about life

Hacking WordPress, kena lagi deh blog ini

Sekali lagi blog saya ini kena hack. rupanya tema hacking wordpress sekarang jadi trend ya.

pada saat mengakses ke http://www.arthanugraha.com  saya tidak dapat mengaksesnya. tampilannya menjadi seperti ini

Forbiden page - hacking WordPress

ketika loginpun saya gagal untuk mengakses halaman wp-admin. wah, blog saya di hacking WordPress nya nih.

Langkah pertama yang saya lakukan adalah reset password wordpress.
Selanjutnya, dengan berbekal keahlian mbah google, saya searching alert ke google dengan memasukkan keyword ini:

wordpress forbidden You don’t have permission to access / on this server. Additionaly, a 404 not Found error was encountered while trying to use an ErrorDocument to handle the request.

beberapa hal yang saya temukan memberikan instruksi berikut:

1. kesalahan hak akses pada file. seharusnya untuk folder diberi akses 755 sedangkan file diberi akses 644. saya sudah periksa melalui cpanel, ternyata semua akses folder dan file sudah benar.

2. memeriksa .htaccess. setelah saya buka, ternyata file .htaccess saya hanya berisi

# BEGIN WordPress

# END WordPress

Seharusnya adalah

# BEGIN WordPress

<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>

# END WordPress

Maka saya kembalikan .htaccess ke yang seharusnya, kok bisa ya cara hacking WordPress dengan mengedit httaccess nya.

3. Saya kehilangan file index.html, hal yang saya lakukan, saya copy kan file standard index.html dari wordpress ke folder blog saya melalui cpanel.

4. dari tiga langkah tersebut, ternyata masih belum berhasil. saya mencoba merubah permalink melalui wp-admin menjadi default, lalu disave. selanjutnya permalink bisa diganti lagi sesuai dengan keinginan kita.

5. setelah langkah keempat, ternyata blog sudah bisa diakses. Tapi di bagian bawah blog ada tampilan yang aneh.

footer part page not found - hacking WordPress

 

saya coba cek di bagian footer melalui editor di wp-admin, ternyata ada code yang aneh dengan comment pada bagian atas code tersebut sebagai berikut:

/* (1n73ction shell v3.1 by x'1n73ct|default pass:" 1n73ction ") */

saya coba telusuri ke google dengan keyword comment tersebut dan hasilnya adalah code tersebut merupakan suatu script backdoor.
Apa itu backdoor?
Backdoor, artinya yang pintu belakang. Gunanya biasanya jika ada masalah di dalam suatu aplikasi atau perangkat, seorang developer masih bisa memperbaikinya. Itu guna positifnya.
Yah, seperti pedang yang bermata dua, backdoor juga biasanya dipakai oleh para hacker untuk melakukan modifikasi pada suatu aplikasi atau perangkat.
Biasanya yang dimanfaatkan adalah lubang atau vulnerabilitynya. Makanya tidak heran, aplikasi selalu memberikan update security untuk selalu memperbaiki lubang tersebut.

Di kalangan hacker, backdoor ini digunakan untuk mencuri data, merubah tampilan suatu web atau sekedar iseng saja. yup, beneran  nih, kadang juga iseng itu untuk mengingatkan kita, user untuk lebih aman. Karena biasanya para hacker ini akan melakukan kegiatan penanaman backdoor ini dengan menembakkan sebanyak mungkin url, tentunya prosentase keberhasilan penanaman backdoor akan lebih besar.

Salah satu cara penggunaan backdoor adalah memanfaatkan script tertentu yang bisa diremote dan code tersebut sudah tertanam di website target. Bagi teman-teman yang familiar dengan kasus deface, yups inilah caranya melakukan deface. Bahkan hacker paling cupu pun bisa melakukannya, atau jangan-jangan anak saya yang umur tiga tahun juga bisa ya.

Pertanyaannya, masak sih semudah itu?

betul semudah itu. script yang dijalankan dinamakan web shell. lah kok bisa jalankan script padahal tidak punya hak akses. Hehehe, sudah saya jelaskan, di dunia ini kan tidak ada yang sempurna, tugas seorang hacker adalah menyempurnakannya. Cara yang dipakai adalah mencari lubang yang bisa dimasuki.

Dalam kasus blog saya, saya memakai wordpress yang masih memiliki lubang itu, sehingga dengan mudah hacker bisa memasukinya.
cara tracenya sih mudah, tinggal trace incoming IP ke blog saya, ketemu deh pelakunya, hehehe.

kalau mau belajar mengenai webshell, banyak banget caranya, salah satunya adalah yang menyerang ke blog saya dengan webshell   [ b374k r3c0ded by X’1N73CT ]. dua modul yang diserang adalah halaman footer dan 404.
Berikut referensi kalau mau belajar webshell, pergunakan dengan baik dan bijaksana ya.

ini mengenai websheelnya

Kalau yang ini, cara untuk menginjectkan ke dalam wordpress

nah, terus kalau wordpress dengan mudah diinject dan dilakukan hacking WordPress , ngapain pakai wordpress ya?
hehehe, gak gitu juga bro, wordpress sediakan plugin kok untuk mengatasinya. salah satunya adalah Wordfence Security. yang penting kita melakukan preventif untuk mencegah terjadinya hacking WordPress.

—- update terbaru minggu, 13 oktober 2013  jam 16:00

sekali lagi kena deface. hacker mengirim pesan lewat twitter atas nama ./wisnu404
segera diperbaiki dan bisa dites ulang untuk para hacker.
HACKED BY ./WISNU404 - hacking wordpress

hasil percakapan dengan dirinya
HACKED BY ./WISNU404 - hacking wordpress

Artha Nugraha Jonar
blogger yang belajar dengan menulis
http://www.arthanugraha.com

Tinggalkan Balasan

This site uses Akismet to reduce spam. Learn how your comment data is processed.