Anda di halaman 1dari 2

Pencegahan Pemasangan Shell Hacker padaCMS Balitbang

Salah satu memasukkan Shell hacker adalah melalui admin (karena masih banyak pengguna CMS Balitbang yang belum merubah password default admin yaitu admin, dan belum menghapus user admin default yaitu alan)

Pada CMS Balitbang ada 2 cara untuk mengupload Shell Hacker ini. (1) bagian Admin, (2) bagian Member. Bagian Admin yaitu melalui default admin. Bagian Member yaitu merubah tipe usernya menjadi Guru sehingga bisa mengupload file. Tapi tidak usah khawatir, berikut saya berikan 3 buah pencegahannya. 1. Menghapus user default Admin user = alan. 2. Modul materi ajar dan materi uji. silahkan masuk ke direktori download misalnya: localhost/cmsbalitbangv352/materi/ kemudian buat file .htaccess. silahkan masukan script ini :
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi Options -ExecCGI

Script ini maksudnya pada folder download tersebut, file dengan extensi di atas tidak bisa dieksekusi. Karena kebanyakan hacker menggunakan ini untuk menghack suatu file. Seperti halnya untuk folder silabus, download, soal, tugas silahkan lakukan hal di atas. Silahkan coba masukkan file dengan ekstensi di atas kemudian akses maka akan muncul FORBIDDEN. Coba upload dengan ekstensi selain di atas maka proses download akan berhasil.

3. Pencegahan di bagian menu modul Admin silahkan masuk ke direktori download misalnya: localhost/cmsbalitbangv352/materi/ kemudian silahkan rubah permission file berikut :

editfile.php simmenu.php

ubah kedua permission tersebut jadi 0000 , agar aman dan tidak bisa diakses oleh siapapun.

Untuk mengujinya silahkan masuk ke halaman admin, lalu ke menu Setting Admin, lalu ke Posisi Menu Modul

Klik salah satu File misalnya tag_berita.php , kemudian Edit Script Fungsi / Browse , dan maka akan muncul Access Denied.

Kemudian pada menu Tambah Posisi Menu silahkan coba tambahkan file modul, dan maka akan muncul Access Denied.

Jika Anda ingin mengupload modul silahkan ganti permissionnya menjadi 0755. Dan jika sudah ditambahkan silahkan rubah kembali permissionnya menjadi 0000.

Salam, Ansari Saleh Ahmar http://ansarisaleh.web.id http://ansarisalehahmar.web.id http://sutte.web.id