Baru-baru ini, router Mikrotik mengalami serangan berat
oleh para penjahat cyber. Yang baru-baru ini di antara serangan ini
adalah http Mikrotik dan serangan redirect dns. Serangan ini, salah satu
dari banyak serangan pada router Mikrotik dalam beberapa waktu
terakhir, mengalihkan semua traffic http dan dns ke server proxy / dns
jauh, memberikan kekuatan kepada penyerang untuk menganalisis paket yang
berasal dari jaringan.
Begitu banyak pengguna telah mengalami serangan ini dan jika Anda
menggunakan router Mikrotik dengan alamat IP publik yang ditetapkan,
hanya masalah waktu sebelum perangkat Anda disusupi, kecuali Anda telah
mengambil langkah-langkah untuk mengamankan router Anda.
Dalam posting ini, kita akan melihat perubahan yang dilakukan ke
router Anda setelah mengalami serangan http dan dns Mikrotik dns, cara
membersihkan router Anda, dan akhirnya, cara mengamankannya dari
serangan lebih lanjut.
Daftar Isi
Apa itu Mikrotik http dan dns mengarahkan serangan?
The Mikrotik http dan serangan redirect dns adalah bentuk baru
serangan pada router Mikrotik yang memungkinkan penjahat cyber untuk
mengarahkan http dan dns trafik dari jaringan Anda ke server proxy jauh
menggunakan port udp 53 dan tcp port 80. Para penyerang menetapkan dns
IP ke Anda router, dan membuat aturan nat tujuan untuk mengarahkan lalu
lintas http dan dns.
Setelah perubahan ini dilakukan pada router Mikrotik, pelaku dapat
duduk kembali dan menganalisis paket dari jaringan yang terkena
menggunakan penganalisis paket seperti Wireshark.
Cara mengetahui bahwa router Anda telah disusupi
Tanda yang jelas bahwa router Anda telah diserang adalah bahwa
pengalaman browsing melalui router tiba-tiba menjadi lambat bahkan
ketika penggunaan bandwidth rendah. Ini karena server dns / proxy
penyerang, di mana lalu lintas http dan dns telah dialihkan, mungkin
tidak dirancang untuk menahan jumlah paket dari router Mikrotik yang
dikompromikan.
Cara membersihkan router Anda
Ketika dihadapkan dengan masalah seperti ini, yang terlintas dalam
pikiran adalah mengatur ulang router. Pilihan ini tidak sepenuhnya
memecahkan masalah karena penyerang memiliki file yang diinstal pada
sistem. File-file ini tidak terhapus bahkan ketika router di-reset.
Dalam situasi seperti ini, evaluasi yang cermat terhadap apa yang
telah dilakukan diperlukan. Setelah itu, pengguna harus menempatkan
tindakan koreksi dan pencegahan manual yang ditujukan untuk mengamankan
router.
Hapus alamat IP server rougue dns
Hapus alamat dns nakal yang diberikan ke router. Klik IP> DNS dan
hapus semua alamat IP server dns yang tidak ditugaskan oleh Anda. Lihat
panduan di bawah ini:
Untuk memastikan hanya IP resmi yang dapat masuk ke router, tambahkan
IP yang diizinkan ke pengguna di sub-menu pengguna. Lihat di bawah.
Beberapa serangan pada jaringan Mikrotik sering kita temukan diantaranya, Brute Force, Ping Flood atau DDoS dan Port Scanning, serangan tersebut bisa kita atasi dengan menambahkan sebuah rule pada Mikrotik untuk mencegah para attacker/botnet
menyerang kembali. Kemudian ketika ada serangan pada Mikrotik kita bisa
mengetahuinya melalui notifikasi pada Bot Telegram. Caranya akan saja
jelaskan pada tutorial kali ini. Sebelum membuat rule untuk memblokir
serangan pada Mikrotik kita pahami dulu jenis-jenis serangan,
diantaranya:
Brute Force adalah serangan yang dilakukan untuk
membobol password dengan cara mencoba setiap password secara acak dari
kombinasi huruf, angka dan simbol, sampai akhirnya menemukan password
yang tepat. Biasanya Brute Forces dilakukan oleh robot atau program,
karena untuk mendapatkan kombinasi huruf, angka dan simbol bisa dengan
cepat dibuat oleh program/algoritma tertentu.
Ping Flood atau DDoS
Ping Flood atau sering kita kenal dengan istilah DDoS adalah
jenis serangan yang dilakukan dengan cara mengirimkan lalu
lintas/paket/ping jaringan internet pada server, sistem, atau jaringan
Mikrotik secara terus menerus dan dalam jumlah paket data yang besar.
Umumnya serangan ini dilakukan menggunakan beberapa komputer host
penyerang sampai dengan komputer target tidak bisa diakses atau bahkan
sampai rusak.
Port Scanning
Port Scanning adalah aktivitas yang dilakukan untuk
memeriksa status port TCP dan UDP pada sebuah server atau jaringan
Mikrotik. Aplikasi yang sering ditemukan untuk melakukan Port Scanning,
seperti netcat, unicornscan, nmap,
dll. Jadi dengan melakukan Port Scanning peretas bisa mencari port yang
terbuka lalu mencobanya dengan melalukan beberapa cara untuk masuk ke
sistem.
Langkah-Langkah
Memblokir Serangan Brute Force
Brute Force SSH dan Telnet
Rule ini akan mendeteksi serangan pada port 22 (SSH) dan port 23
(Telnet), dimana apabila terjadi tiga kali percobaan serangan melalui
port 22 dan port 23 maka IP Address dari sumber serangan akan dimasukan
kedalamn address list kemudian IP tersebut akan di drop dengan
log-prefix=BruteForcesSshTelnet yang nantinya log-prefix tersebut akan
menjadi notifikasi pada Bot Telegram.
Rule ini akan mendeteksi apabila ada percobaan login ke Winbox port
8291 dengan tiga kali percobaan dalam waktu satu menit maka IP Sumber
akan di blokir. Maka apabila menggunakan rule ini disarankan jangan
login menggunakan tiga Winbox di komputer yang sama, apabila hal
tersebut terjadi maka IP Address yang digunakan untuk login ke Winbox
akan di blokir selama satu hari. Kemudian akan menambahkan sebuah log
dengan nama log-prefix=BruteForcesWinbox apabila terjadi login 3 kali
berturut-turut dengan IP Address yang sama.
Rule ini akan mendeteksi apabila terjadi serangan pada Mikrotik
melalui aplikasi Port Scanner. Apabila terjadi serangan maka akan
menambahkan sebuah log-prefix=PortScanner.
Karena kita telah menambahkan sebuah log-prefix untuk setiap jenis
rule untuk blokir serangan maka dengan menggunakan script kita akan
membaca log tersebut sesuai dengan log-prefix yang telah di tentukan
sebelumnya. Script ini akan membaca setiap log-prefix yang sesuai lalu
akan mengirimkan log tersebut ke Bot Telegram.
Caranya buat sebuah system scheduler lalu buat schedule dengan nama LogMikrotik, lalu tambahkan script dibawah ini di On Event.
Lalu jangan lupa ubah terlebih dahulu BOT ID dan Chat ID. Jalankan
dengan interval yang di inginkan, asalkan tidak terlalu cepat karena
script ini cukup memakan resources CPU..hehe
Share to Unlock Content
Silahkan share untuk membuka link download dan membuka scriptnya
Apabila tutorial ini bermanfaat support saya dengan cara share artikel ini..
Terimakasih
Agar Log dari Firewall dapat masuk ke Log Mikrotik, kita harus menambahkan sebuah Log Action dan Log Rule baru dengan Action Firewall. Dengan cara ke menu System –> Logging. Kira-kira buat seperti pada gambar dibawah ini:
Hasilnya
Ketika saya akan mencobanya dengan mengaktifkan port SSH dan Telnet
di Mikrotik ternyata Mikrotik saya sudah menjadi target serangan Telnet.,,hehehe
Notifikasi Login Winbox Gagal Login
Notifikasi ketika ada serangan/akses ke FTP Mikrotik.
Untuk DDoS dan Port Scanner belum saya coba, silahkan apabila kalian
ingin mencobanya sendiri, mohon maaf apabila ada rule yang keliru karena
saya hanya ingin berbagi saja, apabila ada rule yang keliru bisa
disampaikan saja di kolom komentar, semoga bermanfaat..hehe
