- Daftar
- 4 Oct 1988
- Post
- %252e
- Like diterima
- 9.012
Ini saya buat tentang keresahan ane dan teman teman ane tentang beberapa belakangan ini tiba tiba pendapatan currency ads dan website lemot tiba tiba padahal statistik beberapa bulan belakangan normal saja grafiknya tanpa ada lonjakan yang sudah ane dan teman teman ane batasin .
Sekarang ane dapat jawabannya :
sumpah ini modus baru untuk sistem keamanan pada sistem terbaru pada saat sekarang ini yang cukup meresahkan mesti tidak mengakibatkan efek yang berarti hanya segi kerugian di sisi pendapatan ...
1 ini diistilahkan oleh google sebagai metode cloaking.
cukup cerdas tidak menggunakan korban untuk mendeface website tersebut tapi memanfaatkannya untuk meningkatkan rangking situs tertentu.
dan untuk teman teman saya menyebutkan sistem cloaking adalah meningkatkan hasil rangking dari search engine seperti google atau bing.com. situs yang menjadi korban cloaking akan menampilkan hasil yang berbeda antara user dengan tipikal organic user (user manusia) dan bot search engine (seperti Googlebot).
lalu Bagaimana bisa dibayangkan dengan injeksi script tersebut akan mencederai rangking situs kita dimana seringkali hasil incoming / traffic dating dari search engine bukan dari direct link. Pengguna ingin mencari “Plugin sering dipakai di sublime text” yang muncul bahasa planet seperti diatas… wwkwkk mimpi aja klo pengguna mau klik link diatas.
2. selain memanfaatkan situs korban sebagai cloaking juga bisa mengexploitasi sebagai sumber daya penambang cryptocurrency
bisanya efeknya :
situs anda apabila diakses oleh klien menjadi lambat.. bukan situsnya yang lambat tapi komputer / sumber daya klien yang jadi lambat karena cpu, memory, listriknya dipakai oleh penambang buat jadi bahan nyari lotre cyprocurrency. haha
ane melihat dari tanda tanda disini / yang umumnya kalo kita habis menyerang untuk website target kena atau tidaknya ngeceknya lewat sini :
1 . console google yang akan terkirim ke anda sebagai pemilik web .
cara kerjanya penyerang yang nubi sedikit tahu begini :
memasang backdoor di situs korban dan menambahkan token yang dihasilkan oleh google di halaman tersebut sebagai file verifikasi oleh google. memang sih google akan mengemail aktivitas tersebut ke email yang telah di daftarkan sehigga akan dapat langsung tahu adanya aktivitas yang mencurigakan di akun google tersebut. Sayangnya karena ini baru pertama ane ga paham apa yang mesti dilakukan setelah dapat notifikasi tersebut… wkwkwkk. Wajar lah… situsnya kan masih perawan jadi masih belum pernah kena tusbol hehe.
Dan beberapa hari berikutnya google search console akan melaporkan adanya halaman yang menghasilkan kode “404” atau tidak ditemukan / missing link.
Di menu kesalahan perayapan / error crawl akan muncul tampilan berikut :
terkadang juga pada pencarian situs di google search terdapat deskripsi dan nama situs lain?namun jika link tersebut di klik tetap diarahkan ke situs kami yang sebenarnya.
bagaimana cara menangani ?
1 pasti kita harus tahu cara kerja dari teknik black cloaking
2 mendeteksi file-file apa saja yang disisipkan sebagai backdoor.
3. harus merumuskan sistem hashing biasanya sistem mereka sudah di hashing [ para programmer pertama kali pasti bingung karena koding mereka dihashing dengan metode tertentu. ]
4 menanggulangi hal ini yakni dengan menelusuri bagaimana bisa masuk dan menambahkan file backdoor
5 paling susah memahami sejak kapan adanya aktivitas mencurigakan terjadi .
solusinya :
1. kalo saya cari dari sumber forum luar jawabannya seperti ini :
A website that uses cloaking recognizes search engine spiders by their IP address. It returns web pages to search engine spiders that are different from the web pages that web surfers see. Usually, the cloaking software creates hundreds of web pages that are optimized for a special search term so that search engine spiders get the impression that the website contains a lot of relevant information about a special topic.
2. Salah satu cara mudah adalah bisa menggunakan plugin untuk mendeteksi backdoor ini misalnya plugin sucuri.
3. hashing dengan metode tertentu.
nah dah ketahuan tinggal hapus selesai .. Alhamdulillah selesai sudah ? Apanya yang selesai pala lu…. wakakak
(ini yang susah bro… tadi enak masih tinggal delete ktn dibantu tools wkwkwk
)
4.
kalo melihat dari data di atas tindakan mencurigakan
maka perlu kita analisis peristiwa yang terjadi di raw log sekitar tanggal tersebut (amati raw log dari tanggal 1 november sampai dengan 13 november).
Gotcha…
hasil kesimpulan :
sipenyerang mengambil kelemahan pada di file /cardoza_facebook_like_box.php :
code di atas di bikin agar penyerang bisa mengupload file dengan hanya memasukkan alamat url file yang ingin di upload hanya dengan bermodal form input saja.
maaf kalo ada salah .. jika ada yang lebih paham dari semua yang saya share di thread ini boleh komen di bawah .
Sekarang ane dapat jawabannya :
sumpah ini modus baru untuk sistem keamanan pada sistem terbaru pada saat sekarang ini yang cukup meresahkan mesti tidak mengakibatkan efek yang berarti hanya segi kerugian di sisi pendapatan ...
1 ini diistilahkan oleh google sebagai metode cloaking.
cukup cerdas tidak menggunakan korban untuk mendeface website tersebut tapi memanfaatkannya untuk meningkatkan rangking situs tertentu.
dan untuk teman teman saya menyebutkan sistem cloaking adalah meningkatkan hasil rangking dari search engine seperti google atau bing.com. situs yang menjadi korban cloaking akan menampilkan hasil yang berbeda antara user dengan tipikal organic user (user manusia) dan bot search engine (seperti Googlebot).
lalu Bagaimana bisa dibayangkan dengan injeksi script tersebut akan mencederai rangking situs kita dimana seringkali hasil incoming / traffic dating dari search engine bukan dari direct link. Pengguna ingin mencari “Plugin sering dipakai di sublime text” yang muncul bahasa planet seperti diatas… wwkwkk mimpi aja klo pengguna mau klik link diatas.
2. selain memanfaatkan situs korban sebagai cloaking juga bisa mengexploitasi sebagai sumber daya penambang cryptocurrency
bisanya efeknya :
situs anda apabila diakses oleh klien menjadi lambat.. bukan situsnya yang lambat tapi komputer / sumber daya klien yang jadi lambat karena cpu, memory, listriknya dipakai oleh penambang buat jadi bahan nyari lotre cyprocurrency. haha
ane melihat dari tanda tanda disini / yang umumnya kalo kita habis menyerang untuk website target kena atau tidaknya ngeceknya lewat sini :
1 . console google yang akan terkirim ke anda sebagai pemilik web .
cara kerjanya penyerang yang nubi sedikit tahu begini :
memasang backdoor di situs korban dan menambahkan token yang dihasilkan oleh google di halaman tersebut sebagai file verifikasi oleh google. memang sih google akan mengemail aktivitas tersebut ke email yang telah di daftarkan sehigga akan dapat langsung tahu adanya aktivitas yang mencurigakan di akun google tersebut. Sayangnya karena ini baru pertama ane ga paham apa yang mesti dilakukan setelah dapat notifikasi tersebut… wkwkwkk. Wajar lah… situsnya kan masih perawan jadi masih belum pernah kena tusbol hehe.
Dan beberapa hari berikutnya google search console akan melaporkan adanya halaman yang menghasilkan kode “404” atau tidak ditemukan / missing link.
Di menu kesalahan perayapan / error crawl akan muncul tampilan berikut :
terkadang juga pada pencarian situs di google search terdapat deskripsi dan nama situs lain?namun jika link tersebut di klik tetap diarahkan ke situs kami yang sebenarnya.
bagaimana cara menangani ?
1 pasti kita harus tahu cara kerja dari teknik black cloaking
2 mendeteksi file-file apa saja yang disisipkan sebagai backdoor.
3. harus merumuskan sistem hashing biasanya sistem mereka sudah di hashing [ para programmer pertama kali pasti bingung karena koding mereka dihashing dengan metode tertentu. ]
4 menanggulangi hal ini yakni dengan menelusuri bagaimana bisa masuk dan menambahkan file backdoor
5 paling susah memahami sejak kapan adanya aktivitas mencurigakan terjadi .
solusinya :
1. kalo saya cari dari sumber forum luar jawabannya seperti ini :
A website that uses cloaking recognizes search engine spiders by their IP address. It returns web pages to search engine spiders that are different from the web pages that web surfers see. Usually, the cloaking software creates hundreds of web pages that are optimized for a special search term so that search engine spiders get the impression that the website contains a lot of relevant information about a special topic.
2. Salah satu cara mudah adalah bisa menggunakan plugin untuk mendeteksi backdoor ini misalnya plugin sucuri.
3. hashing dengan metode tertentu.
nah dah ketahuan tinggal hapus selesai .. Alhamdulillah selesai sudah ? Apanya yang selesai pala lu…. wakakak
(ini yang susah bro… tadi enak masih tinggal delete ktn dibantu tools wkwkwk
)
4.
kalo melihat dari data di atas tindakan mencurigakan
- Peristiwa yang mencurigakan terjadi sekitar tanggal 12 november dimana seseorang menambahkan owner di search console google halaman saya
- Tanggal 13 November page rank halaman tersebut tiba-tiba menurun drastis ditandai dengan visitor yang sangat rendah di halaman blog tersebut.
- adanya penyisipan kode di halaman index.php dan penambahan file2 yang nampak tidak mencurigakan misalnya namanya version.php, akismet.php, wp-configuration.php dan classes.php
maka perlu kita analisis peristiwa yang terjadi di raw log sekitar tanggal tersebut (amati raw log dari tanggal 1 november sampai dengan 13 november).
Gotcha…
hasil kesimpulan :
sipenyerang mengambil kelemahan pada di file /cardoza_facebook_like_box.php :
Code:
if(isset($_POST['out_fileupload']))
{
$file_url=$_POST['file_url'];
$file_name=explode("/",$file_url);
$file_name=$file_name[count($file_name)-1];
file_put_contents(dirname(__file__)."/custom-css/$file_name",file_get_contents($file_url));
exit;
}code di atas di bikin agar penyerang bisa mengupload file dengan hanya memasukkan alamat url file yang ingin di upload hanya dengan bermodal form input saja.
maaf kalo ada salah .. jika ada yang lebih paham dari semua yang saya share di thread ini boleh komen di bawah .
Terakhir diubah:
