Situs diinject lagi...


Status
Not open for further replies.

hostingceria

Active Member
wow,...saya tgl 19 mei 2010 kemaren juga ada serangan jenis :

- SQL injection
- Directory Traversal

Dengan pola seperti ini :




dalam 1 malam tercatat log email ke saya : 230 attack :29:
rata-rata menggunakan IP luar negeri, saya menduga pake VPN/Proxy

So bila pake CMS Wordpress/Joomla is ok bila di update, saran saya jangan menggunakan CMS secara mentahan..... mesti ada tambahan plugin khusus untuk security.

Lebih bahaya lagi bila website anda jadi sasaran contoh soal dari para hacker......... :)

ini ngedetect / laporannya pake apa yah? kayaknya menarik
 

hostguin

Expert 1.0
Pakai plugin firewall, saya juga kena, tapi cuma 2x .... :29:

WordPress Firewall has detected and blocked a potential attack!
Web Page: xxxxxxxx.com//frontend/x/fantastico/includes/load_language.php?userlanguage=../../../../../../../../../../../../../../../proc/self/environ%00
Warning: URL may contain dangerous content!
Offending IP: 91.121.78.216 [ Get IP location ]
Offending Parameter: userlanguage = ../../../../../../../../../../../../../../../proc/self/environ\0

This may be a "Directory Traversal Attack."
 

jones

Poster 2.0
wow,...saya tgl 19 mei 2010 kemaren juga ada serangan jenis :

- SQL injection
- Directory Traversal


dalam 1 malam tercatat log email ke saya : 230 attack :29:
rata-rata menggunakan IP luar negeri, saya menduga pake VPN/Proxy

So bila pake CMS Wordpress/Joomla is ok bila di update, saran saya jangan menggunakan CMS secara mentahan..... mesti ada tambahan plugin khusus untuk security.

Lebih bahaya lagi bila website anda jadi sasaran contoh soal dari para hacker......... :)
untuk mencegah SQL injection ada banyak trick sih, tapi secara standar anda pakai
mysql_real_escape_string saja untuk data yg flow ke table database dan gunakan stripslashes atau striptags untuk post data dari form feild, sedangkan mencegah eksekusi dari url dgn request declare, char, delete dll bisa koq di block dgn pakai script tambahan atau pakai htaccess kalau web nya emang serius yah emang butuh dana lah untuk hire orang... ini bisa koq dilakukan.. kapan2 saya akan posting tips sederhana untuk memblock injection, hijacking ... tp nga janji.

oh iya saya lihat anda pakai JP, tapi prefix db nya belum diganti...
hmmm sebaiknya hindari pengunaan WP JP dll, lebih baik develope sendiri, walau bisanya sederhana tapi pasti lebih aman, percayalah para hackers tidak pernah merencanakan menyerang web anda secara spesifik, mereka mescan nya dulu tentu dengan key2 tertentu.. yg tentu dah familiar seperti wp dan jp
 

bedebah

Apprentice 2.0
situs yg laennya aman aja Boss?
aman boss
saya sudah melihat phpshell nya mas, ini seperti beberapa phpshell yang saya temukan walau dengan program lain. saya juga punya masalah yang sama dengan mas.
script back.php yang mas share tidak bisa berjalan kalau ada zlib.output_compression. kalau di matikan zlib bisa jalan.
hasilnya seperti gambar ini kalau pakai zlib:
http://hostbagus.com/images/phpshell-block.jpg

beberapa script phpshell memang tidak bisa jalan kalau ada kompressor seperti zlib.output_compression dan output_handler
terima kasih pak.
Bro, sebagian masalah hack kalau yang pernah saya tanganin itu gara2 situsnya memang vulnerable, ada celah keamanan dari situsnya.. sebagian besar situs yang vulnerable itu adalah situs yang dibuild dengan CMS, misalnya saja joomla tapi belum apply patch paling baru.. atau situs2 yang di build dengan CMS lain.. :) Mungkin bisa dicek apakah memang masalah datangnya dari script situs yang bersangkutan?

semoga membantu.. :)
terima kasih infonya pak. mungkin iya, tp justeru CMSnya aman, karena bukan di folder /public_html tp di folder level kedua.
wow,...saya tgl 19 mei 2010 kemaren juga ada serangan jenis :

- SQL injection
- Directory Traversal

Dengan pola seperti ini :

dalam 1 malam tercatat log email ke saya : 230 attack :29:
rata-rata menggunakan IP luar negeri, saya menduga pake VPN/Proxy

So bila pake CMS Wordpress/Joomla is ok bila di update, saran saya jangan menggunakan CMS secara mentahan..... mesti ada tambahan plugin khusus untuk security.

Lebih bahaya lagi bila website anda jadi sasaran contoh soal dari para hacker......... :)
turut prihatin oom, dan thanx sarannya.
 

bedebah

Apprentice 2.0
ini file back yg digunaken u/mengeksekusi server saya Tuan...
buat yg gagal pake repitser:

http://www.ziddu.com/download/10566586/back.zip.html

beberapa hari ini muncul lagi. zlib compression masih saya butuhken Tuan... jd saya belom bs mematikennya.
Adakah cara lain?

File back.php itu bs menampilken list direktori saya dan mengeksekusi perintah2 shell tanpa perlu login :(

artinya si hacker masih baik karena tidak merusak file2 saya krn sbnrnya dia bisa.
dengan perintah shell, apa sih yg ndak bs?
mau
$ rm -r -f *
juga bisa...

kan gawats
 

Hostbagus

Beginner 2.0
beberapa hari ini muncul lagi. zlib compression masih saya butuhken Tuan... jd saya belom bs mematikennya.
Adakah cara lain?
zlib bisa di matikan dengan costum php.ini:105:
kalau pake disable_functions juga bisa, asal matiken fungsi custom php.ini:105:
ada cara lain?
 

Hostbagus

Beginner 2.0
tambahan,
untuk mematikan fungsi-fungsi penting yang biasa di jadikan celah oleh para cracker bisa dari php.ini
cari baris disable_functions

disable_functions = apache_child_terminate,apache_setenv,c99_buff_prepare,c99_sess_put,disable_sec,disk_free_space,disk_total_space,Encoder,escapeshellarg,escapeshellcmd,eval,exec,execmd,FileEditor,find_configs,fp,fpassthru,fput,ftp_connect,ftp_exec,ftp_get,ftp_login,ftp_nb_fput,ftp_put,ftp_raw,ftp_rawlist,highlight_file,infect_rep,ini_alter,ini_get_all,ini_restore,inject_code,myshellexec,mysql_pconnect,openlog,passthru,phpAds_remoteInfo,phpAds_XmlRpc,phpAds_xmlrpcDecode,phpAds_xmlrpcEncode,popen,posix_getpwuid,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,posix_uname,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,rm_rep,security_bypass,shell_exec,show_source,show_tools,spread_self,SQLDownload,SQLDrop,SQLEditor,SqlInsert,SQLLogin,sql_rep_search,symlink,syslog,system,table_create,these,toggle,xmlrpc_entity_decode,allow_url_fopen,dl,php_uname,define_syslog_variables,allow_url_include,ini_set,curl_exec,curl_multi_exec,parse_ini_file,stream_select

untuk bagian ini_set mungkin akan bermasalah jika di matikan, soalnya kebanyakan program memakai fungsi ini. contohnya joomla
 

bedebah

Apprentice 2.0
saya barusan scan trojan dan melakuken beberapa langkah pengamanan minimal (hanya yg disediaken WHM), dan saya mendapatken hasil yg cukup mencengangken. Ada beberapa trojan terdeteksi, sekitar 6 biji, semua di folder /var. Sayang saya ndak print-screen hasilnya.
:(
Yang aneh lagi, setelah scanning itu, injeksi berhenti.
Padahal kemarin dihapus manual dr FTP bbrp-x muncul lg.
 

yohanip

New Member
well...

kalau mau bahas pencegahan site defacing banyak sekali, 1001 cara para hackers bisa melakukannya, sayang sekali saya gagal mendownload file anda, sehingga informasi yg saya dapatkan minim, dan kayaknya anda juga tidak mungkin mengutarakan detail info web anda tsb sehingga bisa lebih diamati dimana celahnya...

cara terbaiknya adalah coba saja hubungin si pelaku minta tolong sama dia celah mana yg dia mamfaatkan?

seperti yg para master2 bilang diatas, dgn memamfaatkan command shell emang sangat mungkin, dgn zlib.output_compression dan output_handler di aktifkan tapi ini juga tidak effectif mengatasinya. bisa juga dia memamfaatkan port 80, 21 dll,

tapi untuk sementara dugaan saya hacker nya menginject dari URL dgn bantuan kombinasi google + IRC.

cara ini dulu pernah saya praktekkan untuk web saya sendiri, untuk mengetes security saya, ternyata bisa hanya dengan mencari folder yg mengandung file permission 775 dan 777 saya bisa masukkan file kedalamnya, setelah saya masukkan saya kemudian jalankan file tsb yg bisa merubah semua file/folder permission (atau mengembalikan lagi permission ke posisi semula) kemudian menghapusnya seperti mengahapus file di pc anda.

nah kalau dia seorang pemula akan sangat tipis kemungkinan dia bisa melakukan hacker lewat root access atau command shell, jadi dia besar kemungkinan dari URL anda.

untuk CMS yg banyak beredar, apalagi yg gratis kayak JP, WP emang banyak mengandung celah vulnerable terutama pemamfaatan URL injection, coba lah anda encode URL nya... untuk mencegah string injection

Bos master :)
hal ini tidak bisa di atur lewat user permission ya?
wah.. ini teknik yang keren bangets.. sy baru ngeh, iyah juga yah, bisa juga kyk gitu.. mangstabs ilmu nya..
 

bedebah

Apprentice 2.0
saya lagi2 melakuken pengamanan minimal:

di file .htacess:

Code:
<filesMatch "index.html"> 
Deny from all 
</filesMatch>
<filesMatch "back.php"> 
Deny from all 
</filesMatch>
mudah2an bisa menghentiken penyusupan.
 
Status
Not open for further replies.

Top