Sebagai janitor yang berbakti, saya suka berkunjung ke situs-situs yang seharusnya dikelola oleh orang lain. Kebetulan lapak orang itu menempati lahan yang saya kelola. Ya, sebagai bakti sosial, saya juga suka membantu lapak-lapak itu.

Suatu hari, saya secara tak sengaja menemukan akses ke URL yang seharusnya tidak ada, yakni akses ke kfc.i.illuminationes.com/snitch, pada peramban saya. [Pada Firefox tekan F12 pada jaringan

Hmm… domain apakah ini?

Ternyata usut punya usut, ini adalah  salah satu domain yang digunakan oleh spyware!

Menurut ddmcleod, penyebab injeksi ini adalah komputer yang terinfeksi oleh malware khusus. Malware ini mendeteksi pengguna yang merupakan admin WordPress. Sehingga, ketika pengguna sedang login ke situsnya yang berbasis WordPress, malware ini akan menginjeksi situs tersebut dengan menambahkan skrip Javascript pada setiap header.php tematik yang ada di situs itu.

Niat sekali pembuat malware ini. Mereka berusaha menginjeksi komputer-komputer di seluruh dunia dengan harapan ada admin WordPress yang memakai komputer terinjeksi malware tersebut untuk mengakses situsnya.

The malicious code.

The malicious code. I screen-captured it so that Google won’t block my site.

Canggih sekali malware zaman sekarang.

Cara saya mendeteksi setiap tematik itu adalah dengan menjalankan berikut:

grep -ri 1Aqapkrv

dan saya pun menemukan skrip aneh. Lalu, saya satu persatu menghapus tematik yang tak diperlukan dan menghapus baris injeksi.

Selamat berburu.

Bacaan Lebih Lanjut