Setelah mengetahui terjadi “Account Compromise” di PC yang menyebabkan beberapa account penting saya di kuasai oleh orang lain, saya langsung melakukan beberapa tindakan di antaranya:

• Update antivirus dengan definition antivirus terbaru
• Pengaktifan firewall bawaan windows dengan menutup semua port dan hanya port yang di kenal yang saya buka.
• Uninstall beberapa program bajakan yang saya duga  mengandung trojan
• Monitoring Traffic yang berjalan
• Mengganti semua login dan password semua website yang saya kelola dan yang belum di ambil alih oleh pihak lain secara ilegal.
• Dan beberapa hal lainnya.

Setelah benar-benar yakin PC saya sudah bersih dari ancaman keyloger atau trojan, langkah selanjutnya adalah merebut kembali beberapa account yang sudah di ambil secara ilegal sama orang yang tidak bertanggung jawab, yang mungkin kalo di dunia nyata bisa di samakan dengan rampok.

Karena semua account email mulai dari email yahoo dan gmail sudah tidak bisa saya akses kembali maka saya menggunakan email cadangan yaitu email johan@alloperator.com, email ini yang saya jadikan email untuk konfirmasi ke Facebook, Yahoo, Gmail, Paypal, Google Adsense, MasterwebNet dll.

Pertama saya konfirmasi ke Yahoo mengenai masalah ini, di yahoo sangat mudah sekali untuk mendapatkan kembali email tersebut karena kita cuma di berikan 2 pertanyaan  dan  saya bisa jawab dengan mudah pertanyaan tersebut, setelah itu sebuah email konfirmasi di kirimkan yahoo ke email johan@alloperator.com disitu tinggal klik link untuk melakukan reset password. Setelah email yahoo berhasil saya kuasai kembali, maka langkah selanjutnya adalah reset password google Adsense. Kebutulan yang saya gunakan untuk google adsense adalah email yahoo.com yang baru saja saya kuasai kembali.

Setelah account Yahoo dan Google Adsense berhasil saya kuasai kembali, saat nya sekarang merebut kembali account Google. Langkah awal seperti sebelumnya yaitu konfirmasi ke Google mengenai  ”Account Compromise”, disini untuk bisa mendapatkan Account Gmail kembali, saya harus mengisi beberapa form sebagai syaratnya, diantaranya 5 email yang sering dikirimi email, label email, nama blog kalo ada, bulan dan tahun pembuatan dll. yang bikin sulit adalah pertanyaan bulan dan tahun, karena email ini sudah saya buat lama sekali dan tentunya saya sudah lupa kapan buatnya. Namun setelah beberapa kali mencoba akhirnya ada kiriman email dari Google ke email johan@alloperator.com untuk reset email.

Begitu bahagianya saya ketika 2 account email saya yang menjadi juru kunci untuk account account yang lainya sudah bisa berada di tangan saya kembali, setelah saya mendapatkan kembali account gmail saya, maka saya tinggal reset untuk account mastrekey di masterwebnet.

Sampai malam ini hanya account paypal yang belum bisa saya ambil alih kembali, saya sudah mencoba reset password dengan menekan menu “Forgot your password?“, namun belum berhasil juga dan selalu muncul “We couldn’t find your email address. Please try again or select I don’t know what email address I used.”

Dari kejadian ini saya juga sempat merekam siapa di balik ini semua, dari IP Address yang berhasil saya selidiki ternyata yang melakukan adalah orang indonesia sendiri, duh sesama orang indonesia ko’ yo tega hua hua hua. Dia menggunakan IP Address 110.137.45.75 dengan detail bisa dilihat di bawah ini.

Hari ini semua account sudah berhasil saya ambil alih kembali, kecuali account paypal. Mudah-mudahan account paypal segera bisa saya ambil alih kembali, sekali lagi waspadalah… waspadalah… waspadalah…

Siang ini sehabis ngantar istri melakukan senam hamil, saya berniat melakukan pengecekan terhadap pendapatan dari google adsense namun betapa kaget nya saya ketika mencoba masuk google adsense selalu gagal untuk login dan kejadian ini di awali dengan komputer hang sekitar 1 menit, saya sempat berfikir apa ini ada hubungannya kegiatan browsing mengunjungi beberapa situs dari negara china ?, namun kecurigaan ini belum dapat bukti akurat.

Setelah saya melakukan pengecekan di email Yahoo (email untuk login google adsense), ternyata ada salah satu email pemberitahuan yang datang dari google adsense  bahwa sesorang telah mencoba mengganti account google adsense saya dengan email fake1@usa.com, setelah beberapa saat membaca email tersebut saya berusaha mengkonfirmasi ke google bahwa account google adsense saya telah di ambil orang, konfirmasi tersebut pertama saya lakukan dengan menekan tombol “Can’t access your account ?”  di halaman google Adsense. Setelah mengisi beberapa Form yang tertera di halaman Google, tidak berselang lama saya mendapatkan email konfirmasi dari Google untuk reset password yang dikirimkan ke email gmail saya (Email secondary untuk google adsense). Setelah saya membuka header email dengan fasilitas “show original” yang ada di gmail dan saya yakin bahwa email tersebut datang dari Google maka saya klik link reset password tersebut.

Setelah malakukan klik terhadap link tersebut dan mengisi Form untuk reset Password, dunia terasa gelap “Habis Terang, Terbitlah Gelap” karena semua account google adsense, paypal, yahoo dan gmail tiba tiba nggak bisa di akses dan login di gmail yang masih sign in pun tiba tiba sign out.

Hem… masih bertanya tanya sampai saat ini. Apakah saya kena Phising ? sepengetahuan saya alamat url yang saya buka benar dan beberapa link yang saya klik di email yang masuk dengan mengecek header email untuk MX nya datang dari google. Apakah ada keylogger, spyware atau malware di komputer saya ? setelah saya scan menggunakan antivirus norton 2010 dengan definition update antivirus tanggal 27 Feb 2010 tidak menemukan kejanggalan. Yang belum saya cek adalah apakah name server saya sekarang mengarah benar benar ke record aslinya, jangan jangan… . banyak kemungkinan yang terjadi, oke tulisan kali ini sampai disini dulu karena saya mau cek ricek komputer saya. siapa tahu dengan menggunakan antivrius lain bisa terdeteksi.

Packed.Generic.265 merupakan salah satu malicious software yang menunjukkan karakteristik ancaman terhadap dunia perbankan. Packed.Generic.265 akan menonaktifkan firewall dan mencuri data keuangan yang sensitif seperti nomor kartu kredit, account untuk login ke ibanking dll. Selain itu dia juga akan men-download beberapa komponen tambahan yang akan memberikan remote akses terhadap komputer yang sudah terinfeksi.

Packed.Generic.265 dapat di hapus secara manual dengan cara :

Tahap 1

Gunakan registry editor dan hapus Packed.Generic.265

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]

Tahap 2

Deteksi  dan hapus file lain dari Packed.Generic.265

%System%\lowsec\user.ds
%System%\lowsec\local.ds
%System%\lowsec\user.ds.lll

Ada cara lain ? silahkan di share disini.

Mulai beberapa hari yang lalu PC kantor terserang worm “W32.Spybot.Worm – hasil deteksi symantec” dan akibat serangan ini satu persatu pc menjadi hang dan setelah di reboot akan berjalan dengan normal kembali, namun setelah beberapa saat maka permasalahan akan muncul kembali. Jika dilihat dari Symantec Endpoint Protection Manager Console, worm W32.Spybot.Worm bersemayam pada file sysdaig64.exe. Kalo dilihat pada Task Manager jalannya sysdaig64.exe akan menhabiskan resource CPU yang sampai mengakibatkan PC menjadi hang.

Namun apabila file sysdaig64.exe di scan menggunakan Microsoft Security Essential maka akan terdeteksi sebagai trojan VirTool:Win32/VBInject.gen!CH, trojan ini memiliki lain, diantaranya:

• Trojan.Win32.Buzus.cxbg (Kaspersky)
• TR/Dropper.Gen (Avira)
• BackDoor.Pigeon.12660 (Dr.Web)
• Trj/Buzus.AH (Panda)

Dari keterangan situs micorosft diketahui :

VirTool:Win32/VBInject.gen!CH is a trojan that modifies the computer’s security settings by attempting to disable UAC (User Account Control) and the Windows Firewall. It also connects to a remote server to download arbitrary files.

VirTool:Win32/VBInject.gen!CH berusaha untuk menonaktifkan atau mendisable UAC (User Account Control) dengan melakukan modifikasi registri windows, yaitu menambahkan nilai EnableLUA dengan “0″ pada HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

selain itu, trojan  VirTool:Win32/VBInject.gen!CH juga akan berusaha untuk mendisable firewall windows dengan menjalankan perintah net.exe stop sharedaccess.

Ada yang pernah kejadian juga ?, silahkan share dan di diskusikan disini.

Mod_evasive is an Apache module designed to protect Apache against DOS or brute force attacks.

What is mod_evasive?

mod_evasive is an evasive maneuvers module for Apache to provide evasive action in the event of an HTTP DoS or DDoS attack or brute force attack. It is also designed to be a detection and network management tool, and can be easily configured to talk to ipchains, firewalls, routers, and etcetera. mod_evasive presently reports abuses via email and syslog facilities.

Detection is performed by creating an internal dynamic hash table of IP Addresses and URIs, and denying any single IP address from any of the following:
Requesting the same page more than a few times per second
Making more than 50 concurrent requests on the same child per second
Making any requests while temporarily blacklisted (on a blocking list)

Installing mod_evasive is disappointingly easy in Ubuntu 9.04 :

sudo apt-get install libapache2-mod-evasive

Directives controlling the behavior of mod_evasive should be specified in a file created in directory /etc/apache2/conf.d. Create a file named “evasive” in that directory and add the mod_evasive directives you want for your server. For example:

<ifmodule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSEmailNotify you@example.com
</ifmodule>

Finally, enable the module and restart Apache:

en2mod evasive

/etc/init.d/apache2 force-reload

That is all there is to it.

How to test that it works ? Simply open any browser, got to your server’s home page, and click the reload button as fast as you can.