kudahitamnet
Poster 2.0
Sabtu, 13 April 2013 lalu saya membaca berita persidangan Wildan si peretas situs SBY.
Malemnya, SBY launching Twitter-nya. Hehehe... :o
Ehm, tapi bukan itu yang mau kita diskusikan.
Menurut JPU dalam persidangan Wildan itu, Wildan masuk ke hosting A dengan metode SQL Injection, kemudian menanamkan backdoor berupa WSO.php, lalu menggunakan metode symlink untuk mengakses hosting B, kemudian menggunakan WHMCSKiller untuk mendapatkan akses ke WHMCS, lalu membuat domain baru dari registrar hosting B.
Untuk itulah saya mencoba thread ini agar kita sesama hoster tidak kecolongan lagi. Jadi dimohon dengan hormat kesediaannya kepada seluruh hoster untuk melengkapi/koreksi thread ini.
1. Wildan Masuk Menggunakan SQL Injection
Sebetulnya SQL Injection ini dengan mod_security pun sudah bisa ditangkal. Barangkali rekan-rekan ada tips lain, silakan dilengkapi. Mengingat, SQL Injection merupakan pintu gerbang situs-situs di-hack.
2. Wildan Menanam Script Backdoor WSO.php
Saya menemukan beberapa file yang mirip-mirip script WSO.php tersebut. Diantaranya:
- wso.php itu sendiri
- config.pl
- config.am
- MySQL.php
- nsuser.php
- shellijau.php
- ida.php
Jika ternyata penyusup berhasil masuk, dan menanam backdoor diatas, berikut solusinya dengan mencoba menemukan file-file tersebut di server kita, dan kemudian menghapusnya.
Gunakan command yang telah dishare oleh rekan @visualhost
Untuk menemukan config.pl dan config.am, gunakan command berikut:
find /home/username/ -name "*".* -type f -print0| xargs -0 egrep "symlink" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq
Ganti username dengan username Anda.
Untuk menemukan wso.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "WSOstripslashes" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq
Ganti username dengan username Anda.
Untuk menemukan nsuser.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "7X1se9pV8vDfv2ye" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq
Ganti username dengan username Anda.
Untuk menemukan ida.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "OOO000000" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq
Ganti username dengan username Anda.
Untuk menemukan MySQL.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "mysql_web_admin_username" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq
Ganti username dengan username Anda.
Untuk menemukan shellijau.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "+vNwhg" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq
Ganti username dengan username Anda.
Untuk file WSO.php itu, hacker dapat menjalankan command ln -s/home/user/public_html/folderclient/configuration.php
atau seperti yang dilakukan Wildan cat/home/tech/www/my/configuration/.php
Pastikan rekan-rekan telah menambahkan perintah berikut pada WHM root → PHP Configuration Editor → Advanced Mode → Safe Mode disable functions, isi dengan rule:
symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd,exec,ini_alter,parse_ini_file,pcntl_exec,proc_get_status,proc_nice,proc_terminate,show_source
Sedangkan file config.am, config.pl, ida.php, mysql.php, dan shellijau.php merupakan 1 paket yang nantinya akan dijalankan untuk mendapatkan data login korban. Tapi jangan khawatir jika sudah menambahkan rule diatas pada disable functions, eksekusi dapatkan config dengan metode ini akan gagal.
*barangkali rekan-rekan ada menemukan script backdoor lainnya, dimohon dengan hormat agar bisa di-share demi kepentingan bersama.
3. Wildan Menggunakan WHMCSKiller
WHMCSKiller memang menakutkan sesuai namanya. Saya rasa, jika sudah masuk pada bagian ini, hacker dengan mudah akan mendapatkan akses ke WHMCS.
Pertanyaannya, walau sudah dapat data login, bisakah mereka login ke administrator?
Saya perhatikan, WHMCSKiller memang dapat menemukan user + password WHMCS dengan mudah. Namun tidak untuk menemukan halaman admin.
Solusi untuk mencegah WHMCSKiller bisa dilakukan dengan langkah-langkah berikut:
1. Memindahkan Folder Admin Ke Folder Yang Lebih Aman.
Memindahkan folder admin WHMCS hanya dapat dilakukan dengan me-rename saja. Tidak dapat move ke sub folder. Apakah dengan langkah ini menjamin WHMCS aman? Sabar. Tunggu ke langkah selanjutnya. Jangan lupa untuk mengganti custom admin path di config WHMCS ya, dan jangan lupa update cronjob Anda jika halaman admin telah diganti.
2. Membuat Password Pada Folder Admin.
Sekalipun penyusup berhasil masuk dan tahu config WHMCS, lengkap dengan tahu lokasi admin page WHMCS Anda, kalo dia kita suruh nebak password lagi untuk lolos ke admin page WHMCS, rasanya... Frustasi juga dia.
Caranya, di cPanel → Password Protect Directories. Buat password untuk folder admin WHMCS. Wordpress-nya juga sekalian.
Dengan password direktori ini hanya Anda dengan Tuhan saja yang tahu gimana bisa lolos ke admin page. Hehe... Mules mules dah tu hackernya...
3. Cegah Publik Mengakses Folder Anda.
Tambahkan Options All -Indexes pada .htaccess agar publik tidak dapat mengakses folder tanpa index.php/index.html. Pastikan berikan jarak atau tekan ENTER setelah rule tersebut agar dapat bekerja.
4. Tambahan
Modus lain yang justru sederhana namun mematikan adalah berpura-pura sebagai client baik-baik, bayar, lalu menanam backdoor, dari situ kita kecolongan.
-------------------------------------
Oke, mungkin itu langkah antisipasif agar sistem kita tetap aman, semoga bermanfaat.
Bagi rekan-rekan tetap ya, mohon dilengkapi.
Salam hangat, untuk seluruh keluarga besar DWH Endonesa! Merdeka! :o
Malemnya, SBY launching Twitter-nya. Hehehe... :o
Ehm, tapi bukan itu yang mau kita diskusikan.
Menurut JPU dalam persidangan Wildan itu, Wildan masuk ke hosting A dengan metode SQL Injection, kemudian menanamkan backdoor berupa WSO.php, lalu menggunakan metode symlink untuk mengakses hosting B, kemudian menggunakan WHMCSKiller untuk mendapatkan akses ke WHMCS, lalu membuat domain baru dari registrar hosting B.
Untuk itulah saya mencoba thread ini agar kita sesama hoster tidak kecolongan lagi. Jadi dimohon dengan hormat kesediaannya kepada seluruh hoster untuk melengkapi/koreksi thread ini.
1. Wildan Masuk Menggunakan SQL Injection
Sebetulnya SQL Injection ini dengan mod_security pun sudah bisa ditangkal. Barangkali rekan-rekan ada tips lain, silakan dilengkapi. Mengingat, SQL Injection merupakan pintu gerbang situs-situs di-hack.
2. Wildan Menanam Script Backdoor WSO.php
Saya menemukan beberapa file yang mirip-mirip script WSO.php tersebut. Diantaranya:
- wso.php itu sendiri
- config.pl
- config.am
- MySQL.php
- nsuser.php
- shellijau.php
- ida.php
Jika ternyata penyusup berhasil masuk, dan menanam backdoor diatas, berikut solusinya dengan mencoba menemukan file-file tersebut di server kita, dan kemudian menghapusnya.
Gunakan command yang telah dishare oleh rekan @visualhost
Untuk menemukan config.pl dan config.am, gunakan command berikut:
find /home/username/ -name "*".* -type f -print0| xargs -0 egrep "symlink" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq
Ganti username dengan username Anda.
Untuk menemukan wso.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "WSOstripslashes" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq
Ganti username dengan username Anda.
Untuk menemukan nsuser.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "7X1se9pV8vDfv2ye" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq
Ganti username dengan username Anda.
Untuk menemukan ida.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "OOO000000" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq
Ganti username dengan username Anda.
Untuk menemukan MySQL.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "mysql_web_admin_username" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq
Ganti username dengan username Anda.
Untuk menemukan shellijau.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "+vNwhg" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq
Ganti username dengan username Anda.
Untuk file WSO.php itu, hacker dapat menjalankan command ln -s/home/user/public_html/folderclient/configuration.php
atau seperti yang dilakukan Wildan cat/home/tech/www/my/configuration/.php
Pastikan rekan-rekan telah menambahkan perintah berikut pada WHM root → PHP Configuration Editor → Advanced Mode → Safe Mode disable functions, isi dengan rule:
symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd,exec,ini_alter,parse_ini_file,pcntl_exec,proc_get_status,proc_nice,proc_terminate,show_source
Sedangkan file config.am, config.pl, ida.php, mysql.php, dan shellijau.php merupakan 1 paket yang nantinya akan dijalankan untuk mendapatkan data login korban. Tapi jangan khawatir jika sudah menambahkan rule diatas pada disable functions, eksekusi dapatkan config dengan metode ini akan gagal.
*barangkali rekan-rekan ada menemukan script backdoor lainnya, dimohon dengan hormat agar bisa di-share demi kepentingan bersama.
3. Wildan Menggunakan WHMCSKiller
WHMCSKiller memang menakutkan sesuai namanya. Saya rasa, jika sudah masuk pada bagian ini, hacker dengan mudah akan mendapatkan akses ke WHMCS.
Pertanyaannya, walau sudah dapat data login, bisakah mereka login ke administrator?
Saya perhatikan, WHMCSKiller memang dapat menemukan user + password WHMCS dengan mudah. Namun tidak untuk menemukan halaman admin.
Solusi untuk mencegah WHMCSKiller bisa dilakukan dengan langkah-langkah berikut:
1. Memindahkan Folder Admin Ke Folder Yang Lebih Aman.
Memindahkan folder admin WHMCS hanya dapat dilakukan dengan me-rename saja. Tidak dapat move ke sub folder. Apakah dengan langkah ini menjamin WHMCS aman? Sabar. Tunggu ke langkah selanjutnya. Jangan lupa untuk mengganti custom admin path di config WHMCS ya, dan jangan lupa update cronjob Anda jika halaman admin telah diganti.
2. Membuat Password Pada Folder Admin.
Sekalipun penyusup berhasil masuk dan tahu config WHMCS, lengkap dengan tahu lokasi admin page WHMCS Anda, kalo dia kita suruh nebak password lagi untuk lolos ke admin page WHMCS, rasanya... Frustasi juga dia.
Caranya, di cPanel → Password Protect Directories. Buat password untuk folder admin WHMCS. Wordpress-nya juga sekalian.
Dengan password direktori ini hanya Anda dengan Tuhan saja yang tahu gimana bisa lolos ke admin page. Hehe... Mules mules dah tu hackernya...
3. Cegah Publik Mengakses Folder Anda.
Tambahkan Options All -Indexes pada .htaccess agar publik tidak dapat mengakses folder tanpa index.php/index.html. Pastikan berikan jarak atau tekan ENTER setelah rule tersebut agar dapat bekerja.
4. Tambahan
Modus lain yang justru sederhana namun mematikan adalah berpura-pura sebagai client baik-baik, bayar, lalu menanam backdoor, dari situ kita kecolongan.
-------------------------------------
Oke, mungkin itu langkah antisipasif agar sistem kita tetap aman, semoga bermanfaat.
Bagi rekan-rekan tetap ya, mohon dilengkapi.
Salam hangat, untuk seluruh keluarga besar DWH Endonesa! Merdeka! :o