Cara Penanganan Tepat Untuk Masalah Serangan Mass Deface


Status
Not open for further replies.
dari semua mas, log mod sec , log csf , log apache serta access log
ini umum shellnya yg di taruh di user 1 jenis kah atau beda2 , coba jg dimatikan dr sana saja agar yg miss / terlewat dr sepengetahuan mas tidak bisa jalan auto .
 
dari semua mas, log mod sec , log csf , log apache serta access log
ini umum shellnya yg di taruh di user 1 jenis kah atau beda2 , coba jg dimatikan dr sana saja agar yg miss / terlewat dr sepengetahuan mas tidak bisa jalan auto .

Setelah saya melakukan Scan dan Auto Suspended.
Saya lihat hasil Log yang terekam setalah proses scan selesai.
Rata² Pelaku Defacer menanam PHPSHELL pada lokasi /public_html/wp-content/themes/namathemes/footer.php
Hampir kebanyakan seperti itu, ada juga Halaman yang Terdeface namun tidak di temukan PHPSHELL di dalamnya.
Apakah mungkin Pelaku Deface melakukan Scan Config cPanel dan Database? Karena Feeling saya mengarah kesana. Karena banyak juga client yang menggunakan password teramat sangat² mudah, sehingga mudah untuk di scan config.
 
...
Apakah mungkin Pelaku Deface melakukan Scan Config cPanel dan Database? Karena Feeling saya mengarah kesana. Karena banyak juga client yang menggunakan password teramat sangat² mudah, sehingga mudah untuk di scan config.

Yap betul, kemungkinan seperti itu.
saya pernah kena 20 situs mass deface dan ternyata ada shell yang bisa scan semua config dan mendapatkan semua file confignya

dan mereka cara defacenya urut lagi dari a - z

solusi waktu itu langsung mencoba shell nya dan memblokir lewat mod_sec
 
Yap betul, kemungkinan seperti itu.
saya pernah kena 20 situs mass deface dan ternyata ada shell yang bisa scan semua config dan mendapatkan semua file confignya

dan mereka cara defacenya urut lagi dari a - z

solusi waktu itu langsung mencoba shell nya dan memblokir lewat mod_sec

Nah cara memblokir shell yang bersakutan di mod_sec gimana?
Kebetulan saya sudah Unduh ke PC Lokal sampel Shell Pelaku
 
Setelah saya melakukan Scan dan Auto Suspended.
Saya lihat hasil Log yang terekam setalah proses scan selesai.
Rata² Pelaku Defacer menanam PHPSHELL pada lokasi /public_html/wp-content/themes/namathemes/footer.php
Hampir kebanyakan seperti itu, ada juga Halaman yang Terdeface namun tidak di temukan PHPSHELL di dalamnya.
Apakah mungkin Pelaku Deface melakukan Scan Config cPanel dan Database? Karena Feeling saya mengarah kesana. Karena banyak juga client yang menggunakan password teramat sangat² mudah, sehingga mudah untuk di scan config.

kebanyakan case scan di config cms mas , coba di perhatikan sistematis saja dl apakah yg web2 tanpa cms alias html biasa kena deface jg atau hanya yg bercms , klo hanya bercms skala virinya cm scan config2 dan db cms2 mungkin , cm klo yg non cms kena juga ini artinya sistem mas sudah cukup kebobolan perlu di lakukan investigasi secara menyeluruh lg
 
kebanyakan case scan di config cms mas , coba di perhatikan sistematis saja dl apakah yg web2 tanpa cms alias html biasa kena deface jg atau hanya yg bercms , klo hanya bercms skala virinya cm scan config2 dan db cms2 mungkin , cm klo yg non cms kena juga ini artinya sistem mas sudah cukup kebobolan perlu di lakukan investigasi secara menyeluruh lg

Sudah saya lakukan pengecekan, bahwa yang menjadi Korban keseluruhan adalah Para pengguna WP.
Untuk web statis aman2 saja.
 
Sudah saya lakukan pengecekan, bahwa yang menjadi Korban keseluruhan adalah Para pengguna WP.
Untuk web statis aman2 saja.

berarti mas tinggal cari dimana hole dr wp tersebut dan bagaimana shell itu bisa masuk , semua tercapture di log kok ada klo belum kereplace ya lognya .

klo sudah ketemu cara shell itu masuk baru mas patch make mod sec rules, nginx rules atau varnish rules bisa kok
setelah itu bongkar script shell nya dan matikan proses disana dr isi shell tersebut
 
berarti mas tinggal cari dimana hole dr wp tersebut dan bagaimana shell itu bisa masuk , semua tercapture di log kok ada klo belum kereplace ya lognya .

klo sudah ketemu cara shell itu masuk baru mas patch make mod sec rules, nginx rules atau varnish rules bisa kok
setelah itu bongkar script shell nya dan matikan proses disana dr isi shell tersebut

Jadi harus di lakukan pengecekan di setiap Website/Blog yang sudah di deface atau di masukin shell ya :)
 
kalo yg kena yg paling banyak adalah wordpress nya, selain server yg di optimasi, CMS wordpress dan plugin itu sendiri juga harus di control :

Server udah di isi segala macem : csf, LMD, ClamAV, dsb msh bisa tembus


coba beberapa tips dari saya di blog ini :

http://blog.atriumhosting.com/wordpress-security-emergency-action/

krn wordpress masuk dari third party plugin......


Setelah pasang itu coba install plugin Exploit Scanner, krn percuma di optimasi kalo sang hacker ninggalin backdoor nya :)
 
Status
Not open for further replies.
Back
Top