erawanarifn
Apprentice 2.0
Selama satu minggu ini saya memperbaiki jaringan di Kantor, yang kebetulan ada di Tasikmalaya dan Bandung. Keluhannya sama, yaitu tidak bisa membuka situs, dan ketika membuka Google pasti akan meminta update Flash Player, walaupun kondisinya sudah diupdate langsung dari situs Adobe.
Setelah dns di komputer saya ganti ke dns Google, 8.8.8.8 dan 8.8.4.4, akses ke internet kembali normal. Lalu saya melakukan pemeriksaan ke konfigurasi modem Speedy, yang semuanya memakai TP-Link.
Namun password untuk login ditolak. Dan setelah melakukan pencarian di Google, ternyata ada exploit yang mengakibatkan firmware modem bisa didownload secara langsung, tanpa memerlukan login ke modem. Exploit ini mungkin bisa disalahgunakan, jadi apabila Moderator memerlukan konfirmasi, silakan PM
Setelah saya decompress file firmware tadi, ternyata password modem dirubah oleh seseorang menjadi "PortablePwned" atau "h4ck3". Kemudian saya mencoba login ke modem memakai user "admin" dan password "PortablePwned" atau "h4ck3d" dan ternyata berhasil.
Ternyata setting DNS telah dirubah ke IP berikut :
Salah satu IP tersebut terdaftar pada sebuah PT di Indonesia, dansatu lagi berada dibawah Colocrossing.
Timbul pertanyaan saya :
Karena pada kasus saya, setiap kali dilakukan update Flash player yang ada di situs Google.com yang telah dibajak dnsnya akan melakukan instalasi virus/trojan, dan ada kemungkinan mencuri data serta mengirimkan password ke pemilik server
Setelah dns di komputer saya ganti ke dns Google, 8.8.8.8 dan 8.8.4.4, akses ke internet kembali normal. Lalu saya melakukan pemeriksaan ke konfigurasi modem Speedy, yang semuanya memakai TP-Link.
Namun password untuk login ditolak. Dan setelah melakukan pencarian di Google, ternyata ada exploit yang mengakibatkan firmware modem bisa didownload secara langsung, tanpa memerlukan login ke modem. Exploit ini mungkin bisa disalahgunakan, jadi apabila Moderator memerlukan konfirmasi, silakan PM
Setelah saya decompress file firmware tadi, ternyata password modem dirubah oleh seseorang menjadi "PortablePwned" atau "h4ck3". Kemudian saya mencoba login ke modem memakai user "admin" dan password "PortablePwned" atau "h4ck3d" dan ternyata berhasil.
Ternyata setting DNS telah dirubah ke IP berikut :
Salah satu IP tersebut terdaftar pada sebuah PT di Indonesia, dansatu lagi berada dibawah Colocrossing.
Timbul pertanyaan saya :
- Apakah ada member atau bahkan provider disini yang memakai modem/router TP-Link? Jika iya, mohon dikonfirmasi apakah bisa login ke modem, dan DNSnya tidak dirubah?
- Karena salah satu pemilik IP adalah dari Indonesia, apakah mungkin yang membeli server tersebut adalah orang Indonesia, dan melakukan hacking secara massal?
- Komplain seperti apa yang harus dilakukan terhadap masing-masing provider?
Karena pada kasus saya, setiap kali dilakukan update Flash player yang ada di situs Google.com yang telah dibajak dnsnya akan melakukan instalasi virus/trojan, dan ada kemungkinan mencuri data serta mengirimkan password ke pemilik server