Block Ip Address Yang Melakukan Inject Bypass URL

| 19/01/2023 | firewall, server, ubuntu, vps | No Comments

Sering kali kita mendapatkan ip address yang mengakses website kita dengan melakukan akses URL dengan inject yang sebenarnya alamat URL tersebut tidak ada. Hal itu karena website kita kedatangan robot yang melakukan scanning terhadap webkita untuk mencari kelemahan.

Kelemahan yang didapatkan akan digunakan untuk mencari potensi diambil alih / hacking terhadap website tau server kita. Beritkut ini adalah contoh log dari ip address yang melakukan akses inject URL.

IP Address 	URL 	                Response Code
66.249.66.197	/ads.txt	                404
170.64.134.89	/aab8	                        404
170.64.134.89	/aaa9	                        404
41.223.30.51	/3rdpartylicenses.txt	        404
94.156.66.130	/bitcoin/.env	                404
18.236.186.30	/103.127.96.95/.env	        404
18.236.186.30	/.aws/credentials	        404
18.236.186.30	/103.127.96.95/.env	        404
18.236.186.30	/.env_sample	                404
18.236.186.30	/103.127.96.95/.env	        404
18.236.186.30	/.env_1	                        404
18.236.186.30	/103.127.96.95/.env	        404
18.236.186.30	/.env.www	                404
18.236.186.30	/103.127.96.95/.env	        404
18.236.186.30	/.env	                        404
43.163.197.159	/.env	                        404
18.236.186.30	/_profiler/phpinfo	        404
66.249.66.198	/robots.txt	                404
103.97.224.245	/favicon.ico	                404
103.97.224.245	/.well-known/change-password	404
103.97.224.245	/favicon.ico	                404
103.97.224.245	/favicon.ico	                404
64.233.173.34	/.well-known/traffic-advice	404
78.153.140.179	/.env	                        404
36.65.173.196	/favicon.ico	                404
64.233.173.35	/.well-known/traffic-advice	404
193.118.52.30	/sugar_version.json	        404
193.118.52.30	/index.jsp	                404
193.118.52.30	/script/ckeditor/ckeditor.js	404

Kita akan melakukkannya dengan abntuan aplikasi bernama fail2ban, kalian bisa membaca postingan sebelumnya Pasang Fail2ban Supaya Server Lebih Aman.

Jadi kita akan melakukan modifikasi pada file setting fail2ban server kita, dengan tujuan jika ada ipa ddress yang mengakses website kita dengan inject URL sebanyak 10 kali, maka akan terbanned.

Kita akan memanfaatkan log dari nginx /etc/log/nginx/access.log dengan mencari response code 404 yang artinya URL tidak ditemukan. Tambahkan satu konfigurasi baru pada jail.local yang berada pada /etc/fail2ban seperti dibawah ini :

# Konfigurasi untuk NGinx Http
[nginx-http]
enabled = true
port = http,https
filter = nginx-http
logpath = /var/log/nginx/access.log
maxretry = 10
bantime = 86400

Masuk kedalam /etc/fail2ban/filter.d/ kemudian edit file nginx-http.conf dan tambahakan abris berikut :

[Definition]
failregex = ^<HOST>.*" 404

Restart service fail2ban :

service fail2ban restart

Cek ip address yang terbanned karena settingan yang abru saja kita buat :

# Cek Ip address Ter banned untuk Nginx Htpp
sudo fail2ban-client status nginx-http

Status for the jail: nginx-http
|- Filter
|  |- Currently failed:	5
|  |- Total failed:	22
|  `- File list:	/var/log/nginx/access.log
`- Actions
   |- Currently banned:	1
   |- Total banned:	1
   `- Banned IP list:	18.236.186.30

Selamat, akhirnya kita bisa menambahkan security untuk website dan server kita untuk menangani ip address yang malukan scanning terhadap URL di website kita. Semoga bermanfaat.

Post Views: 214
Tags:, , ,

Related Posts

About The Author

misbahulihsan

Add a Comment

Your email address will not be published. Required fields are marked *