Bagaimana bot menginfeksi seluruh akun hosting dalam hitungan detik
Dalam dunia keamanan siber, ada perbedaan besar antara serangan manual dan serangan otomatis. Serangan manual seperti perampok yang memilih target, mempelajari celah, dan masuk dengan hati-hati. Serangan otomatis seperti tsunami — tidak pandang bulu, datang cepat, dan meninggalkan kerusakan di mana pun bisa.
Kasus yang kami tangani ini adalah contoh sempurna dari serangan otomatis. Artikel ini akan membedah anatomi serangan — dari awal hingga akhir.
default.phpVroC4lVHXdefault.php (1,29 MB)tf88.php (0 bytes)Titik masuk adalah plugin WordPress yang memiliki celah Remote Code Execution (RCE). Plugin ini terinstall di salah satu dari 9 website WordPress dalam hosting. Cukup dengan mengirim request HTTP khusus, hacker bisa mengeksekusi perintah PHP di server.
Plugin jenis ini biasanya memiliki celah di fungsi file upload, directory traversal,
atau deserialization. Dalam kasus ini, plugin yang paling mungkin adalah plugin
manajemen user atau plugin custom code.
Langkah pertama setelah berhasil masuk: upload PHP Directory Lister
(default.php, 130 KB). Script ini adalah file manager mini yang memungkinkan
hacker menjelajahi seluruh file system hosting dari browser.
// default.php — Directory Lister
// Fungsi: navigasi folder, upload file, download file
$startdir = '.';
$showdirs = true;
$allowuploads = false; // bisa diubah via parameter
Dengan script ini, hacker bisa melihat struktur folder hosting, menentukan direktori mana yang bisa menjalankan PHP, dan merencanakan deployment.
Setelah mapping selesai, bot otomatis mulai memindai. Dalam hitungan detik, bot bisa:
public_html/Dari eksploit awal hingga 24 webshell terdeploy: kurang dari 60 detik. Bot tidak perlu mengetik satu per satu — semua dilakukan paralel via script.
File VroC4lVHXdefault.php (1,29 MB) adalah webshell dengan 5 lapis obfuskasi:
// Layer 1: Base64 — encoding standar
$data = base64_decode($encoded);
// Layer 2: str_rot13 — pergeseran karakter
$data = str_rot13($data);
// Layer 3: gzinflate — kompresi zlib
$data = gzinflate($data);
// Layer 4: eval() — eksekusi kode hasil dekompresi
eval($data);
// Layer 5: try-catch chains — anti-detection
try {
// ... kode backdoor
} catch (Exception $e) {
// diam, jangan tampilkan error
}
Teknik ini membuat file sulit dideteksi oleh scanner keamanan sederhana karena kode asli tidak pernah muncul dalam bentuk teks biasa — selalu terenkripsi.
Setelah webshell terdeploy, bot meninggalkan file marker tf88.php
(0 bytes) di setiap direktori yang sudah terinfeksi. Fungsinya:
Langkah terakhir: mengganti index.php Moodle bilarabiya.online dengan halaman spam
Temanjp. Ini adalah pengalihan perhatian — korban fokus pada homepage yang
berubah, sementara 23 webshell lainnya berjalan diam-diam di belakang.
Ingin audit keamanan infrastruktur Anda?
Kami bantu scan, identifikasi celah, dan rekomendasikan solusi — dari satu website hingga satu akun hosting penuh.
📖 Satu Plugin Bobolkan 18 Website
— kisah populer
🛠️ Cara Membersihkan Webshell
— panduan teknis
🏢 Kenapa Shared Hosting Bahaya
— edukasi infrastruktur