[Tutor] Step by Step membuat PHP Firewall sendiri

[Regel]

hi, ketemu lagi sama saya... hehehehe. :)
langsung aja ya, siapa sih yang senang ada LaMeRz/Spammer yg gak diminta datang menghampiri web temen2,
habis2in bandwith hosting, gangguan visitor lainnya. Bayangi tool misal seperti Havij mengexcute web lebih dr 30x dalam beberapa menit.
Udah jelas berefek jelek pada kecepatan webnya, belum lagi tool2 lain, faktor2 kecolongan dll.. pasti sangat menganggu.
Klw menurut saya ada baiknya kita membuat semacam PHP Firewall untuk mengamankan webnya,
beberapa server mungkin udah ada mod_security. Bagi yang belum punya silahkan disimak Ulasan2 berikut.

Contoh pertama kita akan membuat Rule Firewall sederhana untuk Tool Havij.

Sebelumnya, kita harus mendownload toolnya silahkan langsung saja ke web vendornya.
dan kita membuat scripts Spy buat menangkap Variable2 yang terkirim oleh HAVIJ.

berikut ini sc spy yang saya buat

PHP Code:

<?php

/**
 * @author      jasman[at]ihsana.com
 * @package        Security Research
 * @subpackage    Application
 * @copyright    Copyright (C) 2012 Ihsana IT Solution. All rights reserved.
 * @link        http://ihsana.com/
 * @license        GNU General Public License version 2 or later, see LICENSE.txt
 */
 
header('Content-type: text/plain');
$_SERVER['TOOL'] = $_GET['tool'];

//buang variable2 yg bersifat pribadi amat
unset(
    $_SERVER['MIBDIRS'],
    $_SERVER['MYSQL_HOME'],
    $_SERVER['OPENSSL_CONF'],
    $_SERVER['PHP_PEAR_SYSCONF_DIR'],
    $_SERVER['PHPRC'],
    $_SERVER['TMP'],
    $_SERVER['PATH'],
    $_SERVER['SystemRoot'],
    $_SERVER['COMSPEC'],
    $_SERVER['PATHEXT'],
    $_SERVER['WINDIR'],
    $_SERVER['SERVER_SIGNATURE'],
    $_SERVER['SERVER_SOFTWARE'],
    $_SERVER['SERVER_NAME'],
    $_SERVER['SERVER_ADDR'],
    $_SERVER['SERVER_PORT'],
    $_SERVER['SCRIPT_FILENAME'],
    $_SERVER['DOCUMENT_ROOT'],
    $_SERVER['SERVER_ADMIN'],
    $_SERVER['SERVER_ADDR'],
    $_SERVER['REQUEST_URI'],
    $_SERVER['SCRIPT_NAME'],
    $_SERVER['PHP_SELF'],
    $_SERVER['GATEWAY_INTERFACE'],
    $_SERVER['SERVER_PROTOCOL'],
    $_SERVER['PHP_SELF'],
    $_SERVER['HTTP_HOST'],
    $_SERVER['REMOTE_ADDR'],
    $_SERVER['REMOTE_PORT'],
    $_SERVER['argc'],
    $_SERVER['argv']
);

$_SERVER['QUERY_POST'] = $_POST ;

//saya malas menggunakan database jadi saya simpan dalam bentuk file aja
$filename = "data.txt";

$fp = fopen($filename, 'a+');
fwrite($fp, json_encode($_SERVER)."\r\n");
fclose($fp);

$handle = fopen($filename, "r");
$contents = fread($handle, filesize($filename));
fclose($handle);

$data = explode("\r\n",$contents);
for($i=0;$i<count($data);$i++){
   print_r(json_decode($data[$i],1)); 
}


?>

OK, taruh pada servernya/localhostnya, kemudian excute/buka melalui firefox, opera, chrome

Code:

http://127.0.0.1/spy/?tool=firefox

kemudian excute menggunakan HAVIJ, biar havij gk ganggu nama tool tambah aja id=0

Code:

http://127.0.0.1/spy/?tool=havij&id=0

Kemudian kita lihat perbandingannya dengan browser normal:




mari kita coba buat filternya, scripts ini harus diposisikan diawal/index

PHP Code:

<?php

/**
 * @author      jasman[at]ihsana.com
 * @package        Security Research
 * @subpackage    Application
 * @copyright    Copyright (C) 2012 Ihsana IT Solution. All rights reserved.
 * @link        http://ihsana.com/
 * @license        GNU General Public License version 2 or later, see LICENSE.txt
 */
 
if (!isset($_SERVER['HTTP_ACCEPT_LANGUAGE'])){ //variable ini bersifat umum tidak dimiliki oleh tool hacking/spamming
    //oleh karena itu kita buang aja method $_POST untuk mengagalkan spam2 tool ngomen diblog
    unset($_POST);
    
    //filter user-agent
    if ( preg_match('/havij/', strtolower($_SERVER["HTTP_USER_AGENT"]))) { 
        die("Kami belum begitu canggih untuk menambilkan halaman ini, mohon gunakan browser: firefox, chrome, opera atau ie"); 
    }  
}

?>

wah udah magrib,, bersambung dulu. lanjutnya ntar analisa acunetix vulnerable scanner,,


--------------------------------------
lanjut...
sekarang kita membuat filter untuk acunetix vulnerable scanner,langsung masukan linknya

Code:

http://127.0.0.1/spy/?tool=acunetix

kita liat respon dr spy kita dan bandingkan:



ok, langsung kita masukan rulenya kedalam coding

PHP Code:

<?php

/**
 * @author      jasman[at]ihsana.com
 * @package        Security Research
 * @subpackage    Application
 * @copyright    Copyright (C) 2012 Ihsana IT Solution. All rights reserved.
 * @link        http://ihsana.com/
 * @license        GNU General Public License version 2 or later, see LICENSE.txt
 */
 
if (!isset($_SERVER['HTTP_ACCEPT_LANGUAGE'])){ //variable ini bersifat umum tidak dimiliki oleh tool hacking/spamming
    //oleh karena itu kita buang aja method $_POST untuk mengagalkan spam2 tool ngomen diblog
    unset($_POST);
    
    //filter user-agent
    if ( preg_match('/havij/', strtolower($_SERVER["HTTP_USER_AGENT"]))) { 
        die("Fans R3dm0v3 ya, hehehe.."); 
    } 
    
    //filter acunetix scanner
    if ((isset($_SERVER['HTTP_ACUNETIX_ASPECT'])) ||
    (isset($_SERVER['HTTP_ACUNETIX_ASPECT_QUERIES']))||
    (isset($_SERVER['HTTP_ACUNETIX_PRODUCT'])) ||
    (isset($_SERVER['HTTP_ACUNETIX_ASPECT_PASSWORD'])))
     {
        die("Ketahuan deh pake acunetix :P");
     }  
}

?>

udah ada 2 contoh pembuatan rule nya,,
* Regel brb nyari tool dulu utk contoh ke tiga,, :)
---------------------------------------------------
Update:

Tool yang ketiga SQL Tool... reguest header agak mirip sama browser

Klw seperti ini agak ribet, terlalu global,, kita harus membuat filter yg lebih sensitif,, disini saya akan membuat filter berdasarkan hash dari reguest yg dikirim oleh tool.

saya membuat sc spy kemudian saya md5 untuk dijadikan perbandingan nanti seperti ini:

PHP Code:

<?php

$hash = md5($_SERVER['AuthDigestEnableQueryStringHack'] .
     $_SERVER['HTTP_ACCEPT'] .
     $_SERVER['HTTP_ACCEPT_LANGUAGE'] .
     $_SERVER['HTTP_ACCEPT_ENCODING']) ;

file_put_contents('hash.txt',$hash);

?>

Ok, excute tool ke file tersebut.. misal hash yg saya dapat 4233f8f7a8a4a05168b7fb90e7b4ec16
kemudian kita coba membuat filternya,,

PHP Code:

<?php

/**
 * @author Jasman
 * @copyright 2012 Ihsana IT Solution
 * @version 12.6.7
 */

$hash = md5($_SERVER['AuthDigestEnableQueryStringHack'] .
     $_SERVER['HTTP_ACCEPT'] .
     $_SERVER['HTTP_ACCEPT_LANGUAGE'] .
     $_SERVER['HTTP_ACCEPT_ENCODING']) ;

if($hash == '4233f8f7a8a4a05168b7fb90e7b4ec16'){
    die('Gak boleh usil lho..');
}

?>

Silahkan teman2 kreasikan,, ditambah auto banned, notifikasi,, dll..

[ditatompel]

Keren om tutornya + penjelasan2nya..

[nobodyknowme]

NICE tutor om

[Bunga.Mataharry]

tutor ya bagus
ikutan belajar yaa

[Joris]

Hahahaha....mantab om...

[d3m3nt012]

ditunggu yang ke tiga ...

[bayurizqi]

Wah, apa ini?
Gk ngerti :(
Harus belajar dr awal haha..
Ada yg mau bantu ksh link di DC tentang pembelajaran dasar? Mksh :)

[CitooZz]

(05-30-2012 11:57 AM)bayurizqi Wrote:  Wah, apa ini?
Gk ngerti :(
Harus belajar dr awal haha..
Ada yg mau bantu ksh link di DC tentang pembelajaran dasar? Mksh :)

http://devilzc0de.org/forum/forum-46.html maen kemari aja om

[Regel]

silahkan2,, Makasih dah ngasih cendol

(05-28-2012 12:32 AM)d3m3nt012 Wrote:  

ditunggu yang ke tiga ...

udah saya update mas..

[mgcbox]

pasti om nih om yg satu ini