Berkenalan dengan Hacker yang Santun

by Endonesia

Sabtu, 05-April-2008, 09:12:42

Cileungsi, Endonesia -- Satu demi satu website yang pakai eNdonesia 8.x jadi korban hacker yang pekan-pekan terakhir rajin mengasong ke sana kemari. Bengal? Bisa dibilang begitu. Tapi mereka punya sopan santun juga. Tidak langsung kabur, mereka 'logout' dulu sehabis mengubah isi halaman depan. Siapa sih? Kalau dilihat dari IP address yang dipakai sih, IP address tetangga sebelah.

Salah satu yang ikut didatangi para hacker itu pada 1 April lalu adalah www.nurcholis. com. Bagaikan website pemerintah daripada Republik Indonesia yang sekarang jadi sasaran favorit, Nurcholis.com pun sempat ditulisi: Hack by Roy Suryo master of Telematika Indonesia.

Nurc holis.com isinya apa? Ya ndak ada apa-apa. Cuma salinan Endonesia.com beberapa tahun silam. File backup Endonesia.com yang kebetulan di-install ulang. Dan... he.. he.. installnya pun di server yang ada di pc yang ada di kolong meja... yang kebetulan diberi IP publik, yang kebetulan di pasangi dns server, dan... selalu tersiram abu rokok.

Kalau kemudian bisa disusupi, ya maklum saja. Namanya juga file backup. Stok lama. Nggak ikut-ikutan update yang disarankan di forum diskusi endonesia 8.4:

http://www.end onesia.com/mod.php?mod=diskusi &op=viewdisk&did=1176

Dan karena Nurcholis.com disusupi itulah maka Endonesia jadi bisa kenalan lebih dekat dengan para pengasong sql injection.

Sepe rti sudah lama diketahui, rata-rata CMS --termasuk eNdonesia-- sudah lama bisa jadi korban injeksi mysql. Hanya saja, dulu semuanya ya cuek-cuek saja, karena injeksi itu hanya membuahkan munculnya password yang terenkripsi sistem enskripsi MD5. Dan dulu itu, MD5 --sebagai sistem enkripsi top dan favorit mayortas CMS-- belum bisa di-decrypt.

Sej ak pertengahan tahun lalu, situasi berubah. MD5 ternyata bisa dijebol dengan memakai PC berkecepatan tinggi dan bermemori besar. Walhasil, mulailah para pemilik PC semacam itu mengkoleksi MD5 yang tercecer di sana sini, mengcracknya, lalu mempublikasikannya via database MD5. Ada yang terang-terangan mengaku gudang crack MD5, ada yang sopan menyebut diri sebagai tools untuk ''mengingat ulang'' password MD5 yang terlupakan.

Coba lakukan searching pakai Google dengan keyword 'md5 crack', pasti bertaburan penyedia database MD5. Juga muncul para pengambil untung yang (tipu-tipu) menjual software peng-crack MD5.

Kembali ke Nurcholis.com, para hacker seperti biasa mengasong teknik injeksi ''union select'' untuk memunculkan password MD5. Selanjutnya, isi Mainpage pun diubah dan diberi aneka tulisan ala Kill Roy.

Lantas, hackernya siapa? Seperti biasa lagi, cara praktis adalah dengan mengintip ip address yang dipakai si hacker untuk mengakses halaman admin. IP address ini bisa dilihat dengan membaca log server.

Dalam kasus Nurcholis.com, ada yang tak biasa. Jika biasanya pakai IP address Iran, Bulgaria, Turki, dsbnya, kali ini satu dari dua hacker yang 1 April lalu 'memunculkan sekaligus sejumlah icon modul' pada log server Nurcholis.com ternyata menggunakan IP yang beraroma Indonesia.

Hack ernya kepelest? Lupa menutupi IP yang dipakai? Entahlah.

Bunyi log Apache Nurcholis.com seperti berikut:

Setela h coba berbagai sql injection, tamu yang pertama pun masuk:

63.24 7.139.40 - - [01/Apr/2008:14:41:16 +0700] GET /admin.php?op=main_page_data HTTP/1.1 200 16348 http://nurchol is.com/admin.php Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.13) Gecko/20080311 Firefox/2.0.0.13

< p>Dia lantas keluar dengan sopan... pakai logout...

63 .247.139.40 - - [01/Apr/2008:14:41:51 +0700] GET /admin.php?op=logout HTTP/1.1 200 14526 http://nurchol is.com/admin.php Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.13) Gecko/20080311 Firefox/2.0.0.13

< p>Tiga jam kemudian, ada yang datang lagi. To the point. Langsung ke halaman admin dan login.

Nah... tamu yang ini yang IP-nya sepertinya IP milik punya toko sebelah (silakan cek sendiri siapa pemiliknya, pakai saja www.robtex.com ):

147.202.4 3.34 - - [01/Apr/2008:17:35:09 +0700] GET /mod.php?mod=about&op=editabou t&aboutid=1 HTTP/1.1 200 17292 http://nurchol is.com/mod.php?mod=about&op=ma nager Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12

< p>Selanjutnya, belum semenit berlalu, muncul tamu yang berasal dari link yang terdapat pada sebuah postingan di Forum Detik.Com, yang mengabarkan sejumlah website pemakai eNdonesia 8.x (termasuk nurcholis.com) di hack. Cepat nian....

61. 8.65.154 - - [01/Apr/2008:17:35:59 +0700] GET / HTTP/1.1 200 39192 http://forum.d etikinet.com/showthread.php?t= 18295 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.3) Gecko/20070309 Firefox/2.0.0.3

125.163.249.94 - - [01/Apr/2008:17:38:05 +0700] GET / HTTP/1.1 200 39192 http://forum.d etikinet.com/showthread.php?t= 18295 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.13) Gecko/20080311 Firefox/2.0.0.13

< p>

Begitulah kisah singkat perjalanan hacker santun yang memakai IP beraroma Indonesia itu.

Semoga saja log Apache tidak salah mencatat. Tapi yah... siapa tahu itu memang IP forgery.

Mari buka-buka log file... siapa tahu ada cerita asyik pengobat nesu. *** che

Quick Links:

http://147.202 .43.34

http://whois.s c/147.202.43.34

http://61.8.65 .154

http://whois.s c/61.8.65.154