Website redirect ke hxxx://go.padsdel.xxx/afu.php?id=473791


WordPress adalah CMS terbesar di dunia, rentan terhadap serangan Malware dan injecting script, baik untuk mencuri data atau sekadar "menitipkan" link yang tentu sangat merugikan korban. Website yang diserang akan direct ke spam, website yang gak jelas, dll.

Kali ini saya coba membagi solusi salah satu serangan yang lumayan membuat saya pusing, oke…

Web salah satu klien selalu saja direct ke link hxxx://go.padsdel.xxx/afu.php?id=473791 percayalah ini menakutkan sekali, web anda akan 1/2 lumpuh karena selalu redirect. Cara membasminya:

  1. Copy seluruh data wordpres kamu ( wp-admin, wp-content, wp-includes, dll) kalo perlu seluruh public_html ke pc/laptop kamu via ftp.
  2. Buka notepad++, find in files di directory data yang kamu copy via FTP tadi.
  3. Find All untuk keyword “0xaae8” (tanpa tanda kutip)
  4. Nahh… sekarang kamu tau file-file apa saja yang terinject
  5. Script: var _0xaae8=[“”,”\x6A\x6F\x69\x6E”,”\x……… tinggal delete script tersebut disetiap files
  6. Atau kalau kamu punya backup web data, tinggal overwrite data yg ke inject tersebut.
  7. Lakukan clear cache di browser/perangkat.

Bagaimana script tersebut bekerja?

  1. Saya coba menggunakan tools hex decoder
  2. Copy script tersebut dan decode… kamu akan melihat mereka cukup pintar membuat bagian script menjadi terbalik seperti ini: “sj.yreuqj/87.611.942.431//:ptth”
  3. Saya coba balik: hxxx://134.249.116.78/jquery.js dan visit via browser…
  4. Lagi2 script yang harus saya decode lagi: /*! jQuery v1.12.4 | (c) jQuery Foundation | jquery.org/license */ var _0xed92=[“\x68\x72\x65\x66”,”\x6C\x6F\x63\x61\x74\x69\x6F……..
  5. Hasilnya kamu akan melihat kemana script tsb akan mendirect website korban.

Cara agar hal tersebut tidak terulang lagi:

  1. Selalu update WordPress kamu berikut plugin2 nya
  2. Pasang plugin security terbaik untuk WordPress
  3. Pilih hosting dengan keamanan terbaik (Hosting dengan kemanan yg baik jarang sekali terkena serangan ini)
  4. Cek dan ricek file2 yang mencurigakan
  5. Lakukan hardening untuk file2 penting (banyak cara di google)
  6. Selalu backup data website kamu secara rutin

Semoga bermanfaat.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s