ya, kalo itung-itungannya sih, kita sudah kalah telak. karena mereka sudah berhasil masuk dan obok-obok sistem didalamnya. hal ini emang gak bisa dihindari, karena Pra release sistem, tidak ada proses audit keamanan maupun memasang perangkat pengamanan. jadi, yang sudah diaudit dan dipasangi perangkat saja masih ada kemungkinan celah keamanan, apalagi yang tidak sama sekali.
tapi gak apa-apa, toh tujuannya ini adalah agar tidak terjadi lagi. jadi sebisa mungkin melakukan blokade akses jalur masuk mereka ke sistem. dan cyberwar dimulai.
diawali dengan melihat file yang mereka upload.
jadi disini terdeteksi,ada file yang modifiednya berbeda dengan file-file lain,ini dipastikan bukan eksekusi dari sistem. lalu setelah coba dibaca isi filenya
ya, iklan slot gacir,. sudah cukup lelah berhadapan dengan mereka, tapi yang jadi menarik, mereka melakukan ini atas dasar ekonomi, jadi ya memang gak ada akhirnya selagi slot slotan masih berjaya.
dari info nama file, saya lakukan audit log. dan hasilnya
oke, file tunnel.php itu rupanya digunakan untuk jumping ke beberapa misi mereka, namun file backdoor aslinya itu malah bernama drraginfresh.php yang terletak di folder berbeda. dari informasi log, juga ditemukan alamat IP pengakses, jelas, IP itu kalau ditelusuri pasti VPN.
nah, ini salah satu kelemahan dari Republik Indonesia, pengelolaan internetnya masih setengah-setengah, IP VPN masih dijinkan, kalau mau clear, sebenernya tinggal tiru China, disana single gateway, jadi semua internet yang tidak mau dimonitor oleh mereka, ya gak boleh masuk, google contohnya. tapi ya gimana lagi, pemerintah kita emang begitu. hehe.
nah, saya coba melihat lebih detail tentang file drragonfresh.php tersebut, dan saya menemukan ini
file tersebut menurut tanggal pembuatannya dibuat dibulan maret, artinya, mereka sudah berhasil masuk ke sistem dibulan maret, atau bahkan sebelumnya. mereka menanam backdor, lalu membiarkannya sampai ada agensi judi online yang membeli backdor mereka. walaupun saya masih tidak yakin itu ditanam dibulan maret, karena bisa saja mereka merubah tanggal createnya. yang kacaunya jika memang dibuatnya maret, log diserver sudah hilang, karena rata-rata log hanya bertahan 3 bulan, kecuali managemen log disini bagus.
saya coba memahami isi dari file tunnel.php tersebut, karena disitulah mereka melakukan jumping untuk kebutuhan yang lain, salah satunya adalah phising dan spam.
ya, saya menemukan tools mereka yang digunakan untuk spam dan phising, selain digunakan untuk promosi judi online, setiap sistem yang berhasil mereka retas juga digunakan untuk phising, ( ini menjebak pada admin Medsos misalnya ) sehingga mereka berhasil mengakusisi medsos dari akun2 penting. misalnya medsosnya anu dibawah ini
dulu juga akun yutub DPR malah live judi online kan. hahaha.
oke, walaupun saya tidak percaya bahwa mereka sudah lama meretas ini sistem, saya coba membaca setiap log, namun saya tidak menemukan informasi berarti terkait celah keamanan dari sistem yang diretas ini. hanya beberapa IP dari peretas yang dapat saya kumpulkan.
cukup lelah karena berhari-hari harus membaca log, saya memutuskan untuk “memacing ikannya saja” . jadi yang saya lakukan adalah membuat beberapa script untuk memberitahu saya lewat pesan singkat, jika beberapa IP peretas mengakses file-file mereka. sebelumnya, saya hapus dulu semua script iklan dan backdor mereka.
kan, ya otomatis mereka pasti datang lagi, karena merasa kehilangan iklan dan akses backdor. dan yang ditunggu-tunggu akhirnya datang juga.
pesan singkat masuk melalui telegram BOT saya. bahwa mereka mendeteksi IP-IP peretas mengakses file mereka. ya pasti 404, karena saya sudah hapus, dari situ saya juga jadi tau, jalan tikus alias BUG utamanya dimana. yaitu pada plugin pihak ketiga dari sistem. saya juga segera me-rename, sehingga mereka tidak bisa akses BUGnya lagi sebagai jalan masuk utama.
bahkan sampai hari ini, tgl 28 mei, para peretas masih berusaha mengakses BUG pada sistem tersebut
oke, dari kejadian ini kita belajar, bahwa perputaran judi online itu besar, tidak hanya melibatkan antara bandar dan pemain, tapi melibatkan para Black Hackers dan para penjaga sistem. para peretas mendapatkan penghasilan dari menjual backdoor, spam dan phising yang mereka tanam di sistem-sistem yang mereka retas. sementara Sysadmin sebagai penjaga sistem ? dapet gaji bulanan aja, kecuali mereka ikutan Fraud jualan backdoor wkwkwkwkw.
ada juga yang mendapatkan penghasilan dari tidak mem-block situs judinya :p
ada juga yang mendapatkan penghasilan dari pengamanan fisik dan pencucian dana.
saya hanya kepikiran, kalo dikelola dengan baik, nilai ratusan Triliyun dari judi online itu apa gak bisa ya buat bayar utang negara 😀