Update Keamanan Kita Yuk!

Discussion in 'Masalah Teknik dan Keamanan' started by kudahitamnet, 16 Apr 2013.

Thread Status:
Not open for further replies.
  1. kudahitamnet

    kudahitamnet Poster 2.0

    Messages:
    177
    Likes Received:
    65
    Trophy Points:
    28
    Sabtu, 13 April 2013 lalu saya membaca berita persidangan Wildan si peretas situs SBY.

    Malemnya, SBY launching Twitter-nya. Hehehe... :o

    Ehm, tapi bukan itu yang mau kita diskusikan.

    Menurut JPU dalam persidangan Wildan itu, Wildan masuk ke hosting A dengan metode SQL Injection, kemudian menanamkan backdoor berupa WSO.php, lalu menggunakan metode symlink untuk mengakses hosting B, kemudian menggunakan WHMCSKiller untuk mendapatkan akses ke WHMCS, lalu membuat domain baru dari registrar hosting B.

    Untuk itulah saya mencoba thread ini agar kita sesama hoster tidak kecolongan lagi. Jadi dimohon dengan hormat kesediaannya kepada seluruh hoster untuk melengkapi/koreksi thread ini.

    1. Wildan Masuk Menggunakan SQL Injection

    Sebetulnya SQL Injection ini dengan mod_security pun sudah bisa ditangkal. Barangkali rekan-rekan ada tips lain, silakan dilengkapi. Mengingat, SQL Injection merupakan pintu gerbang situs-situs di-hack.


    2. Wildan Menanam Script Backdoor WSO.php

    Saya menemukan beberapa file yang mirip-mirip script WSO.php tersebut. Diantaranya:

    - wso.php itu sendiri
    - config.pl
    - config.am
    - MySQL.php
    - nsuser.php
    - shellijau.php
    - ida.php


    Jika ternyata penyusup berhasil masuk, dan menanam backdoor diatas, berikut solusinya dengan mencoba menemukan file-file tersebut di server kita, dan kemudian menghapusnya.

    Gunakan command yang telah dishare oleh rekan @visualhost

    Untuk menemukan config.pl dan config.am, gunakan command berikut:
    find /home/username/ -name "*".* -type f -print0| xargs -0 egrep "symlink" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

    Ganti username dengan username Anda.


    Untuk menemukan wso.php:
    find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "WSOstripslashes" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

    Ganti username dengan username Anda.


    Untuk menemukan nsuser.php:
    find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "7X1se9pV8vDfv2ye" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

    Ganti username dengan username Anda.


    Untuk menemukan ida.php:
    find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "OOO000000" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

    Ganti username dengan username Anda.


    Untuk menemukan MySQL.php:
    find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "mysql_web_admin_username" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

    Ganti username dengan username Anda.


    Untuk menemukan shellijau.php:
    find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "+vNwhg" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

    Ganti username dengan username Anda.

    Untuk file WSO.php itu, hacker dapat menjalankan command ln -s/home/user/public_html/folderclient/configuration.php
    atau seperti yang dilakukan Wildan cat/home/tech/www/my/configuration/.php

    Pastikan rekan-rekan telah menambahkan perintah berikut pada WHM root → PHP Configuration Editor → Advanced Mode → Safe Mode disable functions, isi dengan rule:
    symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd,exec,ini_alter,parse_ini_file,pcntl_exec,proc_get_status,proc_nice,proc_terminate,show_source

    Sedangkan file config.am, config.pl, ida.php, mysql.php, dan shellijau.php merupakan 1 paket yang nantinya akan dijalankan untuk mendapatkan data login korban. Tapi jangan khawatir jika sudah menambahkan rule diatas pada disable functions, eksekusi dapatkan config dengan metode ini akan gagal.

    *barangkali rekan-rekan ada menemukan script backdoor lainnya, dimohon dengan hormat agar bisa di-share demi kepentingan bersama.


    3. Wildan Menggunakan WHMCSKiller

    WHMCSKiller memang menakutkan sesuai namanya. Saya rasa, jika sudah masuk pada bagian ini, hacker dengan mudah akan mendapatkan akses ke WHMCS.

    Pertanyaannya, walau sudah dapat data login, bisakah mereka login ke administrator? :p ;)

    Saya perhatikan, WHMCSKiller memang dapat menemukan user + password WHMCS dengan mudah. Namun tidak untuk menemukan halaman admin.
    Solusi untuk mencegah WHMCSKiller bisa dilakukan dengan langkah-langkah berikut:

    1. Memindahkan Folder Admin Ke Folder Yang Lebih Aman.
    Memindahkan folder admin WHMCS hanya dapat dilakukan dengan me-rename saja. Tidak dapat move ke sub folder. Apakah dengan langkah ini menjamin WHMCS aman? Sabar. Tunggu ke langkah selanjutnya. Jangan lupa untuk mengganti custom admin path di config WHMCS ya, dan jangan lupa update cronjob Anda jika halaman admin telah diganti.

    2. Membuat Password Pada Folder Admin.
    Sekalipun penyusup berhasil masuk dan tahu config WHMCS, lengkap dengan tahu lokasi admin page WHMCS Anda, kalo dia kita suruh nebak password lagi untuk lolos ke admin page WHMCS, rasanya... Frustasi juga dia.

    Caranya, di cPanel → Password Protect Directories. Buat password untuk folder admin WHMCS. Wordpress-nya juga sekalian.
    Dengan password direktori ini hanya Anda dengan Tuhan saja yang tahu gimana bisa lolos ke admin page. Hehe... Mules mules dah tu hackernya... :rolleyes:

    3. Cegah Publik Mengakses Folder Anda.
    Tambahkan Options All -Indexes pada .htaccess agar publik tidak dapat mengakses folder tanpa index.php/index.html. Pastikan berikan jarak atau tekan ENTER setelah rule tersebut agar dapat bekerja.


    4. Tambahan

    Modus lain yang justru sederhana namun mematikan adalah berpura-pura sebagai client baik-baik, bayar, lalu menanam backdoor, dari situ kita kecolongan.

    -------------------------------------

    Oke, mungkin itu langkah antisipasif agar sistem kita tetap aman, semoga bermanfaat.
    Bagi rekan-rekan tetap ya, mohon dilengkapi.


    Salam hangat, untuk seluruh keluarga besar DWH Endonesa! Merdeka! :o
     
  2. vishualhost

    vishualhost Expert 2.0

    Messages:
    813
    Likes Received:
    80
    Trophy Points:
    28
    bisa juga di buat cronnya misal mau dijalankan auto ke server misal daily scanning dengan memakaikan regex

    find /home/*/public_html
     
    kudahitamnet likes this.
  3. BennyKusman

    BennyKusman Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,234
    Likes Received:
    239
    Trophy Points:
    63
    mantebb..
    buat yang mau simple, saya sudah gabungkan command yang diberikan.

    cara pakai:
    wget http://telin.bennykusman.com/~benny7/shellcheck.sh
    chmod +x shellcheck.sh

    untuk eksekusi: ./shellcheck.sh <<emailaddress>>

    jadi hasil cek bakal dikirim ke email anda...
     
  4. mustafaramadhan

    mustafaramadhan Hosting Guru

    Messages:
    3,237
    Likes Received:
    857
    Trophy Points:
    113
    Ceritanya ini WHMCS/CPanel yang 'berlubang' ya?.
     
  5. Whisp

    Whisp Poster 1.0

    Messages:
    109
    Likes Received:
    3
    Trophy Points:
    18
    wah.. nice share Tuan.,

    kalo saya perhatiin ini pengamanan dari segi pemilik server yah..
    kalo bagi reseller gmn Tuan?
     
  6. xphones

    xphones Expert 1.0

    Messages:
    747
    Likes Received:
    41
    Trophy Points:
    28
    Super sekali trid ini....

    wso.php ya?? hmm keren juga nih script, isinya beda dengan shell pada umumnya.
    Code:
    <?php ${"G\x4c\x4fB\x41\x4cS"}["\x64\x74\x65\x68\x79\x6bk\x65q\x77"]="\x64a\x74\x61";${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x74\x78l\x62j\x77\x72\x6ef\x6dl"]="\x61";${"\x47\x4c\x4f\x42\x41LS"}["\x6f\x72\x65u\x77q\x6e"]="\x62i\x6ed_p\x6f\x72t\x5f\x70";${"\x47L\x4fB\x41L\x53"}["r\x6a\x71q\x66\x73\x6d"]="t";${"\x47\x4c\x4f\x42A\x4cS"}..............................
    ............................
    
    Makin sadis saja nih om om heker.
     
  7. xphones

    xphones Expert 1.0

    Messages:
    747
    Likes Received:
    41
    Trophy Points:
    28
    Sory dopost
     
    Last edited: 16 Apr 2013
  8. kudahitamnet

    kudahitamnet Poster 2.0

    Messages:
    177
    Likes Received:
    65
    Trophy Points:
    28
    WHMCS/cPanel sebetulnya gak berlubang sih. Dilihat dari metode exploitnya dulu mas. Untuk kasus diatas, emang servernya belum "ketat" pengamanannya berarti.

    Oh iya, reseller juga penting...
    Mungkin yang bisa Tuan-Tuan lakuin:

    1. Pengamanan WHMCS seperti yang disebutkan diatas itu.
    2. Usahakan jangan bikin harga hosting terlalu murah hehe... Bisa jadi harga yang terlalu murah akan dijadikan ladang praktik yang subur buat coba-coba hehe... [ini hanya saran loh ya... Hehe :o]
     
    BikinDesainSitus and vishualhost like this.
  9. GriyaHosting

    GriyaHosting Expert 1.0

    Messages:
    966
    Likes Received:
    76
    Trophy Points:
    28
    sebaiknya pisahkan whmcs dengan website lainnya apalagi shared. karena whmcs vital jika terkoneksi dengan auto provision ke module cpanel/vps/lainnya.
     
    BikinDesainSitus likes this.
  10. idcolo

    idcolo Apprentice 1.0 Web Hosting (Company)

    Messages:
    336
    Likes Received:
    29
    Trophy Points:
    28
    bukannya kalau website presiden yg di hack itu cuma ganti dns ya?

    Begini Cara Wildan Meretas Situs Presiden

    kadang harus hati2 juga dengan script backdoor seperti itu, kadang "disisipi sesuatu" lagi sama yg buat script tersebut, ngerti kan maksudnya? :D
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...