Proteksi Pada Database Web Secara Sederhana

Sering kita melihat cracker berhasil masuk ke dalam system web target, maka dia akan berusaha mengambil alih system dengan berusaha menjadi superman eeh salah super user or SU, dengan catatan bahwa system yang dipakai adalah Server berbasis Linux Os, tetapi ada juga cracker akan berusaha mengambil akses Cpanel web bila tidak dapat menjadi SU, bila akses cpanel tidak dapat maka cracker akan berusaha mendapatkan akses database web tersebut, apalagi bila web target merupak web E-commerce seperti web berbasis php sohoadmin, phpmycart, X-cart, dll, di mana disana terletak data –data penting seperti data email, pass user, data credit card, dll, termasuk data akses admin dan pass, walau pass mereka di encrypt kemungkinan besar masih bisa ditembus oleh cracker [ ingat kita bicara di dalam IT underground, maka sesuatu yang mustahil bisa dikatakan bisa, karena semua system dibuat oleh tangan manusia ]. Permasalahan yang utama bagaimana kita bisa mengamankan data – data penting tersebut bila kita seorang admin web ?. Disini penulis akan berusaha memberikan tips secara sederhana melakukan proteksi pada database web yang kita buat, untuk hal ini maka penulis akan coba dengan membuat web untuk di jadikan percobaan, untuk alasan pembelajaran terpaksa pinjem cpanel web orang [ minta ijin dolo sama adminnya, kalo uda selesai ntar di hapus lagi datanya ], di sini kita akan langsung memasang backdoor Shell di dalam target dengan asumsi bahwa kita berhasil masuk target melalui pintu belakang.
Ok langsung saja penulis coba buka cpanel web, dan mencoba lakukan setting pada mysql untuk membuat user,pass,database.

Untuk masuk ke mysql click Mysql database

Buat database, user,pass , disini anda hanya memasukkan data , easy & simple, setelah di buat anda masuk kedalam phpmyadmin untuk melakukan dumping database pada Script Cms kita, untuk masuk klik phpMyAdmin seperti dibawah ini

Dumping sql kita

Setelah itu kita lakukan upload script php kita, terserah mau lewat mana, FTP manager, File manager, atau dengan perintah Wget [ penulis memakai FTP Turbo ], untuk user sama passnya sesuai dengan akses cpanel, kemudian upload script di dalam folder root [ untuk hal ini terdapat didalam folder public_html / www ], setelah berhasil diupload lakukan edit pada config anda untuk menghubungkan ke dalam database

Setelah semuanya siap, kita akan coba menanam backdoor di web kita untuk menguji apakah database kita bisa terlihat, untuk hal ini penulis coba memberikan permit 0644, dimana merupakan permit standart yang biasa diberikan oleh cms-cms yang ada, kita lihat backdoor kita memakai c99 Shell

Setelah itu kita coba lihat file koneksi.inc.php dimana disana adalah link menuju database web kita, lihat kita bisa melihat isi dari file koneksi.inc.php dikarenakan permit yang diberikan masih bisa dibaca oleh orang lain, anda bisa bayangkan bila orang lain bisa masuk secara illegal dan bisa melihat database website tersebut, disini kita coba melakukan proteksi secara sederhana dengan melakukan change mode pada script koneksi.inc.php agar idak bisa dilihat oleh orang lain [ untuk kasus ini penulis lakukan change mode 400 atau hanya sang pemilik saja yang diizinkan untuk melakukan modifikasi.

Kemudian kita check kembali lewat jalan backdoor apakah sudah berubah change mode, lihat tanda merah bahwa script tersebut telah di modifikasi, kemudian coba kita lihat apakah masih bisa atau tidak

Lihat kosong, kita tidak bisa lihat apa – apa, berarti kita sukses melakukan proteksi database pada web kita, dengan catatan bahwa cracker tidak mendapatkan akses root

No Comments

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a comment

*Name

*Email (not published)

Website

more »