http://webcache.googleusercontent.com/search?q=cache:UCfYWGU2X3IJ:harry.sufehmi.com/archives/2010-11-28-2384/+&cd=1&hl=en&ct=clnk (arsip tgl 11 Mei 2013)
http://harry.sufehmi.com/archives/2010-11-28-2384/
Berbeda total :-/
Saya sudah cari-cari ("find /home/harry/ -print|xargs grep cialis" dan juga "eval") namun tidak ketemu biang keroknya.
Saya tebak, ini adalah karena kode yang disisipkan, dan mendeteksi jika ada Google crawler – maka dia memunculkan konten spam nya.Â
Tapi dari tadi saya coba cari tidak ketemu kode tsb.
Ada ide ?
Thanks.
Embedded Link
Overnight cialis – Lowest prices here!
Overnight cialis, donna was tolerated, when she fell that pam had concluded one of eric’s dock gods with a rest. Akathisia not drops after the place of the cylinder or arthritis of the lens and takes after opticianry is modified or its safety is combined, or after mivacurium with competition.
Post imported by Google+Blog for WordPress.
1) Sudah cek Google Webmaster?
2) Boleh salin ke paste bin kode-kode widgetmu? Saya curiga di situ masalahnya. Kalau perlu, kode-kode lainnya.
3) Hosting dan domain di mana?
kalo ga salah yang saya lihat di website mas +Harry Sufehmi pake WP-Cache Manager yah?
define( 'WPCACHEHOME', '/home/hsufehmi/harry.sufehmi.com/wp-content/plugins/wp-super-cache/' ); //Added by WP-Cache Manager
ini saya temukan dibagian atas halaman http://harry.sufehmi.com/archives/2010/
dan setelah saya coba browse di google plugin ini sempat bermasalah.
http://blog.cloudflare.com/w3tc-and-wp-super-cache-vulnerability-discove-17794
silahkan dicek kembali plugin yang mas +Harry Sufehmi install
Seperti yang dibilang mas +andi a, ini bau-bau hijack. Ada script-script yang cuma memunculkan konten spam-nya ketika didatangi crawler atau orang dengan search query tertentu di Google, tapi menampilkan konten biasa kalau dilihat si pemilik. Coba cek script di server?
Sepertinya cukup update plugin WP-Cache Manager-nya sebagai langkah awal
http://www.acunetix.com/blog/web-security-zone/wp-plugins-remote-code-execution/
Cek pula komentarnya 😀
Nah anehnya, saya sudah hapus folder /plugins/wp-cache dan plugins/wp-super-cache …. tapi header tsb (define( 'WPCACHEHOME dst dst) tetap ada.
Sampai saat ini saya sudah search string-string berikut ini, dan hasilnya nihil :
mfunc
mclude
dynamic-cache
WPCACHEHOME
eval
Kalaupun kode sisipannya di obfuscate, biasanya akan ketemu dengan search "eval". Tapi tidak ada.
Monggo jika ada ide lainnya lagi, thanks.
Cari di database. Kodenya kemungkinan besar di komentar 🙂
1) Sudah cek Google Webmaster?
Belum sempat, ini lagi panic mode 🙂 🙂 berusaha hapus kode yang di inject + tambal bolongnya dulu, hehe
2) Boleh salin ke paste bin kode-kode widgetmu? Saya curiga di situ masalahnya.
Kebetulan ini blog jadul 😀 dengan themes jadul 😀 yang tidak support widget
3) Hosting dan domain di mana?
Dreamhost.com
Barusan saya execute ini, dan hasilnya nihil. Ada ide kira-kira apa yang musti saya search ?
(jangan "cialis", pasti ketemu banyak buanget 🙂
mysql> select * from wp_comments where comment_content LIKE '%eval(%' limit 1;
Empty set (0.00 sec)
mysql> select * from wp_comments where comment_content LIKE '%mfunc%' limit 1;
Empty set (0.00 sec)
mysql> select * from wp_comments where comment_content LIKE '%mclude%' limit 1;
Empty set (0.00 sec)
mysql> select * from wp_comments where comment_content LIKE '%WPCACHEHOME%' limit 1;
Empty set (0.00 sec)
mysql> select * from wp_comments where comment_content LIKE '%eschar %' limit 1;
Empty set (0.00 sec)
mysql> select * from wp_comments where comment_content LIKE '%eschar%' limit 1;
Empty set (0.00 sec)
+andi a +Rizqi Djamaluddin – yup, setuju sekali, biasanya ini karena ada kode yang di inject ke script yang ada.
Tapi….. biasanya langsung ketemu dalam waktu sangat singkat. Kebetulan saya sudah berkali-kali menangani kasus seperti ini di berbagai situs teman & client.
Kali ini…. sama sekali tidak ada yang ditemukan…… Â jreng. Bingung deh 🙂
Coba cari <!– dan <?php karena keduanya tidak ada hubungannya di komentar 🙂
Lebih spesifik lagi, coba cari <!–mfunc dsb: http://www.acunetix.com/blog/web-security-zone/wp-plugins-remote-code-execution/
IMO, coba cabut dulu semua komentar, lihat apa masih ada. Kalau masih, berarti mungkin dia udah nyisip di file lain (mungkin file wordpress sendiri). Tesnya pakai emulasi Google Bot. 😀
Mas  +Harry Sufehmi punya teman yang namanya Boyke Bader? cek semua referral dibagian link, saya curiga ada dibagian itu.Â
Ketika saya klik link Boyke Bader koq masuk ke http://www.boyke.com/wp-admin/install.php
Saat saya cek menggunakan Google Structured Data Testing Tool, dari sekian banyak link, yang terlihat hanya Boyke Bader tersebut.
+andi a tampaknya itu nggak masalah, itu kan bisa dipasangkan di WordPress memang: http://codex.wordpress.org/Links_Manager sepertinya memang +Harry Sufehmi pasangkan 🙂
saya ga tahu mas +Irvan Putra hanya menduga-duga saja, siapa tahu ada link-link tersebut yang bermasalah.
Kalo ga ada yang salah ya bisa dicari yang lain lagi 😀
coba pake https://developers.google.com/speed/pagespeed/insights
ada pluginnya untuk wp
Ini masalahnya di hijack-nya, +Hans Ledjap 😀
saya tidak paham, Nyimak saja 😀
o . . injek – injek tu ya 😀
Thanks semuanya, barusan saya coba browsing situs saya tsb dengan user-agent Googlebot — yak, berubah total isinya 😀 minta ampun….. #garukgarukkepalayangtidakgatal
Screenshot dong +Harry Sufehmi! 😀
Belum ketemu penyebabnya? D:
Ini pasti konspirasi #wahyudi * halah * hahaha.
Semoga cepat ketemu penyebabnya 🙂
pinda saja ke FB user content
+Hans Ledjap apa hubungannya dengan FB user content, sistem komentar? 😀
Sorry ada krisis di client, jadi musti prioritaskan dulu 🙂 korbankan situs sendiri #glek  😀 mudah-mudahan bisa segera saya temukan penyebabnya + solusinya……
Saya bilang sih matiin dulu aja cachenya, dan berharap ngga kebanjiran pengunjung :p
Iya, kan ini kombinasi isi database yang sudah dimasukkan kode berbahaya dan WP-Cache yang bisa mengeksekusinya 😀
Yup, semua plugin cache sudah dihapus sejak kemarin siang.
Pagi ini mulai mencoba menelusuri lagi titik masalahnya.
Akhirnya ketemu, satu #glek  :D http://pastebin.com/sKvju4XX
Dia ngumpet sebagai wp-content/plugins/cache.php
Sudah saya hapus, namun situs saya tetap masih menampilkan konten Spam jika kita kunjungi sebagai Googlebot. Berarti masih ada lagi nih… oalah 🙂 mari mari #singsingkanlenganbaju
Coba cari .ru atau lebih specifik lagi void.ru 😀
Oke…. ternyata perintah "eval" nya bisa di obfuscate seperti ini 🙁 Â http://blog.sucuri.net/2010/07/understanding-and-cleaning-the-pharma-hack-on-wordpress.html
Ini tahun 2012. Mungkin sudah lebih canggih lagi di tahun 2013 ini.
Jadi tidak akan gunanya mencoba mencari "eval" atau "base4_decode" dan string-string sederhana lainnya. Musti putar otak dulu.
Juga  malware nya kini sudah berlapis-lapis, dia bisa juga ada di plugins & database.
Lanjutkan pencarian…
Ah iya Sucuri….
http://mcritch.com/content/cleaning_wordpress_pharma_hack
http://codex.wordpress.org/FAQ_My_site_was_hacked
Kalau bisa, timpa saja core files WordPress dengan yang bersih 😀
Sucuri gagal menemukan malware… tapi wajar sih, karena bisa di obfuscate, maka malware nya bisa berupa string apa saja :Â http://sitecheck.sucuri.net/results/harry.sufehmi.com
Jadi ingat ketika duluuuu pertama kali muncul polymorphic virus, nyaris semua anti-virus gagal mendeteksinya 🙂 🙂 kecuali sebuah anti-virus dari Israel, apa ya namanya….. lupa. Ealah, kejadian juga di PHP 🙁
Ada yang menyarankan file-file diurut berdasarkan ukurannya, karena dengan base64 ini jadi ukurannya cukup besar 😀
Yup, sudah saya lakukan…. dan bingung sendiri karena ukurannya pada biasa saja :-/ kalau yang base64 ini rata-rata lebih dari 100 KB memang.
Mungkin extension nya bukan .php …. tapi, banyak banget file lainnya di situs ini, mabok memeriksanya satu per satu, hiks…. dan automated check / Sucuri juga gagal. Â
Berarti yah memang harus dicek satu per satu… :-/ Â mari mari mari
Iya, bisa saja extensionnya lain dan ketika diload oleh file lain dianggap file php… atau cek juga settingan di hostinganmu apakah ada extension yang dianggap php :S
Coba cocokkan hashnya dengan file asli dari WordPress dan plugin lainnya, mungkin?
Fantastic post and Thanks for sharing this informative post. It’s very helpful….
Saya baca komentar diatas jadi belajar keamanan di wordpress nih… Tapi ngomong2 udah terpecahkan belum masalahnya 😀
Faça um backup de tudo, depois reinstale e faça a importação
numpang share ya..!!
sukses selalu
Hai…good article…nice tips and useful for all. thank you
keren bnget sob infonya?
thank bro buatifonya?
smoga sukses!
Bagaimana +Harry Sufehmi sudah bersih? 😀
Belum mas 🙂 ya itu, karena sedang sibuk, akhirnya saya sewa sysadmin yang mengaku sudah pengalaman mengatasi malware di WordPress 🙂 saya kira orang Inggris, ternyata orang India 🙂 Â dan cuma banyak sesumbar tapi sampai sekarang masih terus bercokol malwarenya 🙁
https://www.facebook.com/sufehmi/posts/10151395846391594
Malah dia yang komplain terus sampai sekarang (karena pembayarannya saya tahan), harusnya saya yang komplain karena deadline dia sudah lama lewat namun pekerjaannya tetap belum beres….. pusing saya, jadi saya biarkan saja dulu….. minta ampun deh….. 🙂
Yah semoga kapan-kapan siap bersih-bersih lagi 🙂
mungkin di edit html-nya yang ada kesalahan, karena html jga bisa berpengaruh terhadap blognya
saya tidak ada ide gan, lagi buntu ni fikiran hehehe
sudah ketemu belom gan,,,,