Sahabat-sahabat.. seperti yang telah
saya janjikan sebelumnya di artikel yang berjudul Diantara Tanda Website
Yang Terkena Hack dan Badware, bahwa saya akan menuliskan pengalaman
mengenai bagaimana caranya saya mengatasi atau mengembalikan beberapa
website atau blog yang telah terkena oleh hack dan badware supaya bisa
kembali kepada keadaan semula, dan mungkin hal ini akan sangat berguna.
Cara mengatasi website yang terkena hack dan badware yang bisa kita lakukan adalah sebagai berikut:
1. Pada saat disusupi oleh hacker
Karena pengalaman saya pada saat itu
hackernya hanya mengubah salah satu artikel di blog (WordPress.org)
tanpa menyerang database serta menghapus file-file di server hosting,
maka kita cukup:
- Mengubah password akun (account) untuk masuk ke cPanel hosting.
- Mengubah password akun (account) untuk masuk ke dashboard WordPress.
- Mengembalikan artikel yang telah diubah oleh hacker tersebut kepada keadaan semula.
- Menginstal beberapa plugin “pengaman” wordpress.
2. Pada saat terinfeksi HTML Script Injection, PHP Script Injection dan Java Script Injection
HTML Script Injection,
sesuai dengan namanya maka tentu saja menyerang pada file-file hosting
yang berekstensi .html. Kode script yang telah diinjeksikan ke banyak
file .html adalah seperti ini:
<scrxpt>src=http://jeremyjacksonevents.com/celebs/rumble66.php></scrxpt>
PHP Script Injection,
sesuai dengan namanya maka tentu saja menyerang pada file-file hosting
yang berekstensi PHP. Kode script yang telah diinjeksikan ke beberapa
file .php adalah menggunakan kode Eval seperti berikut:
eval(base64_decode(‘aWYoxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
PuAnJangBangedddddddddKodenyaaaaaaaaaaaaaaaaaaaaaaaA
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxJ10pKTs=’)); ?><?php
Java Script Injection,
sesuai dengan namanya juga, maka tentu saja menyerang file hosting yang
berekstensi JS. Kode script yang telah menginfeksi file .js menggunakan
kode Eval yang sama/mirip seperti yang menyerang pada file-file
berektensi PHP.
*Catatan: x =
sengaja kode-kode tersebut saya ganti dengan huruf “x” ini, karena
kalau tidak, maka halaman blog saya ini akan dicuriga sebagai halaman
blog atau website yang mengandung perangkat lunak yang membahayakan bagi
pengguna internet (dicurigai mengandung malicious scripts/malware atau
secara umum disebut dengan istilah badware)
Injeksi sript tersebut bertujuan untuk
menanamkan backlink kepada halaman situs
jeremyjacksonevents.com/celebs/rumble66.php secara ilegal. Dan setiap
kali kita membuka halaman website/blog kita, maka link ke halaman situs
tersebut ikut terbaca pada saat loading.
Cara mengatasinya kasus nomor 2 ini
adalah dengan memeriksa satu persatu file-file hosting berektensi .HTML,
.PHP, dan .JS di server hosting, lalu kita hapus script beserta
kode-kode aneh yang dideteksi sebagai badware pada file-file tersebut.
Misalnya kalau pada kasus yang saya alami badware tersebut menginfeksi
file-file seperti index.html, readme.html,
googlegooglef130xxxx29ffa9ed.html (kode verifikasi Google), serta
file-file berektensi .html dan .htm lainnya, index.php, wp-setting.php,
wp-config, sampel.php, wpconfig.php, postinfo.html, functions.php,
page-index.php, script.js, dan penambahan file berekstensi .php di
folder images yaitu bernama gifimg.php yang bisa langsung dihapus.
Tetapi karena file-file tersebut tentu
saja akan banyak jumlahnya, dan kita pun akan kerepotan untuk memeriksa
satu persatu, maka cara yang bisa dilakukan adalah dengan:
- Untuk keamanan, gantilah terlebih dahulu password akun cPanel hostingnya.
- Untuk blog di WordPress.org, ganti pula password untuk masuk ke dashboarnya.
- Pastikan di komputer terpasang antivirus yang updated, dan pastikan komputer telah terbebas dari virus.
- Download semua folder dan file dari server hosting ke komputer (bisa menggunakan FileZilla)
- Untuk mengetahui file apa saja yang terinfeksi, maka scan semua folder dan file yang telah didowload, dan jangan sampai file-file yang terdeteksi mengandung badware tersebut langsung dihapus/didelete oleh antivirus, tetapi biarkan masuk ke chest/quarantine, supaya nanti kita bisa melihat file-file manakah yang terinfeksi dan harus kita perbaiki.
- Setelah scanning selesai, maka periksa chest/quarantine. Lihat file-file apa saja yang terinfeksi dan harus diperbaiki atau dihilangkan badwarenya tersebut.
- Untuk menghilangkan badware di file-file tadi, kita bisa merestore satu persatu file dari chest/quarantine ke folder asalnya untuk kemudian dihilangkan kode-kode badwarenya lalu diupload pada folder yang sama di server. Tetapi kalau takut akan resiko komputer terinfeksi atau antivirus selalu mengembalikannya ke chest/quarantie, maka kita bisa langsung menghapus kode-kode badware di file-file yang sama di server hosting.
- Jika menemukan file-file asing yang sebelumnya tidak ada di server seperti gifimg.php atau yang lain, maka Anda hapus saja file tadi.
- Setelah semuanya selesai, maka silahkan akses kembali halaman blog atau website yang kita miliki. Jika antivirus sudah tidak membloknya, maka website kita telah terbebas dari badware. Bila masih membloknya atau masih ada peringatan darinya, berarti masih ada file yang belum bersih dari kode-kode badware.
Bila antivirus sudah tidak membloknya,
tetapi beberapa browser atau search engine mungkin masih tetap memblok
atau memberikan peringatan kepada pengunjung untuk tidak membuka website
kita, maka untuk mengatasinya kita harus meminta review keGoogle Webmaster Tools dan StopBadware.org. Setelah
mereka mereviewnya serta memastikan website/blog kita telah terbebas
dari badware, maka biasanya hanya dalam beberapa jam saja website/blog
kita sudah terbebas dari pemblokan serta tidak dianggap membahayakan
lagi oleh browser dan search engine.
3. Pada saat pengunjung blog dialihkan (redirecting) dari mesin pencari ke sebuah situs tertentu.
Cara mengatasi redirecting seperti ini sangat mudah, yaitu:
- Cek kode-kode pada file HTACCES dan wp-config.php di server hosting menggunakan Filezilla versi terbaru. Dan tidak perlu memeriksanya di melalui cPanel, karena biasanya kode-kode badwarenya disembunyikan (hidden).
- Bila pada file tersebut terdapat kode-kode badware seperti kode Eval tersebut di atas, maka hapuslah kode tersebut.
- Kunjungi blog kita melalui search engine. Bila kita benar-benar telah berhasil menghapus kode badwarenya, maka blog kita pun telah terbebas dari redirecting.
Sahabat-sahabat, cukup ini saja
dulu pengalaman yang bisa saya bagikan mengenai cara mengatasi hack dan
badware. Di artikel-artikel RumahCahaya yang akan datang, insya Allah
saya pun akan memberikan langkah-langkah apa saja sih.. yang harus kita
lakukan guna mencegah atau setidaknya meminimalisir website atau blog
kita dari upaya-upaya hacking, script injection, iframe injection, dan
sebagainya.
Sumber : http://blendersimagination.blogspot.com/2011/12/cara-mengatasi-website-yang-terkena.html
Login page (hacked?) redirects to another site! (7 posts)
-
Greetings
My clients site http://brideinlace.com has stopped us from logging in.
It all looks ok on the main site http://brideinlace.com and the title of the tab is Bridal Dresses | Weeding Dresses etc
Going to http://brideinlace.com/wp-login.php the title tab is now completely changed and in Turkish...
when I try and put my login info in it redirects to another site
http://besthousepainterjacksonville.com/ ...
The lost your password redirects to http://besthousepainterjacksonville.com/ as well
And the return points to the Turkish header
Anybody ever seen this before?
I went in via MsSQL and put back my email address and password and deleted all users but myself
However there must be some code change that redirects the URL
but I don't know where to look. Somebody familiar with WordPress is needed!
Thanks -
You need to start working your way through these resources:
http://codex.wordpress.org/FAQ_My_site_was_hacked
http://wordpress.org/support/topic/268083#post-1065779
http://smackdown.blogsblogsblogs.com/2008/06/24/how-to-completely-clean-your-hacked-wordpress-installation/
http://ottopress.com/2009/hacked-wordpress-backdoors/
Anything less will probably result in the hacker walking straight back into your site again.
Additional Resources:
Hardening WordPress
http://sitecheck.sucuri.net/scanner/
http://www.unmaskparasites.com/
http://blog.sucuri.net/2012/03/wordpress-understanding-its-true-vulnerability.html
Dan akan saya coba memahaminya dulu supaya saya bisa masuk ke dashboard WP tersebut...
0 comments:
Posting Komentar