Apa sih itu Mass Deface ?

Apa sih itu Mass Deface ?
Apa sih itu Mass Deface ?

Sebelum Membahas Mass Deface, Alahkah baiknya kalau kita mengenal terlebih dahulu apaitu Deface.

Apa itu Deface Website ?

Deface adalah kegiatan perusakan/peretasan website yang dilakukan oleh penyerang yang biasa di sebut Defacer. Deface website sering dilakukan untuk pengujian awal keamanan website. Peretas bisa saja melakukan aksi lebih jauh seperti pencurian data, dan sebagainya.

Apa Tujuan Hacker Melakukan Deface Website?

1. Menunjukkan Kelemahan Keamanan

Aksi deface website sering dilakukan untuk menunjukkan keamanan website yang lemah. Buktinya, hacker bisa dengan mudah masuk dan mengganti tampilan website. Pun demikian, tak jarang aksi ini dilakukan untuk membuat pemilik website tahu mana bagian keamanan yang perlu diperbaiki. 

2. Melakukan Propaganda Agama dan Politik

Pernah mendengar tentang Hacktivist? Kelompok ini kerap melakukan deface website untuk tujuan propaganda politik. Biasanya upaya tersebut dilakukan dengan menyelipkan pesan provokatif pada website korbannya.

3. Untuk Kesenangan Pribadi

Ini merupakan salah satu alasan seorang Hacker/Defacer melakukan kegiatan Deface. Ia biasanya melakukan kegiatan perusakan web tsb hanya agar ia di kenal di mata publik dan di segani oleh rekan rekannya, dan biasanya cukup hanya itu alasannya untuk melakukan deface terhadap website.

Mengapa Sebuah Website dapat Terkena Deface?

1. Credential Login yang Lemah

Kebanyakan orang menggunakan username dan password sederhana agar mudah diingat. Bahkan, menggunakan satu password untuk beberapa akun. Padahal, langkah tersebut akan memudahkan hacker merusak website Anda.

Credential Login

2. Tidak Memiliki Sertifikat SSL

Ketika visitor mengunjungi website Anda, terjadi pertukaran data dari browser ke server. Data ini biasanya mengandung informasi sensitif seperti login credential.

Nah, hacker bisa mencuri data saat proses pertukaran data terjadi. Biasanya, hacker akan menyusup dan membaca informasi sensitif yang ditemukan. Lalu, memanfaatkannya untuk melakukan defacement.

3. Menggunakan Tema dan Plugin yang Rentan

Tema dan plugin WordPress rentan terhadap serangan hacker. Terutama, yang jarang diupdate. Artinya, jika Anda ingin menginstal plugin dan tema di WordPress, pastikan dulu rating dan frekuensi update-nya. 

Nah, Bagaimana ? sudah kenal dong sama yang namanya deface?

mari kita kembali ke tokpik awal kita, Apa sih itu Mass Deface?

Mass Deface

singkatnya, Mass deface adalah deface masal. ini bisa terjadi ketika kita bisa melakukan rooting server atau kebetulan ada web yang satu direktori dengan web yang sudah kita masuki.

Metodenya

Metode yang digunakan oleh defacer cenderung sangat mirip, bahkan di berbagai kelompok: mereka memiliki pemindai yang akan mengidentifikasi server yang rentan untuk dieksploitasi, dan kemudian akan mengunggah backdoor yang melaporkan tentang server yang terinfeksi ke penyerang, dan terkadang berfungsi sebagai pemindai tambahan.

Dalam kebanyakan kasus, eksploitasi yang digunakan tersedia untuk umum daripada zero-day. Tangkapan layar berikut memberikan gambaran sekilas tentang kerentanan yang tersedia untuk umum pada hari tertentu.

In most cases the exploits used are publically available rather than zero-day

Penyerang sering menggunakan "Google Dorks" untuk mengidentifikasi server yang rentan ;; "Google Dork" adalah kueri penelusuran yang dibuat secara khusus yang dapat digunakan, misalnya, untuk memberikan hasil yang merinci semua situs web yang menjalankan versi tertentu dari aplikasi tertentu. Dalam beberapa kasus, backdoor mendownload database yang berisi Google Dorks, dan menjadi node pemindaian untuk mencoba dan menemukan server baru yang rentan.

Di bawah ini adalah tangkapan layar dari situs yang menawarkan “Google Dorks” untuk VopCrew IJO Scanner v1.2

Below is a screenshot of a site offering Google Dorks for VopCrew IJO Scanner v1.2

Tools Yang Di Gunakan

Alat yang digunakan para defacer untuk menemukan server baru yang rentan terutama memeriksa dua jenis kerentanan: Remote atau Local File Include vulnerabilities. Berikut adalah sebagian daftar alat gratis tersebut, yang semuanya tersedia untuk umum:

  • LFI intruder
  • VopCrew IJO Scanner v1.2
  • Single LFI vulnerable scanner
  • SCT SQL SCANNER
  • Priv8 RFI SCANNER v3.0
  • PITBULL RFI-LFI SCANNER
  • Osirys SQL RFI LFI SCANNER
  • FeeLCoMz RFI Scanner Bot v5.0 By FaTaLisTiCz_Fx

FeeLCoMz RFI Scanner Bot v5.0 By FaTaLisTiCz_Fx

Seperti disebutkan sebelumnya, setelah defacer menemukan dan mengeksploitasi server, mereka akan mengunduh Backdoor ke server.Backdoor memiliki berbagai fungsi, tetapi kebanyakan dari mereka akan memiliki metode untuk melewati fungsi keamanan PHP, mencuri informasi, membaca / memodifikasi file, mengakses database SQL, memecahkan kata sandi, menjalankan perintah sewenang-wenang, dan meningkatkan hak istimewa. Selama penelitian saya, saya menemukan lebih dari seratus backdoor dan shell PHP yang berbeda tetapi tampaknya kebanyakan dari mereka menggunakan basis yang sama - sebagian besar backdoor yang diidentifikasi didasarkan pada:

  • r57
  • c99
  • Locus7Shell

Locus7Shell

Cara backdoors mencoba dan meningkatkan hak istimewa terutama dilakukan dengan menggunakan "auto-rooter" atau dengan mengekstrak kata sandi dari file konfigurasi yang terletak di server yang dikompromikan. Yang disebut "auto-rooter" ini hanyalah scripts shell yang akan mendownload paket exploit yang berisi exploit yang telah dikompilasi dan siap untuk dieksekusi. Script shell kemudian akan menganalisis mesin untuk mengetahui exploit mana yang akan dijalankan, dan menjalankannya. Jika exploit berhasil meningkatkan hak istimewa, backdoor atau rootkit lain kemudian akan diinstal. Ada beberapa situs web yang menawarkan "rooter otomatis" ini; salah satu ditunjukkan pada gambar di bawah ini:

The way the backdoors try and escalate privileges is mainly done by using

Solusinya
Satu masalah utama dalam memerangi perusakan adalah bahwa perusak tidak hanya mengeksploitasi kerentanan teknis, mereka juga mengeksploitasi ketidaktahuan. Kebanyakan orang yang bekerja dengan server web saat ini tidak memahami pentingnya memiliki sistem yang mutakhir dan sepenuhnya ditambal.

Meskipun penambalan itu penting dan relatif sederhana, untuk beberapa alasan, salah satu masalah keamanan yang paling umum adalah kegagalan untuk tetap mengikuti penambalan. Perusahaan dan organisasi sering kali mencurahkan banyak waktu dan upaya untuk mengajari personel TI mereka tentang cara kerja injeksi SQL dan buffer overflow, dan bagaimana mereka dapat dieksploitasi, ketika akan lebih bijaksana untuk berfokus pada memastikan bahwa sistem sepenuhnya ditambal dan dikonfigurasi dengan benar .

Masalah besar lainnya adalah administrator secara otomatis berasumsi bahwa Linux / Unix lebih aman daripada Windows, dan tidak melakukan pengerasan lokal, atau konfigurasi apa pun.

Konfigurasi yang tepat sedikit banyak dapat menghilangkan jenis eksploitasi tertentu. Misalnya, banyak eksploitasi yang disebutkan dalam artikel ini adalah jenis kerentanan "File Include", yang memungkinkan penyerang menyertakan file sembarang yang ia inginkan; dalam beberapa kasus, file ini dapat berasal dari situs web eksternal. Cukup menentukan direktori mana aplikasi web atau situs web tertentu diizinkan untuk menyertakan file dari akan secara efektif melindungi dari jenis eksploitasi ini.

What's Your Reaction?

like
2
dislike
0
love
1
funny
0
angry
0
sad
0
wow
1