Jumat, 24 September 2010

Celah Keamanan Pada Website Kabupaten Wonosobo

WONOSOBOKAB.GO.ID telah lama menjadi bahan mainan newbie. Berkali-kali pesan Deface muncul di halaman website resmi Kabupaten Wonosobo tersebut, tapi tampaknya tim webmasternya santai-santai saja kehormatan webnya diinjak-injak. Ah, mari kita berpikir positif. Tim Webmasternya khan Abdi Negara, pasti kerjaannya bukan cuma ngurusi web. Mungkin beliau-beliau masih sangat sibuk dengan pekerjaan lain *_^ Saya hanya berniat membantu meringankan kesibukan beliau dengan membuat laporan celah keamanan agar beliau lebih mudah memperbaiki webnya ^_* —> saya kurang kerjaan banget yach? :p

Jadi.. dimana letak kesalahannya?

Lagi-lagi Google berjasa dengan kombinasi kata kunci saktinya. Jika Anda mengetikkan keyword berikut pada mesin pencari Google:

site:wonosobokab.go.id filetype:sql

Anda akan mendapati directory wonosobokab.go.id/data/ menyimpan informasi-informasi sensitif.

File-file sensitif yang terambah oleh Mesin Pencari

File-file sensitif yang terambah oleh Mesin Pencari

Saat saya mengakses wonosbokab.SQL, saya mendapati informasi yang lumayan mengejutkan:

Informasi login hosting pada comment MySQL dump

Informasi login hosting pada comment MySQL dump

File tersebut tidak sekedar berisi database CMSnya, tapi juga informasi login Web Hosting! Dilihat dari comment pada area header file tersebut, sepertinya perusahaan hostingnya agak ceroboh. Belum pernah saya dapati perusahaan hosting yang lalai dengan menyertakan info akun hosting client pada mysql dump seperti kasus ini. Hmm.. siapa ya perusahaan hostingnya? ^^

Saya tangguhkan niatan saya untuk melihat detil web tersebut melalui domainwhitepages, iseng-iseng, saya mengakses wonosobokab.go.id/admin/ dengan harapan saya bertemu dengan halaman login CMS nya. Tapi, ternyata saya mendapatkan lebih dari itu, halaman login web hosting.

Login hosting wonosobokab.go.id

Login hosting wonosobokab.go.id

Sampai disini, saya bisa leluasa masuk dengan informasi akun yang saya dapatkan dari file wonosobokab.SQL. Halaman Site Administrator terbuka dengan ikhlas, lengkap dengan semua fitur yang dimilikinya. Wah, ada logonya sapa tuch :D ternyata dihosting disitu yach ^^ Ternyata nama besar belum tentu bisa menghadirkan layanan yang berkualitas :)

Halaman Site Administrator

Halaman Site Administrator

Saya menjelajahi file-file melalui menu Files, dan mendapati file dengan nama yang menarik, login.php.

File login.php

File login.php

Penasaran aja sich, gimana sich fitur CMS-nya. Saya mengakses wonosobokab.go.id/login.php dan saya berhadapan dengan halaman login CMS. Lagi-lagi saya bisa leluasa masuk dengan berbekal informasi yang terdapat pada file wonosobokab.SQL

Username dan password Admin CMS

Username dan password Admin CMS

Halaman login CMS wonosobokab.go.id

Halaman login CMS wonosobokab.go.id

Dan (lagi-lagi) halaman yang saya inginkan terbuka dengan ikhlas :D

Tampilan Admin Panel wonosobokab.go.id

Tampilan Admin Panel wonosobokab.go.id

Saya jadi inget dengan CMS dari CD Bonus sebuah buku tentang panduan membuat web untuk pemula yang dibeli teman saya di Gr*med*a ^^

Solusi

Admin wonosobokab.go.id menuliskan kata-kata permohonan bantuan bagi siapa saja yang berhasil masuk ke servernya. Akhirnya, saya mengirimkan panduan singkat pada beliau tentang bagaimana attacker masuk sekaligus bagaimana pencegahannya.

  1. Lakukan scanning backdoor pada server;
  2. Enkripsi password yang tersimpan di database untuk menghambat langkah attacker jika file sql bocor secara tidak sengaja;
  3. Ubah seluruh kata sandi dengan kata sandi baru yang sesuai dengan prosedur keamanan;
  4. Jangan meletakkan file-file sensitif pada directory yang bisa diakses oleh siapapun (www-data);
  5. Matikan directory listing;
  6. Karena file-file sensitif telah terlanjur dirambah oleh Google, Anda harus melakukan request ke Google untuk menghapus file-file sensitif tersebut dari tembolok Google. Hal tersebut bisa dilakukan melalui Google Webmaster Tools atau bisa juga menggunakan cara-cara yang pernah saya tulis pada artikel Mencegah Google Hacking;

Solusi diatas telah saya sampaikan pada Webmaster dan prosedur tersebut telah diterapkan. Beberapa bulan kemudian, wonosobokab.go.id hijrah dari Perusahaan hosting Indos*t ke R*mah W*b dengan site admin cPanel. Tapi sayang CMSnya masih mengunakan versi Joomla yang sudah usang, lengkap dengan celah-celah keamanannya. Silahkan diexplorasi sendiri :D Akan saya publish setelah Webmasternya melakukan patch ^_*

Semoga bermanfaat :)

Sumber :http://www.spyrozone.net/hacking/2010/08/celah-keamanan-pada-website-kabupaten-wonosobo.jsp

0 komentar:

Posting Komentar

SOTW © 2008 Template by:
SkinCorner