Sejak mulai diliputnya oleh berbagai media terkait perubahan situs presidensby.info, banyak rekan it’ers dan\u00a0 praktisi\u00a0 yang mencoba mengungkap kasus ini, meskipun menurut saya beberapa diantaranya belum memberikan kesimpulan atau informasi yg signifikan dalam pengungkapan kasus tersebut.
\nSaya akan mencoba menganalisis dengan cara yang lebih sederhana sebagai berikut :<\/p>\n
Dari informasi tim IT situs presidensby.info dinyatakan bahwa situs tersebut tidaklah di \u201chacked\u201d atau kenyataan bahwa tidak ada perubahan sama sekali pada mesin server presidensby.info, tetapi hanya terjadi perubahan penunjuk jalan (serangan di level DNS) menuju server tersebut ketika diakses pengguna oleh attacker.\u00a0 Pada saat terjadinya serangan, hal ini dibuktikan dengan akses ke situs yang sama dengan alamat domain berbeda yaitu presidenri.go.id tetap dapat berjalan dengan baik tanpa ada perubahan tampilan.
\nSecara teknikal, mesin server situs presidensby.info memiliki alias\u00a0 name (domain) presidenri.go.id
\nLantas apa yang terjadi? .. hehe sabar dulu.. para pembaca \ud83d\ude42<\/p>\n
Saya coba ungkapkan beberapa fakta, meski mungkin tidak akan mendetail termasuk bagaimana cara saya mendapatkan informasi ini.
\nSebenarnya persiapan serangan melalui pembelokan domain presidensby.info ke sebuah situs lain sudah dimulai sejak 8 Januari 2013.\u00a0 Ini tercatat di serial zone domain (presidensby.info) yang dibuat oleh attacker\/pelaku pada sebuah server Hosting\/DNS Lokal.<\/p>\n
Berikut informasi zone domain presidensby.info yang dibuat oleh attacker.<\/p>\n
A<\/strong><\/span><\/span><\/span><\/p>\n host<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n type<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n ip<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n class<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n ttl<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n<\/tr>\n NS<\/strong><\/span><\/span><\/span><\/p>\n host<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n type<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n target<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n class<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n ttl<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n<\/tr>\n SOA<\/strong><\/span><\/span><\/span><\/p>\n host<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n type<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n mname<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n rname<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n serial<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n refresh<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n retry<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n expire<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n minimum-ttl<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n class<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n ttl<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n<\/tr>\n MX<\/strong><\/span><\/span><\/span><\/p>\n host<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n type<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n pri<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n target<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n class<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n ttl<\/strong><\/span><\/span><\/span><\/p>\n<\/th>\n<\/tr>\n <\/p>\n Sedangkan host kedua NameServer (id1.jaxxxxxnetwork.com dan id2.jaxxxxxnetwork.com)\u00a0 memiliki IP yang sama dengan mesin yang ditunjuk sebagai presidensby.info yaitu 210.247.249.58.<\/p>\n Server Hosting inilah yang memiliki virtual host untuk domain presidensby.info berisi halaman dengan Status Hacked by MJL007\u00a0 dan Jember Hacker Team. Jadi konten halaman berjudul\u00a0 Hacked by MJL007 bukan terdapat pada mesin server presidensby.info atau presidenri.go.id\u00a0 yang beralamat di 203.130.196.114.<\/p>\n Untuk menelurusi siapa dan dari mana pelaku yang mengaku MJL007 dan Jember Hacker Team, tim digital forensic Polri seharusnya sudah melakukan investigasi dan data acquisition dari mesin hosting beralamat 210.247.249.58\u00a0 tersebut, karena pada mesin tersebutlah terdapat system dan access log aplikasi server yang digunakan si pelaku untuk membelokkan penunjuk alamat domain presidensby.info. Jadi log server yang dianalis harusnya bukan pada server\u00a0 203.130.196.114, melainkan mesin\u00a0 hosting beralamat 210.247.249.58. Dari mesin ini akan dapat diidentifikasi alamat yang digunakan pelaku, meskipun saat kejadian pelaku bisa saja menggunakan alamat-alamat palsu, biasanya sepandai-pandainya seseorang pelaku, tetap ada kesalahan (kecil) yang berakibat fatal yang mengungkap dirinya.<\/p>\n Selain dari mesin tersebut, berdasarkan zone yang dibuat pelaku, maka terhadap pemilik atau administrator domain dan hosting jaxxxxxnetwork.com juga wajib harus\u00a0 dilakukan investigasi. Karena jelas-jelas pelaku menggunakan\u00a0 subdomain\u00a0 jaxxxxxnetwork.com (id1 dan id2) sebagai tools pelaku.<\/p>\n Informasi dari whois untuk jaxxxxxnetwork.com menghasilkan informasi sbb:<\/p>\n Domain Name: jaxxxxxnetwork.COM\u00a0\u00a0\u00a0\u00a0\u00a0 \u00a0<\/em><\/p>\n \u00a0Registrant:\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \u00a0<\/em> \u00a0Creation Date: 15-Mar-2012\u00a0 \u00a0<\/em> \u00a0Domain servers in listed order:\u00a0\u00a0 \u00a0<\/em> \u00a0Administrative Contact:\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \u00a0<\/em> \u00a0Technical Contact:\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \u00a0<\/em> \u00a0Billing Contact:\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \u00a0<\/em>\n
\n \n \n \n \n \n \n presidensby.info<\/span><\/td>\n A<\/span><\/td>\n 210.247.249.58<\/span><\/td>\n IN<\/span><\/td>\n 1440<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n \n
\n \n \n \n \n \n \n presidensby.info<\/span><\/td>\n NS<\/span><\/td>\n id1.jaxxxxxnetwork.com<\/span><\/td>\n IN<\/span><\/td>\n 86400<\/span><\/td>\n<\/tr>\n \n presidensby.info<\/span><\/td>\n NS<\/span><\/td>\n id2.jaxxxxxnetwork.com<\/span><\/td>\n IN<\/span><\/td>\n 86400<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n \n
\n \n \n \n \n \n \n \n \n \n \n \n \n presidensby.info<\/span><\/td>\n SOA<\/span><\/td>\n id1.jaxxxxxnetwork.com<\/span><\/td>\n admin.jaxxxxxnetwork.com<\/span><\/td>\n 2013010802<\/span><\/td>\n 86400<\/span><\/td>\n 7200<\/span><\/td>\n 3600000<\/span><\/td>\n 86400<\/span><\/td>\n IN<\/span><\/td>\n 8640<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n \n
\n \n \n \n \n \n \n \n presidensby.info<\/span><\/td>\n MX<\/span><\/td>\n 0<\/span><\/td>\n presidensby.info<\/span><\/td>\n IN<\/span><\/td>\n 14400<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
\n\u00a0\u00a0\u00a0\u00a0 N\/A <\/em>
\n\u00a0\u00a0\u00a0 Exxx\u00a0 Sxxxxxxx\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 (portalxxxxxxja@gmail.com)<\/em>
\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Kp. Rxxx Bxxxxxxx Rt.01\/04 <\/em>
\n\u00a0\u00a0\u00a0 Ds. Jxxxxxja – Cikrang Timur <\/em>
\n\u00a0\u00a0\u00a0 Bekasi <\/em>
\n\u00a0\u00a0\u00a0 Jawa Barat,17828 <\/em>
\n\u00a0\u00a0\u00a0 ID <\/em>
\n\u00a0\u00a0\u00a0 Tel. +62.02198779xxx \u00a0\u00a0\u00a0\u00a0 <\/em><\/p>\n
\n\u00a0Expiration Date: 15-Mar-2013\u00a0 \u00a0<\/em><\/p>\n
\n\u00a0\u00a0\u00a0\u00a0 ph1.xxxxxxjahost.com <\/em>
\n\u00a0\u00a0\u00a0\u00a0 ph2.xxxxxxjahost.com <\/em><\/p>\n
\n\u00a0\u00a0\u00a0\u00a0 N\/A <\/em>
\n\u00a0\u00a0\u00a0 Exxx\u00a0 Sxxxxxxx\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 (portalxxxxxxja@gmail.com)<\/em>
\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Kp. Rxxx Bxxxxxxx Rt.01\/04 <\/em>
\n\u00a0\u00a0\u00a0 Ds. Jxxxxxja – Cikrang Timur <\/em>
\n\u00a0\u00a0\u00a0 Bekasi <\/em>
\n\u00a0\u00a0\u00a0 Jawa Barat,17828 <\/em>
\n\u00a0\u00a0\u00a0 ID <\/em>
\n\u00a0\u00a0\u00a0 Tel. +62.02198779xxx <\/em><\/p>\n
\n\u00a0\u00a0\u00a0\u00a0 N\/A <\/em>
\n\u00a0\u00a0\u00a0 Exxx\u00a0 Sxxxxxxx\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 (portalxxxxxxja@gmail.com) <\/em>
\n\u00a0\u00a0 Kp. Rxxx Bxxxxxxx Rt.01\/04 <\/em>
\n\u00a0\u00a0\u00a0 Ds. Jxxxxxja – Cikrang Timur <\/em>
\n\u00a0\u00a0\u00a0 Bekasi <\/em>
\n\u00a0\u00a0\u00a0 Jawa Barat,17828 <\/em>
\n\u00a0\u00a0\u00a0 ID <\/em>
\n\u00a0\u00a0\u00a0 Tel. +62.02198779xxx \u00a0\u00a0\u00a0\u00a0\u00a0 <\/em><\/p>\n
\n\u00a0\u00a0\u00a0\u00a0 N\/A <\/em>
\n\u00a0\u00a0\u00a0 Exxx\u00a0 Sxxxxxxx\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 (portalxxxxxxja@gmail.com) <\/em>
\n\u00a0\u00a0\u00a0 Kp. Rxxx Bxxxxxxx Rt.01\/04 <\/em>
\n\u00a0\u00a0\u00a0 Ds. Jxxxxxja – Cikrang Timur <\/em>