Beberapa tahun terakhir sangat banyak website yang tiba-tiba didalamnya terdapat laman dengan kata kunci slot, judi, gacor, dan seterusnya. Ini umumnya diakibatkan kurangnya perhatian terhadap pengelolaan website. Seringnya menggunakan plugin atau template dari sumber yang tidak terpercaya membuat malware bisa dengan mudah memperbanyak diri.
Beberapa bulan terakhir cukup aktif untuk membersihkan website yang terkena malware tersebut. Saya coba share beberapa command yang sering saya gunakan dan sekiranya dapat membantu dalam mencari dampak maupun induk dari malware yang ada pada website dalam sebuah server linux.
Mencari kata kunci yang berkaitan dengan slot atau judi
Untuk mencari dampak malwarenya, memberikan kita lokasi dimana malware mempublish halaman slot judi yang mereka gunakan untuk claim di google search console
grep -rnw . \
-e 'game online' \
-e 'slot' \
-e 'gacor' \
-e 'judi online' \
-e 'product key' \
-e 'casino' \
-e 'taruhan' \
-e 'poker' \
-e 'betting' \
-e 'sbobet' \
-e 'togel' \
-e 'jackpot' \
-e 'agen bola' \
-e 'bandar' \
-e 'slot online' \
-e 'kasino' \
-e 'rolet' \
-e 'dadu' \
-e 'sportsbook' \
-e 'live casino' \
-e 'slot machine' \
-e 'baccarat' \
-e 'sic bo' \
-e 'blackjack' \
-e 'gambling' \
-e 'online betting' \
-e 'sports betting' \
-e 'live poker' \
-e 'online poker' \
-e 'bet' \
-e 'odds' \
-e 'vip casino' \
-e 'poker online' \
-e 'judi bola' \
-e 'taruhan bola' \
-e 'bandar bola' \
-e 'dominoqq' \
-e 'qq online' \
-e 'poker qq' \
-e 'bandarq' \
-e 'bandarqq' \
-e 'tembak ikan' \
-e 'lottery' \
-e 'judi dadu' \
-e 'keno' \
-e 'game betting' \
-e 'esports betting' \
-e 'online slots' \
-e 'casino games' \
-e 'taruhan online' \
-e 'deposit pulsa' \
-e 'bonus deposit' \
-e 'free spin' \
-e 'welcome bonus' \
-e 'high roller' \
-e 'kenzototo' \
-e 'presidenslot' \
-e 'davo88' \
-e 'neko4d' \
-e 'madetoto' \
-e 'sbctoto' \
-e 'psgslot' \
-e 'pahlawan4d' \
-e 'wangi4d' \
-e 'raden4d' \
-e 'cerdas4d' \
-e 'mentos4d' \
-e 'wawasan4d' \
-e 'eurotogel' \
-e 'bri4d' \
-e 'bni4d' \
-e 'palu4d' \
-e 'ungutoto' \
-e 'oyo4d' \
-e 'nasa4d' \
-e 'klix4d' \
-e 'ahha4d' \
-e 'deluna4d' \
-e 'key4d' \
-e 'target4d' \
-e 'gelora4d' \
-e 'cnnslot' \
-e 'neng4d' \
-e 'bimabet' \
-e 'slotbesar' \
-e 'prada4d' \
-e 'mudah4d' \
-e 'sawer4d' \
-e 'bmw4d' \
-e 'tante4d' \
-e 'ayah4d' \
-e 'erigo4d' \
-e 'janda4d' \
-e 'OLO4D' \
-e 'cici4d' \
-e 'sihoki' \
-e 'RHINO88' \
-e 'win88' \
-e 'babawin' \
-e 'ice3bet' \
-e 'mpo08' \
-e 'catur777' \
-e 'ronaldo4d' \
-e 'dewaslot99' \
-e 'MPO2QQ' | awk -F: '{print $1":"$2}'
Mencari string “eval”, “chr”, dan “goto” dalam script
Induk malware umumnya di-obfuscate agar tidak mudah ketahuan, dan syntax yang paling sering digunakan adalah “eval”, “chr”, dan “goto”.
grep -rnw . -e 'eval(' --include=*.php --include=*.phtml
grep -rnw . -e 'chr' --include=*.php --include=*.phtml
grep -rnw . -e 'goto ' --include=*.php --include=*.phtml
Mencari string “@include” dalam script
Script yang terinfeksi oleh malware biasanya di-include di bagian tertentu dalam script, baik di paling atas, tengah, maupun dibawah.
grep -rnw . -e '@include "' --include=\*.php --include=\*.phtml
Perluas pencarian menggunakan Yara rules
Yara memiliki banyak rules yang sudah dibuat oleh berbagai praktisi, scanning bisa menggunakan rules malware dari repo ini https://github.com/23Pstars/yara-rules
yara -s -r /path/to/yara-rules/malware_index.yar . > results.txt 2>/dev/null
