IkanKecil – Kolam Informasi dan Cerita Kecil

Menangani Serangan Malware WP-VCD di WordPress

Para pemilik website mungkin tidak menyadari jika banyak sekali serangan jahat dan tersembunyi yang mengintai WordPress seperti yang ikan kecil gunakan ini, meski begitu basis CMS WordPress dipilih karena alasan biaya, fungsi dan kemudahan dalam operasional sebuah website, soal keamanan itu nampaknya perlu lebih jauh dibahas oleh para pakar nantinya, bukan waktunya dan masih diatas ranah pemahaman user.

Hal yang baru ini cukup banyak mengakibatkan gangguan adalah penyebaran kode jahat yang disisipkan pada plugin maupun theme ‘versi petani’ alias bajakan bin inul, adalah malware berkode genetik ‘100010010’ dengan membawa banyak gangguan, terutama iklan2 yang mendadak muncul ketika halaman blog/website dibuka dengan tulisan mentereng seperti “you’re computer has been infected with malware” atau ” push to download blablabla” meski tidak berbahaya secara sistem, tapi cukup menganggu dan memberikan resiko tinggi sebab malware ini jelas memiliki akses kedalam website anda melalui role administrator yang disembunyikan dengan username ‘100010010’

Gejala serangan malware ini pada website anda adalah munculnya iklan-iklan pop-up asing di halaman website anda, baik sebelum masuk website maupun selama menjelajah halaman website anda.

kita bisa memastikannya dengan mengecek kesehatan website anda pada
https://sitecheck.sucuri.net/
(jika sudah pernah, bisa clear history dulu di klik “Force a Re-scan” di bagian bahwa hasil ceknya)

Proses infeksi malware WP-VCD ini berjalan cukup cepat, dimulai semenjak plugin/theme nulled tersebut diinstal dan mengaktifkan file pada folder didalam theme/plugin  yaitu “../includes/init.php
yang berisi kode instalasi seperti dibawah ini

//install_code
DEFINE(‘MAX_LEVEL’, 2);
DEFINE(‘MAX_ITERATION’, 50);
DEFINE(‘P’, $_SERVER[‘DOCUMENT_ROOT’]);

$GLOBALS[‘WP_CD_CODE’] = ‘PD9waHANCg0KLy9pbnN0YWxsX2NvZGUNCg0KCSRpbnd..panjang dst..dst’;

blablabla…
ujungnya

if ($file = @file_get_contents(__FILE__))
{
$file = preg_replace(‘!//install_code.*//install_code_end!s’, ”, $file);
$file = preg_replace(‘!<\?php\s*\?>!s’, ”, $file);
@file_put_contents(__FILE__, $file);
}

//install_code_ending

kemudian hasil dari instalasi tersebut melahirkan beberapa orang anak #ehh… diantaranya file-file berikut
/wp-includes/wp-tmp.php
/wp-includes/wp-vcd.php
dan terakhir, beliau memodifikasi bagian atas dari
/wp-includes/post.php
/wp-includes/class.wp.php

Perlu diketahui jika malware ini dipastikan mampu menyebar ke seluruh website berbasis WordPress yang berada didalam hosting yg sama, jadi kalau anda punya 10 website di dalam sebuah hosting, itu artinya kemungkinan semuanya terinfeksi.

Lalu bagaimana menanganinya? berikut saya coba rangkum bagi teman2 yg hanya bisa memahami ini sebagian dan dari sisi pengguna bukan expretise sbg  developer maupun patchman sebuah webserver, mudah sih namun perlu diperhatikan tahapannya agar lebih mudah.

Pertama-tama pastikan anda dapat mengakses server hosting melalui FTP, cPanel dan File Manager di server anda, karena anda perlu melakukan proses pencarian file

setelah bisa akses file manager melalui cPanel atau akses folder melalui FTP, anda bisa mulai melakukan pencarian file malware di tiap folder ../wp-includes/ dan folder ../wp-content/themes/namathemes/..

– cari file wp-vcd.php, lalu delete file.
– cari file post.php, lalu edit bagian kode yg bervirus paling atas sekitar 3-5line hingga ketemu titik dimana kode kode jahat ?> codecodejahatblabla..<? kode sehat

– cari file wp-tmp.php, lalu delete file.

kemudian masuk ke folder

../wp-content/themes/nama-theme-ygdigunakan/functions.php, lalu lalu edit bagian kode yg bervirus dari kode paling atas hingga ketemu titik dimana kode jahat ?> codecodejahatblabla..<? kode sehat

dan terakhir, pastikan itu diperiksa di setiap folder sesuai website anda, jka ada bersihkan sesuai cara diatas.
setelah yakin bersih, pasang plugin Wordfence atau Sucuri dari repository WordPress untuk memastikan jika masih ada malware yang tertinggal atau aktif dengan mengirimkan email notifikasi.

Agar tidak terjadi lagi selalu pastikan mengecek perubahan yg terjadi di server website anda dan hindari menggunakan plugin/theme nulled, atau memastikan anda mengeceknya sebelum dipasang apakah kode aslinya sudah disisipkan roh jahat atau belum.

Exit mobile version