Kloxo installations compromised

[Babah]

Kalau menyerang hal yang sama ya Insya Allah tidak akan kena. Kloxo 6.1.13 juga sudah menambal lubang ini (RAHASIA: kodenya 'pinjam' dari Kloxo-MR)

kloxo 6.1.13 baru keluar update-nya tanggal 30 januari 2014... sadis euy ..

client kami udah kena masalah 1 minggu sebelumnya, sampai semalaman begadang nyari file yang dicurigain dan backdoor-nya + mindahin data super gede, sampai akhirnya pindah ke cpanel

kalau boleh tahu, bolongnya ada dimana ya om mustafa?

 

[mustafaramadhan]

1. Login bisa diterobos pakai sql-injection ketika login
2. client (reseller dan customer) bisa access di directory diatas /home/<user>

 

[voezie]

1. Login bisa diterobos pakai sql-injection ketika login
2. client (reseller dan customer) bisa access di directory diatas /home/<user>

Mas, maaf oot. boleh tau gak ? dimana saya bisa baca pernyataan/background/alasan kenapa mas mustafa lebih pilih buat kloxo-mr daripada bantu develop kloxo-ori?

 

[mustafaramadhan]

Alasan Kloxo-MR lahir karena developer lain cenderung bertahan di 6.1.12 dan tidak ada rencana rilis 6.2.x (yang merupakan penambahan features). Saya mengusulkan agar ada perombakan code menjadi mudah untuk semuanya (dev dan user), misalnya merubah konfigurasi service (misalnya webserver) dengan pendekatan 'template-based'.

Pendekatan 'template-based' ini sudah diterapkan dengan baik di Kloxo-MR dimana user cukup melakukan 'customize' pada config. Bayangkan jika ada request agar port untuk apache diganti dari 80 ke 8080. Dengan Kloxo maka harus diutak-utik code di weblib.php dan web_apachelib.php. Ketika terjadi update maka file-file akan ditimpa sehingga semua custom hilang.

Di Kloxo-MR, cukup dilakukan dengan menyalin domains.conf.tpl ke custom.domains.conf.tpl dan kemudian memodifikasi file custom ini. Kloxo-MR akan membaca custom file bilamana ada. Jika ada update maka yang ditimpa hanya file domains.conf.tpl saja sedangkan file custom.domains.conf.tpl tidak ditimpa.

Selainkan itu, adanya penambahan features akan memudahkan user untuk mencari pilihan terbaik. Ketika saya masuk sebagai dev, Kloxo hanya ada pilihan apache dengan mod_php (tidak secure karena semua berjalan dalam 'apache:apache' (cepat tapi unsecure) dan suphp (secure tapi lelet) yang berjalan dalam prefork mode di apache. Saya menambahkan adanya mod_php_ruid2 (secure), mod_php_itk (secure), suphp_prefork (asli), suphp_worker (secure dan cepat) dan suphp_event (secure dan cepat).

Kalau di Kloxo-MR ada penambahan nginx, nginx-proxy dan lighttpd-proxy (juga hiawatha dan hiawatha-proxy; pada 6.5.1). Belum lagi penambahan dns server seperti maradns, nsd dan powerdns (pada 6.5.1). Juga penambahan web cache server seperti varnish, squid dan apache traffic server (pada 6.5.1).

Masalah yang mengganggu Kloxo tidak bisa di-porting ke Centos 6 adalah 'special' qmail sebagai mailserver. Celakanya source rpm sudah tidak ada. Kloxo-MR beralih ke qmail-toaster yang biarpun aslinya tidak bisa di Centos 6 tapi karena source rpm ada maka bisa diutak-utik agar bisa di-compile ke Centos 6.

Sebenarnya bisa saja lahir Kloxo-Voezie misalnya, sepanjang masih tetap open-source

 

[allysha]

Mas mustafaramadhan
Vps provider saya sudah melarang kloxo dan versi fork nya
Dan baca di wht pun banyak yg di suspend di provider lain
Mungkin harus krja keras lagi mbuktikan pake kloxo-mr sdh secure,
Kalau baca di wht , mungkin harus meyakinkan orang2 rack911

 

[mustafaramadhan]

Belum ada yang membuktikan bahwa Kloxo-MR diserap sebagaimana Kloxo diserang. Kloxo sekarang juga sudah menambal 'lubang' tersebut.

Yang disampaikan rack911 adalah kasus lain. Bisa terjadi apabila ada yang sudah bisa 'masuk' ke system. Pertanyaannya adalah apakah Panel lain akan tetap 'kebal' jika ada yang sudah bisa masuk ke system?. Katakan saja ada yang bisa 'menyusup' ke suatu website (yang ini bisa berarti 'mengobrak-abrik' semua website dalam 1 user/client) dan kemudian apa ada 'jaminan' bahwa penyurup akan bisa 'jumping' ke user/client lain?. Rasanya tidak.

 

[amudy17]

Alasan Kloxo-MR lahir karena developer lain cenderung bertahan di 6.1.12 dan tidak ada rencana rilis 6.2.x (yang merupakan penambahan features). Saya mengusulkan agar ada perombakan code menjadi mudah untuk semuanya (dev dan user), misalnya merubah konfigurasi service (misalnya webserver) dengan pendekatan 'template-based'.

Pendekatan 'template-based' ini sudah diterapkan dengan baik di Kloxo-MR dimana user cukup melakukan 'customize' pada config. Bayangkan jika ada request agar port untuk apache diganti dari 80 ke 8080. Dengan Kloxo maka harus diutak-utik code di weblib.php dan web_apachelib.php. Ketika terjadi update maka file-file akan ditimpa sehingga semua custom hilang.

Di Kloxo-MR, cukup dilakukan dengan menyalin domains.conf.tpl ke custom.domains.conf.tpl dan kemudian memodifikasi file custom ini. Kloxo-MR akan membaca custom file bilamana ada. Jika ada update maka yang ditimpa hanya file domains.conf.tpl saja sedangkan file custom.domains.conf.tpl tidak ditimpa.

Selainkan itu, adanya penambahan features akan memudahkan user untuk mencari pilihan terbaik. Ketika saya masuk sebagai dev, Kloxo hanya ada pilihan apache dengan mod_php (tidak secure karena semua berjalan dalam 'apache:apache' (cepat tapi unsecure) dan suphp (secure tapi lelet) yang berjalan dalam prefork mode di apache. Saya menambahkan adanya mod_php_ruid2 (secure), mod_php_itk (secure), suphp_prefork (asli), suphp_worker (secure dan cepat) dan suphp_event (secure dan cepat).

Kalau di Kloxo-MR ada penambahan nginx, nginx-proxy dan lighttpd-proxy (juga hiawatha dan hiawatha-proxy; pada 6.5.1). Belum lagi penambahan dns server seperti maradns, nsd dan powerdns (pada 6.5.1). Juga penambahan web cache server seperti varnish, squid dan apache traffic server (pada 6.5.1).

Masalah yang mengganggu Kloxo tidak bisa di-porting ke Centos 6 adalah 'special' qmail sebagai mailserver. Celakanya source rpm sudah tidak ada. Kloxo-MR beralih ke qmail-toaster yang biarpun aslinya tidak bisa di Centos 6 tapi karena source rpm ada maka bisa diutak-utik agar bisa di-compile ke Centos 6.

Sebenarnya bisa saja lahir Kloxo-Voezie misalnya, sepanjang masih tetap open-source

saya sendiri pakai kloxo-mr sudah setengah bulan malah aman aman saja dan memuaskan