[Warning] WordPress Jumping Hack

pagi..

abis sholat subuh tadi, aku cek email, ternyata ada alert password changes di salah satu wordpressku..

pas cek ke TKP ternyata HACKED asem..

pelakunya orang indonesia yang mengatasnamakan dirinya Bekasi Cyber Community

ci ye... baru belajar nge hack ya..

mungkin niat si hacker sih baik, mau ngasih info, kalau ntuh skuriti di website gw tuh jeblog.. alias banyak lubangnya..

nih meseg dari dia

Spoiler

Your Security Is Not Secure
Please Patch Your System

cuma kalau menurut ane sih, pesennya kurang tepat, kalau mau kasih pesen model gitu kirimnya ke root admin nya ajah.. coz dia yang bisa nge patch systemnya, bukan gue... so.. gw pikir ntuh hacker mesti belajar lagi

penasaran kenapa web gw bisa kena hack.. akhirnya gw track jejak-jejak terakhir dia..

dapatlah sebuah IP yang aku kenali sebagai ip dari indonesia

Spoiler

118.136.55.150

cek cek.. owner nih IP

Spoiler

descr: PT. First Media, Tbk
descr: ISP
descr: Jakarta - 12950

ooh punyanya first media, berarti beneran orang bekasi ntuh orang atau mungkin di jakarta, coz setau gw first media cuma ada di kota itu, dan di surabaya, di bandung gak ada.

okeh, ip dah dapet, sekarang gw pengen tau gimana cara dia hack web gw..

go to cpanel, buka semua log, liat catatan-catatan pergerakan tersangka pada saat kejadian, kira kira jam 00:50 han..

dapet deh.. sebuah website dengan alamat _http://agexxxku.com/images/zz.php
pas cek-cek eh ternyata IP nya sama dengan IP web gw.. maklum shared hosting lah..

ooh gw baru ngeh, ternyata bugs nya bukan dari wp gw, tapi dari system nya itu sendiri, melalui teknik jumping..

apa itu jumping.. ? kalau dalam bahasa sehari hari, jumping sih loncat.. jumping disini saya artikan juga loncat.. dari web satu ke web lain, dalam satu server...

caranya?
simple aja sih..
dia pake script shell php yang udah di tanam di website tertentu yang udah dia hack..
/images/zz.php itu lah script dia..

dia browser /home/username/public_html/ pake script itu..
dari sana dia bisa konek dan liat semua isi public_html
dari sana pula dia dapet detail wp-config.php gw

setelah tau username, dbname dan password..
setelah itu konek deh pake script itu juga..
terlihatlah jeroan db gw..

terus dia menuju ke table wp_users dia mengganti isi user_email dari email gw ke email dia [email protected]
tujuannya yaitu untuk mendapatkan reset password..

setelah di rubah, dia recover deh password wp gw lewat email dia.

setelah password di rubah, dia login, terus langsung edit file file sidebar.php themes gw diganti dengan program exploit dia.. program shell php..
tujuannya.. ya bukan lain untuk ngedit isi file-file yang ada di dalam web gw...

setelah terpasang tuh backdoor, dia buka lewat _http://namaweb/wp-content/namathemes/sidebar.php lalu dia edit deh index.php gw yang ada di /public_html/ dengan kata kata keberhasilan dia hack web gw.

nah abis itu dia cabut deh.. entah gw gak ngerti, kenapa dia begitu seneng berhasil hack web gw terus pasang tulisan hacked, then, go away..

kesimpulan:
dari pengalaman gw di dunia hitam dulu.. pas jaman badeg-badeg nya, nakal-nakalnya.. level hacker seperti ini bisa di bilang masih rendah.. why? karena dia ketergantungan ama scripts, hacker yang udah expert gak bakalan ketergantungan ama scripts, dia akan berusaha cari hole yang ada di web terus di injek, bukan jumping dari web lain, atau mungkin webnya dia...

so, hati-hatilah kepada para hoster, khususnya hoster lokal, dalam nerima client, banyak client-client nakal yang melakukan abuse terhadap server anda.
bukan abusing soal cpu load, ataupun memory_limit yang biasa blogger lakukan, tapi abusing karena exploitasi terhadap server anda.

solusi:
untuk hoster, silahkan secure kan server anda, kalau anda gak bisa, sewalah white hacker buat menjaga website anda, biasanya mereka seneng kalau dikasih kepercayaan buat jagain server, coz dia dapet rootnya. dan kalau terkena hack, biasanya suka di bales lagi..
untuk blogger, silahkan amankan web anda, semampu anda.. tapi sih intinya hoster dan blogger harus sama-sama menjaga webnya supaya tetap secure...

langkah awal pengamanan, buatlah permission web anda menjadi ready only, artinya anda cuma bisa edit edit file hanya lewat cpanel, hal ini lumayan cukup ampuh untuk mengatasi hal ini, karena file-file themes, dan plugins tidak bisa di rewrite kalau tidak lewat cpanel.
chmod folder jadi 755 file jadi 444, kalau untuk file yang sering di edit edit, chmodnya 644

okeh deh.. sekian curhat hari ini...
mo benerin websitenya, males.. lagian gak ada isinya..
mending tidur lagi dah..

see ya...!

 

hampir 90% pengguna wordpress kena hack dari metode jumping.

 

Mastah Teguh mmg paling mantapp. Hacker ditelusuri sedetil mungkin

 

Thanks infonya mastah teguh , walaupun berat buat ane

 

Wuiiih, mantan hacker di hacked he he he. mantap banget investigasinya

 

saya juga kena kemarin gan, dia make script/shell becak lompat yg mirip ama c99... untung dia gak berhasil ngacak2 db.
mestinya emg di pihak hosting yg patch...

 

rata rata hoster sekarang lebih fokusnya buat cari customer sebanyak banyaknya, ketimbang mikirin security.

 

kenapa ya sekarang lagi rame2 hack wp, apakah ini indikasi banyak calon hacker yg baru nemu script atokah memang hacker yg sedang belajar

 

oh, mastah satu ini ternyata mantan hacker juga ya?

 

lagi rame ramenya pake c99 kek nya nih ..
padahal old method,

 

Ilmu baru nich supaya gak kena hack... belajar ngehack untuk jaga diri bukan untuk ngehack...

 

sembunyiin wp-confignya kalo mau aman... tp hard coding sih nge-rename semua wp-config.php karena menurut pengalaman nubi, file databese scaner yg dipake ama si lamer ntu menscan file yang ada kata2 config, db, configuration dll.. selain wp, joomla juga sering kena ma teknik ini..

 

ane juga pernah beberapa x jadi korban om..
solusinya emang ganti permission file2 penting jadi 444.
aman dah

 

Alhamdulillah, masih baik hati ya tu om heker, cb dia jahara, mesti langsung clean all data dan database..

Terima kasih buat agan TS yang sudah menjelaskan, semoga saya bisa lebih berhati-hati lagi..

 

Mantap tipsnya, mohon diperjelas lagi, kalo ada yang bisa bantuin, listnya dunk... file2 apa saja yang perlu diubah permission jadi 444

 

,wagh mantab tipsnya mastah
teguh

Hacker aj ditelusuri ampe detil bgt

untuk file2 yg permissionnya
444 ap aj ya ?

 

wah ternyate bro teguh mantan pengguna ilmu hitam di dunia blogging

Spoiler

thanks atas sharingnye bro, sekalian kalo ane boleh nanya, file-file ama folder apa aje yang perlu diubah permissionnya?

 

walaupun ane belum terlalu ngerti sekarang, tapi ane yakin lama2 ane ngerti masalah ginian, satu2 istilah2nya mulai ane pahami

thanks mastah

 

JUOSSSSSSS

kalau inget teguh aditya jadi inget R3YR3

kasih tips yang lain donk oms, biar wp kita lebih aman dan nyaman

 

wah gile bener nih jumping, padahal sudah aman dari kitanya eh dari servernya yg ga aman :C