarding.

sampai disini, untuk konfigurasi SNAT DNAT sudah sesuai, tinggal konfigurasi Port security yang akan saya bahas dilain waktu.

bersambung………

Bagikan saja, itu tidak berat

Tshoot error FTP directory listing

berawal dari laporan, jika salah satu client tidak bisa akses server via FTP. saya sendiri sudah tidak suka dengan FTP, tidak secure, tapi ya gimana lagi, permintaan client, katanya client adalah raja, hahaha

WhatsApp Image 2020-03-24 at 18.07.23

nah, seperti itu tampilannya, saya menduga ada yang tidak beres dengan jalur FTPnya.

disana tertulis sudah terkoneksi dengan server, tapi server tidak mau menampilkan directory, artinya, masih ada module yang di protect oleh firewall.

entah mengapa, saya langsung tertuju ke firewall, dugaan saya kuat kesitu soalnya, wkwkkw

oke, saya kemudian OTW cek firewall. jadi cara ceknya begini :

  • mengetahui IP publik dari FTP yang tidak bisa tersebut.
  • cek di trafik incoming ( dari jaringan luar ke server tertuju ke IP publik diatas, ditambah dengan port tujuan, ya. port 21 [FTP]
palo alto

palo alto

saya merasa ada yang kurang tepat saja sih, hehehe, oiya , firewall yang saya gunakan ini palo alto.

setelah melihat trafik, saya OTW ke rule security dari server tersebut, saya tambahkan aplikasi FTP pada rule,

Screenshot_966

setelah itu, tidak lupa saya commit perintahnya. karena hidup ini butuh komitmen, hahaha..

dan, saya coba lagi, akhirnya berhasil.

Screenshot_968

oke, cukup sekiloan laporan trouble shoot dari saya,

terima gaji.

Bagikan saja, itu tidak berat