[Ask] Warning: Malicious Code Detected on This Website!

Discussion in 'Masalah Teknik dan Keamanan' started by xpreborn, 27 Mar 2015.

Thread Status:
Not open for further replies.
  1. xpreborn

    xpreborn Poster 2.0

    Messages:
    183
    Likes Received:
    4
    Trophy Points:
    18
    1. Beberapa bulan lalu web saya kena bajak, dari tulisan dan link url redirectnya sepertinya dr Rusia,
    2. Kemudian saya hapus data web tersebut lalu restore backup,
    3. Beberapa minggu kemudian saya akses webnya selalu kena warning malware/trojan saat di akses dr PC yg ada NOD32 dan avast ,
    yang sudah saya lakukan :
    1. ambil data web tersebut ke PC lalu scan pakai antivirus NOD32 ga dpt,
    2. coba google katanya bs scan pakai maldetect dan clamav scanner dgn OS Linux, lalu saya coba install linux di virtualbox kemudian ikutin tutorial yg ada scan pakai maldetect ga dapat, scan pakai clamav dpt
    perintah scan dgn clamav yaitu : /usr/bin/clamscan -i -r --remove /folderwebygdiscan
    3. lalu saya coba upload lagi ke akun hosting saya kejadiannya masih sama seperti sebelum discan,
    4. kira2 apa yg harus saya lakukan agar bisa bersih ?
    5. SS saat dicek dari http://sitecheck.sucuri.net
    http://postimg.org/image/n3ak2ine3/

    WordPress 4.1.1
     
  2. idnix

    idnix Hosting Guru

    Messages:
    1,003
    Likes Received:
    189
    Trophy Points:
    63
    ibarat detektif sedang mencari tersangka. anda harus mencari bukti-bukti otentik.
    kalau anda detektif yang menjalankan "prosedur" ya dapatnya gitu-gitu aja, gak mungkin meludah dapat tersangka

    dari penjelasan anda

    1. bukti otentik pertama adalah redirect url (pastikan huruf atau text nya), sudah dapat? gunakan find
    2. malmware di iframe? periksa dong iframe2 anda

    semoga membantu
     
    xpreborn likes this.
  3. Mylo Sepz

    Mylo Sepz Apprentice 2.0

    Messages:
    532
    Likes Received:
    59
    Trophy Points:
    28
    dilihat dari SS yang TS kasih, sepertinya ada malware di template/themenya yang disisipi yang menjadikan, setiap di buka postnya jadi kebaca. coba di ganti dulu themenya apa tetep bermasalah?
     
    xpreborn likes this.
  4. dhyhost

    dhyhost Hosting Guru Web Hosting

    Messages:
    3,932
    Likes Received:
    614
    Trophy Points:
    113
    iya itu ada iframenya, coba klik view payload, biasanya nanti muncul url/linknya
     
    xpreborn likes this.
  5. xpreborn

    xpreborn Poster 2.0

    Messages:
    183
    Likes Received:
    4
    Trophy Points:
    18
  6. idnix

    idnix Hosting Guru

    Messages:
    1,003
    Likes Received:
    189
    Trophy Points:
    63
    masuk ke folder web, trus jalankan perintah ini

    Code:
    find . -type f -exec grep -H 'jjpoon' {} \;
    sukur2 belum di encode scriptnya :D
     
    xpreborn likes this.
  7. xpreborn

    xpreborn Poster 2.0

    Messages:
    183
    Likes Received:
    4
    Trophy Points:
    18
    sepertinya emang sdh diencode karena ga ketemu jg termasuk dgn perintah find diatas
     
  8. Mylo Sepz

    Mylo Sepz Apprentice 2.0

    Messages:
    532
    Likes Received:
    59
    Trophy Points:
    28
    coba di backup lalu download terus cari pake notepad++ yang aneh aneh. seperti base64(), eval() atau yang kaya gini "/x29/x30" (saya gak tau namanya apa itu wkwk)
     
    xpreborn likes this.
  9. xpreborn

    xpreborn Poster 2.0

    Messages:
    183
    Likes Received:
    4
    Trophy Points:
    18
  10. idnix

    idnix Hosting Guru

    Messages:
    1,003
    Likes Received:
    189
    Trophy Points:
    63
    mesti teliti, klo udah mentok kasih ke ahlinya aja :D
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...