Blog Kena Hack Bukan Sahaja Dari Outdated Plugin?.

Sebelum tu, aku nak korang baca Kenapa Kita Kena Hack dan Cara Basic Untuk Menghalang Newbie Hacker. Dengan membaca kedua-dua artikel tersebut, aku harap korang dapat fahami apa yang aku sampaikan pada artikel ini.

Ramai yang mengetahui bahawa kebanyakan blog kena hack disebabkan password yang tak kukuh, plugin WordPress yang tak sanitize input, plugin yang ada CSRF, plugin yang boleh jalankan remote code request dan sebagainya. Dan yang paling utama sekali kalau kita gunakan WordPress, kita tak update. Itu lah antara punca-punca yang selalu kita dengar kalau sesebuah blog ataupun website yang telah digodam.

But, there are other alternative for the hacker to break in. Kalau memang betul la hacker tu adalah fanatic hater kepada blog korang, of course dia akan tetap mencari cara untuk masuk ke dalam server tersebut walau dengan apa cara sekali pun. Okey, ini lah yang aku ingin olah di sini. Sebelum tu, aku ingin bawa korang tengok satu gambar folder yang ada dalam komputer aku.

Dah dapat idea berdasarkan folder aku kat atas ni? Kalau belum, sila baca olahan aku sampai habis okey. Satu ja aku nak mention kat sini, NO SYSTEM IS SECURE!!
No Vulnerable Script, Tapi Hacker Boleh Masuk?

Berdasarkan gambar tu, korang boleh tengok sendiri folder yang ada tulis Cpanel And Plesk. Ini adalah satu cara untuk hacker (or cracker, lantak korang nak sebut apa pun) masuk. FYI, Cpanel versi 11.25 terdapat satu exploit yang dipanggil CSRF dimana satu script yang dijalankan oleh hacker tersebut dapat membuka akaun FTP yang baru tanpa perlu login. Anda faham? Jadi apa yang akan berlaku kalau boleh buat akaun baru? DELETE FILE DAN UPLOAD SHELL…. Mungkin ramai yang masih blur apa tu shell dan sebagainya. Okey, fahami ni: once shell ni masuk dalam server korang, please say goodbye to your hosting, password, email, database dan sebagainya.

Selain tu, hacker boleh exploit PHPMyAdmin dan Web Hosting Manager (WHMCS). Jom kita masuk bab WHMCS ni pulak. Berikut merupakan statement yang telah diberikan oleh ServerFreak.

Sebenarnya masalah ini, dari segi protection hosting, walau sesecure kami lakukan, tiada apa yang dapat menghalangnya kerana attacker attack menerusi skrip/ plugin bukan menerusi server

Walau sesecure yang kami lakukan! Ya, pihak hosting juga menjaga security untuk hosting yang mereka jaga. Kebanyakan hosting yang aku tengok, semuanya menggunakan WHMCS dan aku pernah tengok satu video, bagaimana hacker tersebut menyerang WHMCS dan mendapat akses ke semua hosting dengan menggunakan username…. ADMIN!. Jadi tak semestinya hacker serang dengan script/plugin yang ada pada blog kita, betul? Tapi maaflah, aku tak dapat tunjuk bukti. Aku harap Youtube dapat membantu.

Adakah korang menggunakan shared hosting? Apa maksud shared hosting ni?

A shared web hosting service or virtual hosting service or derive host refers to a web hosting service where many websites reside on one web server connected to the Internet. Each site “sits” on its own partition, or section/place on the server, to keep it separate from other sites. This is generally the most economical option for hosting, as many people share the overall cost of server maintenance. – Wikipedia

Aku tahu ramai yang menggunakan shared hosting sebab murah. Tapi aku nak ingatkan korang supaya sentiasa bersedia untuk menjadi mangsa kerana untuk mencapai akses ke blog korang, hacker tak perlukan vulnerabilities pada blog korang, tetapi pada blog yang share server dengan korang. Mungkin korang tak faham, jom aku tunjuk sedikit bukti.1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38 [+] Status: Success
[+] IP: 202.71.111.8
[+] Number of sites: 34
[+] Sites:
denaihati.biz
denaihati.com
denaihati.org
djaeshots.com
faselangor.my
hp-studio.net
kgmeru.com
littleakiba.com
luzizanivlek.com
mint.com.my
on9gamer.com
partimelovers.com
rumahaman.com
selangorfc.com
venusbuzz.com
wisecommunity.net
www.asida.net
www.barchunx.com
www.dealindulgence.com
www.everydayonsales.com
www.faselangor.my
www.homepride.com.my
www.info.denaihati.com
www.kgmeru.com
www.megawealth.com.my
www.on9gamer.com
www.opa.org.my
www.petuanenek.com
www.rumahaman.com
www.selangorfc.com
www.thefiguremall.com
www.venusbuzz.com
www.wisecommunity.net
yob4ever.com


Atas tu merupakan domain yang share IP address dengan Denaihati.com. Jadi bermaksud ianya berada dalam satu server. (tapi aku nampak macam dedicated je mungkin guna cloudflare. Tak sure, aku noob.) Katakan salah satu laman web kat atas tu ada vulnerable untuk upload shell ataupun SQL Injection atau apa-apa sahaja exploit, so dengan senang dia dapat akses laman web/blog yang lain. Dan salah satunya adalah denaihati.com. Sekarang jom kita analisis 1malaysia.com.my pulak.1
2
3
4
5
6
7 [+] Status: Success
[+] IP: 202.186.124.143
[+] Number of sites: 3
[+] Sites:
1malaysia.com.my
www.1malaysia.com.my
www.newark.com


Jadi yang mana korang rasakan selamat?

Aku tahu korang boleh buat macam-macam dengan komputer korang betul? Komputer juga ada exploit yang tersendiri. Dan adanya blog korang adalah kerana adanya server yang juga asalnya daripada komputer. Terdapat juga exploit yang boleh dijalankan secara remote yang membolehkan hacker masuk. Jom kita scan domain affanruslan.com1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23 Nmap scan report for affanruslan.com (110.4.45.155)
Host is up (0.18s latency).
rDNS record for 110.4.45.155: firefly.mschosting.com
Not shown: 986 filtered ports
PORT STATE SERVICE
7/tcp closed echo
21/tcp open ftp
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
8888/tcp open sun-answerbook
Device type: general purpose
Running (JUST GUESSING): OpenBSD 4.X (87%)
Aggressive OS guesses: OpenBSD 4.0 (87%), OpenBSD 4.3 (86%)
No exact OS matches for host (test conditions non-ideal).


Ada open port dan menggunakan OpenBSD 4.x (report dari NMAP). Korang rasa, ada tak exploit yang boleh dijalankan secara remote untuk OpenBSD 4.0 menggunakan mana-mana port di atas? Kalau ada, memang dah hancur dah. Kalau penerangan aku ni salah, perbetulkan okey. Aku noob.

Selain tu banyak lagi cara lain yang membolehkan hacker masuk. Aku sendiri pun tak tahu dan aku cerita apa yang aku fikir. Sekali lagi, kalau salah tolong betulkan. Kesimpulannya, jangan ingat script kita dah elok, hosting clean, tak ada vulnerable, kita dah selamat. NO!! Ada banyak lagi cara yang boleh dilakukan untuk menggodam. Hanya tunggu masa untuk kena.