[INFO] Bila server kena compromise/deface

[idstudio]

Akhir-akhir ini 2 server saya kena compromise/deface yang berada di http://nama-domain-user.com/cgi-sys/suspendedpage.cgi
Dari sang hacker masuknya melewati script CMS yang tidak di patch, yang menyebabkan template tersebut dirubah sama mereka memakai jumper.

File tersebut berada di /var/cpanel/webtemplates/$user/$language/$templatename.tmpl\

Semoga info ini membantu.

 

[PusatHosting]

itu file suspended ada di akun reseller atau di masing2 user.
kalau di akun reseller sepertinya dia jebol tuh akun resellernya.
coba disable fungsi ini posix_getpwuid,posix_geteuid

 

[jaapns]

itu file suspended ada di akun reseller atau di masing2 user.
kalau di akun reseller sepertinya dia jebol tuh akun resellernya.
coba disable fungsi ini posix_getpwuid,posix_geteuid

itu yg di disable dari php configuration ya bro hady , ga berdampak buruk buat script yg lain ?

 

[PusatHosting]

itu yg di disable dari php configuration ya bro hady , ga berdampak buruk buat script yg lain ?

ya itu fungsi php dan sejauh ini tidak ada masalah dengan CMS yang umum sudah ada
kenapa ke-2 fungsi itu?
saya pernah dapat phpshell dan ternyata dia bisa jumping dan melihat semua daftar user yang ada di server kemudian dia scan alphabet,mencari file config.php sempat kena 20 situs.
Selanjutnya setelah cek ternyata dia menggunakan 2 fungsi itu untuk menampilkan daftar user.
CEK
http://php.net/manual/en/function.posix-getpwuid.php

 

[BennyKusman]

ya itu fungsi php dan sejauh ini tidak ada masalah dengan CMS yang umum sudah ada
kenapa ke-2 fungsi itu?
saya pernah dapat phpshell dan ternyata dia bisa jumping dan melihat semua daftar user yang ada di server kemudian dia scan alphabet,mencari file config.php sempat kena 20 situs.
Selanjutnya setelah cek ternyata dia menggunakan 2 fungsi itu untuk menampilkan daftar user.
CEK
http://php.net/manual/en/function.posix-getpwuid.php

makasih mas Hadi buat sharingnya...

 

[BennyKusman]

sekadar menambahkan, tadi lagi nyari2.. ini list yang katanya perlu di add di disable_functions:

"apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_geteuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode"

 

[hostnic.id]

harus sebanyak itu kah yg di disable?

 

[BennyKusman]

harus sebanyak itu kah yg di disable?

itu sih yang saya dapat dari googling.. mungkin ga perlu semua nya dipake..

 

[indonic]

selain pake disable function di PHP, saya jg biasanya pake mod_security tuk block injection, dan lumayan ampuh jg tuk atasi defaced...

 

[hostingceria]

ya itu fungsi php dan sejauh ini tidak ada masalah dengan CMS yang umum sudah ada
kenapa ke-2 fungsi itu?
saya pernah dapat phpshell dan ternyata dia bisa jumping dan melihat semua daftar user yang ada di server kemudian dia scan alphabet,mencari file config.php sempat kena 20 situs.
Selanjutnya setelah cek ternyata dia menggunakan 2 fungsi itu untuk menampilkan daftar user.
CEK
http://php.net/manual/en/function.posix-getpwuid.php

saya sudah disable itu sejak lama, tapi tetap saja tidak ada pengaruhnya kalau kita masih ijinkan klien membuat/mengubah php.ini sendiri, file shell tetap masuk dan beroperasi dengan santai