Server Anda Melakukan DoS Attack via UDP Flood :( Aduuuuhhh

LIMITED STOCK: Cari VPS powerful untuk web bertrafik tinggi? Order di sini!

Beberapa saat yg lampau, tiba2 saja server saya jadi lelet… masuk ke console via putty juga susah, respons lambat. Web/dan blog2 yg ada dalam server tsb sangat susah diakses dan kemudian down. 10 menit kemudian.. penyedia layanan server mengirim email kalo server saya got suspended dengan alasan network abuse (Denial of Service attack) berupa serangan UDP flood ke ip lain. Mereka mengirim log bukti serangan tsb dan segera meminta penjelasan ttg hal tercela tsb. Ya betul, jadi seolah2 ada user dari VPS saya yg melakukan attack ke ip addres lain dengan mengirim UDP flood dalam jumlah banyak dari server saya… oh what the… 🙁

Saya segera login ke solusvm panel dan melihat statistik bahwa bbrp saat yg lalu baru saja terjadi outgoing trafik yg sangat2 tinggi diatas normal. Saat itu status VPS saya sudah offline dimatikan oleh pihak hosting. Terlihat sebuah lonjakan tidak wajar dari trafik keluar. Aktifitas siluman ini juga lah yg mengakibatkan server load jadi berat dan akhirnya tumbang.

UDP attack

Lihat tuh disekitar week 40. Edan kan? Tentu saja saya bingung ada apa gerangan dan siapa yg melakukan ini. Saya segera saja scanning server saya dengan clamav, rkhunter, chkrootkit bahkan linux malware detect (LMD) namun semua hasilnya nihil, tidak ada laporan adanya script jahat terpasang di server yg jadi biang keladi serangan ini. Saya install plugin2 wordpress utk menemukan vulnerability juga tidak ada hasil mencurigakan sama sekali. Pihak hostingpun baru akan menghidupkan server setelah ada kepastian dari saya jika saya telah menemukan penyebab dan cara penanggulangannya… Jika tidak, pihak hosting terpaksa mendelete VPS tsb dan re-install baru.

Berbekal info dari hosting bahwa attack yg terjadi adalah UDP flood, maka saya segera googling semalam suntuk mencoba mencari solusi atau pencerahan atas hal ini. Mau tidak mau server saya harus online lagi atau bisnis online saya bisa rugi 😀 dengan juga mengantongi fakta bahwa ada bbrp blog saya di server dg platform WordPress yg mungkin dieksploitasi org tidak bertanggungjawab, saya mencari2 solusi terutama di forum2 linux dan hosting. Akhirnya saya menemukan sebuah tips sederhana utk menemukan script yg jadi tool untuk melakukan UDP flood attack. Bacalah mantra kuno ini untuk menemukan script penyebab serangan UDP flood:

grep -ir 'fsockopen.*udp' /home/site/

Setelah saya agak yakin bahwa memang ada UDP flood script terpasang di server, saya segera request pihak hosting untuk menghidupkan server saya kembali. Gunanya tentu pertama untuk menemukan script jahat tsb. Setelah online lagi, dengan khusuk saya segera membaca mantra ajaib tsb. Disitu terlihat ada direktori /home/site/ karena disitulah letak semua web/blog yg saya host di server. Untuk menemukan script UDP di lokasi lain, sesuaikan saja direktorinya. Yg jelas karena attacker harus bisa mengakses script tsb via browser untuk memulai serangan maka sudah pasti script tsb menyusup diantara file2 web/blog yg ada.

Dan….. benar saja! Dalam salah satu blog ternyata ada file aneh yg terdeteksi sbg UDP flooder setelah mantra diatas dibacakan. File ini diberi nama yg membuat admin ga akan curiga sama sekali ketika disusupkan dintara file2 wordpress. File bernama palsu wp-log.php ini ada diantara file2 wordpress lainnya. Sungguh tidak membuat curiga sama sekali meskipun kalo mau teliti ternyata wordpress tidak memiliki file bernama wp-log.php. File tsb saya coba buka via browser dan memang inilah tool utk mengirim UDP flood. User tinggal mengisi kolom ip target dan dg sekali klik server akan menjadi senjata menyerang target!

Akhirnya file tsb saya karantina di directory yg ga bisa diakses via broswer, sengaja memang tidak saya delete agar bisa saya pelajari karakteristiknya lebih lanjut sebagai upaya preventif kedepannya. Setelah usaha ini, syukurlah ga ada lagi serangan UDP ke ip luar… untuk lebih mengamankan server, saya set juga rule iptables untuk mengeblok serangan UDP flood yg berasal dari dalam server.

Cheers!!!!

 

Kata kunci pencarian:
  • cara serang udp server melalui termux

Sewa VPS? Pilih RAMNODE saja! Murah, ngebut dan handal. Order di sini!

Latest Comments

  1. Hilda zainal October 17, 2015
    • admin October 18, 2015
      • Fauzi March 19, 2016

Leave a Reply