Beberapa waktu lalu blog ini sempat menghilang dari peredaran. Loading blog terasa sangat lambat dan traffic menurun drastis. Firefox versi terbaru Mozilla Firefox 3.6 menolak untuk menampilkan blog ini. Google pun enggan memberikan link ke blog ini, bahkan memberikan warning bahwa blog ini sangat berbahaya. Bahkan akun twitter-ku pun ikut-ikutan memberikan peringatan via email bahwa di akun twitter-ku mengandung link palsu/menjebak/berbahaya. Ada apakah gerangan?
Ternyata ada script liar yang menginjeksi blog ini. Setiap loading halaman maka script ini ikut di proses juga. Script ini berada setelah tag <body> sehingga menjadi
<body><script src=”lokasi script“></script>
Kemudian ada file dengan nama gifimg.php di setiap folder images themes. Dan yang sangat perlu diwaspadai adalah terdapatnya kode php dengan format
<?php eval(base64_decode(diikuti kode hexa desimal)); ?>
Kode tersebut terdapat di file-file php kita. Sepertinya malware ini memang menyerang blog-blog dengan platform wordpress. Tidak semua file diinject oleh malware ini, tetapi file-file pokok yang walaupun kita timpakan file wordpress baru malware ini tetap tidak hilang.
Setelah saya ingat-ingat kembali, serangan ini terjadi ketika saya memasang script CPM (bisnis online yang mengandalkan impresi untuk memperoleh uang, seperti promoteburner dll). Apakah serangan itu berasal dari situ atau tidak, saya tidak tahu. Saya hanya menganjurkan untuk berhati-hati kalau mencoba bisnis online apalagi sistem yang baru. Periksa apakah benar-benar membayar atau SCAM atau malah juga ada malware di dalamnya.
Setelah kejadian itu mau tidak mau saya harus menginstall ulang wordpress saya dengan fresh install. Jadi, backup semua data di wp-content dan database mySQL nya. Kemudian uninstall/hapus semua file wordpress di server. Kemudian data backup tadi diperiksa di PC lokal, apakah terdapat script yang aneh atau tidak biasa. Kalau ada, hapus saja. Setelah yakin bersih barulah diaplot lagi.
Semoga bisa menjadi pelajaran bagi kita semua. Hati-hati dalam menjalankan bisnis online apalagi yang baru dan belum jelas.
Watchout, Dab!
| backup website ke komputer | bagaimana malware menyerang file php | gifimg php | | serangan yang dilakukan malware | serangan malware | serangan malmware | ramalan h0roskop jâwå | mecari ardi | malware eval(base64_decode ) | cara inject shell | apa itu malware | single php adalah |
Tags: bisnis online, firefox, google, serangan malware, wordpress hack
waduh…perlu hati hati ni…
nice info…
tetap semangat!
och gitu bos …
ternyata si boss ngejar $$$ diganjar malware
Hahaha,,, dollar ga dapet, malah dapet malware
Bos, blog saya malah beberapa artikel tidak muncul, bahkan rss feed tak terupdate, memang saya baru pindahkan pada hosting gratis dan baru akan saya pindahkan pada hosting baru. blog selabung.com baru sich buatnya ini emang blog curhatan saya jadi mungkin tak terlalu saya urusin. ada beberapa link bisa di akses tapi ketika klik read more malah nggak ada isi tapi cuma ada kotak komentar saja. data sudah saya backup untuk mengantisipasi. Mohon bantuannya.
Kayaknya itu di bagian single.php nya perlu ada yang dirubah, mas.
Install theme trus tinggal pake atau udah ngotak-atik theme nya?
harus ati2 ni, diblog sy juga ada yg aneh ni masa ada IP yg pageviews tinggi banget sampe bingung nyari apaan tu orang, padahal postingan aja baru 15
selain itu ada juga di historinya ko banyak halaman yg ga ada diblog tapi muncul
Itu perlu diwaspadai, mas. jangan sampai terlambat seperti saya …
malware emang masih di anggap bahaya bos, antivirus kadang gak mempan
malware di web lho mas. bukan di komputer…
tetap waspada, saya jg heran pengunjung dari oslo kok sering keluar masuk.. tp blm ada keanehan untk blog saya. oiya,dah tak pasang link url kamu mas di blogrol, ganti pasang ya. mksh. ayo mampir jg ya? thanks
ma kasih infonya….untuk berjaga-jaga…jangan lupa back-up data/content.
yupz,, betul sekali mas. Secara berkala backup data web ke komputer lokal
wah musti waspada nih..
Makasih infonya…
Nampaknya harus hati-hati ne..
mantap informasinya, terimakasih
oke.. mantap sudah… lebih hati hati, wp q juag kena hak malah.. hancur sudah..
Semoga blognya segera sembuh, mas…
wah,.. msti teliti kie..
nice info nya.
[xixiix]..padahal ga bs ngoprex script]
Saya juga nggak bisa, mas. Cuma liat script kok ada yg aneh…
info yahuuud….makasih infonya…
ga pake shell linux aja? daripada nginstal satu2..
# find . -name ‘*.*’ | xargs perl -pi -e ’s/
trus setelahnya isi dengan varian script yang ada
Itu untuk mencari filenya, mas?
Kalo untuk mencari script yang di inject di dalam file bisa nggak??
Wah sakit juga tuh rasanya pasti, apa blog bisa kena virus seperti komputer ya selain virus semacam komputer…? Hehehe. But thanks banget atas pengalaman yang udah di share…
Sama-sama, mas…
Iya mas. Yg jelas jadi tambah kerjaan…
piye cak ..??
Sebagian theme yang free telah menggunakan script tersebut untuk mengencode footer yang berisi link ke alamat situs pembuatnya, sehingga user akan lebih susah untuk menghilangkan footer bawaan theme tersebut …
script encode itu bisa disandikan lagi dengan perintah kebalikannya
echo base64_decode(diikuti kode hexa desimal));
klo decode ya harus di encode kan dulu… saya lupa ada kok situs yang buat decode ke encode dan sebaliknya..
tapi yang namanya aja udah master g perlu yang gitu2an.. salut deh sama jenengan
betul sekali…. saya juga sempat ngalamin kaya gitu….ampe pusing dibuatnya…..sampe harus install ulang blog saya (http://halamandepan.net), info nya bermanfaat sekali….good job…..