20 Agustus 2008
01.00 dinihari
Waktu telah menunjukkan pukul 01.00 dinihari rasa ngantuk mulai datang, sebelum tidur sy cek web yang baru sy buat beberapa minggu yang lalu. web ini milik teman cuman dia minta dibuatkan web karena pengen skali punya situs .com :).
seperti biasa sy login di halaman administrator dengan user name dan password yang biasa sy gunakan, ketika sy login pertama kali,proses loginnya error.., loh kok bisa yah ? ah paling salah ketik atau capslocknya yang aktif, trus sy coba lagi, kali ini username dan password sy isi lebih teliti, dan memastikan username dan password telah diisi dengan benar, sy login kembali, dan ternyata error lagi sy coba sampe tiga kali tapi tetap error, Oh my God.... sy mulai curiga jangan2 web ini telah diHack..:(,
okay sekarang kita cek dulu diCpanel apa ada perubahan di tabel usernya,...dgn menggunakan phpmyadmin sy coba buka file usernya dan ternyata di tabel usernya bertambah 2 record...satu level admin dan satunya level registerd ( Okhh...Tidaakkkk.... WebKu diHack ).Ternyata ada orang yang telah masuk ke halaman admin webku dan menambahkan 2 user baru dgn level admin , terus user sy dia turunkan levelnya ke level manager. Ooo' ooooo.......( webku telah dibobol ).
saya coba cek apa saja telah dirubah sama orang ini. dan syukur deh dia hanya utak-atik dibagian usernya sedangkan dibagian artikel dia tidak melakukan apa2.. ( ternyata orang ini masih punya rasa kasihan..., karena seandainya dia mau, bisa saja dia menghapus semua data yang ada karna skarang dia telah memiliki hak admin ), yang menjadi pikiran skarang, bagaimana orang ini bisa masuk keweb sy ?, dimana lubang securitynya?.
Ok, Baiklah skarang saatnya untuk mencari tahu penyebab bobolnya web ini, sambil berusaha menghalangi orang tsb mengutak-atik lebih jauh web ini.
Langkah I.
Hapus dulu user yang telah dia buat ( sebenarnya langkah ini menurut sy belumlah efektif, efeknya cuma membuat dia gagal login,dan setidaknya memberikan peringatan kepada dia kalo sy telah melakukan sesuatu untuk mencegah dia masuk kembali ke hlmn admin web sy ). terus password admin sy rubah kembali dengan cara manual ( copy field password dari localhost ).
Langkah ke II
Mengunci direktori administrator dengan password lewat Cpanel. ( ini bisa menjadi cara yang ampuh untuk mencegah dia masuk ke halaman admin ) jadi saat ini untuk akses halaman admin harus melalui 2 password, pertama password direktori admin dan password login admin
Jam telah menunjukkan Pukul 3.00 dinihari, sepertinya skarang harus tidur dulu,walaupun sy masih penasaran karna belum tahu bagaiamana caranya dia menembus password admin web sy, and lubang security dimana,baiklah tidur dulu, besok lanjut lagi, kasian tubuh ini kurang istirahat :)
Jam 8.00 Pagi
Pas mau buka internet eh ternyata kerjaan datang,dan baru bisa bebas dari kerjaan pas jam 12.00,
Abis ISHOMA, baru ada waktu buat browsing, sy coba cek lagi webnya, coba login seperti biasa dan ternyata sy tidak bisa login lagi, Oh..my God ternyata orang itu merubah kembali password admin yg telah sy buat,sy jadi tambah penasaran bagaimana cara orang itu ganti password sy..
Yah seperti biasa jika ada masalah sy bertanya ke Om Google :), sy coba cari keysearch : security hole joomla 1.53 dan hasilnya banyak sekali tyus ada salah satu link yang berbahasa indonesia ( id-joomla.com ), sy langsung mengkliknya dan tereng......muncullah dihalaman utamanya artikel mengenai Ditemukannya celah keamanan pada Joomla versi 1.5.x he..he.e mulai ada sedikit titik terang nih ...:) untuk bisa tahu bagaiamana orang itu menembus password admin diartikel id-joomla tertulis :
"Bagi rekan-rekan yang menggunakan Joomla ver 1.5.x, diharapkan anda segera mengupgrade ke versi 1.5.6
Dalam ver sebelum 1.5.6 terdapat Bug yang bisa menyebabkan password Administrator anda direset oleh user secara remote
Terima kasih
Ref:
http://forum.joomla.org/viewtopic.php?f=372&t=315538
http://milw0rm.com/exploits/6234 "
Di http://milw0rm.com/exploits/6234 dibahas mengenai bgmn orang bisa menembus password admin joomla :
"1. Go to url : target.com/index.php?option=com_user&view=reset&layout=confirm
2. Write into field "token" char ' and Click OK.
3. Write new password for admin
4. Go to url : target.com/administrator/
5. Login admin with new password "
Busyet hanya dengan 5 langkah web yang dibuat dengan joomla 1.5.3 bisa dihack :(, ok deh kini sy sudah tau bagaimana orang itu memasuki web saya, skarang mesti cari patchnya agar tidak bisa dibobol lagi.
Klik sana sini akhirnya dapat Patchnya
"All 1.5.x installs prior to and including 1.5.5 are affected.
Solution
Upgrade to latest Joomla! version (1.5.6 or newer), or patch /components/com_user/models/reset.php with the code below:
After global $mainframe; on line 113 of reset.php, add:
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}
Reported By
Joomla! Bug Squad Member Marijke Stuivenberg.
"
Ok, skarang waktunya tuk memasang patchnya, sekitar 15 menit, patch dah selesai dipasang,
terus saya tes, dan Okay dah berfungsi dengan baik. Abis itu pasword admin sy rubah melalui cpanel.
OK sampai saat ini aku merasa webnya dah lebih aman dari sebelumnya walaupun memungkinkan masih ada yang celah
bisa dimasuki...yang saya belum tahu :)
Kini tinggal tunggu lagi apa orang tadi masih bisa menembus password adminnya.
Sudah 2 hari berlalu password admin tidak mengalami perubahan ( sepertinya orang tadi sudah tidak bisa menembusnya lagi :)
he..he.........
Ternyata benar yang dikatakan para pakar security ( Security mesti dijadikan hal yang paling utama dalam sebuah website).dalam pikiran sy buat apa buat web yang cantik, artikel banyak, flash sana sini, tapi bisa dihancurkan hanya dalam beberapa menit disebabkan security yang sangat lemah :).
01.00 dinihari
Waktu telah menunjukkan pukul 01.00 dinihari rasa ngantuk mulai datang, sebelum tidur sy cek web yang baru sy buat beberapa minggu yang lalu. web ini milik teman cuman dia minta dibuatkan web karena pengen skali punya situs .com :).
seperti biasa sy login di halaman administrator dengan user name dan password yang biasa sy gunakan, ketika sy login pertama kali,proses loginnya error.., loh kok bisa yah ? ah paling salah ketik atau capslocknya yang aktif, trus sy coba lagi, kali ini username dan password sy isi lebih teliti, dan memastikan username dan password telah diisi dengan benar, sy login kembali, dan ternyata error lagi sy coba sampe tiga kali tapi tetap error, Oh my God.... sy mulai curiga jangan2 web ini telah diHack..:(,
okay sekarang kita cek dulu diCpanel apa ada perubahan di tabel usernya,...dgn menggunakan phpmyadmin sy coba buka file usernya dan ternyata di tabel usernya bertambah 2 record...satu level admin dan satunya level registerd ( Okhh...Tidaakkkk.... WebKu diHack ).Ternyata ada orang yang telah masuk ke halaman admin webku dan menambahkan 2 user baru dgn level admin , terus user sy dia turunkan levelnya ke level manager. Ooo' ooooo.......( webku telah dibobol ).
saya coba cek apa saja telah dirubah sama orang ini. dan syukur deh dia hanya utak-atik dibagian usernya sedangkan dibagian artikel dia tidak melakukan apa2.. ( ternyata orang ini masih punya rasa kasihan..., karena seandainya dia mau, bisa saja dia menghapus semua data yang ada karna skarang dia telah memiliki hak admin ), yang menjadi pikiran skarang, bagaimana orang ini bisa masuk keweb sy ?, dimana lubang securitynya?.
Ok, Baiklah skarang saatnya untuk mencari tahu penyebab bobolnya web ini, sambil berusaha menghalangi orang tsb mengutak-atik lebih jauh web ini.
Langkah I.
Hapus dulu user yang telah dia buat ( sebenarnya langkah ini menurut sy belumlah efektif, efeknya cuma membuat dia gagal login,dan setidaknya memberikan peringatan kepada dia kalo sy telah melakukan sesuatu untuk mencegah dia masuk kembali ke hlmn admin web sy ). terus password admin sy rubah kembali dengan cara manual ( copy field password dari localhost ).
Langkah ke II
Mengunci direktori administrator dengan password lewat Cpanel. ( ini bisa menjadi cara yang ampuh untuk mencegah dia masuk ke halaman admin ) jadi saat ini untuk akses halaman admin harus melalui 2 password, pertama password direktori admin dan password login admin
Jam telah menunjukkan Pukul 3.00 dinihari, sepertinya skarang harus tidur dulu,walaupun sy masih penasaran karna belum tahu bagaiamana caranya dia menembus password admin web sy, and lubang security dimana,baiklah tidur dulu, besok lanjut lagi, kasian tubuh ini kurang istirahat :)
Jam 8.00 Pagi
Pas mau buka internet eh ternyata kerjaan datang,dan baru bisa bebas dari kerjaan pas jam 12.00,
Abis ISHOMA, baru ada waktu buat browsing, sy coba cek lagi webnya, coba login seperti biasa dan ternyata sy tidak bisa login lagi, Oh..my God ternyata orang itu merubah kembali password admin yg telah sy buat,sy jadi tambah penasaran bagaimana cara orang itu ganti password sy..
Yah seperti biasa jika ada masalah sy bertanya ke Om Google :), sy coba cari keysearch : security hole joomla 1.53 dan hasilnya banyak sekali tyus ada salah satu link yang berbahasa indonesia ( id-joomla.com ), sy langsung mengkliknya dan tereng......muncullah dihalaman utamanya artikel mengenai Ditemukannya celah keamanan pada Joomla versi 1.5.x he..he.e mulai ada sedikit titik terang nih ...:) untuk bisa tahu bagaiamana orang itu menembus password admin diartikel id-joomla tertulis :
"Bagi rekan-rekan yang menggunakan Joomla ver 1.5.x, diharapkan anda segera mengupgrade ke versi 1.5.6
Dalam ver sebelum 1.5.6 terdapat Bug yang bisa menyebabkan password Administrator anda direset oleh user secara remote
Terima kasih
Ref:
http://forum.joomla.org/viewtopic.php?f=372&t=315538
http://milw0rm.com/exploits/6234 "
Di http://milw0rm.com/exploits/6234 dibahas mengenai bgmn orang bisa menembus password admin joomla :
"1. Go to url : target.com/index.php?option=com_user&view=reset&layout=confirm
2. Write into field "token" char ' and Click OK.
3. Write new password for admin
4. Go to url : target.com/administrator/
5. Login admin with new password "
Busyet hanya dengan 5 langkah web yang dibuat dengan joomla 1.5.3 bisa dihack :(, ok deh kini sy sudah tau bagaimana orang itu memasuki web saya, skarang mesti cari patchnya agar tidak bisa dibobol lagi.
Klik sana sini akhirnya dapat Patchnya
"All 1.5.x installs prior to and including 1.5.5 are affected.
Solution
Upgrade to latest Joomla! version (1.5.6 or newer), or patch /components/com_user/models/reset.php with the code below:
After global $mainframe; on line 113 of reset.php, add:
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}
Reported By
Joomla! Bug Squad Member Marijke Stuivenberg.
"
Ok, skarang waktunya tuk memasang patchnya, sekitar 15 menit, patch dah selesai dipasang,
terus saya tes, dan Okay dah berfungsi dengan baik. Abis itu pasword admin sy rubah melalui cpanel.
OK sampai saat ini aku merasa webnya dah lebih aman dari sebelumnya walaupun memungkinkan masih ada yang celah
bisa dimasuki...yang saya belum tahu :)
Kini tinggal tunggu lagi apa orang tadi masih bisa menembus password adminnya.
Sudah 2 hari berlalu password admin tidak mengalami perubahan ( sepertinya orang tadi sudah tidak bisa menembusnya lagi :)
he..he.........
Ternyata benar yang dikatakan para pakar security ( Security mesti dijadikan hal yang paling utama dalam sebuah website).dalam pikiran sy buat apa buat web yang cantik, artikel banyak, flash sana sini, tapi bisa dihancurkan hanya dalam beberapa menit disebabkan security yang sangat lemah :).
1 comment:
Pren, website ku juga tidak bisa login admin, tapi saya sudah liat tidak ada ji user lain, tapi sa tidak tau mi juga kenapa. Pas mau login admin, halaman loginnya cuma berkedi[p kayak kalo kita refresh ji...mugkin kita' punya saran buat saya?
Post a Comment