Memang macam sial. Paling lewat aku akses GarageBox.Org semalam, 14 Nov 2009 jam 1830. Tapi sudah kena hack pada jam 1909. Aku dapat tahu jam 2030. Laman ini telah di-defaced tetapi dapat dipulihkan 2 jam kemudian. Itu pun pada masa artikel ini ditulis, fail index mengalami masalah. Tidak diketahui kenapa tetapi dapat dipulihkan beberapa minit selepass itu.

 

Dari analisa dan siasatan yang dibuat, didapati deface ini dilakukan oleh hacker dari Turki, Attack3rz Crew Co, yang sebelum ini memang banyak melakukan kerja-kerja deface ini.

 

Bagaimana mereka melakukan deface? Tidak pasti. Kemungkinan melalui skrip yang aku tulis beberapa minggu lepas yang terdedah dengan URL exploitation. Atau server hosting ini memang mudah di-deface. Apa yang mereka lakukan adalah menukarkan segala fail index* yang diketahui dengan suatu data seperti di bawah.

 

r00ted by GUARD_FB ~

sh: no job control in this shell ~ gu4rd styLe .

uname -a :

Linux mercury.centralmalaysia.com 2.6.9-78.0.22.ELsmp #1 SMP Thu Apr 30 19:14:39 EDT 2009 i686 i686 i386 GNU/Linux

id

uid=0(root) gid=0(root) groups=32248(pocketpi)

Attack3rz Crew Co ! - Attackerz.coM

 

Nasib baik ada fail sokongan tetapi telah lewat dalam sebulan.

Langkah pertahanan dan pengawasan jangka pendek dan panjang yang perlu dilakukan adalah

  1. Menutup skrip mudah dan perlu dinilai semula. Malas hendak belajar security semula. hehehehhe.
  2. Melakukan autobackup ke server lain.
  3. Mempelajari semula bagaimana deface dilakukan.
  4. Pastikan tiada remote exploit melalui Joomla dan bebas dari bug.