Apa itu Smart City?

Disaat mata masih sepet di pagi hari ini, ada yang menarik bagi saya. Sebuah artikel dari seorang pakar IT yang sudah sangat terkenal dan mantan dosen ITB yaitu Pak Ono. Dalam artikel itu dia membahas tentang smart city. Jadi ingat akan banyak orang dan kepala daerah berlomba-lomba untuk berjualan ide tentang smart city ini. Layaknya barang dagangan kita pun harus paham konsep dan cara implementasi dari smart city itu bagaimana? Jangan hanya ikut euforia dari smart city.

Lebih dalam lagi dengan SQL Injection

Beberapa hari yang lalu, ada sebuah rapat yang menarik banget bagi saya. Rapat ini tentang keamanan informasi dari tim ID-SIRTII/CC (Indonesia Security Incident Response Team on Internet and Infrastructure/Coordination Centre).

sumber dari infografis ID-SIRTII/CC

Dari gambar diatas dapat diketahui bahwa berbagai hal, mulai negara yang menjadi target, asal negara serangan, serangan yang paling sering, dll. Tapi yang menjadi sangat penting adalah serangan sql dimana serangan ini sangat besar dampaknya.

Defacement melalui SQL injection pada CMS Lokomedia

Beberapa hari lalu, iseng membaca sebuah situs dari seorang hacker yang sudah sering melakukan serangan. Ternyata rapi juga mereka melakukan dokumentasi metode serangan yang digunakan terhadap situs. Saya sampai terharu terhadap cara mereka melakukan dokumentasinya, mungkin inilah yang disebut dengan standar ISO (apa yang kamu lakukan kamu catat, apa yang kamu catat kamu lakukan). Tak usah terlalu lama-lama lagi mari kita bedah cara mereka melakukan hal tersebut.

Pengertian

Sql injection merupakan sebuah teknik hacking dimana seorang penyerang memasukkan kode-kode (query) perintah-perintah sql melalui url untuk dieksekusi oleh basis data. Cara yang paling mudah adalah dengan menambahkan karakter '-' pada akhir sebuah url. Apabila muncul eror 

You have an error in your SQL syntax.You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ”’ at line 1

Maka dapat dipastikan bahwa situs tersebut terdapat celah.

Monitoring Web Defacement

Setelah cuti beberapa hari lalu, untuk sejenak merefresh semangat dalam bekerja. Saatnya kembali di balik meja kantor untuk melakukan hal-hal luar biasa lainnya dalam bekerja. Awalnya sih memantau ajah situs-situs web yang ada. Lalu membuka halaman yang paling saya, web untuk memantau laporan defacement terhadap situs-situs yang ada diseluruh dunia. Lumayan lah sebagai alat monitoring terhadap keamanan situs-situs yang ada di kantor. Apakah sudah aman atau masih ada yang bolong. Sebenarnya ada banyak situs yang bisa di pakai tapi saya akan pakai beberapa yang sering saya pakai untuk memantau

Zone-H

Situs ini lebih sering saya kunjungi untuk memantau defacement terhadap situs-situs yang ada di kantor. Menurut saya situs ini sangat bagus, sifatnya global. Semua alamat situs yang terkena dampak defacement dapat diliat di url zone-h. Ada banyak situs yang dicatat disini yang terkena defacement dan dari berbagai negara 

Halaman utama

Halaman pencarian

Konsisten, Presisi, Up to Date

Akhirnya touchdown juga di Narita, untuk mengikuti short course terkait pengumpulan data sensus perikanan. Selain itu juga pengalaman pertama kali keluar negeri. Lumayan juga perjalanan dari jam 6 pagi sampai sana jam 5 sore waktu Jepang. Melelahkan juga. Tapi apapun itu mari kita nikmati, lha jarang-jarang kita bisa keluar negeri gratis. Disini kita banyak belajar terkait tentang statistik perikanan dan sensus perikanan yang telah sukses dilaksanakan oleh Jepang. Jangan dipikir kita lagi piknik yah. Hahahahhaaha

Story

Pada awalnya, sudah banyak ajah pikiran dalam perjalanan ke Jepang ini. Dimana cuaca masuk ke musim gugur ke musim dingin. Pasti brrrrrrr, dingin banget. Habis itu ninggalin anak dan istri beberapa minggu disana, dan persiapan pakaian dan lain-lain. Setelah waktu yang ditunggu-tunggu datang juga. Emang benar disana disambut oleh temperatur yang dingin bukan disambut oleh kehangatan. Hahahahahah. Suhu mencapai 15 derajat Celcius dan angin yang dingin banget. Biasa kena panas matahari, disana malah kenan angin dingin bisa masuk angin nich. Tapi apapun itu semoga persiapan berjalan lancar. Di sini saya mempunyai misi untuk belajar aplikasi apa saja yang dipakai dan teknologi yang digunakan, supaya bisa diterapkan dalam pekerjaan sehari-hari kami di kantor.

Dari pengalaman selama disana, banyak metode yang dipakai / diterapkan dalam pengiriman data. Sungguh menarik dimana, mereka tidak terlalu menggunakan teknologi yang canggih atau mutakhir. Tetapi menggunakan teknologi yang mudah. Seperti gambar berikut ini

Cek data duplikat di mysql

Sambil menunggu waktu makan siang dan mengantuk, tiba-tiba ada atasan datang meminta bantuan untuk melakukan pengecekan duplikasi data yang ada di database untuk dibuat menjadi data cleansing ujungnya. Data yang hendak dicek lumayan besar ada sekitar 5000 record dalam database tersebut. Lumayan juga sih untuk sebuah data, dalam database tersebut.

Praktik

Lalu apa yang harus dilakukan, jawabannya adalah ya dikerjakan. Lha wong permintaan dari atasan, dikerjakan dengan cepat kalo perlu supaya bisa cepat-cepat makan siang. Kita ambil ajah database yang akan dicek lalu dikumpulkan di xampp atau localhost di komputer masing-masing. Setelah proses import selesai. Lalu jalankan di lingkungan xampp dan masuk ke phpmyadmin. Dari sini atau dari console bisa juga kita lakukan. Perintah sederhana untuk melakukan pengecekan data yang duplikasi dengan perintah count dan having.

SELECT email,COUNT(*) AS COUNT FROM `pegawai` GROUP BY email HAVING COUNT(*) > 1

Maksud sintaks diatas adalah kita melakukan seleksi terhadap email dan melakukan penghitungan yang dimasukan kedalam tabel COUNT dari tabel pegawai yang kita kelompokkan berdasarkan email dengan kondisi dalam tabel COUNT lebih besar dari satu.

Ternyata hasil ini masih belum cukup, harus ada detail dari masing-masing data yang diinginkan. Maka dicarilah cara lain, supaya dapat mengakomodir hal tersebut. Dimana setiap hasil email yang duplikat didapat nama pegawai, bagian, dan alamat. Terpaksalah dengan sangat dan menjelang perut lapar banget, segera dibuatlah sintaks untuk database itu.

SELECT email,COUNT(*) AS count, GROUP_CONCAT(nama_pegawai ORDER by nama_pegawai), GROUP_CONCAT(bagian_pegawai ORDER BY bagian_pegawai),GROUP_CONCAT(alamat_pegawai ORDER BY alamat_pegawai) FROM pegawai GROUP BY email HAVING COUNT(*) >1

Dari sini sebenarnya sudah bisa diketahui cuma masalahnya tampilannya belum begitu detail. Tapi untuk sementara sudah oke.

Belajar google hacking

Pagi-pagi sedang asyik mencari sebuah aplikasi tentang bandwidth monitoring untuk pc tetapi tidak ketemu. Akhirnya cari dengan metode yang sedikit nyeleneh di Google yaitu bandwidth monitoring site:www.blahblahblah.com

Setelah saya cek, langsung ditampilkan data dari www.blahblahblah.com dengan kata kunci bandwidth monitoring. Ternyata saya juga tidak sadar sebenarnya saya telah melakukan google hacking / google dorking.

Apa itu?

Google hacking / google dorking adalah sebuah teknik hacking yang menggunakan pencarian Google dan aplikasi Google lainnya untuk mengetahui celah keamanan di konfigurasi dan koding aplikasi pada web ( merujuk pada wikipedia). Ada banyak operator / sintak yang dapat dipakai salah satunya adalah site. Berikut ini beberapa operator yang lain

Dari gambar diatas kita bisa melihat banyak operator yang bisa digunakan dan bisa digabungkan dengan operator yang lain. Untuk lebih lanjut penggunaan saya juga membaca sebuah artikel yang menarik dan dapat diakses disini.

Sedikit Penjelasan
Ada beberapa sintaks yang dapat kita ambil seperti

• site
• allintitle dan intitle
• inurl
• filetype

Lebih lanjut silahkan lihat gambar di bawah ini

Kesimpulan

Ternyata google banyak memiliki fitur-fitur yang harus kita eksplorasi lebih baik. Fitur pencarian dari Google ini juga menyimpan sebuah dilema. Dimana selain lebih optimal untuk pencarian ternyata bisa juga dipakai untuk mengetahui celah sistem keamanan dari web dan melakukan penetration test. Semuanya itu akhirnya kembali ke pengguna.

Perintah find di linux

Ada hal menarik yang saya dapat hari ini, atasan memberikan tantangan untuk merubah file dan folder sesuai dengan ketentuan. Misal kita perlu untuk merubah folder dengan ketentuan 755 dan file dengan ketentuan 644. Ada penggabungan sintaks find dan chmod yang diperlukan untuk proses ini. Selain itu kepemilikan dari folder atau file tersebut harus dirubah sesuai dengan yang diperlukan. Hal ini menjadi sebuah tantangan yang mengasyikan menjelang makan siang. Sambil baca-baca ternyata solusi yang mudah

Solusi

Untuk mencari folder dan merubah dengan ketentuan 755 adalah dengan perintah

find /opt/lampp/htdocs -type d -exec chmod 755 {} \;

Untuk file dan merubah dengan ketentuan 644 adalah dengan perintah

find /opt/lampp/htdocs -type f -exec chmod 644 {} \;

Sedangkan merubah kepemilikan sesuai dengan yang kita mau adalah dengan perintah:

find /opt/lampp/htdocs -type d -exec chown www-data:www-data {} \;

find /opt/lampp/htdocs -type f -exec chown www-data:www-data {} \;

Sekian lah bahasan terkait perintah find yang menjadi tantangan.

Ternyata ada yang terlewat dari hal diatas. Selain mengubah kepemilikan dan permissions find dapat juga dipakai untuk mencari ukuran file yang kita spesifikasikan dengan cara

find /path/to/dir -type f -size +<size> -exec ls -lh {} \; | awk '{ print $9 ": " $5}'

find /home -type f -size +100000k -exec ls -lh {} \; | awk '{ print $9 ": " $5 }'

Manajemen file dan folder di Linux

Pagi yang cerah ini harus sedikit terganggu dengan adanya dering telepon dan pesan yang masuk kedalam hp saya. Ternyata banyak situs yang terkena serangan. Terpaksa melakukan forensik terhadap situs-situs yang terdampak.

Pengingat

Kali ini karena banyak yang harus saya ingat akhirnya saya buatlah catatan terkait beberapa hal yang terlewat nantinya. Salah satu perintah yang hendak saya jelaskan adalah perintah du (disk usage). Perintah ini merupakan perintah standar Linux / Unix yang digunakan untuk memeriksa informasi dari penggunaan disk pada file maupun direktori Linux / Unix. Perintah du ini memiliki banyak pilihan parameter yang dapat dipakai sesuai kebutuhan.

WordPress memakan resource besar

Masalah

Beberapa minggu lalu, ada sebuah situs yang kita kelola terdapat sebuah anomali. Dimana anomalinya berupa pemakaian resource server yang besar dan menghabiskan resource dari server dan request ke database yang juga besar. Dilakukan ujicoba dengan mematikan service database tetapi resource web juga habis. Suspect sementara ini adalah web service yang menyebabkan masalah. Ketika service web server kita matikan ternyata server menjadi normal, resource tidak terlalu tinggi atau besar. Dilakukan pengecekan terhadap virtual host didalam server tersebut dengan mematikan atau mencari sumber bencana. Ketika dimatikan satu per satu, tetap saja masih bermasalah. Ada apa ini?

Cara install plugins wordpress tanpa ftp

Pagi ini tiba-tiba mendapat banyak pekerjaan yang menggunung. Padahal pikiran sudah berpindah ke kampung halaman. Hahahahahahahah. Dalam daftar list perkerjaan yang saya lakukan ada tiga hal penting yaitu

• melakukan pengecekan web yang terkena serangan
• melisting web
• ada tambahan untuk install plugin di web
• membuat server untuk akses publik
• cari hotel untuk dinas besok

Semuanya ini lumayan menguras tenaga dan pikiran. Bawaannya ngantuk lagi, apalagi gak bisa ngopi nich. Puyeng deh. Pada list to do diatas pada poin ke tiga lah yang sebenarnya bikin jengkel, karena tiba-tiba ajah datang. Tapi apapun itu musti harus dikerjakan. Ketika dikerjakan, ada juga yang bikin jengkel. Ini aplikasi wordpress kok ya minta install plugin harus pake ftp. Sudah dicoba semua ftp kok ya fail semua akunnya. Adakah cara lain untuk melakukan install plugin tanpa harus lewat ftp.

Karena sudah mentok akhirnya, tanya pada ahlinya yaitu mbah google. Ada cara tanpa install lewat ftp dengan cara menambahkan perintah di halaman wp-config.php

define('FS_METHOD', 'direct');

Akhirnya install modul telah selesai dengan selamat

sumber

Menghapus table di phpmyadmin

Ada sebuah request terkait dengan database mysql. Dimana ada sebuah database kepegawaian yang diberikan kepada saya. Database itu berisi semua data pegawai di kantor. Database tersebut akan digunakan sebagai media untuk pelayanan pembuatan surel pegawai di kantor.

Karena data tersebut sensitif dan dipakai untuk pengembangan aplikasi registrasi surel kantor. Perlu dibatasi beberapa macam data kepegawaian yang bisa diberikan. Ada sekitar 5000 record dalam database kepegawaian. 

Setelah googling akhirnya ketemu sintaksnya. Misal kita hanya butuh 10 data yang harus di berikan maka kita pakai sintak

delete from (table rujukan) where (id) > 10

Akhirnya selesai juga dah. Sudah didapat data 10 pegawai yang dibutuhkan. 

Senayan konfigurasi

Pagi ini ketika sedang dalam perjalanan ke pulau dewata, ada pesan masuk untuk meminta pengecekan konfigurasi terhadap sebuah hosting di kantor. Permintaan sederhana, pengecekan modul php dan perintah mysqldump untuk aplikasi perpustakaan yaitu senayan. Untuk pengecekan awal dengan menggunakan sintaks info.php. Ternyata aplikasi php-gd sudah diinstal dengan pengecekan di sintas sesuai gambar berikut 

Dari gambar diatas ternyata php-gd sudah nyala. Dari sini sudah lepas beban satu dulu. Langkah selanjutnya pengecekan terhadap mysqldump. Konfigurasinya ada di file sysconfig.inc.php, kemudian cari sintak $sysconf['mysqldump'] = '../usr/bin/mysqldump';

Sesuaikan mysql dump dengan folder yang mau dipakai buat, setelah itu simpan.

Cara mount flashdisk ke linux server

Pembuka

Hari ini ketika sedang santai, tiba-tiba teman meminta dicarikan file di server terkait pembuatan web. Ternyata ketika diakses, servernya tidak bisa diakses. Waduh ada apa ini, ada apa dengan server? Dengan sangat terpaksa akhirnya masuk ke ruang data center. Di dalam ruang data center, dipastikan dulu kondisi server apakah masih nyala atau mati. Setelah dicek ternyata masih nyala, cuma network tidak nyala. Apapun itu selama masih bisa diakses servernya, berarti aman file dalam server itu.

Langkah Selanjutnya

Untuk langkah awal pastinya colokin usb ke server. Setelah itu, dipastikan usb sudah tersambung di server dengan perintah 

fdisk -l

Carilah partisi usb tersebut dengan nama seperti /dev/sdb1. Jika ada maka kita akan buat terlebih dahulu directori baru di /media sehingga kita bisa mount drive ke file sistem dengan perintah

mkdir /media/usb

Selanjutnya kita mount dengan perintah

mount /dev/sdb1 /media/usb

Jika sudah selesai di unmount

umount /media/usb 

Konfigurasi FortiAP210B

Pagi yang indah ini, menyisakan sebuah tanda tanya dalam lelap tidur di malam sebelumnya. Kemarin sore ada sebuah permintaan dari teman-teman kantor, bahwa salah satu akses poin ( terkenal wifi ) ada yang rusak. Karena ada beberapa wifi yang sudah dilepas dan diganti dengan yang baru, iseng ajah melakukan konfigurasi perangkat FortiAP210B yang telah diganti. Seperti biasa, mencari panduan dari perangkat dan dokumentasi perangkat. Seperti perang, harus tau dulu medan dan situasi. Panduan digunakan untuk melakukan konfigurasi perangkat, agar sesuai dengan apa yang kita inginkan. Dokumentasi perangkat, untuk panduan dari ip, gateway, dll.

Langkah awal sih menyiapkan kabel konsol dan aplikasi SSH dan telnet client untuk windows. Kemudian nyalakan perangkat tersebut dan konfigurasi awal aplikasi SSH tersebut sesuai dengan gambar berikut

LPSE ... oh ... LPSE

Mengapa dengan LPSE?

Tak terasa sudah memasuki minggu kedua di bulan April, dan tak terasa pusing sudah sampai ubun-ubun. Selain anak lagi sakit, juga ada masalah di LPSE. LPSE menjadi sering masalah, dari tidak bisa upload dokumen dan tidak bisa login penyedia. Apa yang terjadi? Kenapa seperti ini? Komplain demi komplain harus dilayani dan segera ditindak lanjuti.

Tak seberapa lama, akhirnya muncul juga solusi / penyelesaian masalah untuk login penyedia. Bahwa server inaproc (portal pengadaan nasional) mengalami masalah sejak 28 Maret 2016. Hal ini dapat dibaca pada tautan ini.

Dalam tautan diatas, dinyatakan bahwa 

1. Penyedia tidak dapat login pada seluruh LPSE
2. Pejabat pengadaan/PPK/Panitia tidak dapat mengakses halaman aplikasi eprocurement lainnya

Sampai poin ini sudah selesai masalah untuk login. Tetapi untuk hal lain belum ada penyelesaiannya, mulai eror dari pemasukan dokumen upload panitia, dan lain-lain. Sempat terpikir untuk melakukan investigasi sendiri terkait masalah LPSE. Sudah sering masalah terjadi, dimana service harus sering di restart.

Mengenal apa itu CDN

Apa itu CDN?

Entah beberapa waktu lalu kepikiran terkait tentang CDN. Barang apa itu? Seperti sebuah momok bagi koneksi internet. Daripada ribut-ribut dan bengong kaya sapi ompong akhirnya googling ajah. 

Teknologi website sekarang sudah maju dan akan semakin meningkat dengan inovasi-inovasi yang dilakukan. Dulu ketika masa awal koneksi, website dikenal hanya satu koneksi langsung ke server atau yang dikenal dengan single server distribution.

Non aktif Autoconfiguration IPV4 address

Beberapa hari lalu, install windows server 2012 r2 standard di mesin virtualisasi berbasis vm ware. Rencananya akan dipakai sebagai controller hotspot, tetapi ada kendala bahwa server tersebut tidak bisa terkoneksi ke internet atau muncul pesan ip konflik.

Akhirnya daripada bingung, iseng buka command prompt lalu ketik perintah :

ipconfig /all

Seperti gambar berikut ini

Inilah penyebabnya. Kenapa bisa seperti ini, saya juga bingung. Lalu apa yang harus dilakukan jika ada masalah seperti ini. Akhirnya masuk lagi ke command prompt, ketik perintah

netsh interface ipv4 show inter

Dapat diliat pada gambar sebagai berikut :

Diingat yah, bahwa name nya harus ethernet atau local area network. Selanjutnya, ketik 

netsh interface ipv4 set interface 12 dadtransmits=0 store=persistent

Kemudian matikan service dhcp client, jangan lupa restart server. Saatnya maksi. Hahahahahaha

Pilihan moved it dan copied it

Pilihan yang sulit
Pagi ini ketika sedang memantau server, ada sebuah hal yang menggelitik. Ada pesan masuk terkait dengan server VMware dimana ada virtual machine yang muncul notifikasi sebagai berikut :

Lalu apa yang harus kita lakukan? Setelah googling dan tanya temen yang expert akhirnya diputuskan bahwa pilih moved it. Setelah itu virtual server menjadi normal dan berjalan dengan semestinya. Berikut ini perbedaan antara moved it dan copied it