Informasi tim IT situs presidensby.info dinyatakan bahwa situs tersebut
tidaklah di “hacked” atau kenyataan bahwa tidak ada perubahan sama
sekali pada mesin server presidensby.info, tetapi hanya terjadi
perubahan penunjuk jalan (serangan di level DNS) menuju server tersebut
ketika diakses pengguna oleh attacker. Pada saat terjadinya serangan,
hal ini dibuktikan dengan akses ke situs yang sama dengan alamat domain
berbeda yaitu presidenri.go.id tetap dapat berjalan dengan baik tanpa
ada perubahan tampilan. Secara teknikal, mesin server situs presidensby.info memiliki alias name (domain) presidenri.go.id.
Sebenarnya persiapan serangan melalui pembelokan domain presidensby.info
ke sebuah situs lain sudah dimulai sejak 8 Januari 2013. Ini tercatat
di serial zone domain (presidensby.info) yang dibuat oleh
attacker/pelaku pada sebuah server Hosting/DNS Lokal.
Berikut informasi zone domain presidensby.info yang dibuat oleh attacker.
A
|
host
|
type
|
ip
|
class
|
ttl
|
|---|---|---|---|---|
| presidensby.info | A | 210.247.249.58 | IN | 1440 |
NS
|
host
|
type
|
target
|
class
|
ttl
|
|---|---|---|---|---|
| presidensby.info | NS | id1.jaxxxxxnetwork.com | IN | 86400 |
| presidensby.info | NS | id2.jaxxxxxnetwork.com | IN | 86400 |
SOA
|
host
|
type
|
mname
|
rname
|
serial
|
refresh
|
retry
|
expire
|
minimum-ttl
|
class
|
ttl
|
|---|---|---|---|---|---|---|---|---|---|---|
| presidensby.info | SOA | id1.jaxxxxxnetwork.com | admin.jaxxxxxnetwork.com | 2013010802 | 86400 | 7200 | 3600000 | 86400 | IN | 8640 |
MX
|
host
|
type
|
pri
|
target
|
class
|
ttl
|
|---|---|---|---|---|---|
| presidensby.info | MX | 0 | presidensby.info | IN | 14400 |
Sedangkan host kedua NameServer (id1.jaxxxxxnetwork.com dan
id2.jaxxxxxnetwork.com) memiliki IP yang sama dengan mesin yang
ditunjuk sebagai presidensby.info yaitu 210.247.249.58.
Server Hosting inilah yang memiliki virtual host untuk domain
presidensby.info berisi halaman dengan Status Hacked by MJL007 dan
"Jember Hacker Team". Jadi konten halaman berjudul Hacked by MJL007 bukan
terdapat pada mesin server presidensby.info atau presidenri.go.id yang
beralamat di 203.130.196.114.
Untuk menelurusi siapa dan dari mana pelaku yang mengaku MJL007 dan
Jember Hacker Team, tim digital forensic Polri seharusnya sudah
melakukan investigasi dan data acquisition dari mesin hosting beralamat
210.247.249.58 tersebut, karena pada mesin tersebutlah terdapat system
dan access log aplikasi server yang digunakan si pelaku untuk
membelokkan penunjuk alamat domain presidensby.info. Jadi log server
yang dianalis harusnya bukan pada server 203.130.196.114, melainkan
mesin hosting beralamat 210.247.249.58. Dari mesin ini akan dapat
diidentifikasi alamat yang digunakan pelaku, meskipun saat kejadian
pelaku bisa saja menggunakan alamat-alamat palsu, biasanya
sepandai-pandainya seseorang pelaku, tetap ada kesalahan (kecil) yang
berakibat fatal yang mengungkap dirinya.
Selain dari mesin tersebut, berdasarkan zone yang dibuat pelaku, maka
terhadap pemilik atau administrator domain dan hosting
jaxxxxxnetwork.com juga wajib harus dilakukan investigasi. Karena
jelas-jelas pelaku menggunakan subdomain jaxxxxxnetwork.com (id1 dan
id2) sebagai tools pelaku.
Terdapat beberapa kemungkinan bagaamana cara pelaku merubah data
Nameserver pada Administrative Domain presidensby.info. Kemungkinan
pertama, persis seperti kejadian tahun 2007, dimana server yang memiliki
otoritas mengelola zone domain presidensby.info di serang sehingga
memberikan alamat NS atau mendelegasikan NS ke server yang sudah
dipersiapkan si pelaku. Kemungkinan berikutnya adalah pelaku mendapatkan
akses ilegal yang menjadi account administrative/technical contact
domain presidensby.info, sehingga dapat dengan mudah merubah NS yang
menjadi otoritas domain tersebut.
Untuk memastikan hal tersebut, tentu saja administrative contact domain presidensby.info bisa dimintain keterangannya. Administrative/Technical Contact pengelola domain presidensby.info bisa dilihat dari info whois (per 12 Januari 2012) .
REFERENSI :
Tidak ada komentar:
Posting Komentar