Analisis Log Serangan Bruteforce Terhadap Web Server Nginx Pada Dasbor Sistem Pencatatan Log Teroptimasi Menggunakan Metode Investigasi Forensik
Abstract
Sejak pertama kali diluncurkan pada tahun 1990 Web Server hingga saat ini masih
digunakan. Tidak terkecuali hampir semua perusahaan yang memasuki industri 4.0
menggunakan Web Server untuk menunjukkan eksistensi website perusahaan dan produk
yang dimiliki. Mulai dari Website yang disediakan gratis oleh Wordpress maupun Blogspot
hingga website mandiri yang dibuat oleh perusahaan masing-masing. Web server sendiri
tersedia dalam beberapa macam, mulai dari apache, nginx, litespeed, dll. Tentu saja
penggunaan Web Server untuk website tidak lepas dari tindak kejahatan internet atau cyber
crime. Salah satu tindak kejahatan yang dilakukan adalah usaha hacker untuk login ke
halaman Administrator website. Celah yang digunakan oleh hacker adalah tindakan brute
force atau pemaksaan masuk dengan mencoba setiap kombinasi User dan Password
Administrator yang ada. Pada penelitian ini berfokus untuk membangun dan memperbarui
sistem dasbor monitoring website dengan teknologi Wazuh. Metode Investigasi Forensik
Kuantitatif yang memiliki 5 tahapan yaitu Identification, Problem Scope, Collection
Examination, Analysis, and Presentation digunakan dalam penelitian ini untuk menganalisis
log yang dihasilkan Dasbor Sistem. Adapun log yang diteliti berdasarkan rule id bawaan
wazuh (rule id 5710 dan 31509) dan Rule id hasil optimasi (rule id 5712 dan 31510) dan
tweak yang dilakukan selama proses penelitian berlangsung. Proses monitoring ini bertujuan
untuk mendeteksi ancaman brute force pada website yang dikelola dengan menunjukkan log
aktivitas login Administrator website. Hasil metadata log yang ditunjukan oleh dasbor
teroptimasi menunjukkan jumlah serangan brute force pada website yang dikelola. Jumlah
serangan yang tercatat ialah 259646 serangan pada klaster pertama dan 288676 serangan
pada klister kedua. Selain itu hasil metadata log dapat diteliti lebih lanjut untuk menemukan
lokasi Hacker. Adapun lokasi hacker yang ditemukan hanya terbatas hingga server VPN
(Virtual Private Network) yang digunakan. Salah satu server VPN yang dalam kasus ini
digunakan ialah Amazon Data Center.