Analisis Log Serangan Bruteforce Terhadap Web Server Nginx Pada Dasbor Sistem Pencatatan Log Teroptimasi Menggunakan Metode Investigasi Forensik

Abstract

Sejak pertama kali diluncurkan pada tahun 1990 Web Server hingga saat ini masih digunakan. Tidak terkecuali hampir semua perusahaan yang memasuki industri 4.0 menggunakan Web Server untuk menunjukkan eksistensi website perusahaan dan produk yang dimiliki. Mulai dari Website yang disediakan gratis oleh Wordpress maupun Blogspot hingga website mandiri yang dibuat oleh perusahaan masing-masing. Web server sendiri tersedia dalam beberapa macam, mulai dari apache, nginx, litespeed, dll. Tentu saja penggunaan Web Server untuk website tidak lepas dari tindak kejahatan internet atau cyber crime. Salah satu tindak kejahatan yang dilakukan adalah usaha hacker untuk login ke halaman Administrator website. Celah yang digunakan oleh hacker adalah tindakan brute force atau pemaksaan masuk dengan mencoba setiap kombinasi User dan Password Administrator yang ada. Pada penelitian ini berfokus untuk membangun dan memperbarui sistem dasbor monitoring website dengan teknologi Wazuh. Metode Investigasi Forensik Kuantitatif yang memiliki 5 tahapan yaitu Identification, Problem Scope, Collection Examination, Analysis, and Presentation digunakan dalam penelitian ini untuk menganalisis log yang dihasilkan Dasbor Sistem. Adapun log yang diteliti berdasarkan rule id bawaan wazuh (rule id 5710 dan 31509) dan Rule id hasil optimasi (rule id 5712 dan 31510) dan tweak yang dilakukan selama proses penelitian berlangsung. Proses monitoring ini bertujuan untuk mendeteksi ancaman brute force pada website yang dikelola dengan menunjukkan log aktivitas login Administrator website. Hasil metadata log yang ditunjukan oleh dasbor teroptimasi menunjukkan jumlah serangan brute force pada website yang dikelola. Jumlah serangan yang tercatat ialah 259646 serangan pada klaster pertama dan 288676 serangan pada klister kedua. Selain itu hasil metadata log dapat diteliti lebih lanjut untuk menemukan lokasi Hacker. Adapun lokasi hacker yang ditemukan hanya terbatas hingga server VPN (Virtual Private Network) yang digunakan. Salah satu server VPN yang dalam kasus ini digunakan ialah Amazon Data Center.