1. Halo Guest, pastikan Anda selalu menaati peraturan forum sebelum mengirimkan post atau thread baru.

[SHARE] Dont use www-data as default user or you get zonk

Discussion in 'Hosting & Domain' started by BurgerKiLL, Aug 12, 2018.

?
  1. ya

    75.0%
  2. tidak

    25.0%
  1. BurgerKiLL

    BurgerKiLL Ads.id Pro

    Joined:
    May 29, 2013
    Messages:
    476
    Likes Received:
    46
    Location:
    Just BurgerKill Fans
    Dear teman-teman ads.id,

    mohon maaf sebelumnya tidak bermaksud offense ataupun menyindir lapak sebelah. trit ini "terpaksa" saya share karena memang "human error" yang sangat berbahaya.

    beberapa kali saya mendapatkan keluhan dan laporan dari rekan2 sesama pecinta forum ini yang servernya terkena M*lw*re. lalu kenapa bisa kena?

    ini beneran human error karena webserver nginx anda menggunakan default user www-data untuk lebih dari 2 website

    bayangkan jika dalam 1 server itu terdapat 50 website di dalamnya? 1 website kena, yg lain juga kena.
    saya sendiri juga pernah mengalami hal tersebut, sehingga kapok menggunakan 1 default user untuk beberapa website pelanggan saya.

    terakhir ini saya mendapatkan laporan dari rekan ads.id, 1 server beliau yang berisi lebih dari 50 website terkena M*lw*re, setelah saya recheck vps beliau berisi:

    1. malicious code di setiap file wordpressnya
    2. bac*do*r disetiap folder wordpress dan folder website lainnya
    3. script auto min*r yang terinject melalui malicious code
    4. semua file menjadi executable
    5. tidak ada proteksi symlink, sehingga h*cker gampang jumping ke website anda yg lainnya
    6. resource server menjadi HIGH RESOURCE dikarenakan NO. 3
    7. saya KESAL sendiri jadinya mau mulai (memperbaiki) darimana

    jadi solusi untuk meminimalisir terkena M*lw*re, yaitu

    1. selalu update backend wordpress beserta plugin2nya
    2. pisahkan user dan group php-fpm anda. JANGAN SEMUA website anda menggunakan user group yang sama yaitu www-data !!! (baca: hxxps://gist.github.com/fyrebase/62262b1ff33a6aaf5a54)
    3. jika memungkinan, segera tinggalkan cara tradisional untuk live production. bedakan mana untuk mencari uang dan mana untuk ngoprek, misalnya;
    4. beralihlah ke panel berbayar, yang memiliki fitur keamanan standar untuk hal ini (1 user max 1 s/d 5 website dst)
    5. segera BACKUP file website beserta database anda

    dan MOHON MAAF, saya tidak bermaksud mencari pelanggan dari thread ini dan untuk hingga waktu yang tidak ditentukan saya MENOLAK repair server vps/ds yang terkena M*lw*re yang menggunakan script auto LEMP (Linux, Nginx, MySQL, PHP) dikarenakan masih dalam tahap pemulihan pasca operasi

    semoga trit saya ini dibaca oleh agan penjual jasa setup vps sebelah seperti saya dan beberapa pelangganny, karena saya ga mau meneruskan pekerjaan orang lain.


    Salam Hangat,


    BurgerKiLL
     
    Last edited: Aug 12, 2018
    adiholick, ilham33, sc0rpi0nz and 3 others like this.
  2. Rootnesia

    Rootnesia Super Hero

    Joined:
    Sep 30, 2016
    Messages:
    3,433
    Likes Received:
    1,117
    Location:
    Wonogiri
    Wedew... menang banyak itu ampe di inject script buat nambang segala
    Makasih buat infonya hu, moga cepet pulih dan kembali sehat :D
     
    Langnusa likes this.
  3. hardinalz

    hardinalz Super Hero

    Joined:
    Mar 8, 2010
    Messages:
    2,395
    Likes Received:
    1,420
    Location:
    /var/www/html
    Halo

    Terima kasih Mas Ary yang sudah memberikan masukan, saat ini juga lagi WA an.

    Ini saya sampaikan ke member2 / pelanggan2 jasa saya.

    Perihal malware / hacker dari sisi server saya berusaha semaksimal mungkin ngebuat secure.

    Dan masalah hacker bukan karena user web server nya www-data, kalo iya karena www-data maka semua pengguna EasyEngine yang mendunia itu ngga akan aman, karena EasyEngine menggunakan www-data untuk web server nya (utk semua web)

    Saya mau klarifikasi, kenapa malware sampe masuk.

    Malware masuk, bukan hanya terjadi di server settingan saya, tapi di panel2 berbayar sekalipun seperti cPanel, Plesk.

    Kebanyakan kasus, web dihacked terjadi karena pemilik web ngga ngga rawat web2 yang disimpan di VPS

    Ada 8 poin penyebab hacker / malware masuk

    1. User ga pernah update core wordrpress di web2 User

    2. User ga pernah update theme wordrpress di web2 User

    3. User ga pernah update plugin wordrpress di web2 User

    4. User install plugin / theme nulled, custom skrip. Kita ga tau apakah code yang di-custom itu secure apa ngga. Mungkin developernya comot kode sana-sini.

    5. User beli web dari seseorang, kemungkinan ada malware nya, User pindahkan ke server User

    6. User diminta temen User, buat nyimpan web tmn User di server User.

    7. User install plugin / theme yang sdh usang, yang dalam 1 thn terakhir, tdk ada update oleh developernya. Versi plugin / theme nya memang update, tapi kalo sdh ga ada kabar upgred versi, mungkin saja ada kode / skrip lemah sehingga mudah disusupi malware.

    8. User jalanin RDP yang siapa tau di RDP nya ada virusnya, jadi masuk ke web (kecil terjadi)

    Jadi kalo web2 simpan di VPS, pastikan hindari 8 poin d atas, yang saya titik beratkan adalah 1, 2, 3, 4, dan 7.

    Pemilik web harus rawat blog2 nya.

    Misal nih coba buka ini

    Code:
    https://www.exploit-db.com/search/
    Ketik "wordpress" lalu klik Search, ini hasilnya

    [​IMG]

    User bisa liat, tanggal 27 Juni, ditemukan celah keamanan di Wordpress yang versi nya masih blm 4.9.6

    Kalo versi wordpress web2 blm versi 4.9.6 segera update

    Selain itu liat di bawah nya tanggal 25, plugin iThemes Security, yang ini

    Code:
    https://wordpress.org/plugins/better-wp-security/
    Versi di bawah 7.0.3 rentan disusupi malware / hacke, padahal plugin itu fungsinya untuk melindungi web dari hacked.

    Sangat bertolak belakang, plugin yang berfungi untuk menjaga supaya web aman dari hacker, malah jadi celah hacker masuk

    Saya cek sih sdh di update ke 7.0.4

    [​IMG]



    ____________________

    Di dunia online, tidak ada sesuatu yang kebal, kita harus berusaha mempersulit / mencegah agar hal buruk itu semua tidak bisa masuk.

    Mungkin mas baca berita (udah lama sih) tentang dibobolnya situs tiket online oleh pemuda berusia 19 tahun?

    Code:
    https://news.detik.com/berita/d-3465303/aksi-lulusan-smp-peretas-tiket-online-yang-bobol-ribuan-situs
    Code:
    https://news.detik.com/berita/d-3460864/kasus-pembobolan-situs-tiket-online-ini-penjelasan-citilink
    Atau web Telkomsel yang heboh di hacked karena tarif internet mahal?

    Atau virus Wannacry yang menyerang komputer di seluruh dunia?

    Atau yang terbaru situs raksasa sebesar Reddit juga kena hacked

    Code:
    https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
    Sekelas Telkomsel aja bahkan sekaliber Reddit yang punya tim security bisa kena hacked, apalagi kita pemain kecil yang 99% hanya bermodalkan Wordpress. Jadi untuk mencegah hacker masuk, harus ada usaha dari kita.

    Dari sisi server, saya berusaha semaksimal mungkin agar tdk ada celah masuk dari luar. Khusus web, maka perawatannya dengan cara selalu mengupdate core wordpress, themes dan plugins, hindari plugin / theme nulled.

    ____________________


    Jadi begitu dari sisi server, saya berusaha semaksimal mungkin, Tapi keamanan setuhnya dikembalkan ke pelanggan saya

    Di server mana pun, di perusahaan hosting terkeren pun, mau se-mahal apa pun plugin security nya kalo web nya tetep ngga di update maka kemungkinan kena malware akan sangat besar.

    Pencegahan malware tidak semudah deangn hanya mengganti user dan group www-data ke nama lain. Pepatah lama, mencegah lebih baik daripada mengobati

    Pesan saya: Bagi temen2 yang ragu jasa setting racikan saya, saya persilahkan ke jasa lain.

    Terima kasih
    hardinalz
     
    Last edited: Aug 12, 2018
    Diandra, Rootnesia, sc0rpi0nz and 2 others like this.
  4. BurgerKiLL

    BurgerKiLL Ads.id Pro

    Joined:
    May 29, 2013
    Messages:
    476
    Likes Received:
    46
    Location:
    Just BurgerKill Fans
    mas @hardinalz terima kasih jawabannya :adore: . mungkin sudah bisa membagi user & group di tiap2 vhost, sehingga 1 website kena yang lainnya tidak ikut kena
     
    pluto01 likes this.
  5. arifboy

    arifboy Super Hero

    Joined:
    Oct 29, 2012
    Messages:
    850
    Likes Received:
    50
    Location:
    Online
    mantau trit pakar2 vps
     
  6. hardinalz

    hardinalz Super Hero

    Joined:
    Mar 8, 2010
    Messages:
    2,395
    Likes Received:
    1,420
    Location:
    /var/www/html
    Terima kasih input nya, saya masukan untuk roadmap berikutnya
     
    pluto01 likes this.
  7. BurgerKiLL

    BurgerKiLL Ads.id Pro

    Joined:
    May 29, 2013
    Messages:
    476
    Likes Received:
    46
    Location:
    Just BurgerKill Fans
    kelewatan baca klo soal yang easyengine ini mas. disitu ada yg share bash script untuk multiple user, mungkin bisa jadi masukan untuk mas @hardinalz

    hxxps://github.com/EasyEngine/easyengine/issues/712
     
  8. Diandra

    Diandra Super Hero

    Joined:
    Apr 8, 2011
    Messages:
    3,330
    Likes Received:
    2,168
    Location:
    Ads.id
    Wah, tambahan ilmu nih
     
  9. linkcluster

    linkcluster Hero

    Joined:
    Jan 6, 2011
    Messages:
    670
    Likes Received:
    62
    Location:
    under contruction
    sorry saya bkan scurity expert
    tp saya blm melihat adanya keuntungan lebih dari sisi scurity scara general
    dng membuat byk user, kecuali di shared host,byknya app yg terinstall
    sehingga kita tdk dpt memastikan satu persatu,
    bug celah ini yg byk digunakan attacker.
    dan utk script auto installer, say ngeliat tdk ada hubunganya scr langsung
    ini udh di gunain puluhan ribu orng, dn ga ada komplain masalah scurity,
    saya sendiri pemakainya udah hampir ratusan site manage dng script ini
    dan ratusan nulled script utk testing saya jejali pada server ini
    jd jangan ragu lagi yah...
    jarang ada attacker bisa masuk system inti, kecuali dia ada infrastruktur modern
    tp ini jarang sekali, paling sering paling sql injection deface ini lumrah...
    krna mngkin ada karakter yg tdk ter encode scara sempurna
    kalo utk sampai bisa merubah format file dll, di cms wp terlebih vps
    ini hampir 90% karena pengguna install malicious script aka nulled
    jd saya setuju sekali point 4 hingga akir bro hardinalz itu jd faktor utama,
    dan itu yg anda bilang sendiri human error, karna jarang attacker
    bisa masuk vps tanpa kita undang, dng menanam backdor darinya...
    btw kalo tau struktur wp.com, kinsta, wpengine, mereka cman ada satu plugin
    dibagi ribuan/ jutaan client mereka lho, jd scalingnya cmn di database nya, so far no problem
    jd jgn khawatir pake jasa om hardinalz dan lainya ya..... hiii
     
    pluto01 likes this.
  10. cindyps

    cindyps Ads.id Pro

    Joined:
    Jul 10, 2008
    Messages:
    320
    Likes Received:
    11
    wuiihh,,,, trit mantep nih.
    mas @BurgerKiLL mau tanya..
    maksud dari 1 www-data di pake untuk lebih dari 2 website apa sama dengan menggunakan fasilitas Add on domain di Cpanel ?
    soale ane awam dgn istilah www-data :D

    mohon pencerahan dengan jawab sedetil2nya ya. :peace:
     
  11. BurgerKiLL

    BurgerKiLL Ads.id Pro

    Joined:
    May 29, 2013
    Messages:
    476
    Likes Received:
    46
    Location:
    Just BurgerKill Fans
    yup. skali lagi ga maksud offense ya om, sama2 cari tengahnya :)

    di ibaratkan 1 user cpanel untuk banyak website. gak terpisah2 om
     
    pluto01 likes this.
  12. cr3ator

    cr3ator Ads.id Pro

    Joined:
    Dec 2, 2013
    Messages:
    407
    Likes Received:
    29
    Mau komen mulai darimana gak tau, tapi kemaren server baru juga kena seperti itu. Ga tau dari mana sumber malware, untuk yang dipaparkan mas @hardinalz sudah dijalankan, server selesai di setting sehari setelahnya saya install add domain dll dalam server, eh malemnya jam 1 web gak bisa dibuka, buka database udah ada user mencurigakan, sama seperti user yg di server sebelumnya. akhirnya bersihin lagi sesuai panduan, reset password dll. Alhamdulillah sehat. Masi isi 2 biji web.
     
  13. linkcluster

    linkcluster Hero

    Joined:
    Jan 6, 2011
    Messages:
    670
    Likes Received:
    62
    Location:
    under contruction
    server mana, vps?
    coba di list dimari pluginyg dipake apa?
    semua pake beli/gratisan/lain2
    something ood...
     
  14. cr3ator

    cr3ator Ads.id Pro

    Joined:
    Dec 2, 2013
    Messages:
    407
    Likes Received:
    29
    Terakhir kemaren masih saya install Plugin Grabber Magic Wallpr**s, Yoast, sore saya pasang, nah malem jam 1 udah ga bisa login, dengan keterangan seinget saya" auto blog corrupted" Ga sempet SS langsung saya masuk filemanager buat balikin ke wp semula sama masuk ke database buat hapus user yg asing. Untuk template saya pesen custom dari temen kursus. Saya ga tau celahnya darimana apakah dari plugin tsb atau bukan, tpi sekarang pluginnya saya pake lagi dan aman aman aj. Untuk plugin MW udah pakai lama, karena memang beli yg unlimited. Untuk theme juga saya pakai lagi dan sejauh ini aman. VPS pake contabo, semoga bisa dikorek bareng bareng dan bisa dapet pencerahan.
     
  15. Ahmad Sarnuji

    Ahmad Sarnuji Super Hero

    Joined:
    May 30, 2015
    Messages:
    1,918
    Likes Received:
    201
    Location:
    Kab.Tangerang, Desa Sumur Bandung
    a
    barusan mau tag mas hardinalz eh udah ada di page one thansk mas penjelasanya :D alhamdullilah ane udah up to date semua di set auto juga si hehew :D thanks kyou masse
     
  16. ilham33

    ilham33 Trusted Web Hosting

    Joined:
    Feb 16, 2010
    Messages:
    2,785
    Likes Received:
    227
    Location:
    The North |
    Aman memang tidak nyaman.. ribet, biaya banyak dll
     

Share This Page