Beberapa waktu yang lalu salah situs yang dikelola share-system.com menjadi korban malware. Seseorang memasukkan script tertentu di halaman situs tersebut yang mengakibatkan dampak-dampak buruk bagi situs tersebut. Dampak yang ditimbulkan oleh malware pada situs yang kami kelola adalah menurunkan page rank situs tersebut di pencarian google dimana hacker menggunakan Teknik cloaking yang mungkin bagi para pengelola situs tertentu tidak aware adanya perubahan situs. Menariknya situs korban tidak akan terlihat adanya perubahan oleh pengguna atau administrator situs waktu situs diakses. Teknik cloaking memungkinkan situs korban diarahkan ke salah satu situs yang ditargetkan hacker sehingga bot pencarian akan menampilkan halaman berbeda seperti yang dilihat oleh pengguna. Cloaking dimungkinkan karena antara pengguna situs dan bot (google/bing) memiliki cara yang berbeda dalam mengkonsumsi suatu website. Pengguna menikmati suatu situs dengan visual cue atau presentasi visual namun bot menggunakan pendekatan script cue atau script yang dituliskan di suatu situs.
Hack ini biasanya dikenal dengan gejala kena hack jepang karena yang ditampilkan di pencarian google blog atau worpress kita menjadi berbahasa jepang. Ini disebut dengan istilah Black cloaking.
Begini cara cloaking bekerja :
sumber : https://www.emoneyindeed.com/what-is-cloaking-in-seo/
Lebih detail tentang cloaking dapat dibaca penjelasan cloaking disini.
Tidak ada suatu website atau aplikasi yang sempurna akan selalu ada celah di aplikasi tersebut yang menjadi pintu disusupi oleh orang yang tidak bertanggung jawab. Facebook saja pernah menjadi korban hacker oleh Chris Putnam. Kelemahan aplikasi itulah maka selalu diperlukan adanya patching atau upgrade versi berkala. Situs yang menjadi korban pada hal ini dibangun dengan menggunakan wordpress. Pada dasarnya wordpress merupakan engine yang sangat aman hanya saja wordpress memiliki banyak keterbatasan fungsi. Nah untuk menambahkan fungsionalitas fungsi-fungsi ini dipasanglah berbagai plugin yang mayoritas plugin tidak dihasilkan oleh developer wordpress tapi dari developer yang tidak memiliki hubungan dengan developer wordpress (third party). Plugin inilah yang seringkali mengancam adanya celah yang dapat dimasuki oleh hacker untuk meretas sistem.
Setelah berhasil meretas suatu website hacker biasanya akan meninggalkan pintu akses belakang di website tersebut (backdoor). Bagi pengelola situs cara sederhana adalah penghapusan file-file yang terindikasi backdoor mudah dilakukan. Cara pertama yang dilakukan untuk mengatasi peretasan adalah dengan mendeteksi file-file apa saja yang disisipkan hacker sebagai backdoor. Salah satu cara mudah adalah bisa menggunakan plugin untuk mendeteksi backdoor ini misalnya plugin sucuri.
Berikut hasil dari scan sucuri scan.
Konten dari salah satu backdoor… ehm.. susah dipahami bagi para programmer karena koding mereka dihashing dengan metode tertentu.
Alhamdulillah selesai sudah ? Apanya yang selesai pala lu…. 😛
Deteksi dan hapus backdoor memang mudah apalagi dibantu dengan tools scanner seperti diatas. Namun kita tentu saja tidak ingin terjadi aktivitas merugikan ini di masa mendatang. Cara untuk menanggulangi hal ini yakni dengan menelusuri bagaimana hacker bisa masuk dan menambahkan file backdoor di situs korban. Penelusuran ini dapat diterapkan dengan membaca raw access log yang tersedia di cpanel.
(ini yang susah bro… tadi lu enak masih dibantu tools wkwkwk 😛 )
Pahami sejak kapan adanya aktivitas mencurigakan terjadi misalnya sejak tanggal 13 November download raw log pada bulan november tersebut. simpan dan silahkan analisis berikut previewnya.
untuk kasus yang telah saya alami maka saya akan menjelaskan mekanisme yang kami lakukan dalam menganalisis raw log tersebut.. Sebelum menjelaskan saya akan uraikan kronologinya terlebih dahulu.
- Peristiwa yang mencurigakan terjadi sekitar tanggal 12 november dimana seseorang menambahkan owner di search console google halaman saya
- Tanggal 13 November page rank halaman tersebut tiba-tiba menurun drastis ditandai dengan visitor yang sangat rendah di halaman blog tersebut.
- adanya penyisipan kode di halaman index.php dan penambahan file2 yang nampak tidak mencurigakan misalnya namanya version.php, akismet.php, wp-configuration.php dan classes.php
oke tiga uraian peristiwa tersebut merupakan petunjuk utama kita.
maka perlu kita analisis peristiwa yang terjadi di raw log sekitar tanggal tersebut (amati raw log dari tanggal 1 november sampai dengan 13 november).
Gotcha… kita ketemu ada aktivitas yang patut dijadikan tersangka (ini setelah seharian baca raw access log 80 ) :
seseorang mengakses xo.php dengan menggunkan plugin cardoza-facebook-like-box di folder custom-css, coba dicari apakah xo.php merupakan file core dari plugin tersebut dengan mendownload atau akses plugin dari file backup eh ternyata xo.php ga ada. langkah selanjutnya adalah memastikan adanya celah kelemahan / vulnerability pada plugin tersebut.
Coba2 cari di wp plugin vulnerabilities database ga ada record untuk plugin tersebut :
https://wpvulndb.com/search?utf8=%E2%9C%93&text=cardoza
disini juga ga ada : https://www.exploit-db.com
nyari-nyari ternyata ada disini : https://firstsiteguide.com/tools/hacked-dangerous-vulnerable-wordpress-plugins/sepertinya bug ini masih belum populer sehingga tidak terpublish di database exploit.
dan disini lebih detailnya bagaimana kelemahan tersebut dimanfaatkan hacker :
di file /cardoza_facebook_like_box.php ditemukan metode berikut :
if(isset($_POST['out_fileupload'])) { $file_url=$_POST['file_url']; $file_name=explode("/",$file_url); $file_name=$file_name[count($file_name)-1]; file_put_contents(dirname(__file__)."/custom-css/$file_name",file_get_contents($file_url)); exit; }
code diatas menyebabkan hacker bisa mengupload file dengan hanya memasukkan alamat url file yang ingin di upload hanya dengan bermodal form input saja.
Lalu gimana sih cara patchingnya ? Ada dua cara pertama periksa kembali apakah ada update terbaru untuk plugin ini jika tidak ganti plugin ini dengan plugin yang lain. Klo ga ada plugin yang punya fungsi yang sama maka delete aja dari pada web anda ingin jadi korban perkosaan lagi wkwkwkwk…
Ada cara lagi ga bro cara deteksi dengan menganalisis raw log silahkan kasih masukkan dong di komen.
Baca posting berikut jika anda tertarik bagaimana standar kerja tim kami untuk menangani situs klien kami yang kena hack dari server level.
Bagaimana mengatasi situs atau wordpress yang kena hack ?
mampir sejenak malah nambah puyeng
alert(‘Ethic Ninja’);
jwqjlfne
fme
alert(‘Ethic Ninja’);
script>alert(‘Ethic Ninja’);
var_.b=window.
haloooooo
12345
123458900
12345
12345
12345
kena bajak
Linux gan
Itu pake windows apa Linux bang
hehe… kasian lo gan.
alert(‘Tes, XSS-nya masih bisa’)