Update Keamanan Kita Yuk!


Status
Not open for further replies.

kudahitamnet

Poster 2.0
Sabtu, 13 April 2013 lalu saya membaca berita persidangan Wildan si peretas situs SBY.

Malemnya, SBY launching Twitter-nya. Hehehe... :o

Ehm, tapi bukan itu yang mau kita diskusikan.

Menurut JPU dalam persidangan Wildan itu, Wildan masuk ke hosting A dengan metode SQL Injection, kemudian menanamkan backdoor berupa WSO.php, lalu menggunakan metode symlink untuk mengakses hosting B, kemudian menggunakan WHMCSKiller untuk mendapatkan akses ke WHMCS, lalu membuat domain baru dari registrar hosting B.

Untuk itulah saya mencoba thread ini agar kita sesama hoster tidak kecolongan lagi. Jadi dimohon dengan hormat kesediaannya kepada seluruh hoster untuk melengkapi/koreksi thread ini.

1. Wildan Masuk Menggunakan SQL Injection

Sebetulnya SQL Injection ini dengan mod_security pun sudah bisa ditangkal. Barangkali rekan-rekan ada tips lain, silakan dilengkapi. Mengingat, SQL Injection merupakan pintu gerbang situs-situs di-hack.


2. Wildan Menanam Script Backdoor WSO.php

Saya menemukan beberapa file yang mirip-mirip script WSO.php tersebut. Diantaranya:

- wso.php itu sendiri
- config.pl
- config.am
- MySQL.php
- nsuser.php
- shellijau.php
- ida.php


Jika ternyata penyusup berhasil masuk, dan menanam backdoor diatas, berikut solusinya dengan mencoba menemukan file-file tersebut di server kita, dan kemudian menghapusnya.

Gunakan command yang telah dishare oleh rekan @visualhost

Untuk menemukan config.pl dan config.am, gunakan command berikut:
find /home/username/ -name "*".* -type f -print0| xargs -0 egrep "symlink" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

Ganti username dengan username Anda.


Untuk menemukan wso.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "WSOstripslashes" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

Ganti username dengan username Anda.


Untuk menemukan nsuser.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "7X1se9pV8vDfv2ye" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

Ganti username dengan username Anda.


Untuk menemukan ida.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "OOO000000" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

Ganti username dengan username Anda.


Untuk menemukan MySQL.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "mysql_web_admin_username" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

Ganti username dengan username Anda.


Untuk menemukan shellijau.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "+vNwhg" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

Ganti username dengan username Anda.

Untuk file WSO.php itu, hacker dapat menjalankan command ln -s/home/user/public_html/folderclient/configuration.php
atau seperti yang dilakukan Wildan cat/home/tech/www/my/configuration/.php

Pastikan rekan-rekan telah menambahkan perintah berikut pada WHM root → PHP Configuration Editor → Advanced Mode → Safe Mode disable functions, isi dengan rule:
symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd,exec,ini_alter,parse_ini_file,pcntl_exec,proc_get_status,proc_nice,proc_terminate,show_source

Sedangkan file config.am, config.pl, ida.php, mysql.php, dan shellijau.php merupakan 1 paket yang nantinya akan dijalankan untuk mendapatkan data login korban. Tapi jangan khawatir jika sudah menambahkan rule diatas pada disable functions, eksekusi dapatkan config dengan metode ini akan gagal.

*barangkali rekan-rekan ada menemukan script backdoor lainnya, dimohon dengan hormat agar bisa di-share demi kepentingan bersama.


3. Wildan Menggunakan WHMCSKiller

WHMCSKiller memang menakutkan sesuai namanya. Saya rasa, jika sudah masuk pada bagian ini, hacker dengan mudah akan mendapatkan akses ke WHMCS.

Pertanyaannya, walau sudah dapat data login, bisakah mereka login ke administrator? :p ;)

Saya perhatikan, WHMCSKiller memang dapat menemukan user + password WHMCS dengan mudah. Namun tidak untuk menemukan halaman admin.
Solusi untuk mencegah WHMCSKiller bisa dilakukan dengan langkah-langkah berikut:

1. Memindahkan Folder Admin Ke Folder Yang Lebih Aman.
Memindahkan folder admin WHMCS hanya dapat dilakukan dengan me-rename saja. Tidak dapat move ke sub folder. Apakah dengan langkah ini menjamin WHMCS aman? Sabar. Tunggu ke langkah selanjutnya. Jangan lupa untuk mengganti custom admin path di config WHMCS ya, dan jangan lupa update cronjob Anda jika halaman admin telah diganti.

2. Membuat Password Pada Folder Admin.
Sekalipun penyusup berhasil masuk dan tahu config WHMCS, lengkap dengan tahu lokasi admin page WHMCS Anda, kalo dia kita suruh nebak password lagi untuk lolos ke admin page WHMCS, rasanya... Frustasi juga dia.

Caranya, di cPanel → Password Protect Directories. Buat password untuk folder admin WHMCS. Wordpress-nya juga sekalian.
Dengan password direktori ini hanya Anda dengan Tuhan saja yang tahu gimana bisa lolos ke admin page. Hehe... Mules mules dah tu hackernya... :rolleyes:

3. Cegah Publik Mengakses Folder Anda.
Tambahkan Options All -Indexes pada .htaccess agar publik tidak dapat mengakses folder tanpa index.php/index.html. Pastikan berikan jarak atau tekan ENTER setelah rule tersebut agar dapat bekerja.


4. Tambahan

Modus lain yang justru sederhana namun mematikan adalah berpura-pura sebagai client baik-baik, bayar, lalu menanam backdoor, dari situ kita kecolongan.

-------------------------------------

Oke, mungkin itu langkah antisipasif agar sistem kita tetap aman, semoga bermanfaat.
Bagi rekan-rekan tetap ya, mohon dilengkapi.


Salam hangat, untuk seluruh keluarga besar DWH Endonesa! Merdeka! :o
 
bisa juga di buat cronnya misal mau dijalankan auto ke server misal daily scanning dengan memakaikan regex

find /home/*/public_html
 
Sabtu, 13 April 2013 lalu saya membaca berita persidangan Wildan si peretas situs SBY.

Malemnya, SBY launching Twitter-nya. Hehehe... :o

Ehm, tapi bukan itu yang mau kita diskusikan.

Menurut JPU dalam persidangan Wildan itu, Wildan masuk ke hosting A dengan metode SQL Injection, kemudian menanamkan backdoor berupa WSO.php, lalu menggunakan metode symlink untuk mengakses hosting B, kemudian menggunakan WHMCSKiller untuk mendapatkan akses ke WHMCS, lalu membuat domain baru dari registrar hosting B.

Untuk itulah saya mencoba thread ini agar kita sesama hoster tidak kecolongan lagi. Jadi dimohon dengan hormat kesediaannya kepada seluruh hoster untuk melengkapi/koreksi thread ini.

1. Wildan Masuk Menggunakan SQL Injection

Sebetulnya SQL Injection ini dengan mod_security pun sudah bisa ditangkal. Barangkali rekan-rekan ada tips lain, silakan dilengkapi. Mengingat, SQL Injection merupakan pintu gerbang situs-situs di-hack.


2. Wildan Menanam Script Backdoor WSO.php

Saya menemukan beberapa file yang mirip-mirip script WSO.php tersebut. Diantaranya:

- wso.php itu sendiri
- config.pl
- config.am
- MySQL.php
- nsuser.php
- shellijau.php
- ida.php


Jika ternyata penyusup berhasil masuk, dan menanam backdoor diatas, berikut solusinya dengan mencoba menemukan file-file tersebut di server kita, dan kemudian menghapusnya.

Gunakan command yang telah dishare oleh rekan @visualhost

Untuk menemukan config.pl dan config.am, gunakan command berikut:
find /home/username/ -name "*".* -type f -print0| xargs -0 egrep "symlink" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

Ganti username dengan username Anda.


Untuk menemukan wso.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "WSOstripslashes" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

Ganti username dengan username Anda.


Untuk menemukan nsuser.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "7X1se9pV8vDfv2ye" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

Ganti username dengan username Anda.


Untuk menemukan ida.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "OOO000000" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

Ganti username dengan username Anda.


Untuk menemukan MySQL.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "mysql_web_admin_username" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

Ganti username dengan username Anda.


Untuk menemukan shellijau.php:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "+vNwhg" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniq

Ganti username dengan username Anda.

Untuk file WSO.php itu, hacker dapat menjalankan command ln -s/home/user/public_html/folderclient/configuration.php
atau seperti yang dilakukan Wildan cat/home/tech/www/my/configuration/.php

Pastikan rekan-rekan telah menambahkan perintah berikut pada WHM root → PHP Configuration Editor → Advanced Mode → Safe Mode disable functions, isi dengan rule:
symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd,exec,ini_alter,parse_ini_file,pcntl_exec,proc_get_status,proc_nice,proc_terminate,show_source

Sedangkan file config.am, config.pl, ida.php, mysql.php, dan shellijau.php merupakan 1 paket yang nantinya akan dijalankan untuk mendapatkan data login korban. Tapi jangan khawatir jika sudah menambahkan rule diatas pada disable functions, eksekusi dapatkan config dengan metode ini akan gagal.

*barangkali rekan-rekan ada menemukan script backdoor lainnya, dimohon dengan hormat agar bisa di-share demi kepentingan bersama.


3. Wildan Menggunakan WHMCSKiller

WHMCSKiller memang menakutkan sesuai namanya. Saya rasa, jika sudah masuk pada bagian ini, hacker dengan mudah akan mendapatkan akses ke WHMCS.

Pertanyaannya, walau sudah dapat data login, bisakah mereka login ke administrator? :p ;)

Saya perhatikan, WHMCSKiller memang dapat menemukan user + password WHMCS dengan mudah. Namun tidak untuk menemukan halaman admin.
Solusi untuk mencegah WHMCSKiller bisa dilakukan dengan langkah-langkah berikut:

1. Memindahkan Folder Admin Ke Folder Yang Lebih Aman.
Memindahkan folder admin WHMCS hanya dapat dilakukan dengan me-rename saja. Tidak dapat move ke sub folder. Apakah dengan langkah ini menjamin WHMCS aman? Sabar. Tunggu ke langkah selanjutnya. Jangan lupa untuk mengganti custom admin path di config WHMCS ya, dan jangan lupa update cronjob Anda jika halaman admin telah diganti.

2. Membuat Password Pada Folder Admin.
Sekalipun penyusup berhasil masuk dan tahu config WHMCS, lengkap dengan tahu lokasi admin page WHMCS Anda, kalo dia kita suruh nebak password lagi untuk lolos ke admin page WHMCS, rasanya... Frustasi juga dia.

Caranya, di cPanel → Password Protect Directories. Buat password untuk folder admin WHMCS. Wordpress-nya juga sekalian.
Dengan password direktori ini hanya Anda dengan Tuhan saja yang tahu gimana bisa lolos ke admin page. Hehe... Mules mules dah tu hackernya... :rolleyes:

3. Cegah Publik Mengakses Folder Anda.
Tambahkan Options All -Indexes pada .htaccess agar publik tidak dapat mengakses folder tanpa index.php/index.html. Pastikan berikan jarak atau tekan ENTER setelah rule tersebut agar dapat bekerja.


4. Tambahan

Modus lain yang justru sederhana namun mematikan adalah berpura-pura sebagai client baik-baik, bayar, lalu menanam backdoor, dari situ kita kecolongan.

-------------------------------------

Oke, mungkin itu langkah antisipasif agar sistem kita tetap aman, semoga bermanfaat.
Bagi rekan-rekan tetap ya, mohon dilengkapi.


Salam hangat, untuk seluruh keluarga besar DWH Endonesa! Merdeka! :o

mantebb..
buat yang mau simple, saya sudah gabungkan command yang diberikan.

cara pakai:
wget http://telin.bennykusman.com/~benny7/shellcheck.sh
chmod +x shellcheck.sh

untuk eksekusi: ./shellcheck.sh <<emailaddress>>

jadi hasil cek bakal dikirim ke email anda...
 
wah.. nice share Tuan.,

kalo saya perhatiin ini pengamanan dari segi pemilik server yah..
kalo bagi reseller gmn Tuan?
 
Super sekali trid ini....

wso.php ya?? hmm keren juga nih script, isinya beda dengan shell pada umumnya.
Code:
<?php ${"G\x4c\x4fB\x41\x4cS"}["\x64\x74\x65\x68\x79\x6bk\x65q\x77"]="\x64a\x74\x61";${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x74\x78l\x62j\x77\x72\x6ef\x6dl"]="\x61";${"\x47\x4c\x4f\x42\x41LS"}["\x6f\x72\x65u\x77q\x6e"]="\x62i\x6ed_p\x6f\x72t\x5f\x70";${"\x47L\x4fB\x41L\x53"}["r\x6a\x71q\x66\x73\x6d"]="t";${"\x47\x4c\x4f\x42A\x4cS"}..............................
............................

Makin sadis saja nih om om heker.
 
Ceritanya ini WHMCS/CPanel yang 'berlubang' ya?.

WHMCS/cPanel sebetulnya gak berlubang sih. Dilihat dari metode exploitnya dulu mas. Untuk kasus diatas, emang servernya belum "ketat" pengamanannya berarti.

wah.. nice share Tuan.,

kalo saya perhatiin ini pengamanan dari segi pemilik server yah..
kalo bagi reseller gmn Tuan?

Oh iya, reseller juga penting...
Mungkin yang bisa Tuan-Tuan lakuin:

1. Pengamanan WHMCS seperti yang disebutkan diatas itu.
2. Usahakan jangan bikin harga hosting terlalu murah hehe... Bisa jadi harga yang terlalu murah akan dijadikan ladang praktik yang subur buat coba-coba hehe... [ini hanya saran loh ya... Hehe :o]
 
WHMCS/cPanel sebetulnya gak berlubang sih. Dilihat dari metode exploitnya dulu mas. Untuk kasus diatas, emang servernya belum "ketat" pengamanannya berarti.



Oh iya, reseller juga penting...
Mungkin yang bisa Tuan-Tuan lakuin:

1. Pengamanan WHMCS seperti yang disebutkan diatas itu.
2. Usahakan jangan bikin harga hosting terlalu murah hehe... Bisa jadi harga yang terlalu murah akan dijadikan ladang praktik yang subur buat coba-coba hehe... [ini hanya saran loh ya... Hehe :o]

sebaiknya pisahkan whmcs dengan website lainnya apalagi shared. karena whmcs vital jika terkoneksi dengan auto provision ke module cpanel/vps/lainnya.
 
bukannya kalau website presiden yg di hack itu cuma ganti dns ya?

Begini Cara Wildan Meretas Situs Presiden

Super sekali trid ini....

wso.php ya?? hmm keren juga nih script, isinya beda dengan shell pada umumnya.
Code:
<?php ${"G\x4c\x4fB\x41\x4cS"}["\x64\x74\x65\x68\x79\x6bk\x65q\x77"]="\x64a\x74\x61";${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x74\x78l\x62j\x77\x72\x6ef\x6dl"]="\x61";${"\x47\x4c\x4f\x42\x41LS"}["\x6f\x72\x65u\x77q\x6e"]="\x62i\x6ed_p\x6f\x72t\x5f\x70";${"\x47L\x4fB\x41L\x53"}["r\x6a\x71q\x66\x73\x6d"]="t";${"\x47\x4c\x4f\x42A\x4cS"}..............................
............................

Makin sadis saja nih om om heker.

kadang harus hati2 juga dengan script backdoor seperti itu, kadang "disisipi sesuatu" lagi sama yg buat script tersebut, ngerti kan maksudnya? :D
 
Status
Not open for further replies.
Back
Top