website diretas dan diinject link slo*t gac*or , kita perbaiki.

sudah lama banget saya gak nulis di blog ini. entah karena sibuk, atau males. kombinasi sih kayaknya hehe.

padahal, banyak banget kerjaan yang bisa di dokumentasiin di blog ini, ya bisa untuk sekedar kenangan, atau portofolio wkwkw

kali ini, saya lagi benerin sebuah website punya client, goverment yang laporannya ada link sl*ot g*acor di dalam website itu. si client meminta saya untuk membersihkan link dan menutup atau mencari tau celah keamanannya.

perpus5

hal pertama yang saya sampaikan kepada client adalah : “apakah sistem masih berjalan normal ?” , “ya, masih normal, jawab sang client”

saya meminta ke client untuk segera melakukan takedown atau memutus trafik ke website dari luar atau dari public. hal ini untuk kepentingan mitigasi.

setelah itu, saya meminta akses server kepada client, dan meminta untuk melakukan karantina, selain saya, jangan ada yang mengakses server tersebut.

kemudian, saya melihat websitenya. dari tampilan websitenya, ini adalah website perpustakaan yang source codenya berasal dari sebuah lembaga yang mengampu terkait perpustaaan, ya, benar, itu PERPUSNAS. dengan engine websitenya yang diberi nama INLISLite . 

INLISLite dibangun menggunakan bahasa pemograman PHP dan database MySql dengan memanfaatkan framework YII.

kemudian saya mencari kemungkinan Vulnerability yang terdapat pada INLISLite ataupun framework YII di mesin pencari google.

saya menemukan vulnerability pada INLISLite. berikut referensinya : Inlislite 3.2 Insecure Settings ≈ Packet Storm (packetstormsecurity.com)

hmmm, kemudian saya lakukan PoC pada website si client, namun tidak bisa. ini dikarenakan kredential tidak valid, ya bisa dirubah oleh admin, atau oleh siperetasnya. hehe

oke, lanjut kemudian saya login ke server. hal yang saya lakukan adalah melihat file log berikut besarannya. apakah syslog yang dibuat oleh administrator itu baik atau tidak. melihat dari sizenya, masih kurang baik sih.

saya tidak langsung membaca isi dari file log, karena bisa mual. saya berselancar dahulu sambil berenang renang ke folder aplikasi itu berada. folder yang saya sorot adalah folder yang memiliki permission full oleh web server. kebetulan, webservernya apache. biasanya, folder website yang memiliki full permission adalah folder dimana user bisa melakukan CRUD pada file/folder.

perpus1

nah, ada yang aneh satu, saya lanjut berselancar lagi deh di folder folder lainnya.

perpus2

nah, nemu lagi deh, coba saya pastikan isi filenya apa

perpus6

fix, ini php backdoor.

disini sekalian saya lihat, kapan siperetas melakukannya.

dan kemudian saya mencari file-file backdoor lainnya.

dari hasil analisis ini, menghapus file backdoor saja tidak cukup. karena pasti peretasnya akan kembali. saya lanjut analisis untuk menemukan celah keamanan pada web tersebut.

nah, saatnya berpusing ria, hehe. file log ini isinya ribuan, bahkan ada jutaan baris. dari hasil analisis diatas, saya sedikit trckly untuk menemukan celah keamanannya.

file backdoor sudah ketemu, berarti saya mencari log yang berkaitan dengan file backdoor tersebut.

perpus3

dari hasil percarian yang bernilai 200 , artinya 200 ini adalah respon ditanggapi oleh server. terlihat peretasan dilakukan sekitar 27 may 2023. namun, posisi file backdoor sudah terupload, belum kelihatan dari mana dia melakukan upload file backdoor tersebut yang disinyalir disitu letak celah keamanannya.

dari hasil percarian diatas, terlihat kan ya IP dari peretas, so sudah pasti dia pakai VPN. saya lanjut mencari tau celah keamanannya dengan membaca log dari IP tersebut. tentunya yang dilakukan pada tanggal 27 may 2023 atau sebelumnya.

perpus4

nah. sampai disini, bisa keliatan kalau emang bug atau vulnerabilitynya itu sama seperti yang saya sampaikan direferensi. berarti emang kredentialnya udah dirubah sama siperetas.

oke, saya lanjut, darimana dia berhasil upload backdoor itu. saya melanjutkan membaca log yang memiliki nilai POST pada diretory backend.

perpusdari hasil pencarian, ketemu. jadi celah keamanannya pada modul katalog dengan cara menambahkan konten-digital, darisinilah peretas mengunggah file backdoor pertamanya.

jadi kesimpulannya :

*peretas memanfaatkan celah keamanan atau vulnerability yang terdapat pada INLISLite

*peretas mengexploitasi celah keamanan dengan mengunggah backdoor atau malware dengan melakukan baypass file upload pada menu konten digital.

*tujuan peretas adalah membuat link sl*ot gac*or pada website

*motif peretas adalah ekonomi.

untuk saat ini, saya lagi bersihin backdoornya, dan ini butuh waktu. karena gak bisa dilakukan dengan bantuan antivirus atau anti anti lainnya, apalagi anti nyamuk.

setelah saya bersihin, baru saya backup database dan file appsnya. untuk jaga-jaga kalau rupanya siperetas punya hidden malware. utamanya, nutup celah kemanannya dengan menghapus folder backend atau merubah kredentialnya.

udah ah, segitu dulu ya. hehe.

 

Bagikan saja, itu tidak berat

Mitigasi host yang menjadi bot

awalnya saya hanya melakukan rutinitas pengecekan firewall di kantor yang saya tangani.

dari hasil monitoring, ada lalu lintas yang tidak wajar dari salah satu host. kemudian saya mencoba mencari tau lebih jauh.

aktifitas tidak wajar

aktifitas tidak wajar

dari gambar diatas, dapat diketahui bahwa host tersebut berasal dari farmserver, dimana aktifitas outgoing yang tidak normal menuju port tertentu.

mitigasi selanjutnya saya remote SSH server tersebut. hal pertama yang saya cek adalah konsumsi resource

resource penuh

resource penuh

selain resource penuh, ada proses yang tidak wajar berjalan pada server, saya mitigasi lebih jauh terkait proses tersebut dengan melihat lebih rinci dengan perintah :

ps aux | grep netsnd

proses tidak wajar

proses tidak wajar

hasilnya adalah gambar diatas.  ada proses yang menjalankan file tttt yang targetnya random. oke, disini sudah jelas kalau memang aneh. saya lanjutkan migitasinya dengan mencari keberadaan file tttt dan kemudian membaca isi file tersebut,

letak file tttt dan rekan2 nya

letak file tttt dan rekan2 nya

dari hasil pencarian, menemukan letak file tersebut, kemudian saya membaca isi dari file tersebut dan file-file lainnya.

menjalankan nmap

menjalankan nmap

dari sana dapat dibaca, bahwasannya, proses yang tidak wajar tersebut adalah menjalankan perintah nmap pada host random di internet.

proses tersebut akan memakan resource, baik CPU, RAM dan Network.

darisana sudah bisa disimpulkan, bahwa server tersebut sudah menjadi ROBOT yang dikendalikan oleh orang lain diluar sana untuk proses-proses yang dia inginkan.

oiya, selain menjalankan perintah nmap, rupanya server tersebut juga digunakan untuk mining

miner

miner

siapa pelakunya ? bagaimana cara masuknya ? 

diperlukan mitigasi lebih dalam untuk mengetahui pelakunya, sementara ini, server tersebut saya karantina agar tidak berproses sementara waktu, dengan demikian, aplikasi diserver tersebut juga tidak dapat diakses sampai dengan waktu yang belum ditentukan.

terima kasih telah mau membaca. :*

Bagikan saja, itu tidak berat

Pengertian Email phishing

cerita kali ini adalah tentang email phishing, tidak main-main, email phishing ini tertarget kepada salah satu Menteri di Indonesia raya.

email phishing

email phishing

jadi ceritanya lagi cek report email, karena Menteri ini sudah tidak menjabat, saya iseng cek akun email atas nama beliau. benar saja, akun emailnya masih ada tetapi dalam keadaan lock.

BTW mau ngasih pengertian phishing, tapi sudah banyak sih pengertiannya di internet. intinya, pelaku mengirimkan email yang bertujuan agar si penerima ( dalam hal ini Menteri ) untuk melakukan klik pada URL yang ada dalam isi email tersebut.

email phishing

email phishing

email ini mengakui dari official ZIMBRA, dengan bahasa yang baik dan benar sesuai EYD. tapi kalau di lihat dari webmail pelaku, jelas ini bukan official ZIMBRA.

dan kalau di klik, maka secara otomatis, komputer/laptop/hp akan terinstall aplikasi Malware.

email phishing

email phishing

untungnya, browser sudah mendeteksi bahwa web tersebut mengandung Malware, tapi jika itu website baru di bangun, mungkin beda ceritanya.

dan yang lebih menguntungkan lagi, Bapak Menteri tidak pernah membuka email. 😀

tapi, FIY ( for yor informasyon ) , selain email, sekarang phishing sudah berkembang melalui pesan singkat loh, misalnya WA atau yang lain. dan hebatnya lagi, phishing sekarang sudah punya kemasan baru, yaitu dalam bentuk gambar.

jadi PoC nya, setelah kamu klik gambar tersebut, maka tamatlah riwayatmu. hahahaha..

ah, sudah, jadi begitu saja cerita saya kali ini yang tidak bermanfaat ini.

terima gaji.

Bagikan saja, itu tidak berat

Bagaimana bisa sih server terserang Rootkit ? begini kronologinya.

Beberapa waktu lalu, salah satu Virtual Private Server terserang Rootkit.

Rootkit ini adalah kode jahat atau didalam dunia IT biasa disebut Malware. melakukan pekerjaan di server yang terinfeksi sesuai dengan perintah programmernya. ya pokoknya kalau mau tau lengkap tentang rootkit, bisa brosing-brosing yaks.

setelah di telusuri dari log, baik log firewall maupun log sistem operasi. kemungkinan besar rootkit itu masuk melalui port default SSH , yaitu 22.

metode yang digunakan adalah Brute Force, yaitu sebuah teknik mencocokkan kombinasi username dan password untuk akses ke remote SSH.

Brute Force Attack

nah, kok bisa masuk melalui port tersebut ? setelah di telusuri, kombinasi username dan password server yang terjangkir Rootkit untuk remote SSH itu sangat default, dengan loginnya root ( user tertinggi pula ).
username : root
passwd : rahasia

berikut bukti bahwa ada ribuan kali percobaan untuk login,

Brute Force 3

tidak butuh waktu lama untuk Script Brute Force tersebut mampu menebak kombinasi loginnya.

Brute Force Attack 1setelah berhasil masuk ke server, scipt tersebut menanamkan Malware, melakukan Sync Flood ke IP luar Negeri.

ini malwarenya :

Brute Force 5

Screenshot_535

dan ini kegiatannya :

Brute Force 5

ini bisa terjadi juga dikarenakan konfigurasi firewall yang kurang tepat, sehingga mengijinkan trafik yang dinilai tidak lazim untuk melewati jaringan.

sekian, mitigasi dari saya. semoga kejadian ini tidak terjadi lagi. amin.

Bagikan saja, itu tidak berat

Security Awareness VS Kamen Rider

*Security Awareness VS Kamen Rider*

Baru baru ini, saya melakukan pencegahan akses ilegal terhadap sebuah sistem komputer.
Menurut saya pribadi, ini bukan isu murahan, karena sistem yang diakses secara ilegal itu adalah penting. Disana dapur orang bisa tetep ngebul.

Saya mengamati pola, maksud dan tujuan si pelaku berada di dalam sistem. Melakukan blok terhadap akses, membersihkan backdor dan sisa2 script berbahaya lainnya. Kebetulan, server ini “telanjang” dan tidak pernah di update, berawal dari sanalah, dia bisa mendapatkan hak akses super user. Saya berasumsi, dia sudah lama berada di dalam server. Melakukan hal yang menguntungkan bagi dirinya, dan merugikan orang lain. Tentu, jika isu ini mencuat ke permukaan, maka akan jadi polemik yang tak berkesudahan. Heheheu. Jadi, cukup di lingkup kecil saja yang tahu.

Setelah selesai, saya melaporkannya secara singkat, pun tidak tertuang di dalam sebuah laporan. Karena saya sendiri tidak bisa membuat sebuah laporan yang apik sehingga bisa mudah di pahami orang lain. Dengan harapan, Security Awareness bisa menjadi aspek yang perlu diperhatikan dalam membangun sebuah sistem mengingat resiko yang dihadapi sampai sekemikian parah.

Namun, jika diukur di tingkat kepentingan, Security Awareness ini tidak penting-penting amat, levelnya jauh dibawah build sistem, dimana sistem bisa running, dan pejabat disana bisa tersenyum lebar. , hahahaha.. :*

Itulah penyebabnya kenapa Kamen Rider itu tidak pernah ada di dunia nyata. Kamen Rider itu tidak pernah membangun gedung-gedung tinggi, tidak juga ikut kursus bodyguard untuk tugas pengawalan. Namun secara suka rela membela kebenaran dan mempertahankan keutuhan bumi dari serangan gorgom. Dia juga tidak disibukkan dengan membuat laporan kinerja hariannya.

Jika Kamen Rider itu benar-benar ada, dia sudah jauh lebih dulu dikalahkan oleh sistem yang rumit, birokrasi yang sempit, dan hambatan-hambatan dari sekelilingnya yang bukan malah membantunya. Sementara itu, gorgom terus menyerang.

Lagian, jika Kamen Rider itu benar-benar ada, kapan lagi dia sempat nyuci SEMPAK. ?!

server
Bagikan saja, itu tidak berat

“numpang” internetan

Saya pernah punya teman, teman saya ini perokok berat. dia punya pacar seorang anak dokter. suatu ketika teman saya diberi pilihan oleh pacarnya itu.

pacar doi : “kamu mau pilih putus sama rokok, apa putus sama aku?”
begitu pacar doi yang seorang anak dokter bicara. Secara manusia normal, siapa sih yang rela putus sama cewek cantik mulus, anak dokter lagi. Tapi teman saya yang ubnormal itu menjawab.
teman : “ya lebih baik aku putus sama kamu daripada putus sama rokok”
jenius, teman saya adalah tipe cowok setia, setia sama rokoknya.

-dan mereka putus.

Saya juga punya seorang teman maniak internet, dia pernah ditanya oleh pacarnya.
pacar doi : “sayang, internetan terus, kalo disuruh milih, milih gak ketemu aku 3 bulan, atau gak ketemu internet 3 bulan?”

nah, teman saya yang satu ini udah ke-lewat ubnormal, dia jawab
“lebih milih gak ketemu kamu 1 tahun, daripada gak ketemu internet 1 bulan”

loh loh, pertanyaan sama jawaban gak singkron.

kalo saya dapet pilihan itu, saya tidak akan memilih, atau malah milih ke dua dua nya. hahaha..

jadi ceritanya gini, akhir bulan, gajian belum tiba, kantong kering, eh, paket internet habis pula. FIY, saya juga termasuk dalam golongan orang yang tidak bisa jauh dari internet, ya walaupun cuma brosing gak jelas sama scroll fesbuk semaleman. mau tidak mau, saya cuma punya satu pilihan. tidur.

sebelum tidur saya sempat memikirkan status terbaru teman-teman  bagaimana caranya bisa internetan.
saya ingat, dulu saya punya banyak alat, diantaranya USB wireless, modem, AP, Switch. dll. tapi barang udah tidak pernah dipakai, jadi malam itu saya putuskan untuk bongkar-bongkar lemari guna mencari barang yang saya butuhkan. apa itu ?

Saya terfikir ide jahat kriminal antek mamarika wahyudi remason. ide jahat itu adalah “menumpang” intenetan di jaringan wifi tetangga yang dipassword dengan tingkat pengamanan WPA2 PSK. berbekal ide jahat tersebut, saya kembali membongkar ilmu-ilmu untuk melancarkan aksi tersebut.

singkat cerita, saya membutuhkan USB Wireless yang kebetulan saya dulu punya, leptop dengan OS linux, tools, kopi dan rokok 😀

nah, USB wireless saya ini kebetulan tipe outdoor, jadi bisa dipasang diluar ruangan. saya pasang berdampingan dengan antenna TV supaya jangkauannya luas.

outdoor usb wireless
outdoor usb wireless

usb wireless ini saya sambung dengan kabel usb extended.
kemudian saya membuka leptop saya yang ber-sistem operasi linux ubuntu. saya melakukan scanning terhadap Access Point yang aktif. ada beberapa AP yang aktif, dan semuanya menggunakan keamanan password WPA2 PSK. selain milik tetangga, saya malah tertarik milik sekolahan yang kebetulan juga terjangkau dengan USB wireless saya. oke, aksi dilanjutkan.

jadi skenarionya begini,
setelah saya scan Access point, dan memilih target, saya mendapatkan handshake dari AP target.
kemudian, saya membuat AP palsu yang menyerupai AP target tadi.
setelah itu, saya melakukan flooding pada AP yang asli hingga down, jadi AP palsu yang saya buat yang tetap aktif.

secara otomatis, user yang aktif pada AP asli itu akan terputus dan mencoba untuk melakukan koneksi ke AP palsu yang saya buat. tentunya dengan sistem DHCP. oke, disini saya juga melakukan FakeDNS dimana semua request akan diarahkan ke localhost saya. jadi, client yang sudah terkoneksi ke AP palsu saya yang akan melakukan brosing akan diarahkan ke form login pada localhost saya untuk memasukkan password wireless network pada AP asli. teknik ini sering disebut social engineering atau tipu-tipu.

pada user dengan tingkat kepanikan tinggi, dia tidak akan meneliti terlebih dahulu apakah ini jebakan atau bukan. dan jika terjebak dan dirasa password sudah tepat (sistem pencocokan handshake), password akan terekam dan user lain akan terkoneksi seperti biasa.
beginilah skrinsut setelah password terekam

hore, saya internetan numpang, gratis, dan saya penjahat 😀

Bagikan saja, itu tidak berat

orang awam install linux ubuntu

Jadi ceritanya kemaren bingung seharian mau ngapain. masih kebawa bayang-bayang mantan komputer kantor dan beberapa flaskdisk yang di hinggapi virus menyebalkan ditambah lagi postingan temen di beranda fesbuk saya tentang Open Source, saya jadi semangat lagi pengen belajar linux. oh, sebentar, saya kenalin dulu linux itu apa, linux itu sistem operasi, iya, kayak windows itu, yang ada di leptop-leptop dan komputer kamu itu. bedanya linux kode programnya bebas dan terbuka. jadi siapapun bebas ngembangin, ya walaupun saya cuma pengguna baru dan awam di linux, dan seperti-seperti gak mungkin buat ngembangin. jadi bisanya instal aja deh. oke, langsung aja deh. jadi kepikiran buat nginstall semua komputer di kantor pake linux, itu kalo saya kepala kantornya. hahaha., karena hal itu gak mungkin, saya memutuskan untuk install si linux di leptop pribadi saya.
kali ini linux yang saya install dari varian ubuntu. kata orang, varian ini paling cocok buat pemula seperti saya, gampang dan gak ribet serta banyak dukungannya.
hal pertama yang saya lakukan adalah menyiapkan installer linuxnya di flasdisk, kita bisa gunakan unetbootin untuk membuat usb installernya.

kemudian, kita setting boot pertama kita melalui flasdisk, setting ini bisa kita temukan di bios setup. inget, masing-masing leptop itu berbeda. kalo saya menggunakan leptop merek HP. yang saya lakuin cukup tekan esc terus pas leptop baru nyala, kemudian ada option boot. saya pilih deh flaskdisk.

kemudian ada muncul boot linux ubuntunya, kita bisa tekan enter saja untuk meneruskan. menu ini berguna untuk load sistem dari flaskdisk. jadi kita diijinkan untuk melihat-lihat dulu ubuntu seperti apa sih. setelah cocok, dan akan melakukan instalasi, kita bisa lanjutkan proses berikutnya dengan pilih sorcut install ubuntu di dekstop

 kemuadian ada pilihan bahasa, pilihlah bahasa sesuai dengan pilihan ibumu.

setelah itu ada pilihan koneksi. kita bisa pilih next saja.

kemudian ada menu instalation type, nah disini yang paling harus hati-hati saat instalasi, jangan sampai data-data di harddisk kamu terhapus semua karen memilih menu yang salah. disini saya sarankan untuk memilih option something else. kamu juga disarankan memahami dahulu mengenai partisi di linux. berapa kasitas yang dibutuhkan dan lain lain.
 setelah itu pilih next, ada menu mengisi user account anda, isilah sesuai selera, lalu pilih next.
lalu tinggal pilih next next saja, dan disarankan untuk merestart  komputer/leptop kamu, maka instalasi ubuntu sudah selesai.
 

mudah bukan? ya memang mudah.

virus yang menjangkit di windows biasanya berextensi .exe , kalo bukan exe, bisa jadi itu malware dan script” jahat lainnya. nah, virus virus windows, tidak akan berjalan di linux, karena logika program virus yang di buat di khususkan untuk windows. hal ini bukan berarti tidak ada programmer yang membuat virus untuk linux, banyak, buaaaaanyaakkk dan lebih berbahaya. terutama untuk linux server. namun untuk kelas pemakaian dekstop, virus yang banyak beredar dipasaran adalah virus windows.

Bagikan saja, itu tidak berat