Share info Urgent ( hati-hati sama backdoor ini )


yogisparingga

Poster 2.0
Halo selamat siang temen2 DWH, mau share sedikit, hari ini saya dapat laporan dari client saya kena hack webnya, memang scr tampilan ngga ada yang berubah, untungya attackernya ngga iseng menghapus script dan lain2.

yang jadi masalah serius ketika attacker upload backdoor, ternyata backdoornya ini mampu mengubah dan mereset password cpanel tanpa mengubah email asli dari akun cpanel client saya, lalu mereset password cpanel ke email dia sendiri.

Saya harap temen2 di dwh dapat melaporkan ini ke cpanel nya. karena menurut saya ada bug pada cpanel nya itu sendiri.

saya lampirkan screenshot potongan script backdoor ini. saya sudah laporkan juga ke natanetwork, dan alhamdulillah ownernya respon dan segera menindak lanjuti.
fungsi backdoor ini adalah mengubah contact info untuk pada saat kt melakukan reset password cpanel, maka pada saat mau rset password cpanel akan menuju email si attacker itu sendiri. tp email asli dari cpanel itu sendiri ngga akan berubah.
1598418677036.png

maaf belepotan jelasinya.
terima kasih
wassalam.
 

Attachments

  • Screenshot_1.jpg
    Screenshot_1.jpg
    125 KB · Views: 9
bug pada cpanel nya itu sendiri

Cek log nya Tuan
Kemungkinan besar bukan terkait cpanel, biasanya user pakai aplikasi/plugin WP bajakan atau gratisan yang tidak jelas sumbernya
Sehingga memungkinkan pihak tidak bertanggunng jawab melakukan upload
 
Cek log nya Tuan
Kemungkinan besar bukan terkait cpanel, biasanya user pakai aplikasi/plugin WP bajakan atau gratisan yang tidak jelas sumbernya
Sehingga memungkinkan pihak tidak bertanggunng jawab melakukan upload
betul pak web client sy sendiri ada bug upload, tp masalah nya kl script php itu ter upload bahaya, dia ngg hanya menguasai lewat backdoor tp menguasai akun cpanel itu sendiri.
 
Saya harap temen2 di dwh dapat melaporkan ini ke cpanel nya

problem tersebut tidak terkait dari cpanel, sehingga lapor cpanel pun tidak bisa menyelesaikan masalah

Untuk proteksi lebih baik, rekomendasinya ditambahkan tools seperti BitNinja atau Imunify360, yang membantu memantau script malware/phising
 
betul pak web client sy sendiri ada bug upload, tp masalah nya kl script php itu ter upload bahaya, dia ngg hanya menguasai lewat backdoor tp menguasai akun cpanel itu sendiri.

Biasanya krn proteksi wp kurang bagus, web wp klien saya rata" 1 hari 20-30an percobaan ditembus, termasuk "nitip" file tp kena semua dng plugins yg saya sertakan. cPanel ada bitninja tp sejauh ini kurang terlihat nyata kinerjanya utk gtuan, imunify360 yg biasanya mengenai file "titipan" dlm file manager biasanya ketangkep.

Tambahan, aktifkan 2FA di cPanel, pairing dng Twilio Authy udah membantu utk menjaga akses login cPanel.
 
betul sepertinya bukan dari cpanel, tp lebih ke human error sih tuan, ada client saya pun yang sering kena inject pas di cek ternyata login admin yang masih default, seperti password masih menggunakan admin admin, atau admin pass.
 
Back
Top