I-STATEMENT

STIMIK ESQ | I-4

Volume 3 Nomor 2, Oktober 2017

ISSN : 2442-8345

Implementasi Backdoor Scanner Tool Menggunakan

Metode Carving File Pada Server Codepolitan
Tri Wijayanto1), Andi Susilo2)

Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas Respati Indonesia
Jl. Bambu Apus I No.3, Cipayung, Jakarta 13890

e-mail: tri.wijayanto@fti.urindo.ac.id1), as@fti.urindo.ac.id2)

Abstract: Backdoor or commonly also known as the web shell is one malware (malicious code) used
by hackers to attack the system that has been entered, Backdoor that has been inserted will give
free access to the attacker to do things that should not be done except by web admin. Nowadays
Backdoor is not just in the form of a script file, to trick Backdoor admin can also be inserted into
other files like image file, lack of validation facility provided by programming language often used
by hacker to upload images that have been inserted Backdoor. In this thesis will be designed tool
that can recognize a Backdoor in the form of PHP source code, and in the form of image. From the
results of research that has been done found that there are two types of Backdoor in the form of
Source Code PHP that is in the form of content that is not encrypted and encrypted, Backdoor files
are not encrypted penditeksianya using three types of selection in accordance with the three
functions: manipulate the database, manipulate the directory / file, can read the identity of the
running system, encrypted Backdoor file pengenkripsianya using base64, And Backdoor files in the
form of detection image is done using carving method. Carving methods performed on the image
file must be converted into hexadecimal form, since the results obtained from the reading of the
byte file magic are not all ASCII shaped.

Keywords: Backdoor, b374k, Carving File, Web Shell.

Abstrak: Backdoor atau yang biasa juga dikenal dengan istilah web shell merupakan salah satu
malware (kode jahat) yang digunakan peretas untuk menyerang sistem yang telah dimasukinya,
Backdoor yang telah disisipkan akan memberi akses bebas kepada penyerang untuk melakukan hal-
hal yang seharusnya tidak dapat dilakukan terkecuali oleh admin web. Dewasa ini Backdoor tidak
hanya berbentuk sebuah script file, untuk mengelabui admin Backdoor juga dapat disisipkan
kedalam file-file lainya seperti image file, kurangnya fasilitas validasi yang disediakan oleh bahasa
pemerograman sering dimanfaatkan peretas untuk mengunggah images yang telah disisipi
Backdoor. Dalam skripsi ini akan didesain tool yang dapat mengenali sebuah Backdoor dalam
bentuk source code PHP, dan dalam bentuk image. Dari hasil penelitian yang telah dilakukan
didapatkan bahwa terdapat dua jenis Backdoor dalam bentuk Source Code PHP yaitu dalam bentuk
isi yang tidak dienkripsi dan dienkripsi, file Backdoor yang tidak dienkripsi penditeksianya
menggunakan tiga jenis seleksi sesuai dengan tiga fungsi yaitu: memanipulasi basis data,
memanipulasi direktori/file, dapat membaca identitas sistem yang sedang berjalan, file Backdoor
yang dienkripsi pengenkripsianya menggunakan base64, Dan file Backdoor dalam bentuk image
pendeteksianya dilakukan menggunakan metode carving. Metode carving yang dilakukan pada

Tri Wijayanto & Andi Susilo Page 141 Backdoor, b374k

 I-STATEMENT
STIMIK ESQ | I-4
Volume 3 Nomor 2, Oktober 2017

image file harus dikonversi kedalam bentuk heksadesimal, karena hasil yang didapat dari hasil
pembacaan magic byte file tidak semua berbentuk ASCII.

Kata kunci: Backdoor, b374k, Carving File, Web Shell.

Susilo Bambang Yudhoyono pernah di jahili
1. PENDAHULUAN oleh seorang Peretas yang menyebut dirinya
sebagai MJL007, dikutip dari Detik.com
Kejahatan cyber adalah suatu ancaman yang Kepolisian mengamankan seorang Peretas
tidak bisa dihindari di era digital saat ini, yang meretas situs www.presidensby.info.
banyaknya metode meretas serta mudahnya Situs Presiden SBY ini dihack oleh pelaku yang
mendapat dan menggunakan Tool Meretas meninggalkan identitas sebagai Jember
sangat memacu tindak kejahatan cyber Peretas.
situasi ini sering dimanfaatkan oleh orang
yang iseng dan tidak bertanggung jawab Adanya Backdoor didalam sebuah sistem
untuk merusak sebuah sistem yang sudah yang sedang berjalan memiliki latar belakang
berjalan. Salah satu metode meretas yang diantaranya: Kurangnya fasilitas filterisasi
digemari Penyerang untuk menyerang untuk upload file sehingga memungkinkan
korban adalah metode penanaman Backdoor, Penyerang tetap dapat memasukan Backdoor
Backdoor dalam dunia meretas memiliki arti melalui file valid yang di inject script webshell,
membuat pintu belakang yang apabila Pencarian Backdoor menggunakan metode
Peretas akan meninggalkan sebuah sistem, manual membutuhkan waktu yang lama ini
Penyerang tersebut dapat masuk kembali ke dikarenakan admin harus membuka satu-
sebuah sistem itu lagi tanpa harus melakukan persatu direktori dan membuka satu-persatu
proses seperti yang dilakukan saat memasuki file untuk mengetahui isi dari file yang ada.
sistem itu pertama kali, situasi ini
dikarenakan Penyerang tersebut sudah Penelitian kali ini akan ditujukan untuk
memiliki host yang sudah dibuatnya untuk backdoor dalam bentuk source code PHP dan
dimasuki sistem itu kembali dilain waktu, Image yang memiliki ekstensi jpg, png
pintu ini berupa kata sandi login. Backdoor ini menggunakan metode carving file,
berguna apabila Penyerang ingin kembali ke pendekatan string dan REGEX. Adapun tujuan
host/server tersebut, karena jika kata sandi penelitian ini dilakukan untuk meeancang
root atau admin telah diganti, kita masih bisa sebuah tools pemindai yang dapat
masuk menggunakan kata sandi Backdoor mempermudah admin menemukan backdoor
yang telah dipasang. didalam sebuah server.

Menurut Anhar [2] dalam bukunya yang 2. STUDI KASUS

berjudul Meretas Website for Newbie,
Hukuman kepada pelaku kejahatan dunia Backdoor Scanner Tool akan melakukan
maya memiliki hukum yang jelas, oleh karena pengecekan ke dua jenis file yaitu file dalam
itu seorang Peretas tidak ingin dimasukan bentuk source code PHP dan file dalam
kedalam penjara karena perbuatanya. Pada bentuk image (jpg, png) dari masing-masing
tahap ini seorang Peretas harus menghapus bentuk file akan dibahas cara pengindikasian
jejak/LOG nya sehingga aktivitasnya tidak Backdoor Scanner Tool terhadap file, untuk
diketahui dan keberadaanya tidak dapat mengetahui file tersebut terindikasi sebagai
dilacak dengan mudah. Kegiatan ini dalam Backdoor atau tidak. Dari hasil penelitian
dunia Meretas biasa dikenal dengan Covering didapatkan bahwa dalam sebuah file
Tracks. Kegiatan Covering Tracks ini sering Backdoor memiliki tiga fungsi utama yaitu:
membuat pihak pemilik sistem kewalahan
dalam mencari pelaku Meretas, sebagai • Dapat memanipulasi direktori, dan file
contoh pada tahun 2013 website Presiden • Dapat memanipulasi basis data

Tri Wijayanto & Andi Susilo Page 142 Backdoor, b374k

 I-STATEMENT
STIMIK ESQ | I-4
Volume 3 Nomor 2, Oktober 2017

• Membaca identitas sistem yang terdapat mengevaluasi kode-kode PHP, namun pada
didalam server halaman dokumentasi yang sama tentang
“eval” juga disebutkan bahwa sangat tidak
Berikut adalah pembahasan hasil penelitian dianjurkan untuk menggunakan fungsi ini
serta metode yang digunakan untuk karena dengan menggunakan fungsi ini
mengenali sebuah Backdoor dalam bentuk masukan string pada source code PHP dapat
file source code PHP dan image: diterjemahkan secara sewenang-wenang.
Dari hasil ini didapatkan bahwa source code
2.1. Penelitian Backdoor Source Code Backdoor menggunakan enkripsi base64 dan
PHP memiliki fungsi “eval” untuk mengevaluasi
hasil dekripsinya maka hal yang pertama yang
Backdoor dalam bentuk source code PHP dilakukan untuk mendeteksi source code
adalah Backdoor yang paling sering Backdoor adalah mencari file yang berisi kode
digunakan oleh Peretas untuk mengintai yang di enkripsi menggunakan base64, dalam
sebuah sistem, hal ini disebabkan karena hal ini untuk pendeteksian menggunakan
banyaknya file Backdoor yang bisa didapat di pendekatan regex, berikut adalah rumus
internet mulai dari file Backdoor yang berasal regex untuk mencari file yang berisi base64:
dari luar mancanegara seperti WSO, C99,
hingga yang buatan dalam negeri yang juga
sudah terkenal hingga banyak digunakan juga
oleh Peretas mancanegara yaitu b374k. Ada
Gambar 2. Rumus Regex
dua jenis Backdoor dalam bentuk source code
PHP yaitu Backdoor yang sourcenya di Setelah mendapatkan file yang terfilter oleh
enkripsi dan tidak di enkripsi pada Gambar 1 syntax regex tersebut, selanjutnya tool akan
dan Gambar 2 berikut adalah cuplikan contoh mencari kata kunci “eval” pada file yang
sample source code Backdoor yang di sama, adapun kata kunci yang lainya dapat
enkripsi: disesuaikan dengan sample.

2.2. Penelitian Backdoor dalam image

Backdoor dalam image dapat kita

klasifikasikan menjadi dua jenis, yaitu file
Backdoor yang berextention image seperti
jpg, png atau image file valid yang disisipi
Backdoor didalamnya. Untuk mengetahui
sebuah image file itu Backdoor atau bukan,

Backdoor Scanner Tool akan menggunakan
Gambar 1. Source Code b374k poly
metode forensic carving file untuk membaca
isi magic byte dari file tersebut. File Backdoor
Dari contoh source code Backdoor diatas
yang dirubah extensionnya menjadi image
masing-masing source memiliki dua
akan tidak akan memiliki nilai magic byte
kesamaan yaitu memiliki kata
yang sama dengan image file yang asli karena
“base64_decode”, dalam dokumentasi resmi
magic byte adalah hasil kompresi dari
bahasa pemerograman PHP disebutkan
processing image, isi Backdoor yang hanya
bahwa “base64_decode” digunakan untuk
dirubah ekstensinya mempunyai nilai yang
mendeskripsi hasil enkripsi MIME base64.
sama persis dengan nilai sebelum dilakukan
Kesamaan kedua adalah fungsi “eval”, dalam perubahan extention.
dokumentasi resmi bahasa pemerograman
disebutkan bahwa “eval” berfungsi untuk

Tri Wijayanto & Andi Susilo Page 143 Backdoor, b374k

 I-STATEMENT
STIMIK ESQ | I-4
Volume 3 Nomor 2, Oktober 2017

3. METODE Backdoor apa saja yang banyak digunakan
oleh Penyerang, seberapa berbahaya
Pendekatan penelitian menggunakan metode Backdoor tersebut terhadap sistem yang
Extreme Programming dengan menggunakan berjalan hingga memahami bagaimana pola
tool UML untuk menggambarkan diagram use kerja Backdoor tersebut.
case, class diagram, sequence diagram,
Activity Diagram. 5.2. Planning Phase

4. METODE PENGUMPULAN DATA Pada tahap Planning Phase akan dilakukan

perencanaan terhadap pembangunan
Observasi, melakukan pengamatan langsung Backdoor Scanner Tool, perencanaan ini
terhadap beberapa source code Backdoor meliputi alur kerja Backdoor Scanner Tool dari
yang banyak digunakan oleh Peretas untuk awal dijalankan hingga dapat mengeluarkan
mendapatkan ciri-ciri kata kunci untuk laporan.
menemukan pendekatan REGEX.
5.3. Iterations Phase
Studi Pustaka, pengumpulan data yang
dilakukan dengan membaca buku, referensi Pada fase iterations dilakukan perulangan
internet dan dokumentasi lain yang selama beberapa kali untuk mendapatkan
bersangkutan dengan penelitian. hasil yang sesuai dengan keinginan
pengguna. Pada kasus ini perulangan
5. HASIL DAN PEMBAHASAN dilakukan untuk menentukan string dan regex
yang akan digunakan agar mendapat hasil
Pemilihan metodologi ini dikarenakan tool pencarian Backdoor yang akurat serta
yang dikembangkan berfokus pada struktur melakukan uji coba Backdoor Scanner Tool
pemerograman, kebutuhan requirements pada dummy server yang telah disisipkan
yang berubah sangat cepat, Backdoor beberapa jenis Backdoor.
Scanner Tool didesain dengan Object-
Oriented dan testing yang mencoba 5.4. Productionizing Phase
meningkatkan efesiensi dan fleksibilitas dari
sebuah proyek pengembangan perangkat Pada fase ini dilakukan implementasi dengan
lunak. Tahapan metodologi pengembangan cara menjalankanya pada server codepolitan
sistem dengan Extreme Programming yang yang sesungguhnya, sekaligus mengontrol
dilakukan untuk mengembangkan Backdoor keberadaan Backdoor pada server tersebut.
Scanner Tool dibagi menjadi 4 fase yaitu
exploration, planning, iterations, dan 5.5. Analisis
productionizing, berikut adalah life cycle dari
extreme programming. Backdoor Scanner Tool memiliki tampilan CLI
(Command Line Interface) jenis tampilan ini
dipilih karena tool ini akan berada di dalam
sistem server yang pada kebanyakan server
didunia tidak memiliki monitor, server
biasanya di remote dari client lain baik itu
secara LAN (Local Area Network) atau pun
menggunakan jaringan internet. Backdoor
Gambar 3. Ekstreme Programming Life Circle Scanner dijalankan melalui Command Prompt
pada Sistem Operasi Windows atau Terminal
5.1. Exploration Phase
pada Sistem Operasi UNIX Like seperti
LINUX/Mac OS dengan cara mengetik
Pada tahap ini akan dilakukan eksplorasi
“python” lalu menulis nama file induk tool ini
terhadap beberapa jenis Backdoor, jenis

Tri Wijayanto & Andi Susilo Page 144 Backdoor, b374k

 I-STATEMENT
STIMIK ESQ | I-4
Volume 3 Nomor 2, Oktober 2017

sendiri kemudian di ikuti oleh alamat
direktori yang akan di scan seperti contoh:

“python slope.py /var/www/codepolitan”

Kemudian Backdoor Scanner akan

menampilkan tulisan SLOPE yang ditampilkan
dengan ASCII art lalu akan menjalankan
tugasnya untuk memindai file-file yang
terdapat pada direktori yang telah di
sertakan.
Gambar 4. Use Case Diagram
5.6. Activity Diagram
5.8. Diagram Sequeance Scanning
Pada Backdoor Scanner Tool yang dirancang,
proses pertama adalah pengguna membuka Sequence diagram menggambarkan interaksi
aplikasi Command Line. Selanjutnya, antara sejumlah objek dalam urutan waktu.
memasukan intruksi penggunaan, kemudian Berguna untuk menunjukan rangkaian pesan
Tool akan menjalankan intruksi yang yang dikirim antar objek serta interaksi antar
dimasukan, jika intruksi yang dimasukan objek yang terjadi pada titik tertentu dalam
untuk melihat version maka akan muncul eksekusi sistem. Dikarenakan Backdoor
keterangan version, namun jika intruksi yang Scanner Tool manggunakan tampilan CLI
dimasukan lengkap dengan direktori file yang (Command Line Interface) maka langkah
akan di scanning maka Tool akan scanning pertama menggunakanya adalah membuka
direktori tersebut. Command Prompt pada Windows atau
Terminal pada UNIX Like seperti LINUX atau
5.7. Use Case Diagram Mac OS, kemudian ketikan “python” lalu
nama file induk yang memiliki ekstensi “.py”
Use case diagram merupakan salah satu jenis diikuti direktori yang akan di scan ini
diagram pada UML yang menggambarkan merupakan proses pertama dalam
interaksi antara sistem dan aktor. Use case menjalankan tool, proses kedua yaitu proses
diagram juga dapat mendeskripsikan tipe scanning atau proses pemindaian proses ini
interaksi antara pemakai sistem dengan adalah tahap dimana tool membaca serta
sistemnya. Pada perancangan Backdoor meng-carving setiap file yang terdapat pada
Scanner Tool penggua dapat melakukan tiga direktori yang diminta, setelah proses itu
aksi yaitu melihat deskripsi, melihat versi, dan selesai maka masuklah ke proses ketiga
melakukan scanning setelah proses scanning dimana tool akan memberi laporan hasil
selesai tool akan memberikan rekapitulasi scanningnya. Berikut adalah sequence
data yang terdiri dari: diagram Backdoor Scanner Tool berdasarkan
• Jumlah file yang terditeksi sebagai objek:
Backdoor.
• Nama file dan alamat direktori file
tersebut

Gambar 5. Sequence Diagram

Tri Wijayanto & Andi Susilo Page 145 Backdoor, b374k

 I-STATEMENT
STIMIK ESQ | I-4
Volume 3 Nomor 2, Oktober 2017

5.9. Class diagram

Class diagram menggambarkan kelas-kelas,

maupun paket-paket yang ada pada suatu
sistem, yang nantinya akan digunakan.
Backdoor Scanner Tool memiliki satu kelas
dan satu atribut berupa satu variabel global
yang memiliki tipe data string, dan memiliki
enam method seperti: __init__, scanning,
scanner_ini_php, scanner_in_image, report,
sizefile; pada gambar adalah gambaran
tentang class diagram Backdoor Scanner Tool.

Gambar 7. Diagram relasi antar modul

8. RANCANGAN MODUL SCANNING

Gambar 6. Class Diagram Modul scanning mengambil masukan data

berupa file yang terdapat pada direktori yang
6. PERANCANGAN dituju, modul ini akan membaca seluruh file
dan akan menyaringnya menjadi dua kategori
Bagian yang akan dijelaskan pada bab ini file yaitu file dalam format PHP dan image
berawal dari deskripsi umum hingga (jpg, png), pemisahan ini dilakukan dengan
perancangan masing-masing komponen yang dasar format akhiran yang dimiliki oleh file
terdapat dalam Backdoor Scanner Tool. yang terbaca.

7. DESKRIPSI UMUM Berikut adalah diagram alir modul scanning:

Untuk dapat melakukan pendeteksian kode

berbahaya yang berpotensi sebagai Backdoor
dalam sebuah server web, perlu dibangun
sebuah tool yang dapat menjalankan fungsi
utamanya, yakni melakukan scanning pada
setiap file yang berada di dalam sebuah
server.

Berikut adalah diagram relasi antar modul:

Diagram 8. Modul Scanning

Tri Wijayanto & Andi Susilo Page 146 Backdoor, b374k

 I-STATEMENT
STIMIK ESQ | I-4
Volume 3 Nomor 2, Oktober 2017

9. RANCANGAN MODUL KLARIFIKASI

Modul klarifikasi adalah modul kedua yang

akan bekerja setelah modul scanning, di
dalam modul klarifikasi file akan dibaca isi
muatannya, untuk file berformat PHP modul
ini akan mengambil komponen source code
PHP dalam file tersebut kemudian akan di cek
dengan kumpulan string dan regex yang hasil
penelitian.

Berikut ini adalah cara kerja klarifikasi file PHP

di dalam modul klarifikasi dalam bentuk
diagram:

Gambar Diagram 10. Modul Klarifikasi Image

10. RANCANGAN MODUL REPORT

Modul report adalah modul terakhir yang

dijalankan dimana modul ini menerima
keluaran dari modul klarifikasi yang sudah
terlebih dahulu melakukan proses
pembacaan isi muatan dari setiap file, hasil
yang akan diterima oleh modul report
merupakan nama-nama file yang terindikasi
sebagai Backdoor baik itu file PHP ataupun
image file, kemudian modul report akan
menterjemahkan lokasi, besaran.

Gambar 9. Diagram Modul Klarifikasi File PHP 11. SIMPULAN

Modul klarifikasi adalah modul kedua yang Berdasarkan hasil penelitian, implementasi
akan bekerja setelah modul scanning, di didapatkan hasil bahwa:
dalam modul klarifikasi file akan dibaca isi
muatannya, untuk file berformat PHP modul • Pendeteksian Backdoor dalam bentuk
ini akan mengambil komponen source code source code PHP yang tidak di enkripsi
PHP dalam file tersebut kemudian akan di cek membutuhkan tiga jenis seleksi sesuai
dengan kumpulan string dan regex yang hasil dengan tiga fungsi yaitu: memanipulasi
penelitian. basis data, memanipulasi direktori/file,
dapat membaca identitas sistem yang
Berikut ini adalah cara kerja klarifikasi file PHP sedang berjalan
di dalam modul klarifikasi dalam bentuk • File Backdoor yang di enkripsi,
diagram: pengenkripsianya menggunakan base64
• Metode carving yang dilakukan pada
image file harus dikonversi kedalam
bentuk heksadesimal, karena hasil yang

Tri Wijayanto & Andi Susilo Page 147 Backdoor, b374k

 I-STATEMENT
STIMIK ESQ | I-4
Volume 3 Nomor 2, Oktober 2017

didapat dari hasil pembacaan magic byte Backdoor-Code-in-Image-Files/ Diakses
file tidak semua berbentuk ASCII pada 10 April 2017.

12. SARAN [7] OWASP Team. 2006. Top 10 Web

Application Security Vulnerabilities.
Berdasarkan penelitian yang dilakukan, http://www.upenn.edu/computing/sec
diajukan saran untuk penelitian lanjutan urity/swat/SWAT_Top_Ten_Intro.php
serupa sebagai berikut: Diakses pada 2 Juli 2017.

• Tambahkan jenis Backdoor yang [8] Sathaye, Ninad. 2016. Learning Python
menggunakan bahasa pemerograman Application Development. Bermingham
lain selain bahasa pemerograman PHP UK: Packt Publishing Ltd.
• Tambahkan jenis file lain untuk
melakukan scanning yang lebih lengkap [9] Setiawan, Fransiskus Gusti Ngurah
terhadap seluruh file yang terdapat pada Dwika. 2016. Pendeteksian Malware
server pada Lingkungan Aplikasi Web Kategori
• Lakukan uji coba kategorisasi Dokumen. Thesis. Institut Teknologi
dokumen dengan menggunakan Sepuluh Nopember Surabaya, Jawa
algoritma machine learning untuk Timur. URL:
http://ejurnal.its.ac.id/index.php/teknik
mengenali sebuah Backdoor dengan
/article/view/22163 Diakses pada 13
proses yang lebih cepat.
Juni 2017.
DAFTAR PUSTAKA
[10] Solvedns. 2017. Web Statistics and
Market Share Charts
[1] Achour, M, Betz, F, et al. 2017. PHP
http://www.solvedns.com/statistics/
Manual. PHP Documentation Group.
Diakses pada 23 Maret 2017.
http://php.net/manual/en/index.php
diakses pada 29 Juli 2017.
[12] Team, US-CERT. 2015. Compromised
Web Server and Web. https://www.us-
[2] Anhar. 2013. Hacking Website for
cert.gov/ncas/alerts/TA15-314A Diakses
Newbie. Yogyakarta: Fastacenter.
pada 27 April 2017.
[3] Bahren, Scott, Hagen, Ben 2011. Web
[13] Koch. Matthew. 2015. Web Application
Shell Detection.
File Upload Vulnerabilities. Journal.
https://resources.infosecinstitute.com/
SANS Institute. url
web-shell-detection/ Diakses pada 11
https://www.sans.org/reading-
Juli 2017.
room/whitepapers/testing/web-
[4] Dennis, Wixom, Tegarden. 2009. System application-file-upload-vulnerabilities-
Analys Design UML Version 2.0. United 36487 Diakses pada 25 Mei 2017.
States of America: Wiley.
[14] Yaragunti, H.S, Reddy T.B. 2015. Text
[5] Haryanto, Steven. 2007. REGEX Based Image Compression Using
Kumpulan Resep Pemerograman. Hexadecimal Conversion. Journal.
Jakarta: Dian Rakyat. School of Computer Science C.U.K
Kalaburgi, India. URL:
[6] Hidding Webshell Backdoor Code in http://www.computerscijournal.org/vol
Image Files. 2013. 8no3/text-based-image-compression-
https://www.trustwave.com/Resources using-hexadecimal-conversion/ Diakses
/SpiderLabs-Blog/Hiding-Webshell- pada 6 April 2017

Tri Wijayanto & Andi Susilo Page 148 Backdoor, b374k