Tips Memperbaiki Joomla dan WordPress Yang Terinfeksi Malware

Posted: April 8, 2013 in Tips n' Trik, Website
Tags: , , , ,

Tips Memperbaiki Joomla dan WordPress Yang Terinfeksi MalwareAda salah satu pengalaman saya yang menjengkelkan yaitu beberapa situs berbasis Joomla dan WordPress kalau diakses pasti diarahkan ke situs lain. Dari beberapa situs pengalihan atau redirect itu mengandung malware sehingga ada satu web berbasis joomlah yang diblokir mesin pencari. Setelah melakukan pengecekan dan anailsa tiap folder web di hosting ternyata ditemukan kode yang menginjeksi file-file berekstensi php. Kode enkripsi base64 yang biasanya muncul setelah <?php dengan penampakan salah satu contohnya diawali dengan kode eval(base64_decode ditanamkan hampir merata dari index.php hingga lainnya.

Saya pikir dengan menghapus kode di beberapa file ekstensi php yang terinfeksi permasalahan jadi selesai. Selang beberapa hari saya cek kembali ternyata lagi-lagi nongol kodenya itu. Dihapus lagi tak lama kemudian muncul. Setelah frustasi berat akibat permasalahan kode misterius yang selalu menginfeksi file php akhirnya dapat “pencerahan”. Tidak sengaja waktu salah satu web berbasis joomla dijadikan percobaan dengan menganalisa secara manual dari tiap-tiap file melalui cPanel hosting. Ada salah satu struktur folder joomla yang tidak bisa dibuka dengan pesan Data error padahal akalu dilihat lewat FTP folder tersebut bisa dibuka.

Cara Pembersihan
Pertama buka File Manager dari hosting kemudian lihat struktur file-file Joomla yang ada di dalam folder utama. Buka file yang berekstensi .php (klik kanan pilih view atau edit), biasanya yang terinfeksi setelah kode <?php akan ada kode enkripsi base64 seperti yang tertera pada gambar contoh dibawah ini. Anda bisa hapus kode tersebut melalui  pilihan EDIT mulai dari kode eval(base64_decode….sampai….) ) ; . Lakukan hal yang sama pada file ekstensi .php lainnya.

File terinfeksi Malware
Folder IMAGES Joomla

Jangan terlalu yakin setelah menghapus kode tersebut maka website anda terbebas dari infeksi karena “biang kerok” alias induknya masih ada ditempat lain. Lihat pada struktur joomla dan masuk di folder images. Jika ada file berekstensi .php dengan judul yang sekiranya tidak familiar langsung hapus saja, terutama jika menemukan movieapp.php, movie.php, atau sejenisnya. Karena dalam struktur Joomla di folder image aslinya tidak ada file berekstensi .php. Jika masih ragu-ragu silakan lihat file “tersangka” tersebut maka biasanya ada kode base64 yang “beracun”.

Folder STORIES JoomlaSetelah itu masuk lagi ke sub folder stories, nah disitulah tempat tongkrongan induknya kode malware yang menginfeksi hampir semua file berekstensi .php. Sayangnya saya lupa capture screenshot isi folder stories yang terinfeksi. Namun anda bisa melihat ada banyak file yang bukan asli bawaan joomla seperti file .php yang judulnya aneh dan file dengan ekstensi .txt yang isinya merupakan log/rekaman penyebaran kode tersebut baik di root domain utama hosting maupun addon domain yang berisi instalasi website berbasis Joomla maupun wordpress. Unduh log dari mwalware tersebut guna mengetahui tempat-tempat penyebaran kodenya setelah itu hapus semua file yang beracun. Setelah itu buka di komputer anda file log tersebut dengan wordpad atau notepad dan lakukan pembersihan secara menyeluruh file-file di tempat lain yang terinfeksi kode malware berdasarkan catatan dalam log itu.

Cara diatas tersebut bisa dilakukan tanpa halangan, namun pada kasus saya folder stories tidak bisa dibuka melalui File Manager cPanel dengan pesan data error. Kalau dibuka melalui FTP keluar semua isi foldernya dan kelihatannya bersih. Pertama saya pikir ada masalah dengan instalasi Joomla akibat terjangkiti malware. Namun ketika saya buka melalui administrator joomla akan terlihat beberapa file dengan judul yang tidak bisa dibaca dan file lainnya yang merupakan induk dari mwalware tersebut. Eksekusi untuk menghapusnya pun tetap sia-sia karena malah dialihkan kehalaman login admin dan kemudian malah error sama sekali.

Untuk mengatasi permasalah itu caranya saya unduh folder stories setelah itu menghapusnya melalui File Manager cPanel (bisa juga melalui FTP) kemudian buka folder stories di komputer periksa isinya dan hapus file mencurigakan. Setelah itu unggah/upload kembali ke dalam folder iamges Joomla sesuai struktur yang semestinya.

Langkah-langkah diatas merupakan pembersihan detail menghilangkan kode malware yang menginfeksi file berekstensi .php hingga ke induknya. Jika “biang kerok” lupa dibersihkan maka selang beberapa jam dia akan melakukan serangan dan menginfeksi kembali.

Cara Untuk WordPress
Website atau blog berbasis wordpress sebenarnya agak mudah, tinggal masuk ke admin wordpress kemudian pilih UPDATE jika versinya masih lama atau Re-install Now. Setelah selesai silakan cek kembali struktur WordPress melalui File Manager cPanel atau FTP maka dipastikan sudah lenyap file .php yang terinfeksi. Tetapi perlu diingat ada beberapa file .php dalam struktur joomla yang tidak ikut berubah, bisa dilihat melalui tanggal (Last MOdified). Hapus kode malware yang menginfeksi file tersebut hingga bersih.

Setelah melakukan pembersihan secara merata dan sudah yakin terbebas dari infeksi kode malware langkah terakhir adalah mengganti passowrd cPanel dan FTP untuk masing-masing user. Hal tersebut sebagai antisipasi dan pengamanan agar terhindar dari “penyakit” lain yang berusaha menyerang kembali.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s