• SPYRO KiD
• Monday, August 30th, 2010
WONOSOBOKAB.GO.ID telah lama menjadi bahan mainan newbie. Berkali-kali pesan Deface muncul di halaman website resmi Kabupaten Wonosobo tersebut, tapi tampaknya tim webmasternya santai-santai saja kehormatan webnya diinjak-injak. Ah, mari kita berpikir positif. Tim Webmasternya khan Abdi Negara, pasti kerjaannya bukan cuma ngurusi web. Mungkin beliau-beliau masih sangat sibuk dengan pekerjaan lain *_^ Saya hanya berniat membantu meringankan kesibukan beliau dengan membuat laporan celah keamanan agar beliau lebih mudah memperbaiki webnya ^_* —> saya kurang kerjaan banget yach? :p
Jadi.. dimana letak kesalahannya?
Lagi-lagi Google berjasa dengan kombinasi kata kunci saktinya. Jika Anda mengetikkan keyword berikut pada mesin pencari Google:
site:wonosobokab.go.id filetype:sql
Anda akan mendapati directory wonosobokab.go.id/data/ menyimpan informasi-informasi sensitif.
File-file sensitif yang terambah oleh Mesin Pencari
Saat saya mengakses wonosbokab.SQL, saya mendapati informasi yang lumayan mengejutkan:
Informasi login hosting pada comment MySQL dump
File tersebut tidak sekedar berisi database CMSnya, tapi juga informasi login Web Hosting! Dilihat dari comment pada area header file tersebut, sepertinya perusahaan hostingnya agak ceroboh. Belum pernah saya dapati perusahaan hosting yang lalai dengan menyertakan info akun hosting client pada mysql dump seperti kasus ini. Hmm.. siapa ya perusahaan hostingnya? ^^
Saya tangguhkan niatan saya untuk melihat detil web tersebut melalui domainwhitepages, iseng-iseng, saya mengakses wonosobokab.go.id/admin/ dengan harapan saya bertemu dengan halaman login CMS nya. Tapi, ternyata saya mendapatkan lebih dari itu, halaman login web hosting.
Halaman Site Administrator
Saya menjelajahi file-file melalui menu Files, dan mendapati file dengan nama yang menarik, login.php.
File login.php
Penasaran aja sich, gimana sich fitur CMS-nya. Saya mengakses wonosobokab.go.id/login.php dan saya berhadapan dengan halaman login CMS. Lagi-lagi saya bisa leluasa masuk dengan berbekal informasi yang terdapat pada file wonosobokab.SQL
Halaman login CMS wonosobokab.go.id
Dan (lagi-lagi) halaman yang saya inginkan terbuka dengan ikhlas
Tampilan Admin Panel wonosobokab.go.id
Saya jadi inget dengan CMS dari CD Bonus sebuah buku tentang panduan membuat web untuk pemula yang dibeli teman saya di Gr*med*a ^^
Solusi
Admin wonosobokab.go.id menuliskan kata-kata permohonan bantuan bagi siapa saja yang berhasil masuk ke servernya. Akhirnya, saya mengirimkan panduan singkat pada beliau tentang bagaimana attacker masuk sekaligus bagaimana pencegahannya.
Semoga bermanfaat
//E.O.F
Ref :
WONOSOBOKAB.GO.ID telah lama menjadi bahan mainan newbie. Berkali-kali pesan Deface muncul di halaman website resmi Kabupaten Wonosobo tersebut, tapi tampaknya tim webmasternya santai-santai saja kehormatan webnya diinjak-injak. Ah, mari kita berpikir positif. Tim Webmasternya khan Abdi Negara, pasti kerjaannya bukan cuma ngurusi web. Mungkin beliau-beliau masih sangat sibuk dengan pekerjaan lain *_^ Saya hanya berniat membantu meringankan kesibukan beliau dengan membuat laporan celah keamanan agar beliau lebih mudah memperbaiki webnya ^_* —> saya kurang kerjaan banget yach? :p
Jadi.. dimana letak kesalahannya?
Lagi-lagi Google berjasa dengan kombinasi kata kunci saktinya. Jika Anda mengetikkan keyword berikut pada mesin pencari Google:
site:wonosobokab.go.id filetype:sql
Anda akan mendapati directory wonosobokab.go.id/data/ menyimpan informasi-informasi sensitif.
File-file sensitif yang terambah oleh Mesin PencariSaat saya mengakses wonosbokab.SQL, saya mendapati informasi yang lumayan mengejutkan:
Informasi login hosting pada comment MySQL dumpFile tersebut tidak sekedar berisi database CMSnya, tapi juga informasi login Web Hosting! Dilihat dari comment pada area header file tersebut, sepertinya perusahaan hostingnya agak ceroboh. Belum pernah saya dapati perusahaan hosting yang lalai dengan menyertakan info akun hosting client pada mysql dump seperti kasus ini. Hmm.. siapa ya perusahaan hostingnya? ^^
Saya tangguhkan niatan saya untuk melihat detil web tersebut melalui domainwhitepages, iseng-iseng, saya mengakses wonosobokab.go.id/admin/ dengan harapan saya bertemu dengan halaman login CMS nya. Tapi, ternyata saya mendapatkan lebih dari itu, halaman login web hosting.
Login hosting wonosobokab.go.id
Sampai disini, saya bisa leluasa masuk dengan informasi akun yang saya dapatkan dari file wonosobokab.SQL. Halaman Site Administrator terbuka dengan ikhlas, lengkap dengan semua fitur yang dimilikinya. Wah, ada logonya sapa tuch 
ternyata dihosting disitu yach ^^ Ternyata nama besar belum tentu bisa menghadirkan layanan yang berkualitas 
Saya menjelajahi file-file melalui menu Files, dan mendapati file dengan nama yang menarik, login.php.
File login.php
Penasaran aja sich, gimana sich fitur CMS-nya. Saya mengakses wonosobokab.go.id/login.php dan saya berhadapan dengan halaman login CMS. Lagi-lagi saya bisa leluasa masuk dengan berbekal informasi yang terdapat pada file wonosobokab.SQL
Halaman login CMS wonosobokab.go.idDan (lagi-lagi) halaman yang saya inginkan terbuka dengan ikhlas
Tampilan Admin Panel wonosobokab.go.idSaya jadi inget dengan CMS dari CD Bonus sebuah buku tentang panduan membuat web untuk pemula yang dibeli teman saya di Gr*med*a ^^
Solusi
Admin wonosobokab.go.id menuliskan kata-kata permohonan bantuan bagi siapa saja yang berhasil masuk ke servernya. Akhirnya, saya mengirimkan panduan singkat pada beliau tentang bagaimana attacker masuk sekaligus bagaimana pencegahannya.
- Lakukan scanning backdoor pada server;
- Enkripsi password yang tersimpan di database untuk menghambat langkah attacker jika file sql bocor secara tidak sengaja;
- Ubah seluruh kata sandi dengan kata sandi baru yang sesuai dengan prosedur keamanan;
- Jangan meletakkan file-file sensitif pada directory yang bisa diakses oleh siapapun (www-data);
- Matikan directory listing;
- Karena file-file sensitif telah terlanjur dirambah oleh Google, Anda harus melakukan request ke Google untuk menghapus file-file sensitif tersebut dari tembolok Google. Hal tersebut bisa dilakukan melalui Google Webmaster Tools atau bisa juga menggunakan cara-cara yang pernah saya tulis pada artikel Mencegah Google Hacking;
Semoga bermanfaat
//E.O.F
Ref :
- CopyLEFT (c) 2010++ spyrozone . All Rights Reserved
