BLOG.SPYROZONE.NET

Backdoor Pada Website Jamsostek

Pertengahan Juli 2010 silam, saya mendapati belasan backdoor bersarang pada website Jamsostek. Ketika saya menulis Atikel yang membahas celah berbahaya pada website tersebut bulan Desember 2010 lalu, saya mendapati beberapa backdoor sudah dihapus oleh Admin (atau oleh pemilik backdoor lain??)

Saya segera menghubungi Admin tentang adanya celah berbahaya tersebut sebelum melakukan publikasi di spyrozone[dot]net. Beberapa celah memang sudah dibenahi, namun ternyata backdoor yang tersisa belum dihapus sehingga attacker masih bisa menjelajahi webserver dengan backdoor mereka.

Saya kemudian menulis laporan kedua tentang keberadaan backdoor yang belum dihapus oleh Administrator. Berikut adalah daftar backdoor yang tertanam disana:

• http://www.jamsostek.co.id/product/bee.php
• http://www.jamsostek.co.id/cms/css/vault.php
• http://www.jamsostek.co.id/product/vault.php
• http://www.jamsostek.co.id/photo_gallery/vault.php
• http://www.jamsostek.co.id/peraturan/vault.php
• http://www.jamsostek.co.id/images/index.php?c=ls+-la
• http://www.jamsostek.co.id/css/vault.php
• http://www.jamsostek.co.id/footer.php?c=ls+-la

.

Saat saya memeriksa file-file tersebut hari ini, semuanya sudah dihapus oleh Administrator. Tapi, ada fakta menarik yang saya temui. Bebera dari backdoor tersebut ternyata terdaftar sebagai milik root Setelah melakukan sedikit investigasi, ternyata backdoor-backdoor tersebut ikut tersalin ke komputer lokal root lalu terupload kembali saat proses restore

hehehe.. sepertinya ada satu lagi pelajaran berharga Pastikan file yang ingin Anda restore ke webserver Anda benar-benar clean dari script berbahaya yang mungkin pernah disisipkan attacker ^_*

Tags: backdoor , jamsostek , web shell