Parfum Shop's Blog

Seperti kita ketahui, bahwa semua data kita di web disimpan dalam database, kebanyakan masih menggunakan SQL yang notabene mudah di hack. Bagaimana web kita terhubung dengan SQL database, tentu dengan sebuah file konfigurasi kita yang ada di web server. Biasanya diberi nama config.php, config.inc.php, settings.php, connect.inc.php, dll. File itu biasanya ada di folder root, includes, config dll.
Sering kali script mempunyai vulnerable atau semacam lubang yang dapat dimasuki hacker. Lalu mereka akan menanamkan script seperti R57, C99 yang cukup dikenal dan ampuh untuk melihat server dan akan mencari file konfigurasi tersebut. Lalu jika mereka dapat file tersebut, wah…. bukan gawat lagi, anggaplah web kita sudah dihandle. Karena semua data ada di database termasuk Admin dan login, dan bisa membuat admin baru. Lalu bagaimana jika database tsb dihapus? Wah… anggaplah tamat jika kita tidak punya back-upnya.
Anda takut web anda terkena serangan hacker? Cobalah gunakan php encoder sebagai encryptor dari file konfigurasi kita. Memang itu tidak menjamin keamanan 100%, biar bagaimanapun bisa saja hacker punya php decoder. Tapi paling tidak menambah pekerjaan para hacker, mungkin membuat mereka malas atau tidak semua hacker apalagi hacker yang masih newbie bisa merusak web kita. Kan kasihan banget kalo web kita dihack sama newbie hacker.

Contohnya konfiguarasi database pada config.inc.php yang terlihat jelas untuk konek ke database:


// config.php file
$dbms = 'mysql';
$dbhost = 'localhost';
$dbname = 'encoder'; // Fill in database name
$dbuser = 'admin'; // Fill in database user name
$dbpasswd = '123abc'; // Fill in database user password
$table_prefix = ''; // Fill in table prefix... different prefix for different blog site
$timezone = ''; // GMT time zone
define('POST_TBL',$table_prefix."posts" );
define('USER_TBL',$table_prefix."user" );
define('CAT_TBL',$table_prefix."category" );
define('COMMENT_TBL',$table_prefix."comment" );
include('setting.php');
?>

jika di encrypt menjadi


$_F=__FILE__;$_X='Pz48P3BocA0KDQoNCi8vIGMybmY0Zy5waHAgZjRsNQ0KLy8gVGg0cy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Z
jR4LiJjMXQ1ZzJyeSIgKTsNCmQ1ZjRuNSgnQ09NTUVOVF9UQkwnLCR0MWJsNV9wcjVmNHguIm
MybW01bnQiICk7DQoNCjRuY2wzZDUoJ3M1dHQ0bmcucGhwJyk7DQoNCj8+';eval
(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3
VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIici
LCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='))
?>


Lumayan pusing kan bacanya? Belom tentu semua hacker mampu men decode file encrypt tadi. Apalagi yang masih newbie.

Encrypt php file anda di online php encoder :

http://www.byterun.com/free-php-encoder.php

Gunakan email yang .com, tidak menerima email yang .co.id atau .web.id dll.
Please note, your LOGIN ID is valid only for 30 minutes since generating.

Konsekuensinya, memang web anda jadi agak berat karena server harus men decode file php config yang di encrypt tadi. Tapi kan lebih aman buat web kita dari serangan hacker.

Hope It’s Helpfull.