Celah Keamanan Pada Website Kabupaten Wonosobo


  • SPYRO KiD
  • admin[~@t~]spyrozone[~d.t~]net
  • Monday, August 30th, 2010
  • CopyLEFT (c) 2011++ www.spyrozone.net All Rights Reserved


WONOSOBOKAB.GO.ID telah lama menjadi bahan mainan newbie. Berkali-kali pesan Deface muncul di halaman website resmi Kabupaten Wonosobo tersebut. Sekitar akhir tahun 2009, mirror deface situs ini tersimpan di ZONE-H atas nama Yogyacarderlink .

Pada sebuah file HTML, saya mendapati pesan permohonan solusi dari Admin wonosobokab.go.id bagi siapa saja yang berhasil masuk ke servernya. Akhirnya, saya mengirimkan panduan singkat pada beliau tentang bagaimana attacker masuk sekaligus bagaimana pencegahannya.

Lagi-lagi Google berjasa dengan kombinasi kata kunci saktinya. Jika Anda mengetikkan keyword berikut pada mesin pencari Google:

site:wonosobokab.go.id filetype:sql

Anda akan mendapati directory wonosobokab.go.id/data/ menyimpan informasi-informasi sensitif.

File-file sensitif yang terambah oleh Mesin Pencari

File-file sensitif yang terambah oleh Mesin Pencari

Saat saya mengakses wonosbokab.SQL, saya mendapati informasi yang lumayan mengejutkan:

Informasi login hosting pada comment MySQL dump

Informasi login hosting pada comment MySQL dump

File tersebut tidak sekedar berisi database CMSnya, tapi juga informasi login Web Hosting! Dilihat dari comment pada area header file tersebut, sepertinya perusahaan hostingnya agak ceroboh. Belum pernah saya dapati perusahaan hosting yang lalai dengan menyertakan info akun hosting client pada mysql dump seperti kasus ini. Hmm.. siapa ya perusahaan hostingnya? ^^

Saya tangguhkan niatan saya untuk melihat detil web tersebut melalui domainwhitepages, iseng-iseng, saya mengakses wonosobokab.go.id/admin/ dengan harapan saya bertemu dengan halaman login CMS nya. Tapi, ternyata saya mendapatkan lebih dari itu, halaman login web hosting.

Login hosting wonosobokab.go.id

Login hosting wonosobokab.go.id

Sampai disini, saya bisa leluasa masuk dengan informasi akun yang saya dapatkan dari file wonosobokab.SQL. Halaman Site Administrator terbuka dengan ikhlas, lengkap dengan semua fitur yang dimilikinya. Wah, ada logonya sapa tuch :D ternyata dihosting disitu yach ^^ Ternyata nama besar belum tentu bisa menghadirkan layanan yang berkualitas :)

Halaman Site Administrator

Halaman Site Administrator

Saya menjelajahi file-file melalui menu Files, dan mendapati file dengan nama yang menarik, login.php.

File login.php

File login.php

Penasaran aja sich, gimana sich fitur CMS-nya. Saya mengakses wonosobokab.go.id/login.php dan saya berhadapan dengan halaman login CMS. Lagi-lagi saya bisa leluasa masuk dengan berbekal informasi yang terdapat pada file wonosobokab.SQL

Username dan password Admin CMS

Username dan password Admin CMS

Halaman login CMS wonosobokab.go.id

Halaman login CMS wonosobokab.go.id

Dan (lagi-lagi) halaman yang saya inginkan terbuka dengan ikhlas :D

Tampilan Admin Panel wonosobokab.go.id

Tampilan Admin Panel wonosobokab.go.id

Solusi

  1. Lakukan scanning backdoor pada server;
  2. Enkripsi password yang tersimpan di database untuk menghambat langkah attacker jika file sql bocor secara tidak sengaja;
  3. Ubah seluruh kata sandi dengan kata sandi baru yang sesuai dengan prosedur keamanan;
  4. Jangan meletakkan file-file sensitif pada directory yang bisa diakses oleh siapapun (www-data);
  5. Matikan directory listing;
  6. Karena file-file sensitif telah terlanjur dirambah oleh Google, Anda harus melakukan request ke Google untuk menghapus file-file sensitif tersebut dari tembolok Google. Hal tersebut bisa dilakukan melalui Google Webmaster Tools atau bisa juga menggunakan cara-cara yang pernah saya tulis pada artikel Mencegah Google Hacking;

Solusi diatas telah saya sampaikan pada Webmaster dan prosedur tersebut telah diterapkan. Beberapa bulan kemudian, wonosobokab.go.id hijrah dari Perusahaan hosting Indos*t ke R*mah W*b dengan site admin cPanel.

Semoga bermanfaat :)


//E.O.F