Situs diinject lagi...


Status
Not open for further replies.

bedebah

Apprentice 2.0
pagi ini pas lagi ronda, halaman depan situs GitaLovers.com berubah, menjadi kata2 hacker.
Rupanya sang hacker menginjek situs yang saya maintain ini dengan menyusupken file back.php yang menggenerate file index.html, sehingga file index.html itu yg pertama diindex saat GitaLovers.com diakses...
File saya lampirken, saya share buat dipelajari kita semua:
http://rapidshare.com/files/390132066/GL.zip

Thanx buat hackernya, Anda membuktikan bahwa server yg saya handle belum aman.
Terima kasih juga Anda tidak merusak situs komunitas anak-anak pecinta Gita Gutawa ini, karena hanya dengan menghapus file index.html, GitaLovers.com kembali normal.

Sang hacker ni nampaknya pengguna Telkom Speedy dan Macintosh.

Ini saya dapatken dari log cpanel:
Code:
125.163.227.190 - - [21/May/2010:19:46:59 +0400] "GET /back.php?act=f&f=index.html&ft=edit&d=%2Fhome%2Fgitong09%2Fpublic_html HTTP/1.1" 200 5019 "http://gitalovers.com/back.php?act=ls&d=%2Fhome%2Fgitong09%2Fpublic_html%2F&sort=0a" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
125.163.227.190 - - [21/May/2010:19:47:34 +0400] "POST /back.php?act=f&f=index.html&ft=edit&d=%2Fhome%2Fgitong09%2Fpublic_html%2F HTTP/1.1" 200 5057 "http://gitalovers.com/back.php?act=f&f=index.html&ft=edit&d=%2Fhome%2Fgitong09%2Fpublic_html" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
125.163.227.190 - - [21/May/2010:19:47:39 +0400] "GET / HTTP/1.1" 200 445 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
125.163.227.190 - - [21/May/2010:19:48:03 +0400] "POST /back.php?act=f&f=index.html&ft=edit&d=%2Fhome%2Fgitong09%2Fpublic_html%2F HTTP/1.1" 200 5056 "http://gitalovers.com/back.php?act=f&f=index.html&ft=edit&d=%2Fhome%2Fgitong09%2Fpublic_html%2F" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
125.163.227.190 - - [21/May/2010:19:48:16 +0400] "POST /back.php?act=f&f=index.html&ft=edit&d=%2Fhome%2Fgitong09%2Fpublic_html%2F HTTP/1.1" 200 5056 "http://gitalovers.com/back.php?act=f&f=index.html&ft=edit&d=%2Fhome%2Fgitong09%2Fpublic_html%2F" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
125.163.227.190 - - [21/May/2010:19:48:29 +0400] "GET / HTTP/1.1" 200 423 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
125.163.227.190 - - [21/May/2010:19:48:29 +0400] "GET /favicon.ico HTTP/1.1" 404 - "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
125.163.227.190 - - [21/May/2010:19:48:32 +0400] "GET /favicon.ico HTTP/1.1" 404 - "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
Permission direktori saya lihat aman2 saja...
2 file ini berada di /public_html, bukan di folder software yang digunaken di website tsb.
Mohon tanggapan Tuan2 sekaliyand...
trimskamsia. trimakassar... :37:
 

jones

Poster 2.0
Hackers nya ada kemungkinan sudah berpengalaman atau malah pemula:
1. kalau dia pemula dia akan mudah ditangkap karena masih meninggalkan jejak
2. kalau dia dah advance maka jejak itu tidak ada artinya, karena dia sudah mengecoh nya dengan jejak palsu

bayangkan saja seorang hacker, cracker, carder, frauder dll masih meninggalkan ip speedy nya plush macintosh, kalau ini dari warnet maka sangat jarang sekali yg pakai macintosh, kalau ada akan mudah sekali di lacak siapa orangnya, yg perlu di cari tau adalah ip speedy nya dari mana?
 

jones

Poster 2.0
Hari ini ada sekitar 20-an situs asal indo yg ke hacked, lihat contoh masih aktif:

http://www.indonesianjob.net/index.htm
http://www-bokep.com/
bahkan rapidshare.com/jl6h.txt juga kena

tapi sayang sekali saya tidak bisa download data2 anda yg di rapihshare itu, gagal terus... tapi saya sudah coba lacak apakah situs anda sudah masuk list komunitas hackers, tapi saya belum menemukannya, hmm jadi penasaran nih...

saya sudah lihat situs gitalovers.com tsb, tapi belum sempat mempelajarinya, kalau dah sempat nanti saya beri masukan
 

bedebah

Apprentice 2.0
terima kasih bro. ada saran u/lebih mengamankennya? Saya sudah kasih pengamanan sesuai pengetahuan saya, tp masih kebobolan juga.
 

Hostbagus

Beginner 2.0
saya sudah melihat phpshell nya mas, ini seperti beberapa phpshell yang saya temukan walau dengan program lain. saya juga punya masalah yang sama dengan mas.
script back.php yang mas share tidak bisa berjalan kalau ada zlib.output_compression. kalau di matikan zlib bisa jalan.
hasilnya seperti gambar ini kalau pakai zlib:
http://hostbagus.com/images/phpshell-block.jpg

beberapa script phpshell memang tidak bisa jalan kalau ada kompressor seperti zlib.output_compression dan output_handler


pembatasan maksimal shell akses dan APF sudah bisa membatasi script phpshell lain yang saya temukan(maap tidak bisa saya share) pelaku hanya bisa mengakses folder dan file bagian mereka /home/pelaku/
beberapa script phpshell lain ya saya coba masih bisa melihat folder dan setting permision di direktori lain kayak /etc/ tapi sudah tidak bisa melihat file apapun lagi. kalau dengan command shell langsung ke file akan muncul permision denied
Tapi sepertinya masih banyak script sejenis dengan kelebihan masing2

kayaknya emang phpshell adalah ancaman paling besar untuk hoster :D
ada yang punya tips lain untuk memusnahkan script ini?
 

nicosoftmedia

(RIP) Community Guide
Biasanya sih mereka pakai beberapa script shell seperti 59shell dengan memanfaatkan celah dari command akses ke websitenya dan setelah masuk maka mereka jalankan dan ambil alih fungsi user didalamnya. Kebanyakan yang menjadi targetnya adalah root user. Kalau melihat dari log diatas bisa di indikasikan 2 faktor :
1. Memang disengaja untuk tampil (ingin dikenal).
2. Hackernya masih pemula.

Jika memang ternyata hacker tersebut sudah mahir dan menghapus semua lognya. Berdasarkan pengalaman saya bisa juga melihat dari log lain. Ada beberapa file yang tidak pernah terpikirkan oleh hacker untuk dihapus pada saat mereka melakukan serangan dan file ini bisa menjadi kunci/bukti tentang apa saja yang mereka lakukan secara step by step di sistem yang di hack. (contoh seperti kasus VPS di sekuritionline beberapa waktu lalu) dimana pihak sekuritionline membeberkan isi log yang ditemukan dan berisi kegiatan dari hackernya :4:.

NOTE : Baru saja saya mendownload file dari Rapidshare tersebut dan gagal oleh AV saya. File tersebut terdeteksi menggunakan PHP/C99Shell.
 

JuraganWebHosting

Apprentice 1.0
Bro, sebagian masalah hack kalau yang pernah saya tanganin itu gara2 situsnya memang vulnerable, ada celah keamanan dari situsnya.. sebagian besar situs yang vulnerable itu adalah situs yang dibuild dengan CMS, misalnya saja joomla tapi belum apply patch paling baru.. atau situs2 yang di build dengan CMS lain.. :) Mungkin bisa dicek apakah memang masalah datangnya dari script situs yang bersangkutan?

semoga membantu.. :)
 

jones

Poster 2.0
well...

kalau mau bahas pencegahan site defacing banyak sekali, 1001 cara para hackers bisa melakukannya, sayang sekali saya gagal mendownload file anda, sehingga informasi yg saya dapatkan minim, dan kayaknya anda juga tidak mungkin mengutarakan detail info web anda tsb sehingga bisa lebih diamati dimana celahnya...

cara terbaiknya adalah coba saja hubungin si pelaku minta tolong sama dia celah mana yg dia mamfaatkan?

seperti yg para master2 bilang diatas, dgn memamfaatkan command shell emang sangat mungkin, dgn zlib.output_compression dan output_handler di aktifkan tapi ini juga tidak effectif mengatasinya. bisa juga dia memamfaatkan port 80, 21 dll,

tapi untuk sementara dugaan saya hacker nya menginject dari URL dgn bantuan kombinasi google + IRC.

cara ini dulu pernah saya praktekkan untuk web saya sendiri, untuk mengetes security saya, ternyata bisa hanya dengan mencari folder yg mengandung file permission 775 dan 777 saya bisa masukkan file kedalamnya, setelah saya masukkan saya kemudian jalankan file tsb yg bisa merubah semua file/folder permission (atau mengembalikan lagi permission ke posisi semula) kemudian menghapusnya seperti mengahapus file di pc anda.

nah kalau dia seorang pemula akan sangat tipis kemungkinan dia bisa melakukan hacker lewat root access atau command shell, jadi dia besar kemungkinan dari URL anda.

untuk CMS yg banyak beredar, apalagi yg gratis kayak JP, WP emang banyak mengandung celah vulnerable terutama pemamfaatan URL injection, coba lah anda encode URL nya... untuk mencegah string injection
 

jaapns

Hosting Guru
Verified Provider
wow,...saya tgl 19 mei 2010 kemaren juga ada serangan jenis :

- SQL injection
- Directory Traversal

Dengan pola seperti ini :
Web Page: www.atriumhosting.com//frontend/x/f...../../../../../../../../../proc/self/environ
Warning: URL may contain dangerous content!
Offending IP: 112.78.8.20 [ Get IP location ]
Offending Parameter: userlanguage = ../../../../../../../../../../../../../../../proc/self/environ\0

This may be a "Directory Traversal Attack."

Web Page: atriumhosting.com/index.php?option=com_mcquiz&task=user_tst_shw&Itemid=xxx&tid=1%2F%2A%2A%2Funion%2F%2A%2A%2Fselect/**/concat(username,0x3a,password),concat(username,0x3a,password),0x3a/**/from/**/jos_users/*
Warning: URL may contain dangerous content!
Offending IP: 174.34.135.147 [ Get IP location ]
Offending Parameter: tid = 1/**/union/**/select/**/concat(username,0x3a,password),concat(username,0x3a,password),0x3a/**/from/**/jos_users/*

This may be a "SQL Injection Attack."

dalam 1 malam tercatat log email ke saya : 230 attack :29:
rata-rata menggunakan IP luar negeri, saya menduga pake VPN/Proxy

So bila pake CMS Wordpress/Joomla is ok bila di update, saran saya jangan menggunakan CMS secara mentahan..... mesti ada tambahan plugin khusus untuk security.

Lebih bahaya lagi bila website anda jadi sasaran contoh soal dari para hacker......... :)
 
Status
Not open for further replies.

Top