turkish hacker iSKORPiTX


Status
Not open for further replies.

mybloodiscoffee

Expert 1.0
baru saja server reseller hosting saya aktif (sblmnya katanya lg maintenance!) eh....websaya kena serangan defaced by turkish hacker iSKORPiTX. saya cari tau ini hacker emang udah ratusan website kena gk perduli itu situs apa aja.Nah, ip reseller hosting yg saya gunakan kan sharing alias bukan dedicated, denger2 dari 2 IP reseller hosting itu klien juga buanyak yg kena defaced.

masalahnya situs saya berbasis joomla dan sudah saya updates dng joomla terbaru dan sudah pake module2 security utk proteksi administrator link, content dsb, tidak ada satupun module/component/plugin yg keluar utk updates scr otomatis tanpa kendali saya, tapi tetep aja kena defaced.

defaced turkish hacker iSKORPiTX ini akan mengganti file2 index.php pada semua folder yg ada d file manager hosting anda! anda harus delete dan ganti dng master index.php/index.html milik anda sendiri.

tp selain itu turkish hacker iSKORPiTX ini juga menyerang phpmyadmin, nah, saya mo import database dari file webhosting saya (import) tp phpmyadmin'nya tidak bisa dibuka krn di defaced juga shg link lengkapnya spt ini:
http://xxxxxx.net:2082/3rdparty/phpMyAdmin/index.php

Ada teman2 yg pernah berhadapan dng hacker ini dan bagaimana solusinya bagi pihak reseller hosting utk dapat mengakses kembali phpmyadmin page dng normal? dan bagaimana tindakan kita untuk melindungi hosting kita supaya lebih minim lg terhindar dari serangan hacker satu ini.

thx for all
 

IIXPLANET

Expert 2.0

rendy

Hosting Guru
Verified Provider
klo menurutku sih ngga keknya mas, karena hacker ini sudah main sejak lama kok sebelum bugs kemarin turun sudah banyak korbannya , dia make backdoor dan ngejalanin dengan mengexecute salah satu daemon buat nginfect index files

yoi
feelingku juga begitu
ini belum tentu bugs dari kernel, tapi dari salah satu situs,
dan ada crontab yang dieksekusi jadi daemon
 

yanwar.purnama

Beginner 2.0
Masalahnya user yang terinfeksi jadi punya akses root, dan mengganti semua file index* home* default* menjadi html defacenya dia. Jadi semua website yang ada di server tersebut terdeface (Semua bukan hanya user yang terinfeksi), termasuk file2 cpanel :D.

Btw apa bisa ya dari salah satu situs yang terinfeksi effeknya ke seluruh isi server. Share dong sekuritynya, ngeri juga soalnya, banyak user yang yang bandel pake plugin yang gak asli.

Thx
 

rendy

Hosting Guru
Verified Provider
Masalahnya user yang terinfeksi jadi punya akses root, dan mengganti semua file index* home* default* menjadi html defacenya dia. Jadi semua website yang ada di server tersebut terdeface (Semua bukan hanya user yang terinfeksi), termasuk file2 cpanel :D.

Btw apa bisa ya dari salah satu situs yang terinfeksi effeknya ke seluruh isi server. Share dong sekuritynya, ngeri juga soalnya, banyak user yang yang bandel pake plugin yang gak asli.

Thx

bisa, dari user biasa bisa jadi root
dari plugin / wordpress yang ga diupdate
disusupi perl script
kalau C script biasanya lebih cepat dikenali, terkecuali sudah dicompile
perl biasanya jarang yang nyadar karena mungkin dikira itu proses cpanel
 

nicosoftmedia

(RIP) Community Guide
Benar, bisa juga karena pemakaian plugins atau script yang bersifat nulled. Makanya usahakan jangan pakai yang nulled. Sebab dengan menggunakan Nulled sudah barang tentu memberi celah pada sistem yang sudah/sedang berjalan.
 

yanwar.purnama

Beginner 2.0
Ngeri juga nih, masalahnya kita gak bisa kontrol user pake script nulled atau tidak. Ada alat buat ngecek nya gak mas rendy ...?
 
Status
Not open for further replies.

Top