Postingan lainnya
Website Dengan Framework Laravel Disusupi Maleware Universalpopups
Salam,
Hari ini website yang saya build disusupi Maleware. Ketika websitenya diakses, muncul popup "you are using an older version of chrome" disemua halaman. Padahal website digunakan untuk bekerja banyak orang.
Tadi panik banget.
Setelah di cek ternyata ada folder baru didalam public_html dengan nama folder universalpopups. Setelah itu saya hapus folder tersebut. Setelah dihapus, popup masih muncul, tapi kosong nggak ada tulisan apa-apa. Lalu saya cari lagi file yang keterangannya update terakhir hari ini.
Ternyata file index.php didalam folder public_html disusupi script aneh seperti ini :
<script>
let extra = `<style>
.modal {
display: block;
/* Hidden by default */
position: fixed !important;
/* Stay in place */
z-index: 9999 !important;
/* Sit on top */
left: 0;
top: 0;
width: 100%;
/* Full width */
height: 100%;
/* Full height */
overflow: hidden;
/* Enable scroll if needed */
background-color: rgb(0, 0, 0);
/* Fallback color */
background-color: rgba(0, 0, 0, 0.4);
/* Black w/ opacity */
}/* Modal Content/Box */
.modal-content {
background-color: #fefefe;
margin: 10% 10%;
height: 80%;
}.modal-content iframe {
width: 100%;
height: 100%;
overflow: hidden;
/* min-height: 600px; */
}</style>
<div id="myModal" class="modal"><!-- Modal content -->
<div class="modal-content">
<iframe src="/universalpopup"></iframe>
</div></div>`;document.body.innerHTML = extra+document.body.innerHTML;
</script>
Setelah itu saya hapus script tersebut. Alhasil website normal kembali.
Saya ingin bertanya kepada suhu sekalian,
1. Kenapa bisa ada folder universalpopups di public_html dan ada script aneh tersebut di index.php? Bagaimana itu masuk?
2. Bagaimana cara mengatasi supaya tidak terjadi hal serupa lagi?
3 Jawaban:
<div>Kalau menurut saya gan karena folder repositori agan dapat mudah di masuki, dan index.php kan file utama yang selalu di eksekusi jadi peretas tersebut menyimpan scriptnya di file tersebut. Untuk saran saya sebaiknya katasandi dalam memasuki folder repo di ganti gan, atau sisi keamanan web servernya di tingkatkan gan</div>
<div>aku juga pernah mengalami kasus mirip,,, waktu itu ada program yang aku kurang paham, dan akhirnya copas dari internet,,, setelah itu sering terjadi hal itu,,,, untung masi punya backup bulan lalu,,, ku replace,,, dan sampai sekarang aman kembali,,,, <br>dugaan ku sih gagara aku copas internet itu,,, entah ada backdoor atau sejenisnya,,,,</div>
<div>- apakah kamu menggunakan protokol https untuk website kamu? kalau tidak segera gunakan<br>- kemungkinan ada celah di website kamu yang memungkinkan orang jahat bisa mereplace file index.php kamu dengan miliknya yang sudah di modif + menaruh folder /universalpopups beserta isinya<br>- mungkin ini serangan XSS (cross site scripting), coba cek field-field input di setiap form yang ada, kalau kamu mengizinkan tag seperti <script> ke input field tsb. mungkin disitu celahnya<br>- jangan lupa csrf protection di setiap form<br><br>CMIIW saya juga masih belajar web security hehe...<br><br>*Edit:<br>referensi bacaan tambahan bisa kesini OWASP Top 10 </div>