beuh.. kesel bin bete.. barusan pas cek cek imel, ada alert bahwa ada perubahan yg terjadi pada webku. pas di cek ternyata hari ini web ku teguh.web.id ada yang hack, langsung aku suspend akunnya supaya tidak menjalar ke web lainnya. buat bahan pelajaran bersama, saya akan jelaskan kronologisnya. bagaimana si hacker bisa masuk? seperti biasa, kalau dari log nya sepertinya nih hacker lagi coba coba ilmu pengetahuan barunya, dengan memanfaatkan teknik jumping si hacker mengintip konfigurasi wp-config ku dari web lain yang satu server, setelah didapat, dia langsung ganti emailnya dari email aku ke email dia ([email protected]). setelah email admin aku diganti lewat web dumping, dia mencoba merecover passwordnya ke email dia menggunakan sebuah proxy yang beralamatkan 122.155.12.102 (dari hasil lookup ini ip punya negara thailand. tidak seperti hacker yang dulu pernah nge hack web aku yang lain, hacker yang ini terlihat agak sedikit sembrono, alias kurang rapih. ini terlihat dari log aktivitasnya yang mungkin lupa dia hapus, atau mungkin tidak tau cara nge hapusnya. dari log aktivitasnya tercatat bahwa nih hacker mengakses dari kompi windows dengan dan pake browser firefox [Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.1.] lanjut.. setelah berhasil merecover password aku ke emailnya dia, si hacker langsung login ke wp-admin, setelah itu dia masuk ke halaman themes dan membuka editor, lalu mengedit file 404.php, lumayan pinter juga nih, tadinya aku heran, gimana dia bisa. tapi pas liat log, eh ternyata isi file 404.php di replace sama si hacker dengan phpshell parah nih, bukannya di backup dulu (hacker yang baik tidak akan ngerusak). nah taukan kalau phpshell dah tertanem, nantinya web kita jadi apa segala sesuatu yang buruk bisa saja terjadi.. semoga ini tidak terjadi pada anda... log aktivitas pembobolan /wp-login.php?redirect_to=http%3A%2F%2Fwww.teguh.web.id%2Fwp-admin%2F&reauth=1 (si hacker mencoba membuka wp-admin) /wp-login.php?action=lostpassword (karena gak tau password HASHnya si hacker merecover password) /wp-login.php?checkemail=confirm (si hacker memasukan email dia [email protected] untuk mendapatkan password baru) /wp-login.php?action=rp&key=Y4lLGlu0QfYci2ARrl10&login=root (si hacker menggenerate pasword baru) /wp-login.php?checkemail=newpass (password baru telah terbuat) /wp-admin/ (si hacker telah masuk ke wp-admn) /wp-admin/theme-editor.php (si hacker membuka menu tema) /wp-admin/theme-editor.php?file=/themes/wp-admin/404.php&theme=WP+Admin&dir=theme (si heker mengedit file 404.php dari tema dan mengganti dengan phpshell) /wp-content/themes/wp-admin/404.php (si hacker mengeksekusi phpshell dan berbuat semaunya) semoga hal ini tidak terjadi pada anda... satu pesan dari saya, mencegah lebih baik dari pada mengobati, saya sadari tidak semua blog yang saya miliki saya SECURE kan.. dan hasilnya, ke bobolan deh.. kunci keamanan yang mungkin cukup membantu.. untuk sedikit mengamankan blog anda.. 1. chmod 2. htaccess 3. error report 4. strong password 5. unique username 6. unique mail 7. don't trust anyone NB: yang nge hack web ane, mohon kontak ane ya, ane mo belajar.
ane gak bisa bantu apa2 gan. cuma bisa mengucapkan turut berbela sungkawa. semoga web nya cepat bangkit dari kubur
HTML: http://bh0ttu.com/txt/wordpress-firewall.txt Plugin ini cukup bagus untuk mengetahui jika ada yang coba-coba melakukan serangan seperti SQL injection dll terhadap blog Anda. Plugin ini dapat merekam/mencatat even-even mencurigakan serta memberitahu administrator terhadap segala usaha-usaha untuk menembus website Anda. Cara penggunanya seperti biasa, upload ke folder plugin, bisa juga upload lewat dashboard, atau langsung di cpanel.. Kalau sudah, login ke cpanel dan masuk ke wp-content --> plugin --> buat folder dengan nama wp-firewall kemudian buat file bernama wordpress-firewall.php dan masukan script ini. Setelah itu masuk ke dashboard dan aktifkan plugin ini.. nemu dari forum HTML: hxxt://jasakom.com/content.php?676-Plugin-Wordpress-firewall.. semoga membantu
dari cpanel untuk sql injection ane dah punya antinya, cuma nih hacker masuknya lewat web lain dengan cara jumping
wah.. ga nyangka.. WP bisa dibobol juga tow.. baru tau ane.. moga ja hal itu ga terjadi lagi ma yang laen..
mau nanya mas bro ... kok dia bisa ganti email punya owner dengan punya dia? apa cara ini mudah? apa harus pakai hacker tool? yang gw tahu kan ada "cpanel force" hacking ... ya sama, apa karna teguh.web.id itu super terkenal di LN apa ya?
ya itulah namanya hacker, dia memanfaatkan kelemahan dari shared hosting. yang namanya shared hosting semuanya serba shared, baik apache maupun mysqlnya.. yang beda cuma username dan password doank.. nah si hacker ngintip username dan password database aku dari wp-config.php melalui web orang lain yang telah dia hack, atau mungkin punya dia. setelah dapet username dan passwordnya, tinggal jalankan perintah sql dengan username dan password tadi, edit bagian email dan berubah deh. nah setelah merubah alamat emailnya tersebut baru deh di recover ke email dia.. teknik ini sering digunakan oleh para pemula.. solusinya sih cukup rename wp-config.phpnya dan di enkripsi filenya. namun hal itu cukup sulit jika punya blog banyak (masa mesti enkripsi satu satu) selain itu kan wp sering ada update, nah kalau kita robah robah file corenya wordpress pas upgrade sering error, hal ini yang membuat saya agak sedikit kurang peduli kepada security setelah upgrade.
Wooow... lagi rame2nya nih wp di hack... kabarnya kebanyakan dri Turki ya Gan?? buwt master dan mastah ayo dunk bikin post lengkap tentang security wp... bwt bro teguh smoga cepat teratasi masalahnya... Aamiin.. jgn lupa share jg yah cara ngatasinya...
wah sepertinya makin parah nih hacker taugak situs cyberhostmedia.net juga kena hacker servernya. semua domain yang ada di server itu gak bisa di akses. mudahan ini bisa cepet terselesaikan