Lucunya sang pen-deface pretty-much googleable karena dia menulis banyak informasi yang bisa di sambung-sambung (entah sih kalo informasi yang aku mining ini adalah informasi palsu sang defacer kalau gitu sih good-move! )
Ini data-mining yang aku lakukan:
Meng-google nickname yang dia simpan di halaman deface, menemukan banyak site korban (bahkan situs http://www.polresmajalengka.web.id/), dari sana mendapatkan twitter account, facebook account dan beberapa forum membership, account-account ini belum bisa dipastikan milik sang pendeface.
Hasil google awal menunjukan ternyata nickname ini terdaftar di the the notorious IndonesianDefacer, buat yang ga tahu ini site dimana para defacers melisting site-site yang berhasil mereka deface. Sang pen-deface situs ini ternyata masih aktif mendeface, terlihat dari tanggal terakhir adalah hari ini (308-an sites telah terdeface) beberapa diantaranya:
dota.hu 24 Feb 2012 3:23:22
www.smkyossudarsomajenang.sch.id 24 Feb 2012 1:56:54
zenda-adhiatama.com 24 Feb 2012 1:48:32
etc
Meng-google “whois [nickname]” aku menemukan nama, email, alamat, dan nomor telepon, dia merequest name-server registration tertanggal 09.02.2012 sampai tahap ini belum bisa dipastikan ini berhubungan.
Meng-google nickname pendeface dan nama yang didapatkan dari whois tadi, ternyata nyambung ke beberapa page klub hacking regional bagian kopdar, so nama dan nick ini nyambung di satu page, bisa dipastikan data whois diatas benar.
Twitter account dan Facebook account yang aku dapet diawal ternyata menggunakan nama hasil whois tadi, bisa dipastikan ini account milik yang bersangkutan kalo gitu. Masi muda ternyata, anak-anak jaman sekarang keren-keren yak :)
Nickname pen-deface sendiri terdaftar di beberapa forum hacking besar di Indonesia, sayangnya dia belum mempost apa-apa dan tidak ada reputasi, jadi ga bisa data-mining pakai cara apa dia deface site ini :) (biasanya yang masuk Ethical Hacker suka sharing di forum soal caranya)
Menemukan sitenya www.nuradi.co.cc yang ternyata melakukan google mining yang sama mengenai defacer ini :)
Sayangnya blog yang ini pake shared hosting, jadi aku ga bisa cek LOG lengkap soal bagaimana pendeface melakukan aksinya :( jadi ga tau pasti fix apa yang mesti diapply ke blog ini (dan entah apa dia masih nyimpen script backdoor)
Untuk memastikan lebih pasti lagi sih mesti ngecek LOG, cek IP pengakses (incase yang bersangkutan ga pake tunnel), compare LOG pattern sama site-site korban lain de-el-el.
Yang jelas yang aku lakukan setelah itu adalah:
Remove index.php hasil deface yang bersangkutan tentunya
Mengganti username & password standard admin
Ngecek Cpanel cek File permissions apakah ada file permission yang aneh
Update Blogspot, karena dulu aku terlau malas ngupdate ke yang terbaru(naek beberapa tingkat versi)
Itu doang sih untuk awalnya, lagi sibuk jadi ga bisa vurnerability test yang mendetail buat blog ini >_< mana uda lama ga update teknologi baru, getting rusty on these kind of stuff, but being defaced membuat jadi bikin postingan baru deh! :)
Tidak ada komentar:
Posting Komentar
...read them below or add one