[INFO] Bila server kena compromise/deface


Status
Not open for further replies.
indonic

indonic

Apprentice 1.0
itulah susahnya klo kita terlalu banyak disable fungsi PHP dan tidak membolehkan user pake php.ini sendiri, pasti protes besar mereka...dan terutama fungsi ini_set jika disable, beberapa CMS seperti joomla dkk tidak bisa jalan:(

yg penting solusinya ma rutin backup aja dan dianjurkan ke klien tuk jangan pasang plugin yang aneh2 karna banyak hole securitynya...hehehe....:D
 
galuh82

galuh82

Hosting Guru
Verified Provider
indonic said:
selain pake disable function di PHP, saya jg biasanya pake mod_security tuk block injection, dan lumayan ampuh jg tuk atasi defaced... :D
Click to expand...

dari dulu saya penasaran dengan rule mod_security. dipasang ditambah rule dari gotroot malah banyak yang jadi korban.

kalau boleh nih, apa bisa dishare rule mod_security yang sudah dipakai ? (ngarep mode ON)

salam,
 
PusatHosting

PusatHosting

Hosting Guru
hostingceria said:
saya sudah disable itu sejak lama, tapi tetap saja tidak ada pengaruhnya kalau kita masih ijinkan klien membuat/mengubah php.ini sendiri, file shell tetap masuk dan beroperasi dengan santai :(
Click to expand...

Apakah klien masih bisa mengaktifkan fungsi tsb dengan php.ini pak?
kalau shell memang tetap bisa masuk, tapi teman2 kan biasanya sudah pasang mod_sec dan sebagian shell sudah otomatis diblokir tapi memang untuk shell2 yang baru terlebih lagi modifikasi bisa lolos jeratan mod_sec.

galuh82 said:
dari dulu saya penasaran dengan rule mod_security. dipasang ditambah rule dari gotroot malah banyak yang jadi korban.

kalau boleh nih, apa bisa dishare rule mod_security yang sudah dipakai ? (ngarep mode ON)

salam,
Click to expand...

Saya juga sama, pasang default dari gotroot dan banyak yang jadi korban tapi dinikmati saja dengan melakukan exclude per klien sesuai dengan permintaan.

yang jadi masalah itu adalah membuat rules mod_sec baru ketika menemukan shell yang sempat lolos, bikin pusing kepala dan akhirnya tetep saja ada yang kena deface.

Mungkin ada yang bisa share cara bikin rules baru berdasarkan membaca body scriptnya, kalau berdasar url sih sedikit bisa.
tks
 
galuh82

galuh82

Hosting Guru
Verified Provider
PusatHosting said:
Saya juga sama, pasang default dari gotroot dan banyak yang jadi korban tapi dinikmati saja dengan melakukan exclude per klien sesuai dengan permintaan.

yang jadi masalah itu adalah membuat rules mod_sec baru ketika menemukan shell yang sempat lolos, bikin pusing kepala dan akhirnya tetep saja ada yang kena deface.

Mungkin ada yang bisa share cara bikin rules baru berdasarkan membaca body scriptnya, kalau berdasar url sih sedikit bisa.
tks
Click to expand...

iya sih, btw dari atomic ngasih sample beberapa rule :

Include /usr/local/apache/conf/modsec_rules/10_asl_antimalware.conf
Include /usr/local/apache/conf/modsec_rules/10_asl_rules.conf
Include /usr/local/apache/conf/modsec_rules/20_asl_useragents.conf
Include /usr/local/apache/conf/modsec_rules/30_asl_antispam.conf
Include /usr/local/apache/conf/modsec_rules/50_asl_rootkits.conf
Include /usr/local/apache/conf/modsec_rules/60_asl_recons.conf
Include /usr/local/apache/conf/modsec_rules/99_asl_jitp.conf

nah kira2 apa semua perlu atau cuma beberapa saja ? soalnya saya coba semua malah site pada error hehehe
 
hostingceria

hostingceria

Active Member
PusatHosting said:
Apakah klien masih bisa mengaktifkan fungsi tsb dengan php.ini pak?
kalau shell memang tetap bisa masuk, tapi teman2 kan biasanya sudah pasang mod_sec dan sebagian shell sudah otomatis diblokir tapi memang untuk shell2 yang baru terlebih lagi modifikasi bisa lolos jeratan mod_sec.


Saya juga sama, pasang default dari gotroot dan banyak yang jadi korban tapi dinikmati saja dengan melakukan exclude per klien sesuai dengan permintaan.

yang jadi masalah itu adalah membuat rules mod_sec baru ketika menemukan shell yang sempat lolos, bikin pusing kepala dan akhirnya tetep saja ada yang kena deface.

Mungkin ada yang bisa share cara bikin rules baru berdasarkan membaca body scriptnya, kalau berdasar url sih sedikit bisa.
tks
Click to expand...

file shell yang saya tahu ada 3 jenis,

pertama, yang masih "ucup", kena disable functions udah ga berkutik = aman

kedua, yang kalau ketemu disable_functions langsung buat php.ini kosong, otomatis functions langsung jalan semua = berbahaya

ketiga, file shell yang canggih dan bonusnya, dienkripsi pula dengan base64 encoding == sampe sekarang belum ketemu cara blokir file jenis ini, pernah waktu pas fatalnya sampai saya matikan function base64 beberapa lama untuk diagnosis, masih ga ketemu juga cara blokirnya.
 
indonic

indonic

Apprentice 1.0
galuh82 said:
dari dulu saya penasaran dengan rule mod_security. dipasang ditambah rule dari gotroot malah banyak yang jadi korban.

kalau boleh nih, apa bisa dishare rule mod_security yang sudah dipakai ? (ngarep mode ON)

salam,
Click to expand...

iya awalnya saya coba mod_security dari gotroot dan dari atomic, tapi malah nyusahin karna klien pada masalah akses websitenya..:(

dan akhirnya saya ketemu mod_security yang cukup ampuh dan sampai saat ini stabil tidak ada masalah, dan ini link download scriptnya (sudah sedikit di modifikasi): View attachment mod_security_rules.txt

*mohon maaf isi mod_security nya tidak muat jika di posting disini jadi saya lewat attachment tuk sharingnya...:D
 
galuh82

galuh82

Hosting Guru
Verified Provider
@indonic: thanks banget, langsung dicoba ya ..

salam,
 
PusatHosting

PusatHosting

Hosting Guru
galuh82 said:
iya sih, btw dari atomic ngasih sample beberapa rule :

Include /usr/local/apache/conf/modsec_rules/10_asl_antimalware.conf
Include /usr/local/apache/conf/modsec_rules/10_asl_rules.conf
Include /usr/local/apache/conf/modsec_rules/20_asl_useragents.conf
Include /usr/local/apache/conf/modsec_rules/30_asl_antispam.conf
Include /usr/local/apache/conf/modsec_rules/50_asl_rootkits.conf
Include /usr/local/apache/conf/modsec_rules/60_asl_recons.conf
Include /usr/local/apache/conf/modsec_rules/99_asl_jitp.conf

nah kira2 apa semua perlu atau cuma beberapa saja ? soalnya saya coba semua malah site pada error hehehe
Click to expand...

Ya saya pasang semua, tapi ya begitu harus sabar... sabar... website error cek satu per satu log
 
GriyaHosting

GriyaHosting

Expert 1.0
kenapa tidak di force saja mas ?

hostingceria said:
file shell yang saya tahu ada 3 jenis,

pertama, yang masih "ucup", kena disable functions udah ga berkutik = aman

kedua, yang kalau ketemu disable_functions langsung buat php.ini kosong, otomatis functions langsung jalan semua = berbahaya

ketiga, file shell yang canggih dan bonusnya, dienkripsi pula dengan base64 encoding == sampe sekarang belum ketemu cara blokir file jenis ini, pernah waktu pas fatalnya sampai saya matikan function base64 beberapa lama untuk diagnosis, masih ga ketemu juga cara blokirnya.
Click to expand...
 
Status
Not open for further replies.

Top