Modem TP-Link Speedy kehack, dn DNS berubah, mohon diperiksa


Status
Not open for further replies.

erawanarifn

Apprentice 2.0
Selama satu minggu ini saya memperbaiki jaringan di Kantor, yang kebetulan ada di Tasikmalaya dan Bandung. Keluhannya sama, yaitu tidak bisa membuka situs, dan ketika membuka Google pasti akan meminta update Flash Player, walaupun kondisinya sudah diupdate langsung dari situs Adobe.

Setelah dns di komputer saya ganti ke dns Google, 8.8.8.8 dan 8.8.4.4, akses ke internet kembali normal. Lalu saya melakukan pemeriksaan ke konfigurasi modem Speedy, yang semuanya memakai TP-Link.

Namun password untuk login ditolak. Dan setelah melakukan pencarian di Google, ternyata ada exploit yang mengakibatkan firmware modem bisa didownload secara langsung, tanpa memerlukan login ke modem. Exploit ini mungkin bisa disalahgunakan, jadi apabila Moderator memerlukan konfirmasi, silakan PM

Setelah saya decompress file firmware tadi, ternyata password modem dirubah oleh seseorang menjadi "PortablePwned" atau "h4ck3". Kemudian saya mencoba login ke modem memakai user "admin" dan password "PortablePwned" atau "h4ck3d" dan ternyata berhasil.

Ternyata setting DNS telah dirubah ke IP berikut :
  • 23.249.173.88 - Net3, BGP Info
  • 103.247.218.111 - PT Parsaoran Global Datatrans, BGP Info
  • hacked-dns.png
Salah satu IP tersebut terdaftar pada sebuah PT di Indonesia, dansatu lagi berada dibawah Colocrossing.

Timbul pertanyaan saya :
  1. Apakah ada member atau bahkan provider disini yang memakai modem/router TP-Link? Jika iya, mohon dikonfirmasi apakah bisa login ke modem, dan DNSnya tidak dirubah?
  2. Karena salah satu pemilik IP adalah dari Indonesia, apakah mungkin yang membeli server tersebut adalah orang Indonesia, dan melakukan hacking secara massal?
  3. Komplain seperti apa yang harus dilakukan terhadap masing-masing provider?

Karena pada kasus saya, setiap kali dilakukan update Flash player yang ada di situs Google.com yang telah dibajak dnsnya akan melakukan instalasi virus/trojan, dan ada kemungkinan mencuri data serta mengirimkan password ke pemilik server
 

el_makong

Hosting Guru
setau saya sih emg bisa d remote...tapi dengan sistem khusus..y kalo itu hackel nakal bisa punya programnya sih udah gk aneh y...
nah kalo masalah download data modem itu, sempet kmaren nemu juga...download dari port sekian gitu...saya udh lupa juga...
data yg d download kmaren saya cek itu ada seluruh konfigurasi modem dari id-pass modem, sampe id-pass akun speedy....

cmiiw
 

erawanarifn

Apprentice 2.0
modemnya bawaan speedy apa beli sendiri dari selain telkom Tuan ?
Modem bawaan Speedy Tuan, TP-Link. Dan semua saya cek ternyata exploitnya sama.

yg tau pw admin routernya cuma masnya aja atau byk orang tuh?
Seperti biasa, semua password router/modem selalu saya ganti dari defaultnya "admin" ke password lain, kombinasi hurup besar/kecil/angka. Dan hanya saya saja yang tau.

setau saya sih emg bisa d remote...tapi dengan sistem khusus..y kalo itu hackel nakal bisa punya programnya sih udah gk aneh y...
nah kalo masalah download data modem itu, sempet kmaren nemu juga...download dari port sekian gitu...saya udh lupa juga...
data yg d download kmaren saya cek itu ada seluruh konfigurasi modem dari id-pass modem, sampe id-pass akun speedy....
cmiiw
Ini downloadnya bisa langsung dari ip publik modemnya, lalu nama firmwarenya. Setelah itu, saya coba sendiri untuk dekompress file tadi, hasilnya memang muncul data password modem/router+Username Speedy+Password Speedy.

Dan hari ini saya menerima balasan komplain ke providernya, PT Parsaoran Global Datatrans bahwa IP tersebut adalah milik salah seorang penyewa vps, dan sudah disuspen.

jawaban.png
 

el_makong

Hosting Guru
wuih...mantap...harusnya minta ganti rugi tuhh.. >.<
 

erawanarifn

Apprentice 2.0
Nah itu, jawabannya hanya clientnya disuspend.

Lalu bagaimana dengan semua kerusakan akibat dns yang dirubah, serta instalasi update Flash Player palsu yang justru berisi virus/worm, dan file-filenya corrupt bahkan hilang?
Coba kalau beliau yang mengalami hal seperti ini, mau dituntut ataukah maju ke meja hijau?
 
Status
Not open for further replies.

Top