Dear All, ada yang aneh dengan blog saya

Silakan bandingkan Google cache nya dengan situs sebenarnya :

http://webcache.googleusercontent.com/search?q=cache:UCfYWGU2X3IJ:harry.sufehmi.com/archives/2010-11-28-2384/+&cd=1&hl=en&ct=clnk (arsip tgl 11 Mei 2013)

http://harry.sufehmi.com/archives/2010-11-28-2384/

Berbeda total :-/

Saya sudah cari-cari ("find /home/harry/ -print|xargs grep cialis" dan juga "eval") namun tidak ketemu biang keroknya.

Saya tebak, ini adalah karena kode yang disisipkan, dan mendeteksi jika ada Google crawler – maka dia memunculkan konten spam nya. 

Tapi dari tadi saya coba cari tidak ketemu kode tsb.

Ada ide ?

Thanks.

Embedded Link

Overnight cialis – Lowest prices here!
Overnight cialis, donna was tolerated, when she fell that pam had concluded one of eric’s dock gods with a rest. Akathisia not drops after the place of the cylinder or arthritis of the lens and takes after opticianry is modified or its safety is combined, or after mivacurium with competition.

Post imported by Google+Blog for WordPress.

52 thoughts on “Dear All, ada yang aneh dengan blog saya

  1. 1) Sudah cek Google Webmaster?
    2) Boleh salin ke paste bin kode-kode widgetmu? Saya curiga di situ masalahnya. Kalau perlu, kode-kode lainnya.
    3) Hosting dan domain di mana?

  2. kalo ga salah yang saya lihat di website mas +Harry Sufehmi pake WP-Cache Manager yah?

    define( 'WPCACHEHOME', '/home/hsufehmi/harry.sufehmi.com/wp-content/plugins/wp-super-cache/' ); //Added by WP-Cache Manager

    ini saya temukan dibagian atas halaman http://harry.sufehmi.com/archives/2010/

    dan setelah saya coba browse di google plugin ini sempat bermasalah.

    http://blog.cloudflare.com/w3tc-and-wp-super-cache-vulnerability-discove-17794

    silahkan dicek kembali plugin yang mas +Harry Sufehmi install

  3. Seperti yang dibilang mas +andi a, ini bau-bau hijack. Ada script-script yang cuma memunculkan konten spam-nya ketika didatangi crawler atau orang dengan search query tertentu di Google, tapi menampilkan konten biasa kalau dilihat si pemilik. Coba cek script di server?

  4. Nah anehnya, saya sudah hapus folder /plugins/wp-cache dan plugins/wp-super-cache …. tapi header tsb (define( 'WPCACHEHOME dst dst) tetap ada.

    Sampai saat ini saya sudah search string-string berikut ini, dan hasilnya nihil :

    mfunc
    mclude
    dynamic-cache
    WPCACHEHOME
    eval

    Kalaupun kode sisipannya di obfuscate, biasanya akan ketemu dengan search "eval". Tapi tidak ada.

    Monggo jika ada ide lainnya lagi, thanks.

  5. 1) Sudah cek Google Webmaster?

    Belum sempat, ini lagi panic mode 🙂 🙂 berusaha hapus kode yang di inject + tambal bolongnya dulu, hehe

    2) Boleh salin ke paste bin kode-kode widgetmu? Saya curiga di situ masalahnya.

    Kebetulan ini blog jadul 😀 dengan themes jadul 😀 yang tidak support widget

    3) Hosting dan domain di mana?

    Dreamhost.com

  6. Barusan saya execute ini, dan hasilnya nihil. Ada ide kira-kira apa yang musti saya search ?

    (jangan "cialis", pasti ketemu banyak buanget 🙂

    mysql> select * from wp_comments where comment_content LIKE '%eval(%' limit 1;
    Empty set (0.00 sec)

    mysql> select * from wp_comments where comment_content LIKE '%mfunc%' limit 1;
    Empty set (0.00 sec)

    mysql> select * from wp_comments where comment_content LIKE '%mclude%' limit 1;
    Empty set (0.00 sec)

    mysql> select * from wp_comments where comment_content LIKE '%WPCACHEHOME%' limit 1;
    Empty set (0.00 sec)

    mysql> select * from wp_comments where comment_content LIKE '%eschar %' limit 1;
    Empty set (0.00 sec)

    mysql> select * from wp_comments where comment_content LIKE '%eschar%' limit 1;
    Empty set (0.00 sec)

  7. +andi a +Rizqi Djamaluddin  – yup, setuju sekali, biasanya ini karena ada kode yang di inject ke script yang ada.

    Tapi….. biasanya langsung ketemu dalam waktu sangat singkat. Kebetulan saya sudah berkali-kali menangani kasus seperti ini di berbagai situs teman & client.

    Kali ini…. sama sekali tidak ada yang ditemukan……  jreng. Bingung deh 🙂

  8. IMO, coba cabut dulu semua komentar, lihat apa masih ada. Kalau masih, berarti mungkin dia udah nyisip di file lain (mungkin file wordpress sendiri). Tesnya pakai emulasi Google Bot. 😀

  9. saya ga tahu mas +Irvan Putra hanya menduga-duga saja, siapa tahu ada link-link tersebut yang bermasalah.

    Kalo ga ada yang salah ya bisa dicari yang lain lagi 😀

  10. Sorry ada krisis di client, jadi musti prioritaskan dulu 🙂 korbankan situs sendiri #glek  😀 mudah-mudahan bisa segera saya temukan penyebabnya + solusinya……

  11. Iya, kan ini kombinasi isi database yang sudah dimasukkan kode berbahaya dan WP-Cache yang bisa mengeksekusinya 😀

  12. Sucuri gagal menemukan malware… tapi wajar sih, karena bisa di obfuscate, maka malware nya bisa berupa string apa saja : http://sitecheck.sucuri.net/results/harry.sufehmi.com

    Jadi ingat ketika duluuuu pertama kali muncul polymorphic virus, nyaris semua anti-virus gagal mendeteksinya 🙂 🙂 kecuali sebuah anti-virus dari Israel, apa ya namanya….. lupa. Ealah, kejadian juga di PHP 🙁

  13. Ada yang menyarankan file-file diurut berdasarkan ukurannya, karena dengan base64 ini jadi ukurannya cukup besar 😀

  14. Yup, sudah saya lakukan…. dan bingung sendiri karena ukurannya pada biasa saja :-/ kalau yang base64 ini rata-rata lebih dari 100 KB memang.

    Mungkin extension nya bukan .php …. tapi, banyak banget file lainnya di situs ini, mabok memeriksanya satu per satu, hiks…. dan automated check / Sucuri juga gagal.  

    Berarti yah memang harus dicek satu per satu… :-/   mari mari mari

  15. Iya, bisa saja extensionnya lain dan ketika diload oleh file lain dianggap file php… atau cek juga settingan di hostinganmu apakah ada extension yang dianggap php :S

  16. Saya baca komentar diatas jadi belajar keamanan di wordpress nih… Tapi ngomong2 udah terpecahkan belum masalahnya 😀

  17. Belum mas 🙂 ya itu, karena sedang sibuk, akhirnya saya sewa sysadmin yang mengaku sudah pengalaman mengatasi malware di WordPress 🙂 saya kira orang Inggris, ternyata orang India 🙂  dan cuma banyak sesumbar tapi sampai sekarang masih terus bercokol malwarenya 🙁

    https://www.facebook.com/sufehmi/posts/10151395846391594

    Malah dia yang komplain terus sampai sekarang (karena pembayarannya saya tahan), harusnya saya yang komplain karena deadline dia sudah lama lewat namun pekerjaannya tetap belum beres….. pusing saya, jadi saya biarkan saja dulu….. minta ampun deh….. 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *