Comments on: SmartUsaha.Com kena HAcK (2) : Siasatan

By: nemesis

nemesis — Fri, 15 Aug 2008 21:40:52 +0000

Salam..

Jika anda kata hacker tidak pernah ditangkap, anda silap, ramai hacker yang telah ditangkap termasuklah Legend Hacker Kevin Mitnick.

By: smartzul

smartzul — Sat, 17 May 2008 20:19:23 +0000

Thanks Amsama. Izinkan saya letak ‘pendapat’ saudara ni di blog saya ini nanti pada artikel yang akan datang. Ia amat berguna.

Pasal guna whois tu, yup, ia tak membantu dan bukan cara yg dapat membantu pun.

p.s. Ini kes lama. Dua tahun yg lepas. Dah tutup dah kes ni.

By: amsama

amsama — Tue, 29 Apr 2008 21:25:15 +0000

Hai ^^v
saya tidaklah berapa pandai tentang menggodam ni. cuma ade belajar sedikit sebanyak tentang hack dan defacing website untuk tujuan mempertingkatkan lagi sekuriti web saya dan dari situ lah saya dapat tahu serba sedikit bagaimana untuk mengatasi masalah hack ni.
tetapi betul kata2 TSAIFUL
dengan whois kepada domain yang ada pada logo tersebut tak semestinya kita boleh tuding jari kepada mana2 pihak.
hacker atau penggodam ni sebenarnya susah nak di kesan ‘trace’ atau pon ditangkap.
berdasarkan pengalaman..tiada pernah pon seorang dari kalangan hackers yang saya kenal ditangkap kerana menggodam.
Ada 3 jenis penggodam:-
1. Godam untuk mencuri data-data penting, ubah data ataupon copy system
2. Defacer
3. Buat koleksi server untuk jadikan zombie
untuk jenis no 1, biasanya mereka akan masuk ke sesuatu server menerusi system vulnerabilities e.g IIS, Apache, SQL, SNMP, POP, RPC menggunakan scripts tertentu yang target kepada system yang vulnerable kat server tu. contohnya kalau kita install linux tapi terdapat vulnerabilities pada program yang kita install e.g finger, printing, mail, maka dengan scripts tertentu akan dapat ekses secara brute force ataupon tak. bila dah masuk maka data-data tertentu akan dilihat, ubah ataupon dicopy. jika server tersebut adalah host kepada website dan juga berfungsi sebagai nameserver maka server ini akan digunakan untuk tujuan tertentu spt buat illegal website dsb. rootkit akan diletakkan dan disembunyikan sehingga admin atau root sendiri susah nak cari. Segala connection log melalui tcp atau pon udp akan dipadamkan bagi tiap kali hackers masuk ke server tersebut..jadi susah nak trace melainkan tuan punya server tu pasang external firewall hardware. kalau admin tu skill dan pengetahuan nya lebih rendah dari yang menggodam..maka harddisk backup adalah penyelesaiannya tapi pasti hacker akan dtg balik sbb apa yang dibackup tu hanyalah sistem asal yang belom di patch..

untuk jenis no 2, mereka masuk/ceroboh dan deface website tersebut dan pasang rootkit untuk ekses balik kalau admin hanya replace index.php kepada yang asal…maka pengodam itu mungkin akan datang balik dan akan bertindak lebih ganas.

untuk jenis no 3 pulak, mereka masuk/ceroboh dan apabila mendapati server tersebut tiada yang bernilai maka ia akan dimasukkan dalam senarai zombie. kegunaan zombie adalah sebagai platform untuk mereka jalankan aktiviti menggodam server lain..scanning, attacking, masquerading, dsb. oleh itu kalau admin server kedua dapat detect ip..ianya hanyalah ip server zombie tersebut..bukan ip asal.

kemungkinan pengodam yang mengodam web/blog saudara zul ialah golongan yang ketiga. dia menggunakan server lain untuk mengekses ke server saudara.
buatlah forensik analysis, cari backdoor, buang dan patchkan mana tahu pengodam tersebut ada memasang sniffer atau lain2.
minta maaf jikalau saya ada salah info/fakta.
saya sekadar ingin kongsi pengetahuan dan apa yang saya pelajari untuk kegunaan mengatasi masalah hackers ni.

sekian.
doakan kejayaan saya untuk spm 2008 =P

By: kulimboy

kulimboy — Sun, 16 Jul 2006 14:23:14 +0000

Betul tu. Backup sekurangnya seminggu sekali kalau maleh pun, dua minggu sekali.. Selamat gitou

By: FATAH

FATAH — Tue, 11 Jul 2006 04:25:22 +0000

saya bukan pakar sanagt dalam internet… sekadar pakai klik aje laaa.. info kat sini memang banyak… pasal smackdown dan hackdown nih.. kita kena sedia backup laaa… buat banyak backup lagi baik… kena virus berganda tak pasal2 hilang pulak… itu aje laaa…

tiru yang baik2 aje… jangan meniru bulat2….

By: smartzul

smartzul — Mon, 10 Jul 2006 17:41:39 +0000

Thanks TSAIFUL,

Actually, saya ada satu idea untuk saudara yg ada tersenarai dalam buku idea saya…

Kalau nak discuss, contactlah saya di emel: smartzul@yahoo.com

Kepakaran saudara, amat membantu saya.. Thanks.

By: TSAIFUL

TSAIFUL — Mon, 10 Jul 2006 16:17:21 +0000

Terima kasih…

Saya tidak dapat menghalang keputusan saudara untuk berbuat ape yang saudara pikirkan baik sebagai pencegahan..

Betul, sniffing merupakan cara paling senang untuk mendapatkan maklumat untuk access ke sesebuah server..namun, untuk memasang sniffer, seseorang itu perlu dahulu bertapak di dalam server dan sniffer bertujuan mendapatkan sebanyak mungkin maklumat i.e login dan password bagi akaun yang terdapat di dalam server tersebut..kalau ade 1000 hosting, maka kesemuanya berkemungkinan telah berjaya di kumpulkan oleh penggodam tersebut.

Semestinya file log sniffer tersebut terletak di dalam server dan memerlukan penggodam tersebut menggunakan backdoor untuk mendapatkannya..saudara perlu memantau keadaan untuk suatu tempoh masa sepatutnya..

Saya sebenarnya baru ingin menceburi bidang internet marketing ini dan sedang belajar dari seorang kawan. Setelah diperkenalkan kepada website2 golongan yang sudah berjaya seperti saudara zul, minat saya bertambah dan saya akan berusaha ke arah mencapai kejayaan..

Semoga suatu hari kita berpeluang untuk duduk semeja..

By: smartzul

smartzul — Sun, 09 Jul 2006 15:11:13 +0000

Syukran ya TSAIFUL… Sebab itu saya katakan kajian fasa 1 dan saya juga terfikir seperti saudara. Masa kat u, saya juga ada ambil subjek asas sekuriti ni.. Ada satu istilahiaitu sniffing kot. Lupa, iaitu penyamaran.. Dia dok tempat lain, tapi guna maklumat orang lain untuk hack…

Dan saya juga tak menuduh 100% kat orang turkey yg hack web saya dan sebagai usahawan internet, saya perlu ambil langkah pencegahan dengan bloack ip negara tersebut. Ya, walaupun bukan semua bersalah, tapi nak buat macam mana.. Lagipun, saya tak target apa2 sales kat negara tu..

Dan, bagi saya, produk halal bukan untuk orang2 Islam jer, produk halal kalau dari skop yg luas, ia untuk semua manusia…

Pandangan teknikal daripada saudara amat berguna untuk saya.. Saya tahu gitu-gitu jer security ni…

By: TSAIFUL

TSAIFUL — Sun, 09 Jul 2006 12:50:23 +0000

Hello semua..saje nak mencelah bila di tunjukkan oleh kawan ke post “kena hack” ni..
bermula dengan analisis yg saudara zul terangkan..konfiden ke dengan analisis tu?..mcm tak berapa detail jer dan takut tersalah menuduh pihak yang sebnarnya tak bertanggung jawab dlm menggodam server saudara..oh yer analisis saudara masih di peringkat 1…
komen kedua saya..sebagai seorang yang pernah mempunyai kemahiran dan pengalaman dalam sistem keselamatan server dan juga pernah berdepan dengan golongan penggodam ni..ade sedikit over acting yang dilakukan oleh penggodam tersebut..dia dedahkan website domain dia pd defaced index file yang dia letak pd website saudara..
biasa nya penggodam tak akan berbuat begitu..itu seperti penyamaran yang dibuat untuk mengelirukan pihak yg akan menyiasat..ataupun di domain tersebut adalah tempat mereka war-warkan kepada semua..macam pernah dibuat beberapa tahun dulu di mana setiap hacker akan buat link kepada website yang mereka defaced sebagai bukti kejayaan mereka di kalangan kumpulan yang se-antero…alah..”aku dapat deface smartusaha”..mcm tu lah lebih kurangnye..
Fakta ketiga..”Team SAO” pernah terkenal suatu masa dulu dan asalnya adalah dari China..logo kumpulan mereka adalah membelakangkan Ying dan Yang yang bermaksud Suka Menimbulkan Huru Hara..kumpulan ini pernah bersengketa dengan kumpulan dari negara kita..”nama di rahsiakan”..
Keseimpulan…dengan whois kepada domain yang ada pada logo tersebut tak semestinya kita boleh tuding telunjuk kita kepada Turkey..dorang mungkin tak terlibat langsung dalam hal ni…hanya guna server dari sana je. Macam kita beli hosting dari negara luar je..dan tuan punya domain tu juga boleh menipu dari segi pendaftaran..boleh fraud mcm2..sape nak check..
Penyelesaian..cuba lah saudara semak log FTP, HTTP, PHP upload dan MYSQL saudara..cari IP yang saudara rase ganjil bagi saudara..
Saudara Zul juga bolehlah bertanyakan kepada pihak hosting sendiri adakah server yang ditempatkan account saudara tu telah di kemaskini dari segi security..ntah2 admin tak ambik perhatian berkenaan security patches yang terbaru..adekah server tersebut menggunakan firewall..dan apakah jenis nya..software or hardware..
Juga minta jasa baik admin utk check for backdoor dalam server tersebut..takut penggodam tersebut telah meninggalkan sesuatu yang memberi access kepada mereka untuk hack balik ..bahaya kalau 2nd wave..
Saudara Zul Juga kena check takut ada file PHP yang ganjil..melalui PHP seseorang masih boleh menggodam website anda..hinggalah mencuri atau memusnahkan database anda…
Ingat!!! Untuk penyakit ade ubatnya..kerana setiap saat ade security holes baru dijumpai..tak kiralah pada linux, unix, windows..
Untuk pengetahuan, Turkey merupakan pasaran yang bagus untuk barangan halal selain Arab Saudi dan Mesir.
Sekian….

By: FATAH

FATAH — Wed, 05 Jul 2006 03:54:00 +0000

sabar aje laaa…