aksi-hacker-1

Aksi Hacker

Aksi Hacker kali ini membuat website ekojunaidisalam.com, sempat down gara-gara seorang hacker dengan alias Rinto AR dari XaiSyndicate. Dia menggunakan celah pada wordpress untuk menanam backdoor pada website saya. Dengan bantuan tools shellcode dengan IP 159.253.145.183 jam server [15/Dec/2016:12:01:25] dia mengakses url “http://astaga.id/upload/images/coba.php?dir=/home/k7119888/public_html/upload/images/xai_config&do=auto_edit_user” yang mungkin dia gunakan untuk mempersiapkan persenjataan untuk mendeface website saya. Setelah melakukan berbagai macam upaya untuk mengupload plugin khusus yang dia recoded untuk menanam backdoor, yang ternyata setelah sukses pluginnya membuat direktori bernama “santet“. Dia melakukan pencarian terhadap hasil instalasi plugin yang berisi backdoor tersebut, terlihat ketika saya melakukan tracing terhadap aktivitasnya.

Aksi HackerAlhasil setelah jam [15/Dec/2016:12:12:50] dengan IP yang sama dia menemukan plugin yang sudah dia install di “/wp-content/plugins/santet/“, dimana ternyata disitu berisi backdoor bernama “xaishell.php” yang ketika saya traceback dan berhasil mendapatkan code script yang dia gunakan untuk melakukan WordPress Auto Deface, Auto Edit User, Adminer, Bypass vHost, kurang lebih ada 43 modul untuk meretas yang saya lihat pada code script tersebut. Anehnya pada jam [15/Dec/2016:12:36:41] dengan IP baru 36.72.207.219 dia mengupload file ke “/wp-content/uploads/2016/12/encode.php” yang dengan itu juga dia melakukan deface pada file index.php website saya.

Tepat jam [15/Dec/2016:12:37:03], dia selesai melakukan akses ke file “encode.php“. Setelah dia mengobok-obok database user saya dengan mengganti username dan password, dia melakukan login dengan mulus ke website saya dengan username saat itu “syndicate“, kemudian entah kenapa sekitar 30 menitan dia mengganti username menjadi “rintoar” dengan password “rintoar2234” dengan IP yang sebenarnya bisa saya trace hingga ke lokasi dimana dia melakukan tindakan peretasan ini. Yang bila mereka membaca UU ITE Nomor 11 Th 2008 pasal 46 ayat 1 minimal mereka di pidana penjara paling lama 6 tahun dan/atau denda paling banyak Rp. 600.000.000,00 (enam ratus juta rupiah).

Sebenarnya saya senang sekali ada hacker yang mengobok2 website saya, tanya mengapa ? Ya iyalah senang mas/mbak pembaca, kita di hackerone.com ketika menemukan bug pada sebuah sistem kita dibayar mahal mulai dari $500 hingga ribuan dollar demi mencari celah seperti misal pada situs instagram, imgur, dll :D. Nah ini hacker dengan baik hati mencari bug pada website saya yang sebenarnya sudah banyak yang mempublish POC (Proof Of Concept) bug pada wordpress seperti di https://www.pluginvulnerabilities.com/blog/ yang bisa teman-teman pembaca akses. Disitu dijelaskan ada beberapa issue yang sebenarnya sudah lama, namun belum dilakukan perbaikan/tanggapan terhadap bug itu.

Sekarang website saya telah kembali ke kondisi seperti semula, sekali lagi saya sangat senang sekali bila ada hacker dengan baik hati meretas website saya. Karena disatu sisi saya menggunakan wordpress yang notabene banyak jadi sasaran aksi hacker, kedua saya males baca-baca bug terkini, jadi bila ada yang menghack website saya itu berarti saat itu saya harus melakukan patching pada bug tersebut, paling tidak saya tak perlu rajin mengecek bug terkini di wordpress hehe 😀 .

Saran saya terhadap teman-teman pembaca yang mungkin juga memiliki website, agar selalu backup dibanyak tempat, di local, di cloud, dan dimana saja bisa dibackup. Sehingga bila terjadi kerusakan yang diakibatkan oleh orang yang tak bertanggung jawab, bisa dapat kita selamatkan. Sebenarnya backup saja tidak cukup, kalau kita mampu memodifikasi source code corenya kenapa kita tidak implant backtrack pada beberapa file yang pantas di jadikan umpan 😀 . Sebelum melakukan penyerangan, kebanyakan hacker melakukan teknik Information Gathering, sebelum melakukan Vulnerability Scanning dan menanam exploit, beberapa diantaranya dia menanam Persistent Backdoors seperti xaishell.php untuk memaintain akses dia pada sistem korban. So, waspadalah, waspadalah. 😀