Asindoro’s Weblog

Hack Website PHP MD5 makanya…

ketika hari senin 12 Januari 2009 cuaca di pagi hari cukup mendung, saat itu isteri saya cuti hamil dirumah. Saat perjalanan menuju kantor bersama Jupiter Z kesayangan saya tiba-tiba HP bergetar, saya lihat dari rekan kerja, langsung saya angkat cuma bilang, “masuk ga mas Agung ?”, kata saya “kenapa Pak..?” jawabnya lagi “itu website kita…” cuma segitu saja.

Setelah sampai dikantor saya lihat, benar apa yang saya khawatirkan, website kantor kami yang berbasis PHP itu di hack oleh arek-arek surabaya yang mengatas namakan Jatim Crew, yang membawa pesan “HIDUP TANI…HIDUP BURUH… JATIM HACKER CREW”.

ini tampilan yang di utak atik si hacker baik hati...

Saya sebagai generasi penerus dari sang developer website padahal cuma utak atik sitik thok , mencoba langsung mempelajari apa yang terjadi… tiba-tiba..!! HP saya berbunyi lagi…ternyata dari isteri saya tercinta bilang, “Mas cepetan pulang ya..aku udah mau melahirkan udah dirumah sakit sekarang…” waks….. otak saya langsung bekerja keras…saya cari solusi tercepat. langkah yang saya inget ketika itu adalah..
1. Menghubungi pihak hosting website.
2. Meneliti bagian mana yang terserang oleh Hacker.
3. Rubah sesegera mungkin tampilan yang paling dilihat orang, kebetulan saat itu konten berita yang dirubah, jadi yo…saya libas aja…saya pending berita yang telah di rubah si Hacker itu… yang penting ga ketauan sama detik.com atau situs berita yang laen…:D walaupun si Hacker bisa aja laporin

tampilan hack juga..

setelah itu berhari-hari saya bersama isteri sekitar satu minggu di Rumah Bersalin Alfernia dan dirumah, saya ga bisa mengawasi website kantor yang berbasis PHP itu yang bukan saya yang mengembangkan dari awal, jadi konsepnya ga saya pegang 100%.

Setelah masuk kerja, saya coba-coba pelajari lebih dalam…saya ga habis pikir lewat mana bisa masuk si jagoan Hacker itu. setelah buntu saya coba mencari kontak dengan Jatim Crew bertemulah saya dengan mister master Admin Jatim Crew, alhamdulillah beliau baik banget. cerita sedikit tentang si Admin, beliau mencoba menjaga website milik Indonesia makanya mencari-cari celah situs Indonesia, juga ga suka terhadap agresi militer ke Palestina kita. Oke lanjut cerita.. setelah ngobrol banyak…dengan sedikit narsis kami menggunakan campur-campur bahasa jawa dalam obrolan kita ketemu lah satu titik terang untuk menambah kemanan website yaitu dengan konsep MD5 enkripsi di PHP

contoh diambil dari PHP manual :

<?php
$str = ‘apple’;

if (md5($str) === ‘1f3870be274f6c49b3e31a0c6728957f’) {
echo “Would you like a green or red apple?”;
exit;
}
?>

setelah googling untuk lihat konsep orang lain , maka konsep MD5 tersebut juga ga telanjang begitu saja, menggunakan MD5 bisa di campur juga dengan tambahan beberapa kalimat atau perkalian, tergantung kreatifitas sang kodinger(red programmer).

contoh simple saja:

$pass = md5(md5($pass));

jadi dua kali MD5 tapi banyak si cara yang lain untuk memacem-macemkan password kita biar bener-bener acak. Jadi website kami setidaknya saat ini tidak bisa dilihat passwordnya walaupun belum aman 100%. Jadi inget ketika awal saya ditanya sama teman kerja saya, “kenapa tuh bisa gitu?” saya cuma jawab “..yaa…website NASA atau FBI aja bisa dijebol” haha…:D dalam hati saya ngeles aja, biar punya jawaban.

And sekarang saya ucapkan terima kasih kepada Jatim Crew (dijatim dan elfata_data3) atas bantuannya dan baik hatinya dalam sesama pengguna jasa internet sebagai web

salam,
Agung Sindoro