Kelalaian admin dalam mengkonfigurasi server, bahayakah???

Oleh tomahawk & EVA-00
Published: September 17, 2008
Updated: September 17, 2008

Berawal dari sebuah pesan yang dikirimkan oleh seorang sahabat maya.


tomahawk_digital: http://www.otomotifnet.com
tomahawk_digital: username : 1′ or ’1=1′/*
pass : 1′ or ’1=1′/*
tomahawk_digital: ampun deh
EVA-00: gw cek dulu ke TKP


 

Owh…telah ditemukan bug SQL injection pada situs http://www.otomotifnet.com yang memungkinkan attacker bisa login tanpa mengetahui username & password. Sahabat ku mencoba mencari tau email sang admin untuk melaporkan bug tersebut, namun disayangkan sahabat ku tidak menemukan email sang admin . Tapi tunggu dulu, aku menemukan halaman surat pembaca, niatnya aku dan sahabat ku ingin melaporkan bug tersebut disitu, tapi sangat disayangkan lagi karena kata-kata pada halaman tersebut membuat kami jengkel .

 


tomahawk_digital: “Mengingat banyaknya surat yang masuk, redaksi mengutamakan surat yang ditulis dengan baik dan disertai dengan identitas yang jelas”
tomahawk_digital: sok laris nih situs
EVA-00: gw jg mau bilang ke lu.
EVA-00: bener-bener so laris neeh situs


 

Niat baik untuk melaporkan bug berubah menjadi  ingin memberi pelajaran kepada situs tersebut. “Kasih pelajaran apa yah…” terpikir dibenak ku, apakah surat pembaca sudah difilter oleh tag html???

 


EVA-00: gw lagi nyobain surat pmebacanya..
EVA-00:  :P
tomahawk_digital:puasa  oi…
EVA-00: kali aja blm di filter.
tomahawk_digital: upload yah
EVA-00: yoi.
tomahawk_digital: ayoo…ceritanya lo client…gw admin
tomahawk_digital: lo jg bisa yah jadi admin
EVA-00: seep…
tomahawk_digital: gk di filter, lari kemana yah??
EVA-00: tunggu bentar.
tomahawk_digital: ah kupret..upload gambar juga gk ngaruh
EVA-00: coba masukin html
EVA-00: ngaruh gak.
tomahawk_digital: bntar
tomahawk_digital: gk ngaruh


 

Ternyata halaman surat pembaca sudah di filter dan kami tidak bisa memberikan pelajaran pada situs tersebut.  Hmmm ku coba melihat halaman utamanya, wow…situsnya menarik sekali, ku coba tekan CTRL + U untuk melihat source codenya. Sungguh puyeng melihat berates-ratus baris code seperti ini. Eits apa ini??? Aku menemukan sebuah URL yang sangat menarik.

 

eXplore Your Brain

 

Ku coba melihat url tersebut melalui browser ku, wooooowwww. Direktori web hostingnya terlihat dengan jelas. Dan ada satu direktori untuk melakukan upload file :P setan yang terpenjara di bulan puasa ini mulai bangkit di otak ku.

eXplore Your Brain

 


EVA-00: http://202.xx.xx.xx/gramedia/
EVA-00: situsnya hostingnya kocak.
EVA-00: clientnya kliatan semua.
tomahawk_digital: numpang ngakak dulu
EVA-00: http://202.xx.xx.xx/gramedia/upload/
tomahawk_digital: mati kalo ini,  coba aahhh
EVA-00: sama gw jg mau nyoba..
tomahawk_digital: puasa…aahh…dosa dikiittt
EVA-00: tunggu gw blm upload nih.
tomahawk_digital: ada
tomahawk_digital: sensored_nama_backdoor.php
EVA-00: mana??
tomahawk_digital: http://202.xx.xx.xx/gramedia/upload/tmp/


 

sahabat ku sudah mengupload shell code dan ku coba mengaksesnya, kami bisa dibilang hanya seorang script kiddie, So What???

Ku coba mencari informasi penting pada server tersebut walaupun agak lama dan membuang waktu akhirnya aku menemukannya. Dan ku coba melakukan remote pada server tersebut & door….Whoami ?? I’m root now…

 

eXplore Your Brain

 

Another Directory :

eXplore Your Brain

 

Mungkin langkah yang kami lakukan hanyalah trik kacangan yang cupu dan sudah sangaaat basi. Tapi sebenarnya bukan trik nya yang basi atau cupu, melainkan sang admin yang terlalu lalai dalam mengkonfigurasi server, sehingga dengan mudah dimasuki oleh attacker.

Yang dapat kita simpulkan dari cerita tersebut adalah administrator lalai dalam mengkonfigurasi servernya. Setelah aku meng-explore server tersebut aku menemukan sebuah file yang berisi username & password untuk koneksi kedalam database, karna usernamenya adalah ‘root’ dan passwordnya adalah “xxx” disitulah terpikirikan oleh ku untuk meremote server tersebut berdasarkan informasi yang saya dapatkan. Dan hasilnya root..root & root.
Aku memang kurang paham dalam mengkonfigurasi server, tapi jika satu user dan password digunakan secara bersama-sama menurut ku ini bukanlan konfigurasi yang benar (CMIIW).

Akhir kata, kami ingin mengucapkan banyak terima kasih kepada :

EVA-00 :
Greats to : All Hacker & Cracker in the world dari yg online sampe yg offline, espesialy to temen2 di Jasakom & exploreyourbrain yang membuat ku selalu meng-explorisasi otak. So…keep explore your brain guys….

Tomahawk :
Thanks to Allah SWT…maafkan saya, lagi puasa malah melakukan penetrasi..hiks
seperti biasa, kampus tercinta IPB, khususnya jurusan teknik komputer.
Th30nly, masih tetep belom bisa bales gw ilmu dari lo.
All jasakomers.
om PIRUS (kayanya sekarang beliau jadi konsultan aye nih …piss)

tomahawk & EVA-00

 

Status : Bug ini sudah di laporkan kepada Admin dan di respon sangat baik.

 

Deface itu apa sih??? Deface adalah suatu teknik ilegal yang digunakan untuk mengganti atau mengubah seluruh atau sebagian halaman dari suatu website tanpa se-ijin pengelolanya. dan yang sedang marak akhir-akhit ini adalah defacing Profile Friendster secara massal. dan Apakah Profile Friendster anda pernah berubah tampilannya atau dideface, seperti gambar dibawah ini.

Deface-Profile-Friendster
Deface-Profile-Friendster

Kalau tampilan profile friendster anda sudah diganti seperti ini, berarti anda telah lalai dalam mengkonfigurasi friendster anda. OK…saya akan memberi tau anda bagai mana cara mendeface profile friendster tersebut dan cara menangkalnya, tapi ingat artikel ini dibuat untuk tujuan pendidikan, dan supaya anda dapat menghindari aksi defacing masal seperti ini.

Pada contoh kali ini, saya akan mendeface friendster saya sendiri, setelah anda login dan bla.bla..bla, saya mengirimkan Comment atau testimonial kedalam Friendster saya, kok testimonial? Yup…karena testimonial adalah salah satu jalur yang dapat di isi input oleh para pengguna friendster. dan bagaimana kalau input tersebut saya isi dengan kode-kode jahat? maka hasilnya bisa seperti gambar diatas, hah…!!!
Ok, sekarang saya akan memasukkan xploit_for_fs yang bisa anda download disini.



Download xploit_for_fs

Laly saya mengcopy xploit tersebut kedalam friendster saya, dan yang pasti script tersebut sudah saya modifikasi sendri, saya yakin bagi anda yang sudah terbiasa dengan kode-kode HTML bisa mengartikan dan memodifikasi script tersebut, dan saya tidak akan menjelaskan kepada anda fungsi-fungsi dari baris script tersebut, silahkan usaha sendiri ya…!!

Maka setelah anda mengklik tombol “Submit” Jreeeengggg….!!!! Selamat Profile Friendster anda telah dideface seprti gambar paling atas…gampangkan??? tapi ingat, kalau anda melakukan hal tersebut siap-siap untuk diserang balik, dan mungkin akibatnya lebih parah dari artikel ini….Dewasalah..!!!

Kenapa hal itu bisa terjadi??? Sebenarnya trik tersebut tidak akan berhasil jika user mensetting ” Approve comments automatically ” menjadi “Never”, masih bingung ya??? gini aja deh…setelah anda masuk kedunia friendster silahkan klik “Setting” seperti gambar dibawah ini.

Setelah anda mengkliknya, maka akan tampil beberapa setting untuk profile friendster anda, kalau anda mensetting ” Approve comments automatically ” menjadi “Never” seperti gambar dibawah ini, maka 90% profile friendster anda akan aman, kok cuma 90%, 10%nya kemana?, ingatlah…didunia ini tidak ada satupun website yang secure 100%, percayalah…!!!

mensetting pilihan tersebut menjadi Never, maka setiap ada Comment atau Testimonial yang masuk maka Comment tersebut tidak akan langsung ditampilkan kedalam profile friendster anda, comment tersebut akan tampil jika anda meng-Approve Comment tersebut atau yang lebih tepatnya lagi, anda-lah yang mengatur Comment atau testimonial yang akan ditampilkan diprofile friendster anda. Lain halnya jika anda memilih “Always” alhasil setiap ada Comment yang masuk ke friendster anda, Comment tersebut akan langsung ditampilkan tanpa seijin anda, maka BURUAN Setting friendster anda sebelum di-deface oleh orang lain.

EVA-00, friendster gw udah deface nih sama musuh bebuyutan gw, trus cara balikin tampilan profile friendsternya gimana? hah…udah ada yang kena deface??? memang saat ini aksi deface-mendeface friendster sedang hangat-hangatya, orang yang tidak tau apa-apa malah jadi kelinci percobaan… kalau anda ingin mengembalikan tampilan friendster yang sudah di-deface, ikuti petunjuk dibawah ini.

Setelah anda login kedalam situs friendster, bukalah browser baru lalu ketik url ini
http://www.friendster.com/comments.php

Pada tampilan diatas, terlihat seluruh Comment ada pada friendster anda, Lalu Check atau centang user yang memberikan kode-kode jahat kedalam friendster anda, pada artikel ini saya menghapus Comment yang baru saja saya kirim, lalu didelete Comment tersebut, maka Profile Friendster anda akan kembali seperti semula, Woi EVA-00 kok pas gw coba kok ga’ bisa tampilannya ga’ berubah??? kalau belum bisa, coba Profile Friendsternya di Refresh dahulu…

Sekali lagi saya ingatkan, Artikel ini dibuat untuk tujuan pendidikan dan supaya anda dapat menghindari aksi defacing masal seperti ini…