Membersihkan script penyusup / hacker dari website kita


Pernahkah anda mengalami website yang anda kelola tiba-tiba halaman depan frontpage)-nya berubah (deface), berisi kata-kata tertentu yang disertai gambar / logo dari si Hacker ? Kalo’ begitu itu artinya website anda telah berhasil disusupi si Hacker. Berikut ini tools script PHP yang berguna untuk membersihkan “Script Kiddies” atau “Backdoor” yang sengaja ditinggalkan / digunakan Hacker untuk melakukan aksinya (mencuri password login, men-deface tampilan website).

Ibarat sebuat “virus / trojan”, script kiddies atau backdoor yang ditaruh secara sengaja oleh hacker ke dalam folder-folder tertentu dari website anda, jika tidak dihilangkan / hapus, maka proses pemulihan website anda akan sia-sia. Website anda akan dengan cepat disusupi lagi.

Script Kiddies / Backdoor merupakan script khusus (PHP / Perl) yang dibuat untuk mendapatkan celah akses masuk ke dalam Database MySQL, full akses FTP, dan mencari folder yang hak akses tulis / write-nya masih terbuka.

Berikut ini contoh2x tampilan isi Script Kiddies yang biasa digunakan oleh para Hacker.

Contoh 1 : Isi script kiddies

 

Contoh 2 : Tampilan isi script kiddies

 

Contoh 3 : tampilan isi script kiddies

 

Contoh 4 : tampilan isi script kiddies

 

Contoh 5 : tampilan isi script kiddies

 

Contoh tampilan saat si Script Kiddies di eksekusi / dijalankan oleh Hacker :

Tampilan Script Kiddies saat digunakan Hacker

 

Setelah saya berhasil mendapatkan dan menganalisa Script Kiddies tersebut, akhirnya saya bisa membuat Tool script (PHP) yang berfungsi untuk mencari / menemukan seluruh Script Kiddies pada semua sub folder dari website kita.

Silahkan download “SCR1PT K1DD135 Finder v1.0″ ini di sini.

Update terbaru versi 1.1 (tambahan kemampuan analisa dan kemudahan penggunaan), bisa di dowload di sini

Cara Penggunaan Tools ini :

1. Extract isi file .ZIP yang telah anda download

2. Upload file “cari_scripts.php” ke root folder website anda, dengan menggunakan aplikasi FTP (CuteFTP atau WS_FTP)

3. Jalankan tools yang telah diupload tersebut, seperti berikut :

http://%5Bnama_domain_website_anda%5D/cari_scripts.php

4. Tunggu beberapa saat karena tool scriptnya akan menelusuri semua sub folder, dan mengecek seluruh file-filenya satu per satu (biasanya butuh waktu kurang dari 2 menit).

5. Jika Script Kiddies / Backdoor tidak ditemukan, maka tampilannya akan seperti berikut :

Hasil : Tidak ditemukan script kiddies dalam website

6. Jika Script Kiddies / Backdoor ditemukan (banyak), akan terlihat seperti ini :

Hasil : ditemukan beberapa script kiddies di beberapa lokasi folder website

7. Info yang ditampilkan Tools ini cukup lengkap, anda bisa melihat langsung ke folder mana saja Script Kiddies / Backdoor disisipkan, beserta nama filenya, juga disertai kapan dia disisipkan.

8. Kita bisa langsung menghapus Script Kiddies / Backdoor tersebut dengan cara mengklik tombol yang terdapat tepat di samping kanan nama filenya.

9. Jika tombol “hapus file” telah kita klik maka file Script Kiddies / Backdoor akan langsung dihapus, contoh tampilannya seperti ini.

Berhasil hapus script kiddies

10. Jika ada pesan “tidak berhasil hapus file”, maka untuk menghapus file Script Kiddies / Backdoor kita bisa menggunakan aplikasi FTP (CuteFPT / WS_FTP), yang penting lokasi folder dan nama file Script Kiddies / Backdoor telah berhasil kita ketahui melalui Tools finder yang saya buat ini.

Tools finder Script Kiddies yang saya buat ini, terbukti cukup ampuh mencari script yang sengaja diletakkan oleh Hacker, bahkan jika hacker melakukan rename pada script tersebut, tools ini masih bisa menemukannya.

Cukup membantu bukan ?? :)

Jangan lupa, setelah semua Script Kiddies / Backdoor berhasil dihapus, anda menutup akses tulis ke website anda.

Caranya dengan menggunakan aplikasi FTP, ubah hak akses ke folder menjadi

CHMOD 0755

ubah hak akses ke file-filenya menjadi

CHMOD 0644

Segera ubah password akses FTP anda dan hapus Tools finder yang anda upload ke root folder website anda, agar tidak dimanfaatkan oleh Hacker.

Secara periodik (1 atau 2 minggu sekali) saya sarankan anda untuk menjalankan tools Finder ini agar website yang anda kelola benar-benar bebas dari Script Kiddies / Backdoor.

NB : Tools SCR1PT K1DD135 Finder ini ke depannya akan coba terus saya kembangkan mengikuti trend penggunaan Script Kiddies / Backdoor di kalangan hacker.

Salam Hangat
XNY

About these ads

14 pemikiran pada “Membersihkan script penyusup / hacker dari website kita

    • Kalo’ mau deteksi lubang / hole di website anda, bisa pake Acunetx atau Havij,
      aplikasinya sangat ampuh buat deteksi kelemahan website kita.
      Saya hanya buat script untuk mendeteksi “tools backdoor” yang telah diletakan
      oleh hacker di website yang diserang dia :)

    • Kalo’ terjadi seperti ini, hanya ada 2 cara :
      1. Gunakan aplikasi FTP (CuteFTP / WS_FTP) lalu ubah chmod filenya, yang penting lokasi filenya sudah ketemu dengan script ini,
      langsung hapus melalui FTP juga bisa, kok
      2. Minta tolong ke Customer Support web hosting anda, agar mereset semua permision file menjadi hanya milik anda (user login anda).
      Setelah itu baru bisa dihapus filenya.

    • ada 3 kemungkinan penyebabnya :
      1. Koneksi internet dari tempat anda yang sangat lambat, sehingga request-nya keburu timeout
      2. Server hosting website anda gak support script PHP
      3. Jumlah subfolder di dalam website anda bisa sampai ratusan bahkan ribuan sub folder.

    • kalo’ pake FTP, root folder joomla site anda biasanya bernama “public_html” atau “wwwroot”.
      Cari aja folder yang ada isi file :

      index.php dan CHANGELOG.php

      Itu pasti root folder joomla.

  1. Mas muncul ini. Fatal error: Allowed memory size of 33554432 bytes exhausted (tried to allocate 25528384 bytes) in /home/gbiscom/public_html/cari_scripts.php on line 12

    ada solusi lain gak?

    • login ke CPANEL web hosting anda, lalu ubah nilai “memory_limit” pada bagian PHP Configuration (PHP.ini)
      kalo’ bisa nilainya dinaikkan 3 kali lipat dari nilai sekarang.

      Error memory size bisa juga terjadi karena subfolder di “public_html” anda bisa mencapai ratusan / ribuan jumlah sub folder.

Berikan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Logout / Ubah )

Twitter picture

You are commenting using your Twitter account. Logout / Ubah )

Facebook photo

You are commenting using your Facebook account. Logout / Ubah )

Google+ photo

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s