Bahas JaMaYcKa hacker Defacer


Status
Not open for further replies.

pemula_web

Apprentice 1.0
berdasar pada informasi forum tetangga tentang adanya kejadian yang menimpa salah satu webhosting indonesia, semua client dari webhost terkena dampak deface melalui perubahan pada index.php/html pada semua account (PARAHH YAA... :eek::eek:)

maka dari itu saya membuat treat ini, karena merasa khawatir juga...

soalnya dari issue yang sya baca hacker ini berhasil masuk melalui root dan membuat account baru dengan nama r00t

tapi saya lihat dari historynya hacker ini sebenarnya uda lama melakukan teknik deface ini, sudah sekitar tahun 2006 lalu

gile ni hacker...statistiknya setelah sya lihat di google cukup banyak juga pengalamannya, dan ga sedikit yang berhasil dia deface, berikut statisktiknya :

Total attacks: 15652 of which 483 single ip and 15169 mass defacements
sumber : http://www.zone-h.com/component/option,com_attacks/Itemid,43/filter_defacer,JaMaYcKa/

:eek::eek: SEEREMM

jadi gimana ni senior ??
apa issu ini blm beres ya ?
apa sih celah si hacker bisa masuk ?
apa dri CPANEL atau dari OS nya itu sendiri ?
bagaimana cara kita mengantisipasinya ? terutama bagi sisi kostumer seperti saya yg hosting di shared host
 

pemula_web

Apprentice 1.0
waduh sory saya kira anda uda tahu beritanya..
saya mau sebutkan namahostingnya etis gak ?

tp salah satu temen saya hosting disana dan bener ken deface...
dan sampai saat ini blm ada informasi lg ..


--- update ---

saya liat website client sepertinya sudah normal kembali...

mohon maaf, tapi berita saya diatas adalah benar buka rekayasa...
 
Last edited:

whatthahell

Poster 2.0
saya liat website client sepertinya sudah normal kembali...

mohon maaf, tapi berita saya diatas adalah benar buka rekayasa...
24-Sep-2008 11:10 PM

makasih infonya, tapi apa emang bener root diambil alih? dulu emang ada issue cPanel, tapi kan sekarang udah fixed. apa karena cPanelnya ga update ya... Gw turut berduka cita aja. ga bisa komen apa2
 

pemula_web

Apprentice 1.0
@bung rendy dan bung whatthahell

soal kronologis dan teknis pengambil alihan melalui root sya kurang paham, atau saya yg salah baca kemaren ...maklum nubie bang...hehe..

yg pasti saya post disini agar webhosting kita agar lebih waspada lagi...takutnya nanti kejadian yg gak2...
 

pemula_web

Apprentice 1.0
hello...

ini deh saya kutip aja disini dari members forum luar ttg keterangan hacker ini

This is a security advisary. Be warned ladies and gentlemen that this hacker has already defaced over 8,000 websites in a matter of days and he is making his rounds. Sould you be so unfortunate to have your box targetted, a mass defacement of all websites on your server will occur.

It seems that cPanel servers running CentOS and RHEL are currently being targetted, but there could be other distro's and control panels involved. It is also believed that this is being done via the system kernel v 2.6 version unknown.

If you have not done so, ensure that your /tmp and /dev/shm partitions are mounted nosuid,noexec to reduce the likelyhood that this script can be executed. Note, once the hacker accesses your server he creates a user account on your server called rOOt and creates a password for it. Search your /etc/passwd file to ensure that rOOt doesnt already exist.

There is no indication that there is an available patch at this time. Your best course of action is to make sure that each and every website is backed up on a nightly basis until a patch or fix is released by RH. You are advised to view every site on your server to ensure that he has not already attempted to deface a website on your server.

If you are experienced in compiling your own kernel source, now would be a good time to do so. Recompiling the kernel source from the latest distro seems to do that trick so if you are master in the art of recompiling your own kernel source, this is your best protection at this time.

Do not ignore this warning!!!

You may view his doings here. Click on a few websites to reveal the defaced websites.

http://www.zone-h.com/component/opti...acer,JaMaYcKa/

At this time it seems FreeBSD servers, the BSD kernel is not affected by this exploit but thats only a preliminary guess as there is no evidenance to support that any FreeBSD boxes have been rooted.

Thank you.

this message was posted on Feb 18 2007, 02:52 AM

mgkn saya yg salah artiin, maknya bagi para senior mohon penjelasannya donk secara rinci ttg penjelasan di atas....tulisan bold itu yg kiranya saya anggap penting

dan lihat juga tahun kejadian, itu uda setahun yg lalu, bahkan saya sempet ketemu kasus serupa pada tahun 2006, ...

kalau mau info lengkap silahkan ke link ini :

http://forums.theplanet.com/index.php?showtopic=86029

utk mod silahkan hapus aja linknya kalau kiranya menyebarkan link ke forums menyalahi aturan....ini cuma biar jelas :)
 

whatthahell

Poster 2.0
WHT juga lagi panas, sampe skrg belum ada yang tahu solusinya. sebagian besar emang yang pake cPanel, tapi belum tentu kelemahan cPanel mengingat cp lain juga banyak yang kena.
 
Last edited:

idcybernet

Apprentice 1.0
WHT juga lagi panas, sampe skrg belum ada yang tahu solusinya. sebagian besar emang yang pake cPanel, tapi belum tentu kelemahan cPanel mengingat cp lain juga banyak yang kena.

Dah 3 hari ini, gw dapet massive attack ke cPanel. Ngincer akses root. Pertama IP-nya dari US, gw blok. 10 menit berikutnya pake IP Korea, gw blok lagi. Trus muncul lagi pake IP dari Abu Dhabi, dari Jepang, ntah dari mana2x. Ampe pagi ini masih terima.

Akhirnya ya udah, gw diemin aja, lha wong proteksi cPanel dah lumayan kayanya. Or, hope so! :D
 
Status
Not open for further replies.

Top