Beberapa website di akun cPanel kena hack

[Jepi S]

Hallo tuan atau mastah disini mau curhat, minta saran dan solusinya.

Kronologi

Sejak sabtu lalu ada 4 cPanel di whm reseller hosting saya yg kena hack.

Si hecker ini sudah mengancam saya dan klien saya dg sejumlah uang supaya 4 website tersebut bisa diakses kembali.

Tapi, hal ini saya abaikan.

Saya sudah cb ganti username dan password cpanel dan wordpress tp dia bisa tau saya baru saja merubah password dg menampilkan script config.php di chat whatsapp.

Saya sudah mencoba menghubungi provider reseller hosting dan balasannya memang kena serang ddos.

Dan provider hosting menyarankan beberapa hal keamanan spt 2f autentikasi, under attact mode d cloudflare dan sudah saya lakukan.

Langkah pencegahan 1

1. Aktivasi 2f autentikasi di member area, whm, cPanel dan login wordpress
2. Hapus akun cPanel dg yg baru
3. Update plugin dan core wordpress

Saya sudah melakukan ini dan 4 website itu belum pulih dari hari sabtu 13 januari 2024.


Langkah pencegahan 2

Karena hari senin 15 januari 2024 website tersebut blm pulih, saya putuskan utk memindahkan ke reseller hosting luar hari itu juga. Dan berhasil website bisa diakses dg baik info dr tim teknis memang kena ddos dg ip dr china.

16 januari 2024 pukul 16.30, ternyata whm saya dsuspend permanen oleh pihak reseller hosting ini karena 4 website saya diserang ddos kembali.


Langkah pencegahan 3

Akhirnya hari ini 4 website tersebut saya pindahkan ke do"""sia dg harapan tidak dserang ddos lg.


1. Saya minta saran ke mastah2 d sini bagaimana solusi menanggapi ancaman dr si hecker ini.

2. Apa saya perlu melanjutkan reseller hostingnya?

3. Solusi tuan2 utk pilihan hosting yg aman dg tim support yg bisa diandalkan dg jumlah client sekitar 200an

Saya punya klien sekitar 150 an yg ada d whm reseller saat ini cm sudah 2x kena serangan ddos ini.

Bagi mastah2 atau tuan yg mau memberikan saran semoga dimudahkan rejekinya. Aamiin

*Terlampir sc ancaman kepada client saya

Terima kasih

 

[Kencang.ID]

Setau saya DDOS itu menyerang ke network ya? Kenapa bisa masuk ke whmnya?.

Saya juga pernah mengalami tuan, bedanya saya lebih parah saya terkena hack di root accessnya,sepertinya kalau saya selidiki karena weak password, setelah saya ganti password yang lebih kuat pada akhirnya solusinya saya ganti port ssh nya lalu saya disable permit root loginnya agar root tidak bisa login dari ssh,lalu semua user saya restore backup agar jaga2 kalau misal si hacker sudah menanam backdoor disitu.jadi saya kalau login ke server langsung dari idrac, dan puji tuhan caranya manjur sejak saat itu saya tidak pernah kejadian di hack2 lagi

 

[Kencang.ID]

Saya sudah cb ganti username dan password cpanel dan wordpress tp dia bisa tau saya baru saja merubah password dg menampilkan script config.php di chat whatsapp.

Coba telusuri backdoor nya saja tuan, cek last edited file nya mungkin dia sudah ada backdoor

 

[jaapns]

sumbang saran, kalo banyak yg kena biasanya krn :
- Membuat webstite banyak dan sejenis , umumnya mulai dari theme , plugin , sampai username admin nya sama , dan kadang ada juga yg bikin web loginnya sama di setiap website . Jadi sebisa mungkin username di buat beda2, dan manage webnya , misal kalo wordpress pake sejenis managewp atau updraftcentral , jadi ada notif kalo ada update dan vuln .

- Perihal ancam mengancam , abaikan saja , kalo perlu ancam balik ke polisi saja .
- Lakukan satu persatu dulu saja web nya , termasuk protect folder adminnya , pake directory protect.
- Download offline kan dan scan manual via PC serta via virus total
- Ubah password nya
- update plugin nya dan lain2nya .
- 200 web bukan hal mudah , tapi tetap optimasi satu persatu yg terdampak dulu

Perihal ganti reseller atau tidak , selama reseller yg anda gunakan pake cloudlinux , artinya attacking ke website per website bukan servernya yg bermasalah , jadi lanjutkan ( kalo pake Cloud linux ya ).

 

[AsiaVM]

ikut memberi masukan ya tuan, kebetulan pernah mengalamin hal serupa

1. Harus pindah dulu ke provider yang memiliki anti-ddos agar menghindari suspend (konsultasikan ke providernya)
2. Pastikan hosting memiliki malware scanner seperti imunify360 dan bitninja, lalu scan semua akun hosting tersebut untuk mencari shell, malware, dan sejenisnya, karena kalo ini tidak dibersihkan maka pindah kemanapun akan tetap kena lagi
3. Untuk domain yang terkena DDOS sebaiknya memang mengaktifkan ddos protection cloudflare, nanti disana bisa bisa lakukan block per ASN atau IP range sesuai yang digunakan penyerang. Sebisa mungkin IP Hostingnya di hide sementara di domain yg jadi target untuk mempersulit si penyerang, termasuk di mx recordnya tidak muncul ip asli hosting, bisa di cek domainnya di intodns.com


Semoga masalahnya cepat teratasin

 

[XXIKU.COM]

Coba perketat lagi om firewall linux server-nya.
*Pasang CSF Firewall
*ModSec OWASP Terbaru/Comodo WAF
*Menggunakan Cloudflare Setting Rule
*Pasang Plugin Wordfence Security


Hebat juga serangan sampai berhasil masuk ke beberapa web WordPress lain apa sama akses loginnya atau pakai 1 koneksi database ke web lain itu?

Baru tau ada hacker ngemis juga ternyata. Parahnya lagi lokal pula.

Biasanya Wordfence sudah cukup ampuh karna real-time block, dan super ketat celah injeksi apapun di wordpressnya. Ketahuan juga klw ada perubahan file apapun di core/theme/plugin wp nya.

 

[dhyhost]

kalau udah beberapa kali pindah hosting namun masih kena hack berarti memang yang bermasalah web tersebut ada bugs yang harus ditutup dari web tersebut,
untuk AntiDDOS ini terganguntung model ddosnya gmn, ke httpd atau ke udp network, udp network biasanya ga setiap saat tapi kalau udah kena cm bias diselesaikan oleh noc,
kalau ddos nya http harus diperkuat lg waf nya, baik itu dari sisi server atau bisa pakai service pihak ketiga seperti cloudflare

 

[malamminggu]

kemungkinan ada shell script backdoor itu om

 

[natanetwork]

aktifkan 2FA baik di whm, cpanel dan wp-admin nya..

 

[Jepi S]

Setau saya DDOS itu menyerang ke network ya? Kenapa bisa masuk ke whmnya?.

Saya juga pernah mengalami tuan, bedanya saya lebih parah saya terkena hack di root accessnya,sepertinya kalau saya selidiki karena weak password, setelah saya ganti password yang lebih kuat pada akhirnya solusinya saya ganti port ssh nya lalu saya disable permit root loginnya agar root tidak bisa login dari ssh,lalu semua user saya restore backup agar jaga2 kalau misal si hacker sudah menanam backdoor disitu.jadi saya kalau login ke server langsung dari idrac, dan puji tuhan caranya manjur sejak saat itu saya tidak pernah kejadian di hack2 lagi

Username saya buat bukan hanya "admin" saja tuan kemudia password saya buat pakai password generator dr wordpress selama ini mgkin kurang kuat x ya.

Utk solusi lainnya nnti saya cb hari ini.

Utk penyebab dia bisa membobol hosting saya jg g tau dr mana.

Ketika saya cb berkomunikasi sama si provider reseller hosting ini dan mengirim ss dr si hacker balasan dr tim support "kurang tau dan tidak relevan dg kami". Sebenernya sih saya mau jawaban yg lebih peduli.

Makanya saya cb curhat dsini tuan, maksud saya saya maklumi namanya produk manusia kan. Saya ini minta saran dan solusi supaya kejadian ini ga terjadi lg. Karena sudah kejadian yg kedua serangan ddos lg.

Kejadian pertama menyerang keseluruhan salah satu server dr provider reseller hosting waktu itu. Dan kedua ini menyerang beberapa web saya saja.