Serangan Holasionweb pada belajarpc.info

Beberapa saat yang lalu, mungkin pengunjung setia Blog ini merasa kurang nyaman dengan beberapa hal. Banyak yang mengeluhkan bahwa akses ke blog belajarpc.info terasa sangat lambat sekali. Dan beberapa antivirus seperti AVG, Avira ataupun Avast mengklaim menemukan adanya virus/trojan dari blog ini. Awalnya saya tidak mengetahui ada masalah apa dengan ini. Tetapi kecurigaan menguat ketika setiap mengakses blog selalu tertangkap adanya virus oleh anti virus. Dan pada status bar di browser selalu mengarah ke “holasionweb[.]com/oo.php. Dalam hati bertanya-tanya, widget atau plugin apa yang mengarah ke situs tersebut ?

Saya lakukan dengan melihat source code dari browser, dan mencari alamat web tersebut. Tetapi tetap tidak menemukan url yang dimaksud. Akhirnya saya lakukan googling. Dan menemukan titik terang dari masalah ini. Seperti yang telah diberitakan secara resmi dari GoDaddy.Com, semua situs yang menggunakan platform wordpress pada hosting mereka telah diserang oleh Virus/Trojan Holasionweb. Kayaknya kasus ini tidak hanya dialami oleh GoDaddy.com, tetapi juga pada Dreamhost.

Holasionweb ini merupakan eksploit yang mengarahkan pengunjung ke situs-situs an

tivirus palsu. Akibat yang ditimbulkan oleh Holasionweb ini bahwa website anda loading sangat lambat dan dalam status bar browser Anda terlihat bahwa situs Anda sedang mengakses holasionweb.com.

Untuk lebih jelas mengetahui serangan Holasionweb ini, saya menemukan beberapa kejanggalan, seperti :

• Saya menemukan file baru di root hosting : gdform.php dan webformmailer.php, yang seharusnya tidak ada.
• Website Anda diarahkan ke: “http://www.holasionweb.com/oo.php”
• Halaman tersebut akan diredirect ke halaman yang menampilkan Antivirus Palsu
• Semua file php pada WordPress Anda akan ditambahkan kode php <?php /**/ eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcp……

• Program antivirus Anda akan melakukan bloking website “www.holasionweb.com/oo.php”.

Apakah langkah-langkah yang bisa diambil untuk mengatasi masalah ini ?

1. Pertama segera menghapus file index.php dari root WordPress.

2. Kemudian ganti dengan file index.html, untuk pengalih dokumen root sementara. Jika bingung, buatlah sebuah file dengan nama index.html, kemudian ketikkan tag html :

<head>
<title>BelajarPC.Info</title>
</head>
<body>
<p align="center"><font face="Geneva, Arial, Helvetica, sans-serif">This Website is Coming Soon</font></p>
<p align="center"><strong>&quot;Under Maintenance&quot;</strong></p>
</body>
</html>

lalu Upload ke root hosting

3. Login ke Hosting dengan menggunakan “File Manager" atau FTP, turunkan semua file yang ada dalam hosting tersebut, termasuk gambar dan media.

4. Pastikan Anda memiliki cadangan dari situs Anda, Jika tidak hal ini adalah pekerjaan besar bagi anda. Karena kita harus menghapus baris kode seperti yang tertera diatas pada semua file php.

5. Jika ingin melakukan install ulang tanpa harus mengedit semua file php, jangan lupa catat semua plugin yang tersimpan pada folder wp-content/plugins, karena nantinya kita akan menginstall ulang plugin tersebut.

6. Jika semua data sudah dibackup, Hapuslah seluruh situs WordPress Anda dari server.

7. Download WordPress versi terbaru dari http://wordpress.org dan upload ke server anda.
8. Buka File wp-config.php yang lama, edit kode php yang telah ditambah oleh virus ini. Biasanya diletakkan pada awal halaman. Hapus dari tag <?php …. sampai ?>

Setelah diedit, upload kembali file wp-config.php ke root server. File ini sangat penting, karena file ini yang menghubungkan ke wordpress dengan database Anda.

8. Upload gambar dan / atau media kembali ke server.

9. Upload kembali tema Anda dalam wp-content/theme direktori. Tapi ingat, bahwa file ini juga harus dibersihkan dari script yang disisipkan oleh virus.

10. Download ulang semua plugin yang telah dicatat pada langkah awal tadi. Kemudian upload dan aktifkan kembali semua plugin.

11. Jika semuanya sudah dilakukan, Coba login ke wp-admin WordPress Anda. Apakah semuanya sudah kembali normal ?

12. Untuk membuktikannya, coba buka blog anda, dan klik beberapa link untuk melihat apakah bekerja dengan normal. Jika masih menemukan pesan 404 kesalahan saat membuka posting atau halaman, berarti kita harus mengeset ulang permalinks blog seperti semula, dengan cara … Klik Settings> Permalinks> lalu ubah, Simpan Perubahan. Lalu coba periksa kembali.

13. Langkah berikutnya, kita masuk ke server melalui File Manager" atau FTP, atur semua folder dengan permission CHMOD 755 dan semua file termasuk file php, gambar, html, dll, pada permission CHMOD 644. Jangan pernah mengatur direktori, termasuk rekomendasi dari sebuah plugin, ke permission CHMOD 777.

14. Langkah terakhir, Ubah kembali password yang anda miliki dengan password yang berbeda.

Semoga pengalaman ini dapat bermanfaat untuk yang lain, terutama yang ber hosting di GoDaddy.com.