Share info Urgent ( hati-hati sama backdoor ini )


yogisparingga

Poster 2.0
Halo selamat siang temen2 DWH, mau share sedikit, hari ini saya dapat laporan dari client saya kena hack webnya, memang scr tampilan ngga ada yang berubah, untungya attackernya ngga iseng menghapus script dan lain2.

yang jadi masalah serius ketika attacker upload backdoor, ternyata backdoornya ini mampu mengubah dan mereset password cpanel tanpa mengubah email asli dari akun cpanel client saya, lalu mereset password cpanel ke email dia sendiri.

Saya harap temen2 di dwh dapat melaporkan ini ke cpanel nya. karena menurut saya ada bug pada cpanel nya itu sendiri.

saya lampirkan screenshot potongan script backdoor ini. saya sudah laporkan juga ke natanetwork, dan alhamdulillah ownernya respon dan segera menindak lanjuti.
fungsi backdoor ini adalah mengubah contact info untuk pada saat kt melakukan reset password cpanel, maka pada saat mau rset password cpanel akan menuju email si attacker itu sendiri. tp email asli dari cpanel itu sendiri ngga akan berubah.
1598418677036.png

maaf belepotan jelasinya.
terima kasih
wassalam.
 

Attachments

BUANA dotnet

Expert 2.0
Verified Provider
bug pada cpanel nya itu sendiri
Cek log nya Tuan
Kemungkinan besar bukan terkait cpanel, biasanya user pakai aplikasi/plugin WP bajakan atau gratisan yang tidak jelas sumbernya
Sehingga memungkinkan pihak tidak bertanggunng jawab melakukan upload
 

yogisparingga

Poster 2.0
Cek log nya Tuan
Kemungkinan besar bukan terkait cpanel, biasanya user pakai aplikasi/plugin WP bajakan atau gratisan yang tidak jelas sumbernya
Sehingga memungkinkan pihak tidak bertanggunng jawab melakukan upload
betul pak web client sy sendiri ada bug upload, tp masalah nya kl script php itu ter upload bahaya, dia ngg hanya menguasai lewat backdoor tp menguasai akun cpanel itu sendiri.
 

BUANA dotnet

Expert 2.0
Verified Provider
Saya harap temen2 di dwh dapat melaporkan ini ke cpanel nya
problem tersebut tidak terkait dari cpanel, sehingga lapor cpanel pun tidak bisa menyelesaikan masalah

Untuk proteksi lebih baik, rekomendasinya ditambahkan tools seperti BitNinja atau Imunify360, yang membantu memantau script malware/phising
 

kyuichi

Apprentice 1.0
betul pak web client sy sendiri ada bug upload, tp masalah nya kl script php itu ter upload bahaya, dia ngg hanya menguasai lewat backdoor tp menguasai akun cpanel itu sendiri.
Biasanya krn proteksi wp kurang bagus, web wp klien saya rata" 1 hari 20-30an percobaan ditembus, termasuk "nitip" file tp kena semua dng plugins yg saya sertakan. cPanel ada bitninja tp sejauh ini kurang terlihat nyata kinerjanya utk gtuan, imunify360 yg biasanya mengenai file "titipan" dlm file manager biasanya ketangkep.

Tambahan, aktifkan 2FA di cPanel, pairing dng Twilio Authy udah membantu utk menjaga akses login cPanel.
 

hendranata

Hosting Guru
Verified Provider
iya enable 2FA atau disable reset password dari tweaking setting..
tapi 2FA enable lbh baik
 

erul

Apprentice 1.0
Verified Provider
betul sepertinya bukan dari cpanel, tp lebih ke human error sih tuan, ada client saya pun yang sering kena inject pas di cek ternyata login admin yang masih default, seperti password masih menggunakan admin admin, atau admin pass.
 

Top