Cara Penanganan Tepat Untuk Masalah Serangan Mass Deface


Status
Not open for further replies.
IIXPLANET

IIXPLANET

Expert 2.0
dari semua mas, log mod sec , log csf , log apache serta access log
ini umum shellnya yg di taruh di user 1 jenis kah atau beda2 , coba jg dimatikan dr sana saja agar yg miss / terlewat dr sepengetahuan mas tidak bisa jalan auto .
 
remajahost

remajahost

Poster 2.0
vishualhost said:
dari semua mas, log mod sec , log csf , log apache serta access log
ini umum shellnya yg di taruh di user 1 jenis kah atau beda2 , coba jg dimatikan dr sana saja agar yg miss / terlewat dr sepengetahuan mas tidak bisa jalan auto .
Click to expand...

Setelah saya melakukan Scan dan Auto Suspended.
Saya lihat hasil Log yang terekam setalah proses scan selesai.
Rata² Pelaku Defacer menanam PHPSHELL pada lokasi /public_html/wp-content/themes/namathemes/footer.php
Hampir kebanyakan seperti itu, ada juga Halaman yang Terdeface namun tidak di temukan PHPSHELL di dalamnya.
Apakah mungkin Pelaku Deface melakukan Scan Config cPanel dan Database? Karena Feeling saya mengarah kesana. Karena banyak juga client yang menggunakan password teramat sangat² mudah, sehingga mudah untuk di scan config.
 
PusatHosting

PusatHosting

Hosting Guru
remajahost said:
...
Apakah mungkin Pelaku Deface melakukan Scan Config cPanel dan Database? Karena Feeling saya mengarah kesana. Karena banyak juga client yang menggunakan password teramat sangat² mudah, sehingga mudah untuk di scan config.
Click to expand...

Yap betul, kemungkinan seperti itu.
saya pernah kena 20 situs mass deface dan ternyata ada shell yang bisa scan semua config dan mendapatkan semua file confignya

dan mereka cara defacenya urut lagi dari a - z

solusi waktu itu langsung mencoba shell nya dan memblokir lewat mod_sec
 
remajahost

remajahost

Poster 2.0
PusatHosting said:
Yap betul, kemungkinan seperti itu.
saya pernah kena 20 situs mass deface dan ternyata ada shell yang bisa scan semua config dan mendapatkan semua file confignya

dan mereka cara defacenya urut lagi dari a - z

solusi waktu itu langsung mencoba shell nya dan memblokir lewat mod_sec
Click to expand...

Nah cara memblokir shell yang bersakutan di mod_sec gimana?
Kebetulan saya sudah Unduh ke PC Lokal sampel Shell Pelaku
 
IIXPLANET

IIXPLANET

Expert 2.0
remajahost said:
Setelah saya melakukan Scan dan Auto Suspended.
Saya lihat hasil Log yang terekam setalah proses scan selesai.
Rata² Pelaku Defacer menanam PHPSHELL pada lokasi /public_html/wp-content/themes/namathemes/footer.php
Hampir kebanyakan seperti itu, ada juga Halaman yang Terdeface namun tidak di temukan PHPSHELL di dalamnya.
Apakah mungkin Pelaku Deface melakukan Scan Config cPanel dan Database? Karena Feeling saya mengarah kesana. Karena banyak juga client yang menggunakan password teramat sangat² mudah, sehingga mudah untuk di scan config.
Click to expand...

kebanyakan case scan di config cms mas , coba di perhatikan sistematis saja dl apakah yg web2 tanpa cms alias html biasa kena deface jg atau hanya yg bercms , klo hanya bercms skala virinya cm scan config2 dan db cms2 mungkin , cm klo yg non cms kena juga ini artinya sistem mas sudah cukup kebobolan perlu di lakukan investigasi secara menyeluruh lg
 
remajahost

remajahost

Poster 2.0
vishualhost said:
kebanyakan case scan di config cms mas , coba di perhatikan sistematis saja dl apakah yg web2 tanpa cms alias html biasa kena deface jg atau hanya yg bercms , klo hanya bercms skala virinya cm scan config2 dan db cms2 mungkin , cm klo yg non cms kena juga ini artinya sistem mas sudah cukup kebobolan perlu di lakukan investigasi secara menyeluruh lg
Click to expand...

Sudah saya lakukan pengecekan, bahwa yang menjadi Korban keseluruhan adalah Para pengguna WP.
Untuk web statis aman2 saja.
 
IIXPLANET

IIXPLANET

Expert 2.0
remajahost said:
Sudah saya lakukan pengecekan, bahwa yang menjadi Korban keseluruhan adalah Para pengguna WP.
Untuk web statis aman2 saja.
Click to expand...

berarti mas tinggal cari dimana hole dr wp tersebut dan bagaimana shell itu bisa masuk , semua tercapture di log kok ada klo belum kereplace ya lognya .

klo sudah ketemu cara shell itu masuk baru mas patch make mod sec rules, nginx rules atau varnish rules bisa kok
setelah itu bongkar script shell nya dan matikan proses disana dr isi shell tersebut
 
remajahost

remajahost

Poster 2.0
vishualhost said:
berarti mas tinggal cari dimana hole dr wp tersebut dan bagaimana shell itu bisa masuk , semua tercapture di log kok ada klo belum kereplace ya lognya .

klo sudah ketemu cara shell itu masuk baru mas patch make mod sec rules, nginx rules atau varnish rules bisa kok
setelah itu bongkar script shell nya dan matikan proses disana dr isi shell tersebut
Click to expand...

Jadi harus di lakukan pengecekan di setiap Website/Blog yang sudah di deface atau di masukin shell ya :)
 
jaapns

jaapns

Hosting Guru
Verified Provider
kalo yg kena yg paling banyak adalah wordpress nya, selain server yg di optimasi, CMS wordpress dan plugin itu sendiri juga harus di control :

Server udah di isi segala macem : csf, LMD, ClamAV, dsb msh bisa tembus


coba beberapa tips dari saya di blog ini :

http://blog.atriumhosting.com/wordpress-security-emergency-action/

krn wordpress masuk dari third party plugin......


Setelah pasang itu coba install plugin Exploit Scanner, krn percuma di optimasi kalo sang hacker ninggalin backdoor nya :)
 
Status
Not open for further replies.

Top