Pencarian

Kamis, 19 Maret 2009

Administrator to Super Administrator pada Joomla

Administrator to Super Administrator pada Joomla

Bingung kan dengan judul artikel di atas...!!! hee...he...
Maksudnya jika anda seorang Super Administrator pada website yang dibangun dengan joomla dan tidak memperhatikan dengan baik hak akses seorang administrator maka jangan terkejeut bila suatu saat anda tidak bisa login atau account anda di hapus di website tersebut oleh si administrator. koq bisa, padahal administrator kan dibawah saya ?
untuk lebih jelas kita akan sedikit membahas tentang tingkatan user pada joomla, Privileged.

1. Super Administrator : ini adalah tingkatan tertinggi pada joomla dimana dengan menjadi Super Administrator kita bisa mengatur user lain seperti Administrator, Manager dan user-user lainnya.

2. Administrator: yang membawahi manager, auditor, publisher dsb.

tentun saja tingkatan user pada joomla tidak selamanya seperti diatas (tapi setau saya memang seperti itu), karena kita bisa mengaturnya sendiri sesuai kemauan kita.

Koq Administrator mau menjadi Super Administrator ?
tentu saja, karena menurut saya tidak ada orang yang mau dibatasi hak aksesnya/ Privileged, karena Limited ini membosaaaannnkan.

Misalnya: anda membuat website menggunakan joomla untuk Perusahaan tertentu, lalu untuk maksud dan tujuan tertentu (entah baik atau buruk), anda hanya memberikan kepada klien anda tadi username dan password sebagai Administrator bukan Super Administrator,
dengan alasan ada beberapa menu yang nggak boleh di akses oleh si Klien tersebut.
anda membatasi bahwa Menu Setting Server (Global Configuration) nggak bisa di akses oleh si klien dengan tujuan ketika anda lagi bokek alias buntu alias nggak ada duit dan untuk beli rokok aja susah banget, anda mengubah setting Global Configuration misalnya pada SEO Setting,
jadi website tersebut tidak akan bisa di akses selama file .htaccess nya tidak di ubah atau
mengembalikan SEO Settings nya kembali seperti semula, lalu anda berharap klien anda tadi akan menghubungi anda atas permasalahan pada website tersebut, dan dapet duit dah untuk jajan, dan lagi, untuk memuluskan tujuan tersebut anda juga tidak memberikan username dan password tempat hosting website tersebut pada waktu proses serah terima websitenya.

Contoh seperti diatas mungkin saja terjadi (udah sering malah) tapi ini tidak akan terjadi jika Administrator di klien anda tersebut nggak gaol.
Bagaimana jika si Administrator website tersebut bukan manusia biasa (hantu, sunder bolong dlsb), eh maksud saya administrator nya mengerti sedikit tentang dunia underground..???

dan di Karenakan pada waktu proses pembuatan web tersebut mau cepet dan lumayan asal-asalan maka anda tidak mengatur tentang hak akses si Administrator.

lalu dengan sedikit pemahaman tentang hacking dan blaa..blaa... si administrator mulai mencari-cari cara untuk memasukkan Shell Script PHP ke dalam website tersebut.
dan terpikirlah si Administrator tadi, untuk meng Install Component yang bisa mengizinkan Administrator untuk mengUpload file tertentu ke web tersebut.

Selanjutnya si administrator segera meluncur ke http://extensions.joomla.org/extensions,
setelah mencari dengan penuh keseriusan akhirnya ketemu juga Component seperti Jdoc atau Simple Uploader dll.

lalu tinggal mengInstall Component tersebut dan mengUpload Script Shell seperti r57, c99, c100 dan Shell sejenis lainnya yang keren-keren abiz.

Setelah shell tersebut masuk, si Administrator tinggal mengAkses shell tersebut layaknya Backdoor, dan Jreenggg...jrenggg... si administrator tadi udah nyampe di root website nya.

Apa yang bisa dilakukan si administrator melalui Shell Script yang di uploadnya tadi ?
Buannyaaaakkk banget...
antara lain:

1. Membuka file configuration.php, lalu di file tersebut bisa dilihat username, password serta nama database yang digunakan.
2. Setelah mendapatkan user,password dan nama database, biasa nya di Shell Script terdapat fasilitas untuk menjalankan Query Sql.
3. lalu mengubah status Administrator menjadi Super Administrator atau mengubah password anda dengan perintah misalnya seperti ini: update jos_users set password='password baru' where id='62'.

Untuk mendapatkan password baru, si Administrator tinggal membuat user baru di joomla localnya dan liat hasil Encrypt di database, copy dan paste pada Query tadi.
atau bisa juga si administrator dengan penuh kreatifitas mencari tools yang berserakan di internet untuk decrypt password joomla pada account anda.

dan yang lebih parah nya, dengan penuh rasa kesal bercampur sedikit kebanggaan di hapus nya account Super Administrator anda dari database tersebut misalnya dengan perintah delete from jos_users where id='62'
dan yang terakhir di backupnya semua tabel di database tersebut untuk jaga-jaga.

Mungkin anda berpikir, "saya kan bisa masuk melalui Cpanel/Spanel lalu saya ubah lagi account tersebut. "
tapi bagaimana jika si Administrator tadi melapor pada atasannya misalnya pada Kepala Bagian IT nya seperti ini.

" Pak, akhirnya saya tau mengapa selama berberapa hari ini website kita tidak bisa di akses,
hal ini dikarenakan ada yang mengubah setting ini dan itu pada halaman Back End web kita.
dan menurut saya lagi, selain di hack, yang bisa mengubah setting tersebut hanya orang yang punya hak akses "Super Administrator", dan ternyata account/hak akses yang kita miliki pada website ini hanya Administrator.
jadi menurut saya, kita putuskan saja hubungan kita dengan si bedol pembuat website ini, dengan alasan, tidak profesional karena pada kontrak kita seharusnya kita mendapatkan fasilitas yang full dan dia tidak memberikan kita akses Super Administrator dan username/password pada web hosting, padahal seharusnya itu sudah menjadi hak kita sebagai klien.
saya sudah memback up data dari website kita, dan sebaiknya kita pindah tempat hosting saja pak, dan mencari Web Development yang lebih professional."

dengan sedikit bingung akhirnya si kepala IT tadi mempertimbangkan usulan tersebut, dan dalam berberapa hari usulan tersebut disetujui.

lalu apa yang anda dapatkan sang Super Administrator:
1. Anda akan terus menunggu dan menunggu klien tadi menghubugi anda, menanti sebuah pertanyaan hee...
2. Nama anda sebagai Web Development udah nggak bagus.
dan masih buanyaaak lagi keuntungan eh kerugian yang anda dapatkan dari yang anda lakukan pada website tersebut....

Mending selurusan aja dahh....
PHP Shell atau Script Shell adalah sebuah Script yang dibuat dengan bahasa PHP, dimana di Shell ini terdapat Fasilitas untuk memasukkan perintah-perintah unix/linux, selain itu terdapat juga fasilitas untuk perintah Query, edit file dll...

1 komentar: