Pagi ini, pada halaman pertama di salah satu media cetak tertulis bahwa situs kepresidenan RI terkena deface dari group jember hacker. Dan ini membuat saya penasaran.
Beberapa data yang kita perlukan :
- Data whois www.presidenri.go.id dan www.presidensby.info
- Data lain yang berhubungan
Berikut adalah data whois www.presidensby.info yang saya ambil tanggal 9 Januari 2013 yang kemudian dirubah pada tanggal 10 Januari 2013.
UPDATE 12 January 2013 :
Dan data whois www.presidensby.info telah dirubah lagi pada tanggal 11 Januari 2013.
Dan yang membuat saya terganggu adalah selalu mempergunakan fasilitas email gratis, kali ini memakai nama akbardotinfo@gmail.com. Apakah susahnya merubah email tersebut menjadi admin@presidensby.info atau sesuatu yang lebih keren webmaster@presidensby.info / hostmaster@presidensby.info???
Kalau memang tidak memiliki space yang cukup untuk email ataupun jumlah email yang diijinkan, tinggal membuat email memakai GoogleApps, dengan quota 10GB untuk masing-masing user.
Berikut adalah data untuk DNS record www.presidensby.info :
Karena A recordnya mengarah ke IP 203.130.196.114, maka kita juga perlu data untuk IP tersebut.
- Rangkuman mengenai situs kepresidenan tanggal 9 Januari 2013 :
- Sebuah domain dengan extensi .info, bisa saja diperoleh dengan harga hanya $1.99/tahun, atau bisa juga diperoleh gratis. Hal ini tergantung yang mendaftarkan. Dan alasan pemakaian .info mungkin agar lebih mudah diingat orang ketika ingin mencari informasi. Walaupun di dunia internet extensi ini jarang dipergunakan.
- Domain www.presidensby.info tersebut didaftarkan oleh seseorang dengan nama Sugeng Wibowo mempergunakan email idsugeng@yahoo.com dan mempergunakan alamat Redaksi Situs Presiden Republik Indonesia
- Isi dari www.presidensby.info sama dengan isi www.presidenri.go.id, hal ini kemungkinan sebagai backup atau mirroring. Karena ketika www.presidensby.info berubah halaman depannya alias terdeface, isi dari www.presidenri.go.id tidak berubah.
- Dari informasi technical contactnya tanggal 9 Januari 2013 :Name: Techscape Communications
Organization: http://www.techscape.co.id
Address 1: 158-49 90th St. #888
City: Howard Beach
State: NY
Zip: 11414
Country: US
Email : enom@techscape.co.id
Domain yang berakhiran .co.id kok memakai alamat US ya??? - Data Technical Contact pada tanggal 10 Januari 2013 telah diganti menjadi :
Name: Sugeng Wibowo
Organization: Redaksi Situs Presiden Republik Indonesia
Address 1: Gedung Bina Graha Lt. 2
Address 2: Jl. Veteran No, 16 Jakarta
City: Jakarta Pusat
State: DKI JAKARTA
Zip: 10110
Country: ID
Phone: +62.213844363
Email: idsugeng@yahoo.com - Situs kepresidenan www.presidenri.go.id dihost di IP 203.130.196.114 dan merupakan IP blok milik Telkom
- Situs kepresidenan www.presidensby.info resolve ke 210.247.249.58
Selanjutnya mari kita melacak tempat situs kepresidenan www.presidensby.info didaftarkan yaitu www.techscape.co.id. Jika kita membuka www.techscape.com, kita akan diredirect ke www.techscape.co.id.
Berikut adalah tampilan situs www.techscape.co.id :
Jika kita membuka situs techscape.co.id, maka kita akan menemui sebuah hal yang janggal jika dihubungkan dengan sebuah situs kepresidenan, yaitu adanya title seperti ini : “Web Hosting – Domain Murah Indonesia – Domain Hosting Terbaik”
Berikut adalah data whois techscape.co.id :
Berikut adalah data whois techscape.com :
Berikut adalah data dns techscape.co.id :
Berikut adalah data dns techscape.com :
Mengenai masalah alamat www.presidenri.go.id dan www.presidensby.info, sebenarnya sudah banyak dibahas di internet, dan salah satunya di Kompas pada tahun 2009.
Penjelasan singkat pada tanggal 9 Januari 2013 :
- Domain situs kepresidenan www.presidensby.info dan untuk orang sekelas presiden, didaftarkan di sebuah situs yang menawarkan Domain dan Web hosting Murah
- Alasan terjadinya perubahan pada halaman depan situs www.presidensby.info katanya dikarenakan serangan pada DNS
sumber : http://www.bisnis.com/articles/situs-presiden-di-hack-dns-server-bakal-dipindah-ke-indonesia
- Serangan terhadap laman resmi Presiden Susilo Bambang Yudhoyono ini kemarin memang bukan peretasan (hacking) melainkan pengalihan alamat Internet Protokol atau IP Address. Pelakunya menggunakan sebuah hosting yang berlokasi di kawasan Bekasi, Jawa Barat. Sumber : http://www.presidenri.go.id/index.php/fokus/2013/01/10/8646.html
Update 12 Januari 2013 :
- Sebuah penjelasan dari Josua M Sinambela mengenai pembelokan DNS oleh sebuah jasa hosting lokal yang akan membuka sudut pandang dan menambah pengetahuan Anda mengenai DNS
Sumber : http://josh.rootbrain.com/blog/2013/01/12/analisis-internet-forensic-kasus-website-presidensby-info
Situs kepresidenan yang beralamat di www.presidensby.info memakai DNS yang sama dengan jasa hosting pada saat terjadi pembelokan DNS, dan memakai IP 210.247.249.58 . - Secara singkat, saat kita ingin mengunjungi sebuah situs, maka komputer kita akan mencari resolver dan menghubungi root tempat domain atau alat situs yang kita tuju. Dikarenakan semua proses itu berhubungan dengan semua konputer atau mesin yang terhubung di dunia, makan akan agak sulit dijelaskan.
Di bawah ini adalah gambaran sederhananya :
Komputer <===> Internet <===> Resolver <===> Domain Registrar <===> DNS Server <===> Domain / Situs
Jadi, jika DNS Server tersebut dibagi tugas untuk melayani banyak jasa hosting, maka sebuah data akan bisa membuat konflik
DNS Server ( sahi78679.mercury.orderbox-dns.com ) <===> www.presidensby.info
DNS Server ( sahi78679.mercury.orderbox-dns.com ) <===> Jasa Hosting <===> membuat A entry yang sama dengan www.presidensby.info, maka dapat terjadi pembelokan maupun konflik. - Silakan coba memahami dengan membuka situs berikut : http://ip.robtex.com/210.247.249.58.html
- Sebuah trik sederhana untuk membuat kekacauan adalah dengan mendaftarkan diri pada tempat yang memakai DNS yang sama dengan www.presidensby.info, kemudian membuat account dengan mempergunakan URL www.presidensby.info atau bisa juga www.presidenri.go.id, dan membuat kontent yang baru atau berbeda maupun mengarahkan agar membuka ke situs lain.Atau agar Anda mudah untuk memahami, di sebuah kantor ada seorang Admin Keuangan, kemudian ada dua orang yang memberikan laporan dengan mempergunakan judul data yang sama, dengan isi berbeda. Maka Admin Keuangan tersebut akan bingung.
- Jadi, masalahnya bukan berada di situs www.presidensby.info, melainkan karena ada orang iseng yang membuat duplikasi A record pada jasa hosting yang memakai DNS yang sama dengan situs www.presidensby,info
- Masalah akan kembali muncul, selama DNSnya masih memakai DNS dari orderbox.
Info tambahan yang didapat tanggal 22 January 2013, adalah sebuah text di pastebin yang dibuat oleh @anon_indonesia berikut :
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 |
@anon_indonesia situs presidensby.info yg di retas oleh MJL007 positif deface berdasarkan analisa kami. ip yang di daftarkan pada situs arsip hacker zona-h adalah 210.247.249.58 http://www.zone-h.org/mirror/id/18912807 setelah di telusuri IP tersebut ternyata adalah ip server situs presidensby.info sebelumnya. http://webcache.googleusercontent.com/search?q=cache:S5rblj-w9wsJ:dnstree.com/info/presidensby/+%22210.247.249.58%22+%2B%22presidensby.info%22&cd=3&hl=en&ct=clnk http://who.is/whois/presidensby.info menunjukkan server dan DNS registrannya di update tanggal 11 dan 12 januari 2013 dan ip yg di gunakan saat ini adalah dari server 203.130.196.114 http://dnstree.com/info/presidensby/ knp servernya di pindah dari shared hosting menjadi private/vps hosting ? lalu sebelumnya teregistrasi dimana dan atas nama siapa ? =============================================================== jejak registrasi server dan domain situs presidensby.info sebelum di update tanggal 11-12 januari 2013: ip adress server sebelum tanggal update adalah 210.247.249.58 sama dengan ip web yg di daftarkan MJL007 pada zona-h dalam hal ini artinya memang servernya yang di rubah tampilannya. (Deface) bukti: http://i.minus.com/iUuky5UedtpxM.jpg sebelumnya menggunakan server yg teregistrasi disini http://member.jatirejanetwork.com/ sumber:http://webcache.googleusercontent.com/search?q=cache:S5rblj-w9wsJ:dnstree.com/info/presidensby/+%22210.247.249.58%22+%2B%22presidensby.info%22&cd=3&hl=en&ct=clnk dan sepertinya dengan registrant resmi dari web master admin situs presidensby.info Domain ID:D11564782-LRMS Domain Name:PRESIDENSBY.INFO Created On:20-Dec-2005 08:54:36 UTC Last Updated On:19-Dec-2011 02:03:56 UTC Expiration Date:20-Dec-2012 08:54:36 UTC Sponsoring Registrar:eNom, Inc. (R126-LRMS) Status:CLIENT TRANSFER PROHIBITED Registrant ID:2D066C9F7AF781F7 Registrant Name:Sugeng Wibowo Registrant Organization:Redaksi Situs Presiden Republik Indonesia Registrant Street1:Gedung Bina Graha Lt. 2 Registrant Street2:Jl. Veteran No, 16 Jakarta Registrant Street3: Registrant City:Jakarta Pusat Registrant State/Province:DKI JAKARTA Registrant Postal Code:10110 Registrant Country:ID Registrant Phone:+62.213844363 Registrant Phone Ext.: Registrant FAX: Registrant FAX Ext.: Registrant Email:idsugeng@yahoo.com Admin ID:2D066C9F7AF781F7 Admin Name:Sugeng Wibowo Admin Organization:Redaksi Situs Presiden Republik Indonesia Admin Street1:Gedung Bina Graha Lt. 2 Admin Street2:Jl. Veteran No, 16 Jakarta Admin Street3: Admin City:Jakarta Pusat Admin State/Province:DKI JAKARTA Admin Postal Code:10110 Admin Country:ID Admin Phone:+62.213844363 Admin Phone Ext.: Admin FAX: Admin FAX Ext.: Admin Email:idsugeng@yahoo.com Billing ID:2D066C9F7AF781F7 Billing Name:Sugeng Wibowo Billing Organization:Redaksi Situs Presiden Republik Indonesia Billing Street1:Gedung Bina Graha Lt. 2 Billing Street2:Jl. Veteran No, 16 Jakarta Billing Street3: Billing City:Jakarta Pusat Billing State/Province:DKI JAKARTA Billing Postal Code:10110 Billing Country:ID Billing Phone:+62.213844363 Billing Phone Ext.: Billing FAX: Billing FAX Ext.: Billing Email:idsugeng@yahoo.com Tech ID:C4855468-LRMS Tech Name:Techscape Communications Tech Organization:http://www.techscape.co.id Tech Street1:158-49 90th St. #888 Tech Street2: Tech Street3: Tech City:Howard Beach Tech State/Province:NY Tech Postal Code:11414 Tech Country:US Tech Phone: Tech Phone Ext.: Tech FAX: Tech FAX Ext.: Tech Email:enom@techscape.co.id Name Server:SAHI78679.MERCURY.ORDERBOX-DNS.COM Name Server:SAHI78679.VENUS.ORDERBOX-DNS.COM Name Server:SAHI78679.EARTH.ORDERBOX-DNS.COM Name Server:SAHI78679.MARS.ORDERBOX-DNS.COM |