Penjelasan Penyerangan Web Site MAN SABA selasa 31 mei 2011

Penilaian User: / 0
TerburukTerbaik 
Pada hari selasa dan malam rabu web MAN Sabdodadi di craker lagi untuk ke dua dan ketiga kalinya. Asumsi kami sebagai pengelola web bahwa yang kurang aman adalah dari pelayanan Hosting yang kami sewa, ini persepsi awal, karena cara menyerangnya sama yaitu memodifikasi file INDEX.PHP di mana file ini adalah pintu gerbangnya sebuah website. Pada hari selasa web di cracker lagi dengan modus yang sama yaitu memodifikasi file index.php, langsung kami perbaiki file tersebut termasuk atribut file nya sehingga kedepanya tidak terserang lagi, tapi di malam harinya web terserang lagi oleh penyerang yang sama, kami mulai curiga..berarti bukan dari hostingnya yang kurang aman tapi dari CMS yang kami gunakan, kenapa ini penjelasannya :
  1. Kami menggunakan super administrator standar dari CMS Joomla yaitu admin, kami langsung mencoba login menggunakan username tersebut, tapi anehnya kami tidak bisa login karena passwordnya tidak cocok, kami mencoba recovery password lewat email..ternyata tidak bisa juga, ternyata si cracker menyerang website kami dengan cara mereset password super administrator. Telusur punya telusur ternyata biang keladinya adalah di http://nama website/components/com_user/models/reset.php . Password Reset ini sebenernya adalah fitur Joomla 1.5 untuk memudahkan Admin apabila lupa password.
    Mungkin karena lengah dalam men-develop fitur ini, maka bug-pun bersarang dan menjadi jalan bagi seorang Script Kiddie/cracker untuk men-deface situs
    Terlihat bahwa bugnya itu terdapat di komponen com_user.
  2. bukti adalah adanya perubahan email dan password di database joomla sebelum di serang email super administrator adalah This e-mail address is being protected from spambots, you need JavaScript enabled to view it dan passwordnya adalah 4cf5fec669460b6cc4a35b62b95945. (pasword yang di enkripsi dengan MD5) tapi setelah di serang berubah menjadi email : This e-mail address is being protected from spambots, you need JavaScript enabled to view it dan password menjadi : edd3454191b270acc80857d3df4ed4f5. coba anda perhatikan kode passwordnya berbeda sehingga kami tidak bisa masuk menggunakan password kami..dan jelas kami tidak bisa merecovery password kami karena emailnya di rubah dengan email si penyerang...kamipun harus masuk ke hosting-buka php my admin dan cari data base com_user cari admin dan di rubah emailnya ke email kami dan kami harus membuat script php untuk merubah pasword ,karena passwordnya di enkripsi menggunakan md5 maka untuk memasukkan ke database kami harus membuat Scripnya spt  di bawah ini, di ketikkan di notepad dan di simpan dengan ekstensi php, misalkan recovery password.php.

<?php
$password =masukkan password yang akn di rubah di sini;
//enkripsi password dengan md5()
$encrypted_password =md5($password);
echo Un-encrypted password:$password;
echo encrypted Password: $encrypted_password;
?>

  Script diatas untuk mengenkripsi kode ASCI ke md5, sehingga hasil enkripsi tersebut bisa langsung di masukkan ke data base com_uer

violaaa..kami pun bisa login ke administrator web kami.

Setelah kami bisa login selanjutnya adalah menambal bug di CMS joomla. Kami harus memodifikasi banyak script di file joomla salah satu yang menjadi prioritas adalah di http://nama website/components/com_user/models/reset.php sehingga password admin tidak tereset ulang, dan langkah ke dua memodikasi login standar joomla yaitu : http://nama website/administrator ke login yang kami rahasiakan sehingga tidak di serang dengan serangan yang sama dan merubah atribut file yang penting, sehingga tidak bisa diserang menggunakan HTML INJECTION atau yang sejenisnya..yang itu merupakan kelemahan dari hosting Cpanel dengan sistem operasi LINUX.. Tapi semua permasalahannya itu pasti ada jawabannya jika kita ada keinginan untuk mencari jawabannya.

Garis besarnya, penyerang menyerang web ini dengan proses seperti di bawah ini :

1.      Mereset password super administrator, menggunakan bug script pada reset.php

2.      Si penyerang login menggunakan password yang telah di masukkan ulang oleh si penyerang, login di www.namasitus.com/administrator

3.      Setelah login si penyerang merubah file index.php menggunakan media manager atau file explorer

4.      terakhir website pun tercracker

Cara diatas termasuk cara kuno dan sekarang website ber CMS Joomla sudah kebal dengan cara tersebut, kebetulan website kami belum terpatch sehingga masih bisa terserang, salah satunya karena website ini masih tergolong muda baru 3-4 bulan dan masih dalam pengembangan termasuk di keamanannya.

Untuk mengatasi penyerangan ulang dengan cara yang sama kami memberikan solusinya bagi yang menggunakan CMS Joomla ;

1.      Jangan menggunakan username super administrator bawaan joomla yaitu admin, karena mudah di tebak dan rawan serangan, Ganti username yang tidak mudah di tebak jangan ada kata admin untuk super administrator

2.      selalu perbaiki keamanan joomla dengan cara mengikuti update joomla

3.      rubah www.namasitus.com/administrator yang merupakan standard login joomla dengan alamat lain, walaupun diperlukan kerja keras untuk merubah ini, yaitu dengan merubah sebagian besar script di joomla, ya mungkin di perlukan satu hari satu malam untuk merubah keseluruhan script tersebut, tapi demi keamanan ya harus kita buat.

4.      terakhir selalu update dan sering di buka website anda sehingga jika terjadi serangan akan langsung di atasi

dengan demikian kesimpulannya adalah penyerangan yang kedua dan ketiga kalinya pada hari selasa dan selasa malam tgl 31 mei 2011 berbeda dengan penyerang yang pertama dulu...

itulah tips dari kami, walaupun tips diatas kemungkinan masih bisa di serang, tapi kita harus kembali ke kita sendiri bahwa manusia membuat sesuatu pasti tidak akan ada yang sempurna, yang sempurna hanyalah Allah SWT.


 
Normal 0 false false false MicrosoftInternetExplorer4

Pada hari selasa dan malam rabu web MAN Sabdodadi di craker lagi untuk ke dua dan ketiga kalinya. Asumsi kami sebagai pengelola web bahwa yang kurang aman adalah dari pelayanan Hosting yang kami sewa, ini persepsi awal, karena cara menyerangnya sama yaitu memodifikasi file INDEX.PHP di mana file ini adalah pintu gerbangnya sebuah website. Pada hari selasa web di cracker lagi dengan modus yang sama yaitu memodifikasi file index.php, langsung kami perbaiki file tersebut termasuk atribut file nya sehingga kedepanya tidak terserang lagi, tapi di malam harinya web terserang lagi oleh penyerang yang sama, kami mulai curiga..berarti bukan dari hostingnya yang kurang aman tapi dari CMS yang kami gunakan, kenapa ini penjelasannya :

  1. Kami menggunakan super administrator standar dari CMS Joomla yaitu admin, kami langsung mencoba login menggunakan username tersebut, tapi anehnya kami tidak bisa login karena passwordnya tidak cocok, kami mencoba recovery password lewat email..ternyata tidak bisa juga, ternyata si cracker menyerang website kami dengan cara mereset password super administrator. Telusur punya telusur ternyata biang keladinya adalah di http://nama website/components/com_user/models/reset.php . Password Reset ini sebenernya adalah fitur Joomla 1.5 untuk memudahkan Admin apabila lupa password.
    Mungkin karena lengah dalam men-develop fitur ini, maka bug-pun bersarang dan menjadi jalan bagi seorang Script Kiddie/cracker untuk men-deface situs
    Terlihat bahwa bugnya itu terdapat di komponen com_user.
  2. bukti kedua bahwa penyerang menggunakan cara yang berbeda dari pendahulunya adalah adanya perubahan email dan password di database joomla sebelum di serang email super administrator adalah This e-mail address is being protected from spambots, you need JavaScript enabled to view it dan passwordnya adalah 4cf5fec669460b6cc4a35b62b95945. (pasword yang di enkripsi dengan MD5) tapi setelah di serang berubah menjadi email : This e-mail address is being protected from spambots, you need JavaScript enabled to view it dan password menjadi : edd3454191b270acc80857d3df4ed4f5. coba anda perhatikan kode passwordnya berbeda sehingga kami tidak bisa masuk menggunakan password kami..dan jelas kami tidak bisa merecovery password kami karena emailnya di rubah dengan email si penyerang...kamipun harus masuk ke hosting-buka php my admin dan cari data base com_user cari admin dan di rubah emailnya ke email kami dan kami harus membuat script php untuk merubah pasword ,karena passwordnya di enkripsi menggunakan md5 maka untuk memasukkan ke database kami harus membuat Scripnya spt  di bawah ini..

Script diatas untuk mengenkripsi kode ASCI ke md5
violaaa..kami pun bisa login ke administrator web kami.

Setelah kami bisa login selanjutnya adalah menambal bug di CMS joomla. Kami harus memodifikasi banyak script di file joomla salah satu yang menjadi prioritas adalah di http://nama website/components/com_user/models/reset.php sehingga password admin tidak tereset ulang, dan langkah ke dua memodikasi login standar joomla yaitu : http://nama website/administrator ke login yang kami rahasiakan sehingga tidak di serang dengan serangan yang sama dan merubah atribut file yang penting, sehingga tidak bisa diserang menggunakan HTML INJECTION atau yang sejenisnya..yang itu merupakan kelemahan dari hosting Cpanel dengan sistem operasi LINUX.. Tapi semua permasalahannya itu pasti ada jawabannya jika kita ada keinginan untuk mencari jawabannya.

Garis besarnya, penyerang menyerang web ini dengan proses seperti di bawah ini :

1.      Mereset password super administrator, menggunakan bug script pada reset.php

2.      Si penyerang login menggunakan password yang telah di masukkan ulang oleh si penyerang, login di www.namasitus.com/administrator

3.      Setelah login si penyerang merubah file index.php menggunakan media manager atau file explorer

4.      terakhir website pun tercracker

Cara diatas termasuk cara kuno dan sekarang website ber CMS Joomla sudah kebal dengan cara tersebut, kebetulan website kami belum terpatch sehingga masih bisa terserang, salah satunya karena website ini masih tergolong muda baru 3-4 bulan dan masih dalam pengembangan termasuk di keamanannya.

Untuk mengatasi penyerangan ulang dengan cara yang sama kami memberikan solusinya bagi yang menggunakan CMS Joomla ;

1.      Jangan menggunakan username super administrator bawaan joomla yaitu admin, karena mudah di tebak dan rawan serangan, Ganti username yang tidak mudah di tebak jangan ada kata admin untuk super administrator

2.      selalu perbaiki keamanan joomla dengan cara mengikuti update joomla

3.      rubah www.namasitus.com/administrator yang merupakan standard login joomla dengan alamat lain, walaupun diperlukan kerja keras untuk merubah ini, yaitu dengan merubah sebagian besar script di joomla, ya mungkin di perlukan satu hari satu malam untuk merubah keseluruhan script tersebut, tapi demi keamanan ya harus kita buat.

4.      terakhir selalu update dan sering di buka website anda sehingga jika terjadi serangan akan langsung di atasi

itulah tips dari kami, walaupun tips diatas kemungkinan masih bisa di serang, tapi kita harus kembali ke kita sendiri bahwa manusia membuat sesuatu pasti tidak akan ada yang sempurna, yang sempurna hanyalah Allah SWT.

 

baner


 

 

Info Pengunjung






 
  hit counter