Cara Memulihkan dari Peretasan Malware Pengalihan Berbahaya

Diterbitkan: 2022-10-18

Salah satu taktik paling populer dari penyerang jahat adalah menambahkan malware redirect berbahaya ke situs dengan tujuan mengarahkan lalu lintas ke situs lain. Ini dapat merugikan tidak hanya bagi pemilik situs, tetapi juga bagi pengunjung situs. Pengalihan berbahaya sering kali membawa pengunjung situs yang tidak curiga ke situs spam atau bahkan situs yang dapat menginfeksi komputer pengguna dengan perangkat lunak perusak yang sulit dihilangkan.

Dalam posting ini, kita akan berbicara tentang apa itu malware redirect berbahaya, mengapa peretas menggunakan taktik ini, bagaimana menentukan apakah situs Anda terpengaruh oleh malware ini atau tidak, dan beberapa solusi yang mungkin untuk memulihkan situs Anda dari efek malware redirect berbahaya. .

Selain itu, kami akan menguraikan beberapa langkah penting untuk memastikan bahwa situs Anda tetap terlindungi setelah dipulihkan.

Apa Itu Malware Pengalihan Berbahaya?

Pengalihan berbahaya adalah kode, biasanya Javascript, yang dimasukkan ke dalam situs web dengan tujuan mengarahkan pengunjung situs ke situs web lain. Seringkali, malware berbahaya ini ditambahkan ke situs WordPress oleh penyerang dengan tujuan menghasilkan tayangan iklan di situs lain. Namun, beberapa pengalihan berbahaya dapat memiliki implikasi yang lebih serius. Pengalihan berbahaya yang lebih serius dapat mengeksploitasi potensi kerentanan di komputer pengunjung situs. Malware jenis ini bertujuan untuk menginstal malware yang menginfeksi komputer pribadi dengan malware berbahaya yang bisa sangat merusak komputer Mac atau Windows pengguna.

Menentukan apakah situs Anda terinfeksi

Pemilik situs mungkin tidak menyadari bahwa situs mereka dialihkan. Seringkali, pengalihan berbahaya disembunyikan sehingga hanya yang tidak diautentikasi (pengguna yang tidak masuk) yang dialihkan. Atau, mungkin mendeteksi browser yang digunakan pengguna saat mengunjungi situs dan mengarahkan ulang hanya dengan browser tertentu. Misalnya, jika mereka bertujuan untuk mengeksploitasi komputer pribadi dengan malware yang hanya dapat menginfeksi versi Chrome yang rentan, hanya mereka yang menggunakan versi tersebut yang terdeteksi oleh skrip berbahaya yang akan dialihkan. Mungkin perlu beberapa penyelidikan untuk menentukan apa yang sedang terjadi.

Pemilik situs dapat mencoba meniru pengalihan yang dilaporkan oleh pelanggan, hanya untuk melihat bahwa semuanya terlihat baik-baik saja di komputer mereka. Pengunjung situs di platform seluler mungkin pada saat yang sama mengalami aktivitas berbahaya. Pengalihan mungkin terjadi di beberapa halaman dan tidak di halaman lain. Atau, itu mungkin terjadi bahkan sebelum situs dimuat.

Peretasan pengalihan WordPress

Mengapa Situs WordPress Saya Mengarahkan Ke Situs Lain?

Jika situs Anda dialihkan, ada beberapa metode yang dapat digunakan penyerang untuk membuat pengalihan. Tentu saja, ini semua bisa menjadi cara yang sangat valid untuk membuat pengalihan, namun dalam kasus berbahaya, ini jelas bukan demi kepentingan terbaik pengunjung situs. Berikut adalah beberapa metode yang digunakan penyerang untuk mengarahkan ulang. Metode utama pengalihan mencakup pengalihan .htaccess atau pengalihan Javascript. Dalam kasus yang jarang terjadi, Anda mungkin menemukan header HTTP (misalnya, META HTTP-EQUIV=REFRESH redirect) tetapi ini jarang terjadi. Dalam banyak kasus, pengalihan dikaburkan, artinya fungsi digunakan untuk menyembunyikan maksud sebenarnya dari kode. Kebingungan ini sering menjadi kunci pertama bahwa ada sesuatu yang salah, tetapi penyerang bertaruh bahwa sebagian besar pemilik situs WordPress akan terintimidasi oleh kebingungan dan tidak ingin menggali lebih dalam.

Di Mana Tepatnya Lokasi Infeksi Redirect?

Ada beberapa area di mana peretas akan memasukkan kode berbahaya mereka untuk menyebabkan peretasan pengalihan WordPress terjadi.

1. File PHP

Penyerang dapat menginfeksi situs Anda dengan memasukkan kode ke salah satu file inti WordPress. Ini adalah beberapa file yang mungkin berisi kode berbahaya yang menyebabkan masalah Anda:

Penyerang dapat menginfeksi situs web dengan menyuntikkan kode di salah satu file inti di WordPress. Periksa file-file ini untuk kode berbahaya. Jika Anda tidak yakin kode mana yang berbahaya dan mana yang tidak, Anda selalu dapat membandingkan file tersebut dengan salinan inti WordPress yang diketahui atau file tema dan plugin Anda.

  • index.php
  • wp-config.php
  • wp-settings.php
  • wp-load.php
  • .htaccess
  • File tema (wp-content/themes/{themeName}/)
    • header.php
    • function.php
    • footer.php

2. File JavaScript

Beberapa varian malware redirect akan memengaruhi semua file JavaScript (.js) di situs Anda. Ini akan menyertakan file Javascript di plugin, folder tema, dan wp-include.

Dan biasanya, kode berbahaya yang sama akan ditambahkan di bagian paling atas atau bawah setiap file JavaScript.

3. File .htaccess

File .htaccess Anda adalah sekumpulan arahan yang memberi tahu server web Anda apa yang harus dilakukan segera setelah menerima permintaan dari pengunjung situs. Ini terlibat sebelum PHP, sebelum panggilan apa pun ke database Anda, dan dapat mendeteksi "variabel lingkungan" tertentu yang memberi tahu server Anda sedikit tentang sistem yang digunakan pengguna, seperti browser mereka, jenis komputer, dan bahkan jika permintaan untuk laman situs Anda berasal dari perayap mesin telusur.

Jika Anda tidak terbiasa dengan tampilan file .htaccess WordPress yang normal, sebagian besar kode dalam .htaccess dapat membingungkan. Dan, jika Anda mengunduh file .htaccess ke hard drive Anda untuk melihat lebih dalam, itu sering kali dapat hilang pada Anda dengan banyak komputer pribadi dengan mempertimbangkan jenis file ini sebagai "file tersembunyi."

Peretasan Pharma yang sangat umum di mana kode berbahaya ditambahkan ke dalam file .htaccess seringkali hanya akan mengarahkan pengunjung situs jika mereka berasal dari halaman hasil mesin pencari.

Peretas menempatkan kode berbahaya mereka sedemikian rupa sehingga Anda tidak dapat menemukannya tersembunyi di dalam file kecuali Anda menggulir jauh ke kanan. Ini membuatnya jauh lebih sulit untuk menemukan dan menghapus peretasan pengalihan ini.

3. Basis data WordPress

Tabel wp_options dan wp_posts biasanya adalah tabel di database WordPress yang ditargetkan oleh peretas yang memasukkan pengalihan berbahaya. Kode Javascript dapat ditemukan disematkan ke setiap posting Anda atau bahkan semuanya. Anda juga sering dapat menemukan pengalihan di tabel wp_options jika disembunyikan di widget.

4. File favicon.ico palsu

Ada malware yang akan membuat file .ico acak atau file favicon.ico jahat di server situs Anda, yang akan berisi kode PHP berbahaya. File .ico ini akan berisi pengalihan berbahaya yang kemudian disertakan dalam file lain di situs Anda.

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

Memulihkan dari pengalihan berbahaya dengan cepat

Jika Anda terkena peretasan pengalihan berbahaya, cara tercepat dan termudah untuk memulihkan dari jenis malware ini adalah dengan memulihkan dari cadangan yang dikenal baik. Jika Anda mengambil cadangan reguler situs Anda dengan BackupBuddy, maka Anda tahu bahwa Anda memiliki cadangan terbaru yang berisi salinan situs Anda yang bagus. Memulihkan situs Anda dari cadangan yang dikenal baik adalah cara terbaik untuk membuat situs Anda kembali aktif dan berjalan dengan cepat.

Tentu saja, jika Anda menjalankan situs yang memiliki konten yang sering berubah, pertahanan terbaik terhadap pengalihan berbahaya adalah cadangan terbaru yang baik, dan deteksi penyusupan sehingga Anda segera diberitahu tentang suatu masalah. Dengan cara ini, Anda dapat mengambil tindakan dengan cepat dan meminimalkan waktu henti.

Tentu saja, maka Anda harus beralih ke log akses Anda untuk menentukan bagaimana peretas masuk untuk menempatkan pengalihan juga.

Catatan tentang domain tambahan

Salah satu cara paling umum situs WordPress diretas adalah dari domain tambahan yang tidak dikelola atau instalasi tambahan WordPress di akun hosting Anda. Mungkin Anda menyiapkan situs pengujian untuk melihat apakah ada sesuatu yang berfungsi di akun yang sama, dan Anda lupa tentang pemasangan itu. Seorang peretas menemukannya dan mengeksploitasi kerentanan di situs yang tidak terawat untuk memasang malware di situs utama Anda. Atau, mungkin situs anggota keluarga Anda juga dihosting di ruang yang sama untuk menghemat uang, tetapi mereka menggunakan kembali kata sandi yang disusupi.

Itu selalu yang terbaik untuk memiliki satu situs WordPress dalam satu akun hosting, atau jika Anda menggunakan beberapa situs dalam akun hosting yang sama, pastikan situs tersebut terisolasi satu sama lain dan gunakan pengguna berbasis server yang berbeda untuk setiap situs. Dengan cara ini, kontaminasi silang dari satu situs rentan ke situs lain yang berdekatan tidak dapat terjadi.

Jika Anda memiliki lebih dari satu situs di akun hosting, Anda harus memperlakukan semua situs yang berjalan di ruang yang sama (misalnya, semua situs yang berjalan di bawah public_html) seolah-olah semuanya terkontaminasi dengan malware pengalihan berbahaya. Jika Anda memiliki kasus seperti ini, pastikan bahwa setiap langkah ini dilakukan untuk setiap situs dalam instance hosting tersebut. Jika Anda tidak yakin, hubungi penyedia hosting Anda.

Memindai situs Anda untuk malware redirect hack WordPress

Jika Anda tidak memiliki cadangan bersih baru-baru ini, Anda masih dapat menghapus malware sendiri. Melakukannya bisa menjadi proses yang membosankan, dan Anda harus mencari lebih dari sekadar mengalihkan malware. Paling umum untuk redirect malware disertai dengan malware lain termasuk backdoors dan pengguna admin nakal, dan Anda juga harus menentukan bagaimana peretas masuk, sering disebut "vektor intrusi." Tidak mengambil pendekatan holistik terhadap penghapusan malware memastikan bahwa masalah pengalihan akan kembali.

iThemes Security Pro memiliki fitur Deteksi Perubahan File yang akan mengingatkan Anda jika ada perubahan file yang terjadi di situs web Anda, seperti perubahan yang mengindikasikan peretasan pengalihan atau pintu belakang.

Berikut adalah proses penghapusan malware yang kami rekomendasikan.

1. Cadangkan situsnya

Ya, meskipun situs tersebut terinfeksi, Anda pasti ingin menyimpan bukti dari apa yang telah terjadi. Pertimbangkan hack TKP, dan Anda pasti ingin tahu apa yang terjadi, dan kapan. Stempel waktu file akan sangat membantu dalam penyelidikan Anda ketika Anda menentukan bagaimana penyusupan itu terjadi sehingga Anda dapat mencegahnya terjadi lagi.

2. Tentukan apakah Anda perlu menghapus situs

Dengan pengalihan berbahaya, Anda mungkin ingin menghentikan sementara situs Anda untuk pemeliharaan. Tidak semua pengalihan akan menjamin hal ini, tetapi jika situs Anda dialihkan ke tempat yang dapat membahayakan komputer pengguna, menonaktifkan situs untuk sementara waktu akan mencegah kerusakan lebih lanjut.

Jika menurut Anda peretas mungkin masih aktif di situs (jika Anda tidak tahu, anggap saja demikian), menghapus situs dan membuatnya tidak dapat diakses dapat mencegah kerusakan lebih lanjut.

Setiap situasi akan berbeda; Anda harus membuat keputusan ini berdasarkan apa yang terjadi.

3. Salin situs ke drive lokal

Menyimpan cadangan Anda, salin situs ke drive lokal. Kami menyarankan untuk melakukan pembersihan pada drive lokal menggunakan editor teks dan membandingkan secara lokal dan meninjau semua file — dari file PHP dan Javascript hingga file .htaccess Anda — dalam situasi lokal yang tidak dapat diakses ke internet. Dengan cara ini, Anda memiliki lingkungan yang terkendali untuk memeriksa file. Anda dapat mengunduh salinan baru WordPress, tema Anda, dan plugin Anda dan melakukan perbandingan file ke situs Anda yang diretas untuk melihat file mana yang diubah, dan file mana yang bukan miliknya. Ada banyak alat perbandingan file yang dapat Anda gunakan.

4. Hapus pengalihan dan pintu belakang tersembunyi

Saat Anda melihat-lihat file Anda, Anda dapat mengganti file yang memiliki malware di dalamnya dengan salinan yang diketahui baik atau jika Anda merasa nyaman melakukannya, Anda dapat menghapus file yang seharusnya tidak ada di sana (biasanya pintu belakang) dan baris kode yang seharusnya tidak ada dengan editor teks.

Periksa direktori /wp-content/uploads Anda dan semua sub-direktori untuk file PHP yang seharusnya tidak ada.

Beberapa file akan berbeda dari apa pun yang Anda unduh dari repositori WordPress.org. File-file ini termasuk file .htaccess dan file wp-config.php Anda. Ini perlu diperiksa dengan cermat untuk menemukan kode berbahaya yang salah. Keduanya dapat berisi pengalihan, dan file wp-config.php dapat berisi pintu belakang.

5. Unggah file Anda yang sudah dibersihkan ke server Anda

Untuk menghapus semua malware sekaligus, mencegah akses ke pintu belakang apa pun yang aktif di situs yang diretas, unggah situs Anda yang sudah dibersihkan bersebelahan dengan situs Anda yang diretas. Misalnya, jika situs yang Anda retas berada di bawah /public_html/, unggah situs bersih Anda di sebelahnya di /public_html_clean/. Sesampai di sana, ganti nama direktori live /public_html/ menjadi /public_html_hacked/ dan ganti nama /public_html_clean/ menjadi public_html. Ini hanya membutuhkan waktu beberapa detik dan meminimalkan waktu henti jika Anda memilih untuk tidak menghapus situs Anda pada awal proses pembersihan. Ini juga mencegah Anda mencoba membersihkan situs langsung yang diretas yang diserang dengan memainkan "whack-a-mole" dengan penyerang aktif.

Sekarang setelah file dibersihkan, Anda masih memiliki beberapa pekerjaan yang harus dilakukan. Periksa kembali apakah situs terlihat baik-baik saja di front end, serta di dalam wp-admin.

6. Cari pengguna admin yang jahat

Cari pengguna administratif jahat yang ditambahkan ke situs Anda. Buka wp-admin > pengguna dan periksa kembali apakah semua pengguna admin valid.

7. Ubah semua kata sandi administratif

Pertimbangkan semua akun admin untuk disusupi dan siapkan kata sandi baru untuk semua.

8. Lindungi dari pendaftaran berbahaya

Buka wp-admin> pengaturan> umum dan pastikan pengaturan untuk "Keanggotaan" bernama "Siapa pun Dapat Mendaftar" dinonaktifkan. Jika Anda memerlukan pengguna untuk mendaftar, pastikan bahwa "Peran Default Pengguna Baru" hanya disetel ke Pelanggan dan bukan ke Admin atau Editor.

9. Cari Basis Data Untuk Setiap Tautan Berbahaya

Cari database WordPress Anda secara manual untuk fungsi PHP berbahaya dengan cara yang sama seperti yang Anda lakukan untuk menemukan masalah dalam sistem file. Untuk melakukannya, masuk ke PHPMyAdmin atau alat manajemen basis data lainnya dan pilih basis data yang digunakan situs Anda.

Kemudian cari istilah seperti:

  • evaluasi
  • naskah
  • Gzinflate
  • Base64_decode
  • str_ganti
  • preg_replace

Berhati-hatilah sebelum Anda mengubah apa pun di database. Bahkan perubahan yang sangat kecil, seperti menambahkan spasi secara tidak sengaja, dapat menurunkan situs Anda atau mencegahnya memuat dengan benar.

10. Amankan situsnya

Karena telah terjadi penyusupan, Anda perlu berasumsi bahwa semua yang terkait dengan situs Anda telah disusupi. Ubah kata sandi database Anda di panel akun hosting Anda, dan kredensial di file wp-config.php Anda sehingga situs WordPress Anda dapat masuk ke database WordPress Anda.

Juga, ubah kata sandi SFTP/FTP Anda, dan bahkan kata sandi ke akun cPanel atau hosting Anda.

11. Periksa masalah dengan Google

Masuk ke Google Search Console Anda dan lihat apakah Anda memiliki peringatan situs berbahaya. Jika demikian, tinjau untuk melihat apakah perbaikan Anda telah memecahkan masalah. Jika demikian, mintalah ulasan.

12. Instal Keamanan iThemes

Jika Anda belum menginstal dan mengonfigurasi iThemes Security, sekarang adalah waktu terbaik. iThemes Security adalah cara terbaik untuk menjaga situs Anda dari gangguan

13. Perbarui atau hapus perangkat lunak yang rentan

Jika Anda memiliki perangkat lunak, tema, plugin, atau inti, yang memerlukan pembaruan, perbarui sekarang. Jika ada kerentanan dalam plugin yang Anda gunakan yang belum ditambal (Anda dapat memeriksanya menggunakan iThemes Security), nonaktifkan dan hapus sepenuhnya perangkat lunak tersebut dari situs Anda.

Pada titik ini, jika Anda telah mengunci situs Anda, Anda dapat menghapus pemberitahuan pemeliharaan agar situs Anda dapat diakses kembali.

Mencegah intrusi lain

Setelah situs Anda terkunci dan aktif, penting bagi Anda untuk mengambil langkah-langkah untuk mencegah penyusupan terjadi lagi. Periksa file log Anda untuk melihat bagaimana penyusupan itu terjadi. Apakah itu perangkat lunak yang rentan? Apakah itu akun pengguna admin yang disusupi? Apakah itu kontaminasi silang dari instalasi WordPress yang berdekatan dan tidak terawat? Mengetahui bagaimana intrusi terjadi akan memberi tahu Anda untuk mengambil langkah-langkah agar tidak terjadi lagi di masa mendatang.

Dan, menggunakan iThemes Security adalah langkah pertama yang penting untuk menjaga keamanan situs Anda.

WordPress saat ini menguasai lebih dari 40% dari semua situs web, sehingga menjadi sasaran empuk bagi peretas dengan niat jahat. Penyerang berasumsi bahwa pengguna WordPress memiliki pengetahuan keamanan yang lebih sedikit, sehingga mereka menemukan situs WordPress yang tidak dilindungi dan mengeksploitasi kata sandi yang buruk, kata sandi yang digunakan kembali, atau perangkat lunak yang rentan untuk mendapatkan pijakan di akun hosting yang tidak curiga.

Laporan DBIR Verizon untuk tahun 2022 melaporkan bahwa lebih dari 80% pelanggaran dapat dikaitkan dengan kredensial yang dicuri, dan telah terjadi peningkatan 30% dalam kredensial yang dicuri sebagai vektor intrusi utama versus eksploitasi kerentanan. Ini adalah salah satu alasan iThemes Security memprioritaskan inovasi kredensial pengguna seperti kunci sandi dan otentikasi dua faktor untuk melindungi situs WordPress dari gangguan ini.

Jika Anda pernah melihat sesuatu di artikel ini, kami harap Anda memperhatikan keamanan dengan serius SEBELUM pelanggaran. Anda dapat menghemat banyak waktu untuk meninjau kode sakit kepala hanya dengan beberapa setps. Gunakan BackupBuddy untuk membuat pemulihan jauh lebih mudah dan melindungi dari akses tidak sah menggunakan iThemes Security Pro.

Plugin Keamanan WordPress Terbaik untuk Mengamankan & Melindungi WordPress

WordPress saat ini menguasai lebih dari 40% dari semua situs web, sehingga menjadi sasaran empuk bagi peretas dengan niat jahat. Plugin iThemes Security Pro menghilangkan dugaan keamanan WordPress untuk memudahkan mengamankan & melindungi situs WordPress Anda. Ini seperti memiliki staf ahli keamanan penuh waktu yang terus-menerus memantau dan melindungi situs WordPress Anda untuk Anda.

Dapatkan iThemes Security Pro