Re: [tanya-jawab] server ada yang ngehack
On Tue, 14 Sep 2004 10:55:14 +0700 Arief Yudhawarman [EMAIL PROTECTED] wrote: Masalahnya kalau di server yg sama ada webmail seperti squirrelmail yg mensyaratkan register global on ... ngga juga, pake versi lama kali...saya pake squirrel dgn register_globals = Off mau kok... ;-) salam, -- ~Lst -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] server ada yang ngehack
On Mon, Sep 13, 2004 at 01:27:38AM +0700, ~Lst wrote: siip..kalo gitu dah ;-) kalo saya, mending matiin log_errors + register_globals + sll update dgn yg terbaru. Masalahnya kalau di server yg sama ada webmail seperti squirrelmail yg mensyaratkan register global on ... Salam -- yudi -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] server ada yang ngehack
On Sat, 11 Sep 2004 09:37:01 +0700 Arief Yudhawarman [EMAIL PROTECTED] wrote: Kalau begitu di-off-kan saja fasilitas log error di php.ini, agar php tidak menampilkan pesan kesalahan ke stdout. CMIIW. Atau mungkin bisa diatur error tidak ditampilkan ke stdout namun ke file error_log khusus agar nantinya bisa dianalisa. siip..kalo gitu dah ;-) kalo saya, mending matiin log_errors + register_globals + sll update dgn yg terbaru. salam, -- ~Lst -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] server ada yang ngehack
On Fri, 10 Sep 2004 09:01:07 +0700 Arief Yudhawarman [EMAIL PROTECTED] wrote: hehehe...jgn salah mas, hanya dari buku tamu aja mrk bisa `ngelempar' variabel2 `pancingan'... ;-) Variable pancingan itu yg kayak apa mas ? Bisa lebih spesifik, shg nanti bisa dicegah jika ada karakter-karakter yg mengandung variabel pancingan tsb. kayak apa yah...mmm, gini sekedar contoh yah, spt gayanya SQL-Injection, variabel2 pancingan dilempar trus keluar error2, dari error2 yg ditampilkan itulah akhirnya bisa ditarik kesimpulan. salam, -- ~Lst -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] server ada yang ngehack
On Sat, Sep 11, 2004 at 01:50:22AM +0700, ~Lst wrote: Variable pancingan itu yg kayak apa mas ? Bisa lebih spesifik, shg nanti bisa dicegah jika ada karakter-karakter yg mengandung variabel pancingan tsb. kayak apa yah...mmm, gini sekedar contoh yah, spt gayanya SQL-Injection, variabel2 pancingan dilempar trus keluar error2, dari error2 yg ditampilkan itulah akhirnya bisa ditarik kesimpulan. Kalau begitu di-off-kan saja fasilitas log error di php.ini, agar php tidak menampilkan pesan kesalahan ke stdout. CMIIW. Atau mungkin bisa diatur error tidak ditampilkan ke stdout namun ke file error_log khusus agar nantinya bisa dianalisa. -- Terimakasih sebelumnya dan sesudahnya. Salam, ~~ Arief Yudhawarman ~~ -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] Cara hacker .. (Was: Re: [tanya-jawab] server ada yang ngehack)
On Thu, 09 Sep 2004 12:13:00 +0700, Moh Munir [EMAIL PROTECTED] wrote: Benar jangan berkecil hati, saya juga pernah dihack ketika menggunakan proftpd dengan user anonymous terbuka. Server akhirnya tidak dapat digunakan lagi, dari kejadian itu akhirnya saya berusaha mencari kelemahan sistem ftp tersebut. Tapi kalau yang dihack itu server keuangan, wah... kerugiannya bisa lebih besar. sedikit bagi2 pengalaman :) beberapa waktu yg lalu, gue baru naro serper di DC. doi gue install standar RH9 (emang sih.. gue ngaku salah krn teledor) gak lama pas liat log weleh. banyak 'tamu'nya hehe.. untungnya gak semua serpis dinyalain dan untungnya juga langsung ketauan... kalo bukunya yang ngebahas ttg linux security, ada tuh.. (yg menurut gue bagus buat newbie kayak gue) judulnya Real World Linux Security, karangan Bob Toxen. tapi sorry gue gak punya persi digitalnya.. *o-o* -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] server ada yang ngehack
mas priyadi saya pake Apache/1.3.27 dan PHP 4.32. websitenya hanya html sedangkan php hanya dipake buku tamu itu pun sederhana hanya entri saja..nggak pake CMS seperti phpnuke, postnuke..dll. web server ini udah running kurang lebih dua tahun..baru sekarang aja trouble...oh selain web server, server ini juga jadi server dns..padahal configurasi named-nya sudah saya chrott. sekarang ini muncul log seperi ini /var/log/message Sep 9 12:01:31 www named[923]: lame server resolving '113.46.203.140.in-addr.arpa' (in '203.140.in-addr.arpa'?): 134.226.1.28#53 Sep 9 12:06:35 www named[923]: lame server resolving '154.45.131.62.in-addr.arpa' (in '131.62.in-addr.arpa'?): 213.239.154.101#53 Sep 9 12:07:23 www named[923]: lame server resolving '25.46.203.140.in-addr.arpa' (in '203.140.in-addr.arpa'?): 140.203.7.186#53 Sep 9 12:18:47 www named[923]: lame server resolving '213.45.131.62.in-addr.arpa' (in '131.62.in-addr.arpa'?): 213.239.154.101#53 Sep 9 12:31:09 www named[923]: lame server resolving '76.45.131.62.in-addr.arpa' (in '131.62.in-addr.arpa'?): 213.239.154.101 salam samsee --- Priyadi Iman Nurcahyo [EMAIL PROTECTED] wrote: On Thursday 09 September 2004 09:11, s.a.m.s.e.e wrote: port di server yang terbuka hanya 80 dan 22, diserver juga sudah di pasang portsentry dan snort dan firewall juga.server yang di hack adalah web server.. bisa minta referensi nggak tentang hal-hal yang berkaitan seperti saya sudah googling...tapi blom nemu. kemungkinan besar dia masuk lewat web server... apa anda pakai software yang populer jadi target cracker? (misalnya postnuke atau phpnuke) berapa versi apache anda? -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis __ Do you Yahoo!? New and Improved Yahoo! Mail - 100MB free storage! http://promotions.yahoo.com/new_mail -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] server ada yang ngehack
| pasang php gak? | bisa jadi deface nya lewat script php, | seperti kejadian defacing beberapa waktu lalu, | hacker nya masuk karena hosting nya sama dengan web yang di deface, | dan dengan modal php, dia bisa ngelihat dan merubah isi web yang lain. | well, CMIIW, saya cuman c\baca beritanya aja, tapi gak tau sih real nya | gimana. | | lordsanjay hehejadi tersinggung nich :) php injection emang yahud! sekali kena hosting - bejibun client yang terkena dampaknya. ya harusnya ngk perlu laah..ngedeface web, kan masih ada cara lain misal : pinjem server buat pasang 'bot' kek... :) -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] server ada yang ngehack
On Wed, 8 Sep 2004 23:24:52 -0700 (PDT) s.a.m.s.e.e [EMAIL PROTECTED] wrote: mas priyadi saya pake Apache/1.3.27 dan PHP 4.32. IMO, rekomendasi terakhir bukannya Apache/1.3.31 PHP 4.38 ? sedangkan php hanya dipake buku tamu itu pun sederhana hanya entri saja..nggak pake CMS seperti phpnuke, postnuke..dll. hehehe...jgn salah mas, hanya dari buku tamu aja mrk bisa `ngelempar' variabel2 `pancingan'... ;-) salam, -- ~Lst -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] server ada yang ngehack
On Thursday 09 September 2004 13:24, s.a.m.s.e.e wrote: mas priyadi saya pake Apache/1.3.27 dan PHP 4.32. websitenya hanya html sedangkan php hanya dipake buku tamu itu pun sederhana hanya entri saja..nggak pake CMS seperti phpnuke, postnuke..dll. kemungkinan bisa dari apache atau php, atau juga library yang dipakai keduanya... bisa dilihat kepemilikan file yang dimiliki cracker? (psybnc dsb) kalau dimiliki oleh user apache, berarti dia memang masuk dari web server... sekarang ini muncul log seperi ini /var/log/message Sep 9 12:01:31 www named[923]: lame server resolving '113.46.203.140.in-addr.arpa' (in '203.140.in-addr.arpa'?): 134.226.1.28#53 lame servers ini cuekin aja... bukan salah anda... -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] server ada yang ngehack
On Fri, Sep 10, 2004 at 01:23:19AM +0700, ~Lst wrote: sedangkan php hanya dipake buku tamu itu pun sederhana hanya entri saja..nggak pake CMS seperti phpnuke, postnuke..dll. hehehe...jgn salah mas, hanya dari buku tamu aja mrk bisa `ngelempar' variabel2 `pancingan'... ;-) Variable pancingan itu yg kayak apa mas ? Bisa lebih spesifik, shg nanti bisa dicegah jika ada karakter-karakter yg mengandung variabel pancingan tsb. Salam -- yudi -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
[tanya-jawab] server ada yang ngehack
halo para admin.. di kedua server saya ada user yang login, saya liat lognya berasal dari ip luar negeri.. dan mereka buat user sendiri dimana didalam user tersebut ada beberapa file seperti : ftp.tgz, ftp.tgz.1,psybnc, xpost.tgz. padahal udah dipasang firewall+IDS. kedua server pake distro redhat. solusinya supaya tidak terjadi seperti ini lagi gimana ya... mohon pencerahannya. salam samsee ___ Do you Yahoo!? Win 1 of 4,000 free domain names from Yahoo! Enter now. http://promotions.yahoo.com/goldrush -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
[tanya-jawab] Cara hacker .. (Was: Re: [tanya-jawab] server ada yang ngehack)
Sebenarnya tidak perlu berkecil hati apabila memang telah dirooted ataupun dicompromised. Cukup caritahu melalui apa dia dapat menembus sistem kita, lalu cari patchnya untuk daemon tsb. Distro RedHat dan beberapa linux yang lain, saya lihat defaultnya banyak port terbuka, tidak disecure, sedangkan server linux membuka port pasti ada tujuannya, jika memang tidak berguna, kill saja daemon yang menjalankan port tersebut. Lebih efektif dari melakukan firewalling dsb nya .. Efektif dan efisien RAM, tidak terpakai, daripada dijalankan hanya dijadikan alat penetrasi sistem oleh intruder.. Sekali lagi, tidak usah berkecil hati, saat baru menguasai Linux pun saya pernah dihacked, waktu itu pake WuFTPD, install fresh RH 7.1 hanya dalam hitungan 10-15 menit, sudah ada perubahan di system .. :)) Luar biasa, tapi ada banyak hal yang dapat saya ambil dari kejadian tsb.. - Rio.Martin - --- Harnanto [EMAIL PROTECTED] wrote: On Wed, 8 Sep 2004 02:57:54 -0700 (PDT), s.a.m.s.e.e [EMAIL PROTECTED] wrote: di kedua server saya ada user yang login, saya liat lognya berasal dari ip luar negeri.. dan mereka buat user sendiri dimana didalam user tersebut ada beberapa file seperti : ftp.tgz, ftp.tgz.1,psybnc, xpost.tgz. padahal udah dipasang firewall+IDS. kedua server pake distro redhat. solusinya supaya tidak terjadi seperti ini lagi gimana ya... mohon pencerahannya. Minimal, kalau dimungkinkan batasi dengan rule di firewall agar cuma ip address tertentu saja yang bisa konek ke server tersebut. Kemudian sering-sering lakukan update redhat-nya. Jangan lupa cek selalu log server yang ada. Hal yang sepele tapi sulit dilaksanakan karena umumnya jarang sekali administrator IT yang didedikasikan pekerjaannya untuk IT Security. Firewall, IDS atau yang lainnya cuma alat. Security tergantung dari kualitas orangnya. Dan kenyataannya faktor manusia adalah titik terlemah dari security. -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] Cara hacker .. (Was: Re: [tanya-jawab] server ada yang ngehack)
On Wed, 08 Sep 2004 23:20:31 +0700, Rio Martin @ MobilePC [EMAIL PROTECTED] wrote: Sebenarnya tidak perlu berkecil hati apabila memang telah dirooted ataupun dicompromised. Cukup caritahu melalui apa dia dapat menembus sistem kita, lalu cari patchnya untuk daemon tsb. Oh ya, baru ingat. Ada juga dijual buku kecil terbitan Elex Media Komputindo dengan judul 'Memahami SECURITY LINUX'. Coba dibaca saja sebagai langkah awal. -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] server ada yang ngehack
port di server yang terbuka hanya 80 dan 22, diserver juga sudah di pasang portsentry dan snort dan firewall juga.server yang di hack adalah web server.. bisa minta referensi nggak tentang hal-hal yang berkaitan seperti saya sudah googling...tapi blom nemu. terima kasih semuaya atas tanggapannya.. salam samsee __ Do you Yahoo!? New and Improved Yahoo! Mail - Send 10MB messages! http://promotions.yahoo.com/new_mail -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] server ada yang ngehack
On Wed, 8 Sep 2004 19:11:55 -0700 (PDT), s.a.m.s.e.e [EMAIL PROTECTED] wrote: juga.server yang di hack adalah web server.. Web server setahu saya memang relatif rentan sekali. Jadi jangan satukan web server ini dengan fungsi server lainnya. Dan taruh di DMZ saja lalu rule-nya harus ketat, jangan sampai server-server di DMZ boleh akses ke dalam. Cuman boleh diakses dari luar. -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] server ada yang ngehack
On Thursday 09 September 2004 09:11, s.a.m.s.e.e wrote: port di server yang terbuka hanya 80 dan 22, diserver juga sudah di pasang portsentry dan snort dan firewall juga.server yang di hack adalah web server.. bisa minta referensi nggak tentang hal-hal yang berkaitan seperti saya sudah googling...tapi blom nemu. kemungkinan besar dia masuk lewat web server... apa anda pakai software yang populer jadi target cracker? (misalnya postnuke atau phpnuke) berapa versi apache anda? -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] Cara hacker .. (Was: Re: [tanya-jawab] server ada yang ngehack)
Benar jangan berkecil hati, saya juga pernah dihack ketika menggunakan proftpd dengan user anonymous terbuka. Server akhirnya tidak dapat digunakan lagi, dari kejadian itu akhirnya saya berusaha mencari kelemahan sistem ftp tersebut. Tapi kalau yang dihack itu server keuangan, wah... kerugiannya bisa lebih besar. salam munir At 11:20 PM 9/8/2004, you wrote: Sebenarnya tidak perlu berkecil hati apabila memang telah dirooted ataupun dicompromised. Cukup caritahu melalui apa dia dapat menembus sistem kita, lalu cari patchnya untuk daemon tsb. Distro RedHat dan beberapa linux yang lain, saya lihat defaultnya banyak port terbuka, tidak disecure, sedangkan server linux membuka port pasti ada tujuannya, jika memang tidak berguna, kill saja daemon yang menjalankan port tersebut. Lebih efektif dari melakukan firewalling dsb nya .. Efektif dan efisien RAM, tidak terpakai, daripada dijalankan hanya dijadikan alat penetrasi sistem oleh intruder.. Sekali lagi, tidak usah berkecil hati, saat baru menguasai Linux pun saya pernah dihacked, waktu itu pake WuFTPD, install fresh RH 7.1 hanya dalam hitungan 10-15 menit, sudah ada perubahan di system .. :)) Luar biasa, tapi ada banyak hal yang dapat saya ambil dari kejadian tsb.. - Rio.Martin - --- Harnanto [EMAIL PROTECTED] wrote: On Wed, 8 Sep 2004 02:57:54 -0700 (PDT), s.a.m.s.e.e [EMAIL PROTECTED] wrote: di kedua server saya ada user yang login, saya liat lognya berasal dari ip luar negeri.. dan mereka buat user sendiri dimana didalam user tersebut ada beberapa file seperti : ftp.tgz, ftp.tgz.1,psybnc, xpost.tgz. padahal udah dipasang firewall+IDS. kedua server pake distro redhat. solusinya supaya tidak terjadi seperti ini lagi gimana ya... mohon pencerahannya. Minimal, kalau dimungkinkan batasi dengan rule di firewall agar cuma ip address tertentu saja yang bisa konek ke server tersebut. Kemudian sering-sering lakukan update redhat-nya. Jangan lupa cek selalu log server yang ada. Hal yang sepele tapi sulit dilaksanakan karena umumnya jarang sekali administrator IT yang didedikasikan pekerjaannya untuk IT Security. Firewall, IDS atau yang lainnya cuma alat. Security tergantung dari kualitas orangnya. Dan kenyataannya faktor manusia adalah titik terlemah dari security. -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis