Melakukan serangan Merusak tampilan website secara diam-diam (tanpa ijin pemiliknya) biasa dikenal dengan “Deface” , tentu saja hal ini termasuk mimpi buruk yang menakutkan bagi para pembuat/penjaga website seperti saya.
Saat mengembara didunia maya, saya menemukan salah satu website korban deface yaitu senayanbowling.com . Entah sejak kapan website ini di-Deface.. yang jelas sampai artikel ini ditulis . website buatan Rajasa ini masih menampilkan pesan dari crakers si-pelaku defacing dan sebuah gambar bertuliskan “Pertamax” yang mengingatkan saya pada trend postingan di sebuah forum terbesar Indonesia.
Waduhh, amit2x deh.. jangan sampai dehh website2x saya kena deface, soalnya hal ini pasti mempengaruhi kredibilitas saya. Belajar dari kesalahan orang lain, saya coba telusuri kemungkinan2x senayanbowling.com ini di-Deface.. Sehingga dikemudian hari saya bisa preventif terhadap serangan deface ini.
Beberapa hasil penelusuran saya terhadap kejadian deface pada senayanbowling , akhirnya saya menemukan beberapa celah pada website itu yang memang memungkinkan untuk diterobos masuk dan di deface.
Celah #1
CMS open-source yang tidak di upgrade
Menggunakan CMS sebagai engine pada website merupakan langkah tepat dalam proses web development, tapi jika CMS tersebut sudah kadaluarsa (tidak di-upgrade) maka langkah tepat tersebut tentu saja menjadi langkah yang kurang bijaksana.
Nahh, Senayanbowling itu menggunakan CMS open-source bernama Joomla , silakan cek pada:
maka anda pasti mendapati back-end area yang berisi login box. Saya juga kurang tau persis versi berapa yang digunakan , tapi melihat layoutnya sihh sekitar 68% kemungkinan joomla yang digunakan versi 1.5.x
Namanya juga open-source , makanya setiap orang pasti bisa meng-explore tiap baris script code cms tersebut. sehingga perkembangan versi cms opensource ini sangat lah cepat. jika di temukan script code yang lemah atau berbahaya, maka langsung dipersiapkan versi perbaikannya (pacth/upgrade). makanya jika anda menggunakan cms opensource konsekuensinya yaa harus rajin2x upgrade ke versi terbaru.
Celah #2
URL joomla yang default bawaan pabrik
Celah berikutnya dari pengamatan saya terlihat dari URL halaman2x web-nya masih default bawaan pabrik. seperti berikut:
http://senayanbowling.com/index.php?option=com_content&view=article&id=44&Itemid=51
hal tersebut sangat memungkinkan seseorang yang menginjeksi URL tersebut dengan cara mengetikan sebuah parameter/ variable pada address bar dibrowsernya .. bahkan mungkin juga menciptakan query sql yang langsung menyerang sistem database. seremm bener..!
btw, untuk merubah URL tersebut (aliasing) pada Joomla anda bisa berkunjung kesini..
Selain aman.. penggunaan aliasing URL (dijoomla dikenal dengan nama SEF URL-Search Engine Friendly URL) ini sangat bagus untuk di-crawl oleh google.
Celah #3
Kemungkinan Username yang masih default (admin)
Pada saat install pertama kali joomla biasanya men-set username login administrator bernama “admin” . jika tidak diganti maka kemungkinan kombinasi login sudah pasti berkurang 50% , tinggal nebak passwordnya aja..
Nahh, cara dapetin passwordnya berkaitan dengan kemungkinan pada celah 1,2 dan 3 diatas adalah seperti ini :
Step #1
Karena urlnya tidak di-aliasing (celah #2) maka bisa dilakukan injeksi padafasilitas remote change password admin (token) dengan cara mengetikkan string diurl seperti ini :
http://www.senayanbowling.com/index.php?option=com_user&view=reset&layout=confirm
nanti akan keluar form isian field token dengan tombol submit :
Step #2
Disinilah terdapat celah#1 berupa kesalahan script code joomla yang kadaluarsa (belum di upgrade).
Masukkan karakter ” ‘ ” (kutip satu) di dalam field box tersebut , sehingga dapat memancing keluarnya form reset admin password
masukkan password terserah aja.. hal itu mengakibatkan tergantikan-nya password lama admin dengan password yang baru saja dimasukkan.
Step #3
Finishing step! Setelah merubah password admin , selanjutnya masuk pada bagian administrator back-end
Jika kemungkinan celah #3 benar (username masih menggunakan “admin”) berarti tinggal masukkan kata: “admin” dikolom username dan password yang dirubah tadi pada kolom password.
Kalo sudah di taking over oleh cracker, harapan terakhir adalah mengambil alih lagi account administrator melalui cpanel / phpmyadmin di-hostingannya .
Semoga hal ini bisa menjadi pelajaran atau preventif bagi saya sendiri.
Thx, Salam buat orang rumah… 
January 17th, 2009 at 10:51 am
Celah 1 : Saya telah mengubah letak url administratornya
Celah 2 : Saya telah menggunakan SEF yang terbaru dan terupdate
Celah 3 : Saya telah mengupgrade ke versi yang terbaru
Tinggal yang dikhawatirkan adalah komponen dan module yang terinstall apakah memiliki bug or not?
tapi pada kasus senayan bowling saya tidak melihat adanya installan component/module dari third party..
semuanya masih standar komponent bawaan joomla
January 17th, 2009 at 7:39 pm
hue.. berat, g ngerti hahaha
January 18th, 2009 at 12:16 am
siip.. infonya mengingatkan say juga supaya lebih preventif… thanks for share….
January 18th, 2009 at 8:49 pm
Waduhhh
harus berhati…hatinih
January 19th, 2009 at 10:53 pm
Waah …. bung rifai gak menambahkan … Penulis tidak bertanggung jawab jika artikel ini digunakan ke yang lain …. jadi mau nyoba ah … heeee *Piss* btw klo pake wordpress biar aman gimana?
kalo untuk wordpress paling diamanin dari login aja..rekomendasi saya pake virtual keyboard
January 24th, 2009 at 1:30 pm
wah saya nggak ngerti banget ma urusan beginian. jadi semoga saja blogku gak menjadi korbannya
January 27th, 2009 at 7:32 am
whaha… itu lah ngga enaknya pake joomla.. apa lagi klo adminnya ngga pernah check keamanan site sendiri.. jangankan cuma sitenya yang di take over,,, gimana klo servernya juga di take over bisa lebih gawat..
January 28th, 2009 at 12:26 pm
alow met kenal… wih jago desain blog ^^
sayang punya gw masih yang gratisan.. so ga banyak yang bisa di kerjain ~_~
February 6th, 2009 at 7:25 am
fren, Ko lama ga posting baru lagi?
Sibuk lagi ya!
February 6th, 2009 at 12:41 pm
Sorry kalau pertanyaannya bego, apakah blog di blogspot juga rentan di deface?? kalau iya.. bagaimana preventifnya???
February 7th, 2009 at 5:11 pm
aduh… masih berlarut2 dengan masalah deface ya????
February 8th, 2009 at 1:11 pm
hehehe.. berkali2 maen kesini.. ternyata belom ada yg baru… kesimpulannya teman kita satu ini bener2 sibuuk.. ikut doain aja moga semua kerjaan lancar…
February 10th, 2009 at 7:17 am
Wah…ngeri neeh, kaya kemarin orang pada mau nge crack blog….
February 10th, 2009 at 1:35 pm
penting banget nih infonya buat orang gaptek kayak gwa. hehe…… sep !!!
smoga tuhan menjauhkan kita dari segaLA sesuatu yang buruk.
Amin!
February 10th, 2009 at 3:57 pm
wa…. ternyata joomla ada kelemahannya juga ya…
February 10th, 2009 at 9:16 pm
sepertinya udah pernah koment di postingan ini? apa lain kali ya?
February 10th, 2009 at 10:09 pm
wah wah.. kasus nya memang seperti itu susah juga sih ya… kita pengen buat website yang mudah dan praktis… tapi code nya sudah banyak yang tau…wah rumit mas… emank harus sering upgrade aja sih… n report aja kl nemuin bugs… biar tem joomla nya benerin… kl bisa malah kita yg benerin trs kita kirim ke joomla.org biar bisa ngangkat nama programer indonesia… ya GA????
February 10th, 2009 at 10:10 pm
mas rifai di tunggu kunjungan nya di blog saya yah….
February 16th, 2009 at 5:03 am
Huh..saya sudah pernah merasakan di http://aneukagamaceh.blogspot.com/2009/02/guestbook-aceh-loen-cinta-diserang.html
nggak tau masuknya apa si tujuan pelaku
saya juga bingung kenapa sasarannya personal blog yaa..? kayak ngga ada kerjaan aja deh
February 16th, 2009 at 5:03 am
Thanks ya atas sharingnya Bos
February 16th, 2009 at 1:33 pm
berarti harus rajin2 nongkrong di bugtraq dung… biar dapat informasi bug terbaru dari joomla dan patchnya… iya gak mas?
http://developer.joomla.org/security.html
lumayan bener dokumentasi securitynya komplit dan update..
March 21st, 2009 at 10:02 am
Registrant:
Birumerah Technology
Jl jatinegara barat iv dalam no7
rt 007 / 03
jakarta, DKI Jakarta 13310
Indonesia
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: SENAYANBOWLING.COM
Created on: 05-Aug-08
Expires on: 05-Aug-09
Last Updated on: 18-Aug-08
Administrative Contact:
hendrawan, christiono christiono@gmail.com
Birumerah Technology
Jl jatinegara barat iv dalam no7
rt 007 / 03
jakarta, DKI Jakarta 13310
Indonesia
628128307722
Technical Contact:
hendrawan, christiono christiono@gmail.com
Birumerah Technology
Jl jatinegara barat iv dalam no7
rt 007 / 03
jakarta, DKI Jakarta 13310
Indonesia
628128307722
Domain servers in listed order:
NS1.BIRUMERAH.INFO
NS2.BIRUMERAH.INFO
Registry Status: clientDeleteProhibited
Registry Status: clientRenewProhibited
Registry Status: clientTransferProhibited
Registry Status: clientUpdateProhibited
by : http://www.DokterMatrix.Com
August 11th, 2009 at 12:23 pm
walah itu yang baru ya webnya..1.5,x sy masih pake jadul mas..rentan juga paling y..dan saya baru liat di suatu blog tiap koment di jawab semua hee bru kali ini
March 31st, 2010 at 6:29 am
Go Daddy coupon code update. Vast quantities of the older Go Daddy coupon codes are inactive. Here are official coupons that are working. These coupons will be working in 2010. $7.49 .com Domains and Manual renewals – Use Go Daddy coupon codes GOO3, OK9, or ZINE10. 25% discount on orders of $100+ – Use Godaddy coupon OK25. 30% Discount when you buy any com domain – Use Godaddy coupon code OK30. $12.99 SSL Certificates – Use Godaddy.com coupons GOOSSL, OKSSL, or ZINESSL. Hosting Plan Discount – 20% Off Hosting – Use Go Daddy promo codes OK20H, ZINE20H1 or GOO20H. 10% off any size order – Use Godaddy.com coupons OK7, GOO1 or ZINE8. $5 Off $30 or More – Use Godaddy.com coupon codes GOO2 or ZINE9. 20% Off Any order of $50 or more – Use Go Daddy promo code OK8.