Mencegah directory listting pada site


Beberapa hari yang lalu, FTP Server di SMAN10 down. Kebetulan, selain untuk FTP server, digunakan juga untuk Video Streaming Server (using OsTube). Nah, setelah beberapa hari di launching, ternyata ada saja orang usil yang mencoba masuk ke server kita.
Tapi untungnya, cracker tersebut masih tingkat lammer (menurut saya). Karena dia hanya menggunakan teknik “Guessing Web Server Directory”. Dalam bahasa indonesia artinya, “Menebak-nebak direktori server”. Mengapa demikian, untuk lebih lanjutnya akan saya bahas disini.
Karena server di sekolah saya menggunakan linux, dan tool Apache2 sebagai web servernya, maka saya check lognya sebagai berikut;
root@dvildance~#: cat /var/log/apache2/error.log | more

Dan berikut file lognya,

 Dalam suatu server web yang kompleks, tentunya terdapat beberapa direktori lain di dalamnya.
Tehnik ini disebut juga “Directory Listing”, untuk mendapatkan file-file penting yang ada didalamnya. Sebetulnya terdapat banyak cara untuk mencegah terjadinya Listing Directory ini. Namun saya akan membahas salah satunya saja, dan yang ini menurut saya lebih aman dan nyaman :D .
Tanpa pengamanan, directory IMAGES anda akan menampilkan semua file yang ada didalamnya kepada pengunjung web Anda. Cara pencegahanya adalah, anda harus membuat file “index.php” pada direktori IMAGES tersebut. Atau jika anda tidak menggunakan php, bisa diganti format ke “index.html”. Berikut kodenya;

header("location:http://www.yourdomain.com");
?>

 

Maksud kode diatas adalah, setiap pengunjung mengakses direktori tersebut, secara otomatis web browser akan redirect ke halaman awal website anda. Mengerti kan.
Dan selain direktory tersebut, kadang juga ada direktori alias. Maksudnya adalah, seperti halnya dalam Apache2 (linux), yang dapat menambahkan virtualhost alias di belakang nama domain asli. Yang tidak asing lagi di telinga kita adalah PhpMyAdmin. Yap, walaupun direktori PhpMyAdmin tidak terdapat dalam direktori web server kita, namun masih bisa diakses, betul kan.
Nah sayangnya, ada juga CMS yang masih belum mengerti tentang pentingya mencegah “Directory Listing” ini. Yang paling populer adalah OsTube. Yap, CMS yang terkenal dengan video & audio streaming servernya ini masih mempunyai bugsdan ketika saya tambahakn kata “images” di belakangnya,
http://partisikantor-sms.com/foto_banner/
Maka muncullah hal yang tidak kita inginkan sebelumnya,

directrorylisting


 Kalau sudah begini, siapa yang salah, Admin atau Cracker?? Semua itu tergantung anda, karena tidak ada sistem yang sempurna 100%. Jadi, selalu belajar dan belajar dengan sesuatu yang baru. Dan sekian dari saya.