Selasa, 08 Maret 2011

Cara Hijack Subdomain Orang Lain

Tadi pagi (7 Maret 2011) saya kaget ketika ada yang posting di Twitter mengenai subdomain v1.anismatta.com yang di situ berisi video yang mirip dengan salah satu tokoh politik di tanah air. Saya tidak memiliki kepentingan dengan isi website dan video tersebut, tetapi tertarik dengan cara yang mungkin dilakukan orang iseng untuk membuat subdomain tersebut.

Ketika saya berangkat ke tempat client siang tadi, saya mendapatkan email dari salah seorang sahabat saya, Ihsan Wahyu Prabawa, yang sejak lama menggunakan nama subdomain "ihsan.wahyu.com". Ihsan mengontak saya karena ingin memindahkan hostingnya ke Masterwebnet. Kebetulan sekali website saya ini juga dihosting di Masterwebnet. Masterwebnet ini memiliki fitur DNS editor, sehingga saya bisa mengarahkan subdomain ke hosting lain cukup dengan mensetting record NS untuk subdomain tersebut sesuai dengan provider hosting yang diinginkan. Sebagai informasi, nameserver untuk wahyu.com adalah:

DNS1.MASTERWEB.NET
DNS2.MASTERWEB.NET
DNS3.MASTERWEB.NET
DNS4.MASTERWEB.NET


Ketika saya mendaftarkan hosting wahyu.com pihak MWN akan membuat DNS zone untuk domain "wahyu.com". Ihsan Wahyu ternyata juga mendaftar di MWN dengan kofigurasi DNS Masterwebnet yang sama. Yang membuat saya kaget, ternyata sebelum saya sempat mengarahkan DNS "ihsan.wahyu.com" di zone "wahyu.com", saya mengecek memakai perintah "dig" di Linux yang memberikan jawaban:

ihsan.wahyu.com. 153338 IN NS dns1.masterweb.net.
ihsan.wahyu.com. 153338 IN NS dns2.masterweb.net.
ihsan.wahyu.com. 153338 IN NS dns3.masterweb.net.
ihsan.wahyu.com. 153338 IN NS dns4.masterweb.net.


Padahal saya belum mengarahkan NS dari zone di "wahyu.com". Ternyata penyebabnya adalah karena kebetulan domain dan subdomain tersebut pada provider yang sama (Masterwebnet). Walaupun di zone "wahyu.com" tidak ada entry mengenai "ihsan.wahyu.com", tetapi secara accidental Masterwebnet telah membuat zone "ihsan.wahyu.com" di server DNS yang sama, sehingga jawaban request DNS untuk domain "ihsan.wahyu.com" sudah tersedia tanpa ijin dari saya.

Prosedurnya ketika komputer request informasi DNS (misal A record/tanya alamat IP) untuk domain ihsan.wahyu.com kurang lebih bahasa gaolnya mesin DNS seperti ini:
  • Tanya ke server root ".com" untuk domain ".wahyu.com", dan dijawab oleh server kalau mau tahu wahyu.com silakan tanya ke "DNS1.MASTERWEB.NET"

  • Tanya ke server DNS1.MASTERWEB.NET untuk "ihsan.wahyu.com", ternyata karena ada zona tersebut di DNS Masterwebnet, langsung diambilkan jawaban dari zona "ihsan.wahyu.com", yang dicombine dari hasil di zone "wahyu.com"


Jadi kesimpulannya, jika kita ingin punya subdomain tanpa ijin, cukup daftar ke provider hosting yang sama dengan domain utama. Jika Anda beruntung dan memperoleh konfigurasi DNS yang sama, maka Anda akan berhasil mencuri subdomain tersebut. Subdomain akan bisa dipakai selama domain utama masih tetap dihosting di provider tersebut dengan konfigurasi yang sama. Jika mereka pindah provider, maka akan matilah subdomain curian yang dibuat tersebut.

Keberhasilan cara ini juga tidak terlepas dari faktor pengamatan dari penyedia hosting. Seharusnya penyedia hosting melakukan recheck ulang sebelum mengijinkan hosting subdomain, dengan mengecek kepemilikan domain utama. Kebetulan saja mas Ihsan ijin sama saya, coba seumpama ada orang lain yang mendaftar subdomain wahyu.com di Masterwebnet tanpa sepengetahuan saya?

Pada hari ini saya mengecek v1.anismatta.com memiliki alamat IP 202.129.189.100 dan domain anismatta.com memiliki alamat IP 202.129.189.5, tetapi saya belum bisa memastikan apakah itu karena hijack subdomain atau sang pengupload langsung intrusi ke server. Yang jelas, domain anismatta.com dihosting dengan DNS server "ns3.99n.org".

2 komentar:

CORE XP mengatakan...

ooh, gitu tohh ..

CORE XP mengatakan...

tapi bagaimana kalau lain hosting
caranya gmana ya ?

Posting Komentar