GinkDigital

Anatomi Automated Attack: 24 Webshell dalam Semalam

Bagaimana bot menginfeksi seluruh akun hosting dalam hitungan detik

Tipe
Deep-Dive Teknis
Target
Developer & Sysadmin
Estimasi Baca
7 menit

Dalam dunia keamanan siber, ada perbedaan besar antara serangan manual dan serangan otomatis. Serangan manual seperti perampok yang memilih target, mempelajari celah, dan masuk dengan hati-hati. Serangan otomatis seperti tsunami — tidak pandang bulu, datang cepat, dan meninggalkan kerusakan di mana pun bisa.

Kasus yang kami tangani ini adalah contoh sempurna dari serangan otomatis. Artikel ini akan membedah anatomi serangan — dari awal hingga akhir.

Kronologi Serangan

1. EKSPLOIT
  Plugin WordPress pihak ketiga vulnerable
  → Remote Code Execution (RCE)

2. FOOTHOLD
  Upload directory lister: default.php
  → Script navigasi file system

3. RECONNAISSANCE
  Bot memindai seluruh direktori hosting
  → Identifikasi 24 target PHP-enabled

4. DEPLOYMENT
  Upload webshell ke setiap direktori
  → VroC4lVHXdefault.php (1,29 MB)

5. MARKER
  Tinggalkan tf88.php (0 bytes)
  → "Sudah dikunjungi"

6. DEFACE (optional)
  Ganti index.php Moodle → spam Temanjp
  → Agar keliatan, sisanya silent

Detail Setiap Tahap

1. Eksploit — Plugin WordPress

Titik masuk adalah plugin WordPress yang memiliki celah Remote Code Execution (RCE). Plugin ini terinstall di salah satu dari 9 website WordPress dalam hosting. Cukup dengan mengirim request HTTP khusus, hacker bisa mengeksekusi perintah PHP di server.

Plugin jenis ini biasanya memiliki celah di fungsi file upload, directory traversal, atau deserialization. Dalam kasus ini, plugin yang paling mungkin adalah plugin manajemen user atau plugin custom code.

2. Foothold — Directory Lister

Langkah pertama setelah berhasil masuk: upload PHP Directory Lister (default.php, 130 KB). Script ini adalah file manager mini yang memungkinkan hacker menjelajahi seluruh file system hosting dari browser.

// default.php — Directory Lister
// Fungsi: navigasi folder, upload file, download file
$startdir = '.';
$showdirs = true;
$allowuploads = false;  // bisa diubah via parameter

Dengan script ini, hacker bisa melihat struktur folder hosting, menentukan direktori mana yang bisa menjalankan PHP, dan merencanakan deployment.

3. Reconnaissance — Bot Scan

Setelah mapping selesai, bot otomatis mulai memindai. Dalam hitungan detik, bot bisa:

⚡ Automated Deployment — Kecepatan

Dari eksploit awal hingga 24 webshell terdeploy: kurang dari 60 detik. Bot tidak perlu mengetik satu per satu — semua dilakukan paralel via script.

4. Deployment — Webshell Multi-Layer

File VroC4lVHXdefault.php (1,29 MB) adalah webshell dengan 5 lapis obfuskasi:

// Layer 1: Base64 — encoding standar
$data = base64_decode($encoded);

// Layer 2: str_rot13 — pergeseran karakter
$data = str_rot13($data);

// Layer 3: gzinflate — kompresi zlib
$data = gzinflate($data);

// Layer 4: eval() — eksekusi kode hasil dekompresi
eval($data);

// Layer 5: try-catch chains — anti-detection
try {
    // ... kode backdoor
} catch (Exception $e) {
    // diam, jangan tampilkan error
}

Teknik ini membuat file sulit dideteksi oleh scanner keamanan sederhana karena kode asli tidak pernah muncul dalam bentuk teks biasa — selalu terenkripsi.

5. Marker — Tanda Kunjungan

Setelah webshell terdeploy, bot meninggalkan file marker tf88.php (0 bytes) di setiap direktori yang sudah terinfeksi. Fungsinya:

6. Deface — Agar Terlihat

Langkah terakhir: mengganti index.php Moodle bilarabiya.online dengan halaman spam Temanjp. Ini adalah pengalihan perhatian — korban fokus pada homepage yang berubah, sementara 23 webshell lainnya berjalan diam-diam di belakang.

Apa yang Membuat Serangan Ini Efektif?

  1. Automated sejak awal — Tidak ada hacker yang duduk di depan komputer mengupload file satu per satu. Semua dilakukan bot.
  2. Multi-layer obfuscation — Webshell sulit dideteksi bahkan oleh scanner keamanan standar.
  3. Shared hosting tanpa isolasi — Satu celah cukup untuk mengakses SEMUA direktori dalam satu akun.
  4. Marker system — Bot cerdas, tidak menginfeksi ulang direktori yang sudah kena.
  5. Silent majority — Hanya 1 dari 24 website yang dideface. Selebihnya diam-diam dikuasai tanpa sepengetahuan pemilik.

Pelajaran untuk Developer & Sysadmin

🔑 Kesimpulan Teknis
  1. Bot menyerang dalam detik — Response time adalah segalanya
  2. Webshell multi-layer — File besar (>100 KB) patut dicurigai, apalagi dengan nama acak
  3. Marker adalah petunjuk — Jika Anda menemukan file 0 bytes dengan nama acak, hosting Anda sudah dipetai hacker
  4. Isolasi itu penting — Pisahkan website kritis. Jangan satukan semua dalam satu akun shared hosting

Ingin audit keamanan infrastruktur Anda?

Kami bantu scan, identifikasi celah, dan rekomendasikan solusi — dari satu website hingga satu akun hosting penuh.

Baca case study lengkap →

📖 Satu Plugin Bobolkan 18 Website — kisah populer
🛠️ Cara Membersihkan Webshell — panduan teknis
🏢 Kenapa Shared Hosting Bahaya — edukasi infrastruktur