Professional Documents
Culture Documents
Implementasi Backdoor Scanner Tool Menggunakan Metode Carving File Pada Server Codepolitan
Implementasi Backdoor Scanner Tool Menggunakan Metode Carving File Pada Server Codepolitan
ISSN : 2442-8345
Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas Respati Indonesia
Jl. Bambu Apus I No.3, Cipayung, Jakarta 13890
Abstract: Backdoor or commonly also known as the web shell is one malware (malicious code) used
by hackers to attack the system that has been entered, Backdoor that has been inserted will give
free access to the attacker to do things that should not be done except by web admin. Nowadays
Backdoor is not just in the form of a script file, to trick Backdoor admin can also be inserted into
other files like image file, lack of validation facility provided by programming language often used
by hacker to upload images that have been inserted Backdoor. In this thesis will be designed tool
that can recognize a Backdoor in the form of PHP source code, and in the form of image. From the
results of research that has been done found that there are two types of Backdoor in the form of
Source Code PHP that is in the form of content that is not encrypted and encrypted, Backdoor files
are not encrypted penditeksianya using three types of selection in accordance with the three
functions: manipulate the database, manipulate the directory / file, can read the identity of the
running system, encrypted Backdoor file pengenkripsianya using base64, And Backdoor files in the
form of detection image is done using carving method. Carving methods performed on the image
file must be converted into hexadecimal form, since the results obtained from the reading of the
byte file magic are not all ASCII shaped.
Abstrak: Backdoor atau yang biasa juga dikenal dengan istilah web shell merupakan salah satu
malware (kode jahat) yang digunakan peretas untuk menyerang sistem yang telah dimasukinya,
Backdoor yang telah disisipkan akan memberi akses bebas kepada penyerang untuk melakukan hal-
hal yang seharusnya tidak dapat dilakukan terkecuali oleh admin web. Dewasa ini Backdoor tidak
hanya berbentuk sebuah script file, untuk mengelabui admin Backdoor juga dapat disisipkan
kedalam file-file lainya seperti image file, kurangnya fasilitas validasi yang disediakan oleh bahasa
pemerograman sering dimanfaatkan peretas untuk mengunggah images yang telah disisipi
Backdoor. Dalam skripsi ini akan didesain tool yang dapat mengenali sebuah Backdoor dalam
bentuk source code PHP, dan dalam bentuk image. Dari hasil penelitian yang telah dilakukan
didapatkan bahwa terdapat dua jenis Backdoor dalam bentuk Source Code PHP yaitu dalam bentuk
isi yang tidak dienkripsi dan dienkripsi, file Backdoor yang tidak dienkripsi penditeksianya
menggunakan tiga jenis seleksi sesuai dengan tiga fungsi yaitu: memanipulasi basis data,
memanipulasi direktori/file, dapat membaca identitas sistem yang sedang berjalan, file Backdoor
yang dienkripsi pengenkripsianya menggunakan base64, Dan file Backdoor dalam bentuk image
pendeteksianya dilakukan menggunakan metode carving. Metode carving yang dilakukan pada
image file harus dikonversi kedalam bentuk heksadesimal, karena hasil yang didapat dari hasil
pembacaan magic byte file tidak semua berbentuk ASCII.
• Membaca identitas sistem yang terdapat mengevaluasi kode-kode PHP, namun pada
didalam server halaman dokumentasi yang sama tentang
“eval” juga disebutkan bahwa sangat tidak
Berikut adalah pembahasan hasil penelitian dianjurkan untuk menggunakan fungsi ini
serta metode yang digunakan untuk karena dengan menggunakan fungsi ini
mengenali sebuah Backdoor dalam bentuk masukan string pada source code PHP dapat
file source code PHP dan image: diterjemahkan secara sewenang-wenang.
Dari hasil ini didapatkan bahwa source code
2.1. Penelitian Backdoor Source Code Backdoor menggunakan enkripsi base64 dan
PHP memiliki fungsi “eval” untuk mengevaluasi
hasil dekripsinya maka hal yang pertama yang
Backdoor dalam bentuk source code PHP dilakukan untuk mendeteksi source code
adalah Backdoor yang paling sering Backdoor adalah mencari file yang berisi kode
digunakan oleh Peretas untuk mengintai yang di enkripsi menggunakan base64, dalam
sebuah sistem, hal ini disebabkan karena hal ini untuk pendeteksian menggunakan
banyaknya file Backdoor yang bisa didapat di pendekatan regex, berikut adalah rumus
internet mulai dari file Backdoor yang berasal regex untuk mencari file yang berisi base64:
dari luar mancanegara seperti WSO, C99,
hingga yang buatan dalam negeri yang juga
sudah terkenal hingga banyak digunakan juga
oleh Peretas mancanegara yaitu b374k. Ada
Gambar 2. Rumus Regex
dua jenis Backdoor dalam bentuk source code
PHP yaitu Backdoor yang sourcenya di Setelah mendapatkan file yang terfilter oleh
enkripsi dan tidak di enkripsi pada Gambar 1 syntax regex tersebut, selanjutnya tool akan
dan Gambar 2 berikut adalah cuplikan contoh mencari kata kunci “eval” pada file yang
sample source code Backdoor yang di sama, adapun kata kunci yang lainya dapat
enkripsi: disesuaikan dengan sample.
3. METODE Backdoor apa saja yang banyak digunakan
oleh Penyerang, seberapa berbahaya
Pendekatan penelitian menggunakan metode Backdoor tersebut terhadap sistem yang
Extreme Programming dengan menggunakan berjalan hingga memahami bagaimana pola
tool UML untuk menggambarkan diagram use kerja Backdoor tersebut.
case, class diagram, sequence diagram,
Activity Diagram. 5.2. Planning Phase
sendiri kemudian di ikuti oleh alamat
direktori yang akan di scan seperti contoh:
5.9. Class diagram
Gambar 7. Diagram relasi antar modul
9. RANCANGAN MODUL KLARIFIKASI
Gambar Diagram 10. Modul Klarifikasi Image
Modul klarifikasi adalah modul kedua yang Berdasarkan hasil penelitian, implementasi
akan bekerja setelah modul scanning, di didapatkan hasil bahwa:
dalam modul klarifikasi file akan dibaca isi
muatannya, untuk file berformat PHP modul • Pendeteksian Backdoor dalam bentuk
ini akan mengambil komponen source code source code PHP yang tidak di enkripsi
PHP dalam file tersebut kemudian akan di cek membutuhkan tiga jenis seleksi sesuai
dengan kumpulan string dan regex yang hasil dengan tiga fungsi yaitu: memanipulasi
penelitian. basis data, memanipulasi direktori/file,
dapat membaca identitas sistem yang
Berikut ini adalah cara kerja klarifikasi file PHP sedang berjalan
di dalam modul klarifikasi dalam bentuk • File Backdoor yang di enkripsi,
diagram: pengenkripsianya menggunakan base64
• Metode carving yang dilakukan pada
image file harus dikonversi kedalam
bentuk heksadesimal, karena hasil yang
didapat dari hasil pembacaan magic byte Backdoor-Code-in-Image-Files/ Diakses
file tidak semua berbentuk ASCII pada 10 April 2017.
• Tambahkan jenis Backdoor yang [8] Sathaye, Ninad. 2016. Learning Python
menggunakan bahasa pemerograman Application Development. Bermingham
lain selain bahasa pemerograman PHP UK: Packt Publishing Ltd.
• Tambahkan jenis file lain untuk
melakukan scanning yang lebih lengkap [9] Setiawan, Fransiskus Gusti Ngurah
terhadap seluruh file yang terdapat pada Dwika. 2016. Pendeteksian Malware
server pada Lingkungan Aplikasi Web Kategori
• Lakukan uji coba kategorisasi Dokumen. Thesis. Institut Teknologi
dokumen dengan menggunakan Sepuluh Nopember Surabaya, Jawa
algoritma machine learning untuk Timur. URL:
http://ejurnal.its.ac.id/index.php/teknik
mengenali sebuah Backdoor dengan
/article/view/22163 Diakses pada 13
proses yang lebih cepat.
Juni 2017.
DAFTAR PUSTAKA
[10] Solvedns. 2017. Web Statistics and
Market Share Charts
[1] Achour, M, Betz, F, et al. 2017. PHP
http://www.solvedns.com/statistics/
Manual. PHP Documentation Group.
Diakses pada 23 Maret 2017.
http://php.net/manual/en/index.php
diakses pada 29 Juli 2017.
[12] Team, US-CERT. 2015. Compromised
Web Server and Web. https://www.us-
[2] Anhar. 2013. Hacking Website for
cert.gov/ncas/alerts/TA15-314A Diakses
Newbie. Yogyakarta: Fastacenter.
pada 27 April 2017.
[3] Bahren, Scott, Hagen, Ben 2011. Web
[13] Koch. Matthew. 2015. Web Application
Shell Detection.
File Upload Vulnerabilities. Journal.
https://resources.infosecinstitute.com/
SANS Institute. url
web-shell-detection/ Diakses pada 11
https://www.sans.org/reading-
Juli 2017.
room/whitepapers/testing/web-
[4] Dennis, Wixom, Tegarden. 2009. System application-file-upload-vulnerabilities-
Analys Design UML Version 2.0. United 36487 Diakses pada 25 Mei 2017.
States of America: Wiley.
[14] Yaragunti, H.S, Reddy T.B. 2015. Text
[5] Haryanto, Steven. 2007. REGEX Based Image Compression Using
Kumpulan Resep Pemerograman. Hexadecimal Conversion. Journal.
Jakarta: Dian Rakyat. School of Computer Science C.U.K
Kalaburgi, India. URL:
[6] Hidding Webshell Backdoor Code in http://www.computerscijournal.org/vol
Image Files. 2013. 8no3/text-based-image-compression-
https://www.trustwave.com/Resources using-hexadecimal-conversion/ Diakses
/SpiderLabs-Blog/Hiding-Webshell- pada 6 April 2017