Bayangin kamu punya rumah, dan tiba-tiba ada bunyi kaca pecah di malam hari. Nah, IR itu seperti rencana darurat rumah tangga, apa yang ngecek, siapa yang hubungi orang bersangkutan, siapa yang perbaiki kaca, lalu siapa yang menyelidiki bagaimana kaca bisa pecah supaya gak terjadi lagi.

Di dunia TI, insiden keamanan bisa diartikan sebagai serangan hacker, malware, kebocoran data, atau hal yang mengancam kerahasiaan, integritas, atau ketersediaan sistem.

IR adalah proses sistematis untuk mendeteksi, menanggapi, memulihkan, dan belajar dari insiden-ini agar kerugian minimum dan kita makin siap ke depan.

Tahapan Incident Response (IR)

Dalam NIST SP 800–61r2, IR dijabarkan dalam empat fase utama yakni : Preparation (Persiapan), Detection & Analysis (Deteksi & Analisis), Containment, Eradication & Recovery (Kontainmen, Penghapusan, Pemulihan), dan Post-Incident Activity (Aktivitas Pasca-Insiden).

Mari kita uraikan dengan analogi rumah tadi supaya lebih gampang diingat..

1. Preparation (Persiapan)

Seperti memasang alarm, kunci ganda, dan punya nomor tukang kaca sebelum kaca pecah. Dalam konteks IT :

• Buat kebijakan IR : siapa yang bertanggung jawab, skenario insiden apa yang termasuk, bagaimana eskalasi.
• Rencana & prosedur : langkah teknis siapa ngapain saat insiden, checklist, dan latihan simulasi.
• Tim IR & struktur organisasi: siapa bagian dari tim, peran mereka, apakah internal atau outsource.
• Latihan dan pemeliharaan : update rencana, evaluasi kemampuan tim, pastikan alat & log berjalan.

Kalau kurang persiapan saat insiden datang, akan kuwalahan bukan?

2. Detection & Analysis (Deteksi & Analisis)

Saat alarm berbunyi atau kaca pecah, kita dengarkan bunyi, cek CCTV, identifikasi siapa yang masuk lewat jendela. Dalam IT :

• Monitoring dan logging : sistem mencatat event, tools deteksi mencatat aktivitas abnormal.
• Identifikasi tanda/tanda awal (precursors & indicators).
• Analisis : Apakah ini benar insiden atau false alarm? Seberapa parah? Impact ke bisnis apa? Prioritasnya bagaimana?
• Dokumentasi dan notifikasi: mulai catat segala hal, beri tahu pihak yang perlu tahu. NIST Publications

3. Containment, Eradication & Recovery (Kontainmen, Penghapusan & Pemulihan)

Sekarang kaca pecah, kita tutup jendela sementara, ambil pecahan, ganti kaca, lalu bersihkan semua jejak.
Dalam IT :

• Kontainmen : batasi dampak, misalnya isolasi sistem, block IP mecurigakan.
• Penghapusan (Eradication) : hapus malware, patch kerentanan, hapus akun yang dibajak.
• Pemulihan (Recovery) : kembalikan layanan ke keadaan normal, pastikan sistem aman, monitoring intensif pasca-pemulihan.
• Pengumpulan bukti (forensics) jika perlu.

4. Post-Incident Activity (Aktivitas Pasca-Insiden)

Sesudah kaca diganti dan rumah aman, kita evaluasi kenapa kaca pecah, siapa lalai, apakah kunci lama kurang kuat, apakah alarm belum dipasang dengan benar.

Dalam IT :

• Lessons Learned : tim IR review apa yang berjalan baik dan apa yang gagal.
• Perbaikan proses: update kebijakan, prosedur, kontrol keamanan, pelatihan.
• Pelaporan dan dokumentasi lengkap: untuk audit, legal, regulasi.
• Simulasi dan latihan ulang agar kesiapan makin baik.

Kenapa Tahapan Ini Penting?

• Karena di era ini serangan makin kompleks dan cepat, kita harus siap secara prosedural.
• Tanpa persiapan dan monitoring yang baik → deteksi terlambat → dampak besar.
• Dengan siklus yang lengkap dan terstruktur, maka organisasi bisa lebih resilien.

Source : https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

Pernah gak sih kamu ngerasa sistem itu kayak orang yang cerewet banget? Selalu ngomong, entah soal error, sukses login, update, sampai proses kecil yang gak kamu minta pun dia laporin. Nah, semua ocehan itu terekam di log. Dan di dunia keamanan siber, log adalah cerita hidup sistemmu.

Di artikel ini, kita gak akan bahas SOC atau SIEM secara keseluruhan. Kita fokus kepada gimana sih caranya kita bisa dengerin cerita si sistem (log), ngerti maksudnya, dan bikin dia teriak kalau ada sesuatu yang gak beres (alias bikin alert).
Untuk praktiknya kita pakai Wazuh, si open-source SIEM yang terhitung ramah buat belajar di lab.

Log itu Cerita, SIEM itu Pendengarnya

Bayangin gini, sistemmu itu kayak sekumpulan karakter di film. Ada si Web Server, Database, User Login, dan Firewall. Masing-masing punya cerita sendiri di scene mereka. Tapi kalau gak ada sutradara yang ngerti alur cerita, semuanya bakal berantakan.

Nah, Wazuh di sini jadi sutradaranya. Dia ngumpulin semua cerita (log), dengerin, terus bilang “Eh, ini kayaknya aneh deh. Kenapa si Database tiba-tiba marah jam 3 pagi?”
Dari situ dia bikin alert, semacam notifikasi buat kamu biar tau ada yang gak normal.

Setting Dasar Monitoring di Wazuh

Untuk pratik pada lab ini, kita memerlukan 3 VM. Kamu bisa membangun VM nya dengan menggunakan VirtualBox atau sebagainya.

Yang saya gunakan pada lab ini diantaranya adalah sebagai berikut :

1. VM Server — Ubuntu Server 20.04 LTS

• Install: Wazuh Indexer, Wazuh Manager, Wazuh Dashboard
• URL dashboard biasanya: https://<SERVER_IP> (atau sesuai konfigurasi Wazuh Dashboard)

2. VM Agent — Ubuntu Server 20.04

• Install Wazuh Agent

3. VM Attacker - Kali Linux

• VM ini digunakan untuk melakukan percobaan login ssh ke VM Agent.

Petunjuk instalasi lengkap Wazuh bisa dilihat di dokumentasi resmi: https://documentation.wazuh.com/current/installation-guide/index.html

Langkah 1 : Pastikan Agent memonitor /var/log/auth.log

Di VM Agent (Target), cek apakah ossec.conf sudah memantau auth.log (ini biasanya default):

sudo grep -A2 "auth.log" /var/ossec/etc/ossec.conf || true

Jika keluar blok yang menunjuk /var/log/auth.log, berarti agent sudah siap. Contoh entry bawaan:

<localfile>
  <log_format>syslog</log_format>
  <location>/var/log/auth.log</location>
</localfile>

Jika tidak ada, tambahkan blok di atas ke /var/ossec/etc/ossec.conf lalu restart agent:

sudo systemctl restart wazuh-agent

Langkah 2 — Pastikan Manager menerima event dari Agent

Di VM Server (Manager), cek agent list:

sudo /var/ossec/bin/agent_control -l

Seharusnya agent Target muncul dengan status Active.

Langkah 3 — Simulasi failed SSH login dari VM Attacker (Kali Linux)

Dari VM Attacker, jalankan beberapa percobaan login SSH ke VM Agent menggunakan username yang salah atau password salah.
Batasi percobaan (mis. 3–6 kali) supaya tidak memicu proteksi otomatis seperti fail2ban.

Contoh manual:

# coba beberapa kali dengan user random
for i in {1..5}; do ssh nonexist@<TARGET_IP> || true; sleep 1; done

#Atau

ssh root@<TARGET_IP>
# masukkan password salah beberapa kali secara manual

NOTE : jangan lakukan brute-force skala besar. Ini hanya simulasi terkontrol di lab.

Langkah 4 — Verifikasi alert di Manager (file) dan Dashboard (web)

Di Server (Manager):

# cek 200 baris terakhir alert (format tergantung versi Wazuh: alerts.json atau alerts.log)

sudo tail -n 200 /var/ossec/logs/alerts/alerts.json || sudo tail -n 200 /var/ossec/logs/alerts/alerts.log

#Cari entri yang terkait sshd, authentication failure, atau rule id terkait (mis. 5716/5715 - tergantung versi rule).
#Contoh potongan JSON yang mungkin muncul:

{
"rule": {"id": "5716", "level": 5, "description": "sshd: authentication failure."},
"agent": {"name": "agent-target"},
"location": "/var/log/auth.log",
"data": {"srcip": "192.168.56.30", "user": "root"}
}

Di Wazuh Dashboard (web):

1. Login ke https://<SERVER_IP>:5601 (atau sesuai port/dashboard configuration).
2. Pergi ke Security events atau Discover
3. Filter berdasarkan agent (nama agent Target) atau keyword sshd / authentication_failed

Catatan Keamanan & Etika

• Lakukan semua langkah ini hanya di lingkungan lab yang Anda kontrol. Jangan menguji teknik ini pada sistem produksi atau milik orang lain tanpa izin eksplisit.
• Hindari brute-force nyata, batasi percobaan agar tidak memblokir host atau mengaktifkan countermeasures otomatis (seperti fail2ban).
• Simulasi harus terkontrol: gunakan IP lab, user dummy, dan log file yang aman.

Monitoring log itu seperti belajar baca bahasa tubuh sistem. Makin sering kita dengerin, makin peka juga kita sama tanda-tanda aneh. Dengan Wazuh, kamu bisa mulai dari hal sederhana kayak “berapa kali gagal login”, tapi lama-lama bisa berkembang jadi deteksi kompleks kayak privilege escalation atau file tampering.

Dulu, install antivirus aja udah cukup buat jaga komputer dari virus dan malware. Tapi sekarang? Serangan makin kompleks dan gak melulu muncul dalam bentuk file mencurigakan. Banyak serangan modern yang gak bisa dideteksi antivirus biasa, inilah kenapa EDR diperlukan.

Tapi sebenarnya, apa sih Antivirus dan EDR itu?

Apa Itu Antivirus (AV)?

Antivirus adalah software keamanan yang dirancang untuk mendeteksi, memblokir, dan menghapus malware seperti virus, worm, dan trojan.
Sebagian besar antivirus bekerja dengan metode signature-based detection , yaitu mengenali pola ancaman yang sudah diketahui sebelumnya.

Antivirus cocok untuk perlindungan dasar dan ancaman umum, tapi mulai kewalahan kalau dihadapkan dengan serangan yang lebih canggih, seperti ransomware modern atau fileless attack.

Apa Itu Endpoint Detection and Response (EDR)?

EDR adalah solusi keamanan endpoint yang memantau aktivitas pada perangkat secara real-time dan mampu mendeteksi, menyelidiki, serta merespons ancaman tingkat lanjut.

Berbeda dari antivirus yang hanya memblokir file berbahaya, EDR bisa menganalisis perilaku sistem, menyimpan data untuk keperluan forensik, dan bahkan melakukan aksi otomatis seperti isolasi perangkat jika terdeteksi serangan aktif.

EDR cocok digunakan di lingkungan perusahaan atau organisasi yang butuh visibilitas tinggi dan reaksi cepat terhadap potensi ancaman.

Perbandingan Antivirus (AV) vs Endpoint Detection and Response (EDR)

Perbandingan mendasar antara antivirus dan EDR ada pada gambar tabel berikut:

Jadi, Mana yang Harus Dipakai?

Antivirus masih penting, terutama untuk pengguna individu dan perlindungan dasar. Tapi untuk organisasi atau siapa pun yang mengelola sistem penting, antivirus saja nggak cukup.

EDR memberikan lapisan keamanan tambahan yang sangat dibutuhkan untuk menghadapi jenis ancaman yang lebih canggih, khususnya yang tidak bisa ditangani AV secara langsung.

Bahkan di banyak organisasi, keduanya digunakan secara bersamaan: AV untuk proteksi dasar, EDR untuk monitoring dan respons yang lebih dalam.

Di tengah makin berkembangnya landscape serangan siber, kita gak bisa cuma mengandalkan solusi lama.

Antivirus itu penting, tapi EDR adalah next step yang wajib dipertimbangkan, apalagi kalau kita benar-benar ingin tahu apa yang terjadi di dalam sistem kita.

Karena pada akhirnya, keamanan bukan cuma soal mencegah tapi juga soal siap merespons.

Kadang masalah di server datang bukan dari bug aplikasi, tapi dari port yang nganggur tapi malah terbuka lebar. Dikit-dikit ada brute force, log penuh sama IP asing, padahal server gak harusnya sibuk.

“gimana sih cara ngecek port apa aja yang lagi kebuka di Linux? …dan gimana nutup pintu-pintu yang nggak perlu?”
Yuk kita bahas !

Kenapa Port itu Penting?

Bayangin gini…
Port di server itu kayak pintu rumah. Semakin banyak pintu yang kebuka, semakin besar kemungkinan maling masuk.
Yang bahaya itu bukan cuma pintu depan (port 80 atau 22), tapi pintu belakang, jendela, atau bahkan lubang angin (port aneh-aneh yang lupa ditutup setelah testing).

Maka dari itu, sebelum kita ngomongin soal firewall dan security tools, kita bisa mulai dari audit dan mengamankan port mana saja yang terbuka.

Audit Port yang Terbuka

Cek pake ss (recommended)

ss -tuln

Artinya:

• -t: TCP
• -u: UDP
• -l: listening
• -n: tampilkan IP & port asli (gak resolve DNS)

Contoh output:

Netid  State   Local Address:Port   Process
tcp    LISTEN  0.0.0.0:22           sshd
tcp    LISTEN  127.0.0.1:3306       mysqld
tcp    LISTEN  0.0.0.0:80           nginx

Artinya:

• Port 22 (SSH) bisa diakses dari mana aja → hati-hati!
• Port 3306 (MySQL) cuma bisa dari localhost → aman
• Port 80 (web server) → wajar

Bisa juga pake netstat

netstat -tuln

Atau, kalau kamu mau yang lebih visual & menyeluruh, bisa pakai:

Scan dari luar dengannmap

nmap -sS -Pn <ip-server-kamu>

Output-nya bakal kasih tau port mana aja yang bisa diakses dari luar.

Setelah tau port mana aja yang kebuka, sekarang saatnya tanya:

“Layanan apa sih yang buka port ini?”

Gunakan lsof atau ss:

sudo lsof -i :3306

Atau:

sudo ss -ltnp

Kamu bakal lihat program apa yang menggunakan port tersebut. Misalnya:

LISTEN  0      128    127.0.0.1:3306    *:*    users:(("mysqld",pid=1234,fd=10))

Jadi kamu tau: oh, ternyata mysqld (MySQL) yang buka port itu.

🔧 Hardening: Tutup Pintu yang Gak Perlu

1. Matikan service yang gak dipakai

Misal kamu install Redis tapi gak jadi dipakai:

sudo systemctl stop redis
sudo systemctl disable redis

2. Batasi agar hanya bisa diakses dari localhost

Edit config aplikasinya. Contoh untuk MySQL:

bind-address = 127.0.0.1

Atau Redis:

bind 127.0.0.1

Restart service-nya setelah diubah.

3. Gunakan Firewall (UFW)

Buat rule misalkan seperti contoh :

sudo ufw default deny incoming
sudo ufw allow 22    # SSH
sudo ufw allow 80    # HTTP
sudo ufw allow 443   # HTTPS
sudo ufw enable

Untuk port internal (misal MySQL), jangan di-allow kalau gak perlu diakses dari luar.

Tools Tambahan yang Bisa Dicoba

• Lynis: tool audit security Linux
• Fail2Ban: ban IP otomatis kalau ada brute force
• Nmap: buat scan dari luar
• OpenSCAP: compliance scanner

Kadang yang ngebobol sistem itu bukan hacker elite dengan hoodie & kopi di basement gelap (seperti di film-film). Bisa jadi dari port yang kamu lupa tutup setelah testing demo minggu lalu. 😅

Jadi mulai sekarang:

• Audit port tiap kali deploy
• Tutup layanan yang gak perlu
• Pasang firewall dari awal
• Pantau terus, jangan anggap aman-aman aja

Happy hardening!

Pernah membayangkan kalau kolom login atau pencarian di sebuah website bisa jadi “jalan rahasia” masuk ke database?
Itulah yang terjadi ketika aplikasi web tidak memfilter input pengguna dengan baik. Serangan SQL Injection (SQLi) memanfaatkan celah ini dengan menyisipkan perintah SQL berbahaya. Hanya dengan mengetikkan karakter atau teks tertentu, penyerang bisa mengakses data sensitif, mengubah isi database, bahkan mengambil alih sistem.

Apa Itu SQL Injection?

SQL Injection adalah teknik serangan di mana penyerang menyisipkan perintah Structured Query Language (SQL) berbahaya ke dalam input aplikasi (misalnya form login, kolom pencarian, atau parameter URL). Jika aplikasi tidak memvalidasi input dengan baik, perintah SQL yang disisipkan akan dijalankan oleh database.

Serangan ini tergolong berbahaya karena sering kali tidak membutuhkan akses fisik, cukup koneksi internet dan sebuah form input.

Jenis & Teknik SQL Injection

Secara umum, SQL Injection dapat dibagi menjadi beberapa teknik utama, antaralain :

1. In-Band SQL Injection
   Penyerang menggunakan jalur komunikasi yang sama untuk mengirim payload dan menerima hasilnya secara langsung.
   a. Error-Based: Memanfaatkan pesan error dari database untuk mengekstrak informasi struktur tabel atau kolom.
   b. Union-Based: Menggunakan klausa UNION untuk menggabungkan query tambahan dan menampilkan data dari tabel lain.
2. Inferential (Blind) SQL Injection
   Serangan ini tidak menampilkan hasil secara langsung, tetapi mengandalkan logic understanding dan respons dari aplikasi untuk mendapatkan informasi sensitif.
   contoh : penyerang mengirim input yang membuat aplikasi merespons berbeda (konten, kode status, atau delay); perbedaan yang diobservasi itu dipakai untuk menebak struktur database atau data sensitif, huruf demi huruf.
3. Out-of-Band SQL Injection
   Out-of-band SQL Injection adalah teknik injeksi di mana data yang dicari tidak ditampilkan langsung oleh aplikasi, melainkan dikirimkan melalui saluran terpisah (mis. DNS/HTTP callback atau log eksternal) akibat query yang memaksa server/database melakukan koneksi keluar — penyerang kemudian mengobservasi saluran tersebut untuk mengekstrak informasi sensitif.

Dampak SQL Injection

• Pencurian Data: Informasi sensitif seperti password, data pelanggan, atau detail kartu kredit bisa bocor.
• Manipulasi Database: Data dapat diubah, dihapus, atau ditambahkan sesuka hati penyerang.
• Eksekusi Perintah Sistem: Dalam kasus tertentu, SQLi dapat digunakan untuk mengeksekusi perintah di tingkat server.

Cara Mencegah SQL Injection

1. Prepared Statements / Parameterized Queries
   Pisahkan logika SQL dari input pengguna agar database tidak menjalankan perintah berbahaya.
2. Validasi & Sanitasi Input
   Filter karakter khusus dan batasi format input.
3. Least Privilege Access
   Gunakan akun database dengan hak akses minimum.
4. Error Handling Aman
   Sembunyikan detail error agar tidak memberikan petunjuk kepada penyerang.

Contoh Praktik Sederhana Penggunaan SQL Injection

Untuk belajar , kita bisa menggunakan beberapa contoh payload untuk testing sebuah web (apakah website itu rentan / tidak). Kita bisa melakukanya di situs uji coba dengan step sebagai berikut :

1. Kunjungi Situs http://testphp.vulnweb.com/
2. Masukkan payload SQL Injection pada kolom pencarian

#Masukkan salah 1 payload (tanda petik 1)

'

amati yang terjadi, “apakah website memunculkan error / trigger?”.

4. Jika tidak, amati bagian link pada atas halaman website. Link tersebut memunculkan parameter, lalu kita coba masukkan payload (tanda petik 1) dibagian parameter

Error menunjukkan input SQL disisipkan ke query tanpa filter sehingga memicu kesalahan sintaks , indikasi kuat adanya celah SQL Injection.

SQL Injection menunjukkan betapa input sekecil apa pun bisa jadi ancaman besar bila aplikasi tidak dirancang dengan aman. Mencegahnya bukan sekadar memfilter input, tetapi membiasakan secure coding dan pengujian sejak tahap pengembangan.

Keamanan aplikasi web sering kali diibaratkan sebagai benteng yang harus dijaga dari berbagai arah. Di antara banyak ancaman yang tercatat dalam OWASP Top 10, Cross-Site Scripting (XSS) termasuk salah satu yang paling sering ditemukan .
Meskipun terdengar sederhana, serangan XSS bisa menjadi pintu masuk untuk pencurian data sensitif hingga pengambilalihan akun pengguna.

Apa Itu XSS?

Cross-Site Scripting (XSS) adalah celah keamanan yang memungkinkan penyerang menyisipkan skrip berbahaya ke dalam halaman web. Ketika halaman tersebut dibuka oleh pengguna lain, skrip berbahaya akan dieksekusi di browser korban seolah-olah berasal dari situs yang sah.

Bahaya utamanya adalah penyerang dapat menjalankan perintah di browser korban tanpa sepengetahuan mereka, termasuk:

• Mencuri cookie sesi untuk mengambil alih akun pengguna.
• Menyisipkan phishing content untuk mengelabui korban.
• Memanipulasi tampilan halaman, seperti mengubah form pembayaran atau login.

Jenis-Jenis XSS

Untuk memahami cara pencegahan, kita perlu mengenal tipe-tipe XSS yang umum ditemui:

1. Stored XSS
   Payload berbahaya disimpan permanen di server, misalnya di database atau forum komentar. Ketika halaman dimuat, script otomatis dijalankan pada setiap pengunjung.
2. Reflected XSS
   Payload disisipkan melalui URL atau parameter request dan langsung dipantulkan kembali ke halaman respons. Contoh: link phishing yang diklik korban memicu eksekusi skrip.
3. DOM-Based XSS
   Terjadi di sisi client ketika manipulasi Document Object Model (DOM) memicu eksekusi script. Tidak melibatkan server, sehingga lebih sulit dideteksi.

Contoh Praktik Payload XSS Sederhana

Payload XSS paling dasar biasanya hanya menampilkan pop-up untuk menunjukkan bahwa celah memang ada:

<script>alert(1)</script>

Walau terlihat sederhana, teknik ini dapat dikembangkan untuk mencuri cookie atau mengirim data ke server penyerang.

Untuk contoh penerapanya, kita bisa gunakan step berikut :

1. Gunakan situs uji coba , kunjungi http://testphp.vulnweb.com/
2. Masukkan payloads seperti pada contoh diatas( <script>alert(1)</script> ) di kolom inputan “search”

3. Klik “go” lalu amati yang terjadi

Setelah menekan/klik “go” pada kolom pencarian yang kita isi dengan script XSS, muncul pop-up seperti pada gambar. Hal tersebut menandakan bahwa website rentan terhadap serangan XSS.

Percobaan ini hanya untuk situs latihan yaa... pastikan kamu memiliki izin jika ingin melakukan testing pada sebuah website tertentu

Untuk eksplorasi lebih mendalam, kita bisa mencoba berbagai payload XSS dari sumber-sumber berikut:

• PortSwigger XSS Cheat Sheet
• PayloadsAllTheThings — XSS Injection
• EZ Payload Collections

Peran XSS dalam Web Application Security

Mengapa XSS sangat penting dalam konteks keamanan aplikasi web?
tentu dikarenakan serangan ini :

• Menargetkan pengguna langsung, bukan hanya server.
• Sulit dideteksi pengguna awam, karena script tampak seperti bagian normal dari situs.
• Bisa menjadi langkah awal untuk serangan lanjutan, seperti session hijacking, keylogging, atau deface halaman.

Organisasi yang mengabaikan pencegahan XSS berisiko kehilangan data, reputasi, dan kepercayaan pengguna.

Cara Mencegah XSS

XSS bisa dicegah dengan kombinasi praktik pengembangan aman dan konfigurasi yang tepat:

1. Input Validation & Output Encoding

• Filter dan sanitasi setiap input user.
• Encode karakter khusus sebelum ditampilkan (misal < menjadi &lt;).

2. Content Security Policy (CSP)

• Batasi sumber JavaScript yang diizinkan agar browser menolak skrip berbahaya.

3. HTTPOnly Cookie

• Lindungi cookie agar tidak bisa diakses melalui JavaScript.

4. Gunakan Framework Modern

• Banyak framework (React, Angular, Django) memiliki mekanisme bawaan untuk mencegah XSS.

Testing XSS dengan Burp Suite

Untuk mendeteksi XSS secara praktis, Burp Suite adalah alat favorit para pentester. Fitur seperti Proxy dan Repeater memungkinkan kita:

• Menangkap request aplikasi.
• Memasukkan payload XSS secara manual.
• Menganalisis respons server untuk melihat apakah payload berhasil dijalankan.

Pengalaman testing dengan Burp Suite sangat membantu memahami bagaimana input sederhana dapat membuka celah serius pada aplikasi.

Cross-Site Scripting (XSS) adalah ancaman nyata bagi aplikasi web yang kurang memperhatikan keamanan input dan output. Meski terlihat seperti “hanya script kecil”, dampaknya dapat merusak reputasi, merugikan finansial, bahkan mengancam privasi pengguna.

Dengan mengenali jenis serangan, mempelajari payload, dan menggunakan tools seperti Burp Suite, kita bisa mencegah serangan XSS sebelum berdampak pada pengguna dan bisnis.

Di tengah derasnya arus digitalisasi, keamanan siber kini menjadi benteng terakhir bagi data pribadi, bisnis, hingga infrastruktur penting. Sayangnya, seiring dengan kemudahan teknologi, ancaman serangan siber juga semakin canggih.
Di sinilah ethical hacking hadir sebagai “pahlawan” , bertindak layaknya hacker tetapi dengan tujuan melindungi, bukan merusak.

Apa Itu Ethical Hacking?

Ethical hacking merupakan proses pengujian keamanan sistem secara legal untuk mengidentifikasi dan menutup celah kerentanan sebelum dimanfaatkan pihak yang tidak bertanggung jawab. Kegiatan ini dilakukan dengan otorisasi resmi, sehingga berbeda dari hacking ilegal. Tujuannya jelas, yakni meningkatkan keamanan, bukan menghancurkan.

Dalam praktiknya, terdapat tiga jenis pelaku yang sering disebut :

• White Hat Hacker
  Hacker “baik” yang bekerja dengan izin resmi untuk memperkuat keamanan.
• Grey Hat Hacker
  Berada di area abu-abu; kadang menemukan celah tanpa izin, namun melaporkan hasilnya tanpa niat jahat.
• Black Hat Hacker
  Pihak berbahaya yang mengeksploitasi celah untuk keuntungan pribadi atau merusak sistem.

Dengan memahami peran ini, organisasi dapat bekerja sama dengan white hat hacker untuk meminimalkan risiko serangan.

Pentest: Simulasi Serangan untuk Deteksi Celah

Salah satu metode utama dalam ethical hacking adalah penetration testing (pentest). Pentest adalah proses mensimulasikan serangan siber secara terkendali untuk mengukur seberapa kuat pertahanan sistem. Hasilnya akan membantu pemilik sistem memahami titik lemah yang perlu diperbaiki sebelum benar-benar diserang.

Alur Lengkap Pentest

1. Planning & Scoping
   Menentukan ruang lingkup, target, dan aturan main dengan pemilik sistem. Semua aktivitas harus disetujui terlebih dahulu.
2. Reconnaissance (Information Gathering)
   Mengumpulkan informasi awal seperti domain, alamat IP, dan teknologi yang digunakan untuk mengenali target.
3. Scanning & Enumeration
   Mengidentifikasi port terbuka, service aktif, versi perangkat lunak, dan potensi kerentanan dengan tools seperti Nmap.
4. Exploitation (only in-scope targets)
   Mencoba memanfaatkan celah yang ditemukan untuk mendapatkan akses atau menguji dampaknya.
5. Post-Exploitation & Reporting
   Menganalisis dampak, mengamankan bukti, serta membuat laporan hasil uji dan rekomendasi perbaikan

Dengan alur yang sistematis, pentest memastikan bahwa setiap kelemahan terdeteksi sebelum dimanfaatkan pihak yang tidak bertanggung jawab.

Tools Dasar yang Wajib Dikenal

Seorang pentester atau ethical hacker memerlukan berbagai alat bantu (tools) untuk mempermudah proses pengujian. Berikut beberapa tools dasar yang paling populer:

1. Nmap
   Network scanning untuk mendeteksi port, service, dan OS.Cocok untuk pemetaan jaringan dan identifikasi target awal.
2. Nikto
   Web server scanner untuk mendeteksi kerentanan. Memeriksa konfigurasi buruk, file berbahaya, dan celah web.
3. Metasploit
   Framework eksploitasi dan pengujian kerentanan. Memudahkan pengujian eksploit dengan modul siap pakai.
4. Burp Suite
   Alat untuk menguji dan menganalisis keamanan aplikasi web, serta digunakan sebagai intercepting proxy untuk mencegat, melihat, dan memodifikasi request maupun response antara browser dan server.
5. Wireshark
   Packet analyzer untuk memantau lalu lintas jaringan. Berguna untuk mendeteksi aktivitas mencurigakan secara real-time.

💡 Tips Pemula: Mulailah dengan Nmap dan Nikto karena relatif mudah digunakan untuk memahami proses scanning dan deteksi kerentanan.

Pentingnya Etika dan Legalitas

Meski menggunakan teknik yang mirip dengan hacker jahat, ethical hacking berbeda jauh dari kejahatan siber. Semua aktivitas harus:

• Memiliki izin tertulis dari pemilik sistem.
• Tidak merusak, mengubah, atau mencuri data.
• Menjaga kerahasiaan setiap temuan.

Melanggar prinsip ini bisa menimbulkan konsekuensi hukum, bahkan jika dilakukan untuk “belajar”. Jadi jangan sampai dilanggar yaa …

Ethical hacking bukan sekadar “meretas” sistem, melainkan seni melindungi data dan infrastruktur digital. Dengan memahami konsep pentest, menguasai alur kerja, dan mengenal tools dasar seperti Nmap, Nikto, dan Metasploit, kamu bisa mulai perjalanan menjadi white hat hacker yang berperan penting di era keamanan siber.

“Hacker tidak selalu jahat. Ethical hacking adalah cara berpikir untuk melindungi, bukan menghancurkan.”

Ngomongin soal keamanan jaringan, kadang kedengerannya ribet banget. Padahal, ada cara sederhana buat nyobain gimana sih sistem deteksi serangan itu jalan. Nah, kali ini kita coba praktek sederhana pakai Snort, salah satu tool populer untuk Intrusion Detection & Prevention System (IDS/IPS), dan fokusnya ke serangan XSS (Cross-Site Scripting).

Bayangin aja gini, ada web sederhana yang rentan, terus dicoba diserang pakai payload XSS. Snort bakal jadi “satpam” yang jaga, kalau ada akses normal dilepasin aja, tapi kalau ada payload mencurigakan ya langsung ditendang (drop) dan bahkan bisa kirim notifikasi ke email. Kira — kira seperti ini alurnya :

Catatan : Artikel ini hanya untuk belajar dan uji coba yaa.. Jangan disalah gunakan untuk hal berbahaya.

SETUP & INTALLASI

1. Lingkungan Uji Coba

• VM: Ubuntu Server 20.04.6 di VirtualBox
• Setting Network Adapter
  - Adapter 1 (NAT + Port Forwarding)
  > HTTP → host <ip host>:8080 → guest <ip guest>:80
  - Adapter 2 (Host-Only Network)

2. Install Snort di VM Ubuntu Server

sudo apt update
sudo apt install -y oinkmaster snort snort-common snort-rules-default snort-doc

3. Install Postfix & mailutils (untuk XSS email)

sudo apt-get install -y postfix libsasl2-modules ca-certificates
sudo apt install -y mailutils
sudo systemctl enable postfix

• oinkmaster dan paket rules bisa membantu manajemen rules; di tutorial ini rule lokal ditambahkan langsung.
• Saat instalasi snort akan menanyakan interface — jika diminta, pilih enp0s3 atau lewati dan gunakan parameter -i saat menjalankan Snort.

4. Tambahan :

• Siapkan web sederhana untuk uji XSS
• Jika Apache belum terpasang:

sudo apt install -y apache2
sudo systemctl enable apache2
sudo systemctl start apache2

# Buat Web dengan Script :
sudo mkdir -p /var/www/html/vuln
sudo nano /var/www/html/vuln/index.php

# Isi dengan 
<?php
$msg = $_GET['msg'] ?? '';
?>
<!DOCTYPE html>
<html>
<head>
    <title>Vulnerable Page</title>
</head>
<body>
    <h2>Halaman Uji XSS</h2>
    <p>Pesan: <?php echo $msg; ?></p>
</body>
</html

Coba Akses : http://<localhost>:8080/vuln/index.php?msg=halo

TAHAP KONFIGURASI

1. Konfigurasi Snort Config
   Uncomment pada bagian include $RULE_PATH/local.rules
   - sudo nano /etc/snort/snort.conf
2. Konfigurasi Snort Rules
   - sudo nano /etc/snort/rules/local.rules
3. Konfigurasi Postfix
   - Edit sudo nano /etc/postfix/main.cf tambahkan di paling bawah

#Konfigurasi ke gmail SMTP
relayhost = [smtp.gmail.com]:587

#Autentikasi
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_use_tls = yes
smtp_tls_security_level = may
header_size_limit = 4096000

# SSL
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

• Buat File Kredensial Postfix
  - sudo nano /etc/postfix/sasl_passwd

[smtp.gmail.com]:587 your.email@gmail.com:your_apps_password

• Sesuaikan Email yang hendak dipakai
  NOTE Cara Mendapatkan Apps Password login ke email -> manage your account -> security -> apps password -> create
• Ubah Permission dan Hash File

sudo chmod 600 /etc/postfix/sasl_passwd
sudo postmap /etc/postfix/sasl_passwds

4. Konfigurasi Script Untuk Integrasi Alert ke Email
- sudo nano email.sh

#!/bin/bash
# /usr/local/bin/snort-xss-email.sh
# Monitor Snort alert log -> ketika XSS DI DROP!
# Disesuaikan untuk rules: msg: "SERANGAN XSS!" dan msg: "XSS DI DROP!"

TO="eilinafta.gita@mhs.rosma.ac.id"
SUBJ="ALERT: XSS TERDETEKSI & PAKET DI-DROP"
SNORT_LOG="/var/log/snort/alert"
APACHE_LOG="/var/log/apache2/access.log"
STATE_DIR="/var/tmp/snort-xss-state"
mkdir -p "$STATE_DIR"
LAST_DROP_FILE="$STATE_DIR/last_xss_drop_hash"

send_email() {
  local subject="$1"
  local body="$2"
  echo -e "$body" | mail -s "$subject" "$TO"
}

extract_ips() {
  local line="$1"
  pair=$(echo "$line" | sed -nE 's/.*([0-9]{1,3}(\.[0-9]{1,3}){3}:[0-9]+) *-> *([0-9]{1,3}(\.[0-9]{1,3}){3}:[0-9]+).*/\1 \3/p')
  if [ -n "$pair" ]; then
    srcp=$(echo "$pair" | awk '{print $1}'); dstp=$(echo "$pair" | awk '{print $2}')
    src=$(echo "$srcp" | cut -d: -f1); dst=$(echo "$dstp" | cut -d: -f1)
    echo "$src" "$dst"; return
  fi
  ips=$(echo "$line" | grep -oE '([0-9]{1,3}\.){3}[0-9]{1,3}' | head -n2 | xargs)
  if [ -n "$ips" ]; then echo $ips; return; fi
  echo "" ""
}

# Cari alert XSS terakhir yang relevan (mencari "SERANGAN XSS!")
find_last_xss_alert() {
  # ambil 200 baris terakhir dan cari baris alert XSS paling akhir
  grep -E "SERANGAN XSS!" "$SNORT_LOG" 2>/dev/null | tail -n 5 | tail -n1 || true
}

if [ ! -f "$SNORT_LOG" ]; then
  echo "ERROR: SNORT log not found at $SNORT_LOG. Pastikan snort mengeluarkan alert text ke file ini."
  exit 1
fi

# Tail log realtime; bereaksi pada baris yang mengandung 'XSS DI DROP!'
tail -F "$SNORT_LOG" 2>/dev/null | while IFS= read -r line; do
  if echo "$line" | grep -qE "XSS DI DROP!"; then
    drop_hash=$(echo "$line" | md5sum | awk '{print $1}')
    last_saved=$(cat "$LAST_DROP_FILE" 2>/dev/null || echo "")
    [ "$drop_hash" = "$last_saved" ] && continue

    read SRC DST <<< "$(extract_ips "$line")"

    last_alert_line=$(find_last_xss_alert)

    if [ -n "$last_alert_line" ]; then
      ALERT_SECTION="-- Deteksi (alert) dari Snort --\n$last_alert_line\n"
    else
      ALERT_SECTION="-- Deteksi (alert) dari Snort --\n(Tidak ditemukan baris 'SERANGAN XSS!' sebelumnya dalam log)\n"
    fi

    DROP_SECTION="-- Drop (IPS) --\n$line\nSrc: $SRC\nDst: $DST\n"

    APACHE_DET=$(tail -n 200 "$APACHE_LOG" 2>/dev/null | grep -E "<script|%3Cscript%3E" || true)
    if [ -n "$APACHE_DET" ]; then
      APACHE_SECTION="\n-- Apache access.log (relevan) --\n$APACHE_DET\n"
    else
      APACHE_SECTION="\n-- Apache access.log (relevan) --\n(Tidak ditemukan entri yang mengandung <script atau %3Cscript%3E dalam 200 baris terakhir)\n"
    fi

    BODY="Terjadi XSS dan paket telah diblokir oleh IPS.\n\n$ALERT_SECTION\n$DROP_SECTION\n$APACHE_SECTION\n\nTimestamp pada baris Snort di atas."

    send_email "$SUBJ" "$BODY"
    echo "$drop_hash" > "$LAST_DROP_FILE"
  fi
done

TAHAP PENGUJIAN

1. Jalankan Snort

sudo snort --daq afpacket -Q -c /etc/snort/snort.conf -i enp0s8:enp0s3 -l /var/log/snort -A fast

Penjelasan singkat :

• sudo → jalankan sebagai root (butuh hak istimewa).
• snort → program Snort.
• --daq afpacket → pakai engine capture Linux (AF_PACKET) untuk sniffing.
• -Q → mode inline/queue
• -c /etc/snort/snort.conf → pakai file konfigurasi itu.
• -i enp0s8:enp0s3 → interface yang dipantau (sesuaikan dengan Interface yang kamu pakai)
• -l /var/log/snort → folder untuk menyimpan log/alert.
• -A fast → format alert singkat (one-line).

2. Jalankan Script pada email.sh

./email.sh

3. Akses Website

• Akses dengan Parameter
  http://127.0.0.1:8080/vuln/index.php?msg=halo
• Akses dengan Payload
  http://127.0.0.1:8080/vuln/index.php?msg=<script>alert()</script>
• NB : Ketika website diakses secara normal (msg=…) tidak akan terdeteksi serangan, namun ketika ditambahkan payload xss (<script>alert()</script>) akan terdeteksi serangan

HASIL PENGUJIAN

• Cek Email sesuai yang kamu masukkan di script email.sh
• Jika Berhasil akan muncul Email baru :

Tips Troubleshooting

• Rules XSS tidak memunculkan alert / drop
  - Cek bagian /etc/snort/rules/local.rules , pastikan rule sudah sesuai
  - Cek bagian /etc/snort/snort. conf
• Jika Koneksimu tidak berjalan dan email tidak terkirim, coba tes koneksi internet dahulu dengan menjalankan ping google.com jika tidak ada jawaban maka tandanya koneksimu memang tidak jalan.
  -> Periksa pengaturan pada Network Adapternya di Virtualbox , pastikan NAT memuat Port Forwarding yang sesuai
  -> Pastikan Interface dan IP yang digunakan sesuai , bisa cek dengan menjalankan ip a

Sederhana, bukan? Dari sini bisa terus dikembangin dengan coba bikin rules lain, tambah filter, atau mainkan mode jaringan. Semakin sering nyoba, semakin paham cara kerja serangan dan responnya.

Snort bisa menjadi salah satu solusi efektif untuk memahami bagaimana sistem deteksi/pencegahan intrusi (IDS / IPS). Walaupun dalam implementasi nyata masih perlu kombinasi dengan mekanisme lain (misalnya Web Application Firewall), eksperimen sederhana ini cukup memberikan gambaran bagaimana payload XSS bisa diidentifikasi dan dihentikan.

Pernahkah kamu membayangkan jaringan komputer seperti sebuah gedung besar? Ada pintu masuk, ada satpam, ada CCTV, bahkan ada alarm otomatis yang langsung menutup pintu kalau ada maling. Nah, begitulah kira-kira cara firewall, IDS, dan IPS bekerja menjaga lalu lintas data di jaringan.

Tiga komponen ini sering disebut-sebut di dunia keamanan siber. Tapi, apa sebenarnya peran masing-masing? Dan bagaimana mereka saling bekerja sama? Yuk, kita bahas dengan cara yang sederhana dan gampang dipahami.

Firewall: Satpam di Pintu Masuk

Bayangkan sebuah gedung kantor besar. Sebelum bisa masuk, setiap orang harus melewati satpam di pintu depan. Satpam ini akan mengecek :

• Siapa kamu? (alamat IP)
• Mau kemana? (port/protokol)
• Punya izin masuk? (aturan yang berlaku)

Kalau jawabannya cocok, barulah kamu dipersilakan masuk. Kalau tidak, ya ditolak.

Itulah tugas firewall, menyaring lalu lintas data berdasarkan aturan tertentu. Ada firewall sederhana yang hanya cek “KTP” (packet filtering), ada juga yang lebih canggih dengan catatan siapa keluar-masuk (stateful inspection), sampai yang super modern bisa mendeteksi jenis aplikasi dan serangan (Next-Generation Firewall).

Singkatnya, firewall adalah lapisan pertahanan pertama. Tanpa dia, jaringan bisa bebas dimasuki siapapun.

IDS ( Intrusion Detection System )

Nah, bayangkan setelah lolos dari satpam, ada seseorang yang di dalam gedung tiba-tiba berkeliling mencurigakan, coba buka pintu yang bukan miliknya, atau bahkan intip dokumen orang lain.

Bagaimana cara tahu ada yang aneh?
Jawabannya: CCTV + alarm.

Itulah fungsi IDS (Intrusion Detection System). IDS tidak menghentikan orang tersebut, tapi akan memberi peringatan: “Eh, ada aktivitas mencurigakan nih!”. IDS bisa mendeteksi anomali seperti scanning port, percobaan SQL Injection, hingga serangan DoS.

Jenisnya ada dua:

• NIDS (Network IDS) → dipasang di jaringan, memantau semua lalu lintas.
• HIDS (Host IDS) → fokus pada satu host/server, memantau log dan aktivitas sistem.

Jadi, IDS adalah mata-mata yang selalu mengawasi dan memberi tanda kalau ada potensi bahaya.

IPS ( Intrusion Prevention System )

Kalau IDS hanya mengawasi, maka IPS (Intrusion Prevention System) adalah satpam yang siap langsung menghadang begitu ada ancaman.

Bayangkan CCTV di gedung tadi ternyata terhubung ke sistem otomatis. Begitu terdeteksi ada maling, pintu langsung dikunci atau satpam segera datang menghadang.

IPS bekerja inline, artinya berada langsung di jalur lalu lintas data. Jadi begitu ada paket berbahaya, IPS bisa langsung memblokirnya sebelum masuk lebih jauh.

Kalau IDS itu “melapor”, IPS itu “Mengeksekusi.

Snort: Alat yang Bisa Jadi IDS atau IPS

Kalau firewall itu satpam, IDS/IPS itu CCTV dan satpam aktif, maka Snort bisa dibilang adalah alat multifungsi yang bisa jadi CCTV sekaligus satpam, tergantung bagaimana kita menggunakannya.

Snort adalah software open-source yang pertama kali dikembangkan oleh Martin Roesch pada akhir 1990-an. Hingga kini, Snort masih sangat populer dan didukung oleh komunitas besar, bahkan dipakai juga oleh perusahaan keamanan besar seperti Cisco.

Apa yang Bisa Dilakukan Snort?

Snort pada dasarnya adalah Intrusion Detection/Prevention System (IDS/IPS) berbasis aturan (rule-based system). Artinya, ia bekerja dengan “kamus aturan” yang mendefinisikan pola serangan. Kalau ada paket data yang cocok dengan aturan tersebut, Snort akan bereaksi.

Snort bisa dijalankan dalam beberapa mode:

1. Sniffer Mode → Menangkap dan menampilkan lalu lintas jaringan secara real-time (mirip Wireshark sederhana).
2. Packet Logger Mode → Menyimpan lalu lintas jaringan ke dalam file log untuk dianalisis lebih lanjut.
3. IDS Mode → Mendeteksi serangan dengan mencocokkan paket terhadap rules, lalu memberi alert.
4. IPS Mode → Tidak hanya mendeteksi, tapi juga memblokir serangan saat itu juga (jika dipasang inline di jaringan).

Contoh Kasus

Misalnya, ada seseorang mencoba melakukan port scanning ke server kita. Firewall mungkin hanya mengizinkan atau menolak koneksi, tapi Snort bisa langsung mendeteksi pola scanning ini dan memberikan alert. Bahkan, kalau Snort dipasang sebagai IPS, ia bisa langsung memutus koneksi mencurigakan itu.

Bagaimana Mereka Bekerja Sama?

Kalau pakai analogi gedung :

• Firewall = satpam di pintu masuk.
• IDS = CCTV + alarm yang memantau.
• IPS = satpam yang langsung menghadang maling.
• Snort = CCTV pintar yang bisa jadi satpam juga kalau mau.

Firewall, IDS, dan IPS bukanlah alat yang saling menggantikan, melainkan saling melengkapi.

Ketiganya, kalau dipasang bersama, membuat jaringan jauh lebih aman. Jadi, kalau kamu baru belajar keamanan jaringan, memahami konsep ini adalah pondasi penting sebelum melangkah lebih jauh.

Kalau kamu pernah install Ubuntu Server di VirtualBox, pasti sadar deh… tampilannya kecil banget!
Mau ngoding, mau utak-atik server, atau sekadar jalanin command, rasanya kurang lega.

Nah, biar lebih nyaman, kita bisa akses Ubuntu Server langsung dari Terminal/Command Prompt komputer lokal lewat SSH.
Dengan cara ini, kamu nggak perlu lagi pusing sama layar VM yang sempit, karena semua bisa dikerjain dari terminal yang luas.

Persiapan Awal

Sebelum mulai ngoprek, pastiin dulu kamu udah siap sama beberapa hal ini yaa

• VirtualBox → kalau belum punya, bisa download gratis di sini:
  https://www.virtualbox.org/wiki/Downloads
• Ubuntu Server ISO → ini yang nanti diinstall di VM. Bisa ambil di sini (Pilih yang “Server Install Image” )
  https://releases.ubuntu.com/
• VM Ubuntu Server → bikin VM baru di VirtualBox pakai ISO tadi, terus install sampai beres. Jangan lupa bikin username & password pas instalasi, itu yang nanti dipakai buat login.

Santai aja, step-nya gampang kok. Yuk kita mulai!

1. Setting Network di VirtualBox

Supaya komputer lokal bisa ngobrol dengan Ubuntu Server di VM, kita perlu setting jaringan di VirtualBox.

• Buka VirtualBox.
• Pilih VM Ubuntu Server yang sudah terinstall.
• Klik Settings → Network.
• Pada Attached to, ubah jadi Bridged Adapter.
• Pada Name, pilih jaringan yang sedang dipakai (misalnya Wi-Fi).
• Centang Cable Connected biar VM dianggap terhubung ke jaringan.

• Klik OK lalu jalankan VM dengan menekan start ( tombol →).

Dengan mode Bridged, VM akan ikut jaringan yang sama dengan komputer lokal, jadi bisa dapat alamat IP sendiri seperti layaknya perangkat baru di jaringan rumah/kantor.

Selain Bridged Adapter, ada juga opsi NAT + Port Forwarding.
Bedanya:

• Bridged → VM dapat IP sendiri di jaringan, jadi lebih gampang diakses langsung.
• NAT + Port Forwarding → VM numpang IP host, jadi perlu mapping port dulu (contoh: ssh -p 2222 user@127.0.0.1).

Untuk belajar biasanya lebih simpel pakai Bridged. Kalau ada kendala atau mau lebih aman, bisa coba NAT + Port Forwarding.

2. Cek Alamat IP Ubuntu Server

Setelah VM nyala, login ke Ubuntu Server (pakai user yang dibuat saat instalasi).
Kemudian cek IP dengan perintah:

ip a

IP ini yang nanti dipakai untuk SSH dari komputer lokal.
Cari interface bernama enp0s3 atau eth0 (tergantung versi Ubuntu). Contoh hasilnya :

3. Pastikan SSH Server Terpasang

Secara default Ubuntu Server biasanya sudah bawa OpenSSH, tapi kalau belum ada, install dulu:

sudo apt update
sudo apt install openssh-server -y

Lalu cek status servicenya:

sudo systemctl status ssh

Kalau aktif, akan muncul tulisan active (running).
Kalau belum aktif:

sudo systemctl enable --now ssh

4. Edit Konfigurasi SSH

Sekarang kita perlu memastikan SSH bisa dipakai login dari komputer lokal.
Caranya edit file konfigurasi:

sudo nano /etc/ssh/sshd_config

Uncomment (hapus tanda #) pada baris berikut:

Port 22
PasswordAuthentication yes

Penjelasan:

• Port 22 → ini port default SSH. Dengan mengaktifkannya, kita memastikan server mendengarkan koneksi di port 22.
• PasswordAuthentication yes → supaya kita bisa login SSH menggunakan password user yang dibuat waktu instalasi Ubuntu Server.

Simpan (CTRL + O, lalu CTRL + X).

Restart service SSH biar perubahan terbaca:

sudo systemctl restart ssh

5. Koneksi SSH ke Komputer Lokal

Sekarang pindah ke terminal/command prompt di komputer lokal. Gunakan perintah berikut (ganti ip_address dengan IP yang tadi didapat):

ssh username@ip_address

Contoh:

ssh user@10.13.1.68

• Pertama kali connect, biasanya muncul pesan The authenticity of host can’t be established…, cukup ketik yes.
• Masukkan password user Ubuntu Server.
• Kalau berhasil, kamu sudah masuk ke shell Ubuntu Server lewat SSH.

4. Troubleshooting

Kalau belum bisa connect, coba beberapa hal ini:

a. Cek IP lagi di Ubuntu Server:

ip a

Pastikan ada alamat IP di interface (misalnya enp0s3).

b. Tes koneksi dengan ping dari komputer lokal (sesuai IP yang kamu dapat):

ping 10.13.1.68

Kalau nggak bisa, kemungkinan VM belum benar-benar nyambung ke jaringan.

c. Pastikan SSH Server terpasang di Ubuntu:

sudo systemctl status ssh

Kalau semua ini sudah oke, harusnya SSH dari komputer lokal bisa masuk.

Sekarang kamu sudah tahu cara menghubungkan Ubuntu Server di VirtualBox ke komputer lokal lewat SSH. Dengan begini, pekerjaan jadi lebih praktis karena bisa langsung akses lewat terminal yang lebih nyaman, tanpa harus terbatas di layar kecil VirtualBox.

Kalau sewaktu-waktu muncul kendala, cukup cek kembali langkah-langkah utama. Pastikan network adapter sudah benar, IP sudah terbaca, dan layanan SSH aktif. Biasanya masalah langsung ketemu kalau dicek satu per satu.

Selamat mencoba! 🚀