Missed the action at the 2018 Chrome Dev Summit? Catch up with our playlist on the Google Chrome Developers channel on YouTube. Watch now.

Diretas dengan malware

Langkah ini berkaitan dengan situs yang diretas untuk menyebarkan software perusak, sering kali dengan peringatan "Situs ini dapat membahayakan komputer Anda" yang ditampilkan di hasil penelusuran. Ini adalah salah satu langkah terpanjang dalam proses pemulihan. Pada langkah ini, Anda akan mengompilasi daftar file yang dirusak di situs. Anda akan menggunakan daftar ini dalam langkah berikutnya, Membersihkan dan memelihara situs Anda.

Jika situs Anda terpengaruh oleh spam, bukan malware, dan menampilkan peringatan "Situs ini mungkin diretas" dalam hasil penelusuran, harap lihat halaman Menaksir kerusakan akibat spam (Diretas dengan spam).

Anda membutuhkan:

  • Akses administrator terminal/shell ke server situs Anda: web, basis data, file.
  • Pengetahuan tentang perintah terminal/shell.
  • Kemampuan menjalankan kueri SQL pada basis data.

Yang akan Anda lakukan:

Persiapan

  1. Jangan menggunakan browser untuk menampilkan halaman di situs Anda. Karena software perusak sering kali menyebar dengan memanfaatkan kerentanan browser, membuka halaman software perusak yang terinfeksi di browser dapat merusak komputer Anda.
  2. Buat dokumen untuk mencatat penemuan dari langkah ini. Dokumen ini nantinya akan menyertakan (setidaknya) nama/lokasi setiap file yang rusak dan catatan tentang cara file terinfeksi, dan hal itu bisa menjadi dasar untuk Membersihkan dan memelihara situs Anda.
  3. Periksa referensi tambahan yang dibutuhkan:
    • Tonton video di atas untuk melihat cara kerja software perusak dan cara agar tetap aman selama penyelidikan software perusak.
    • Lihat halaman diagnostik Penjelajahan Aman Google untuk mendapatkan informasi publik tentang apakah suatu situs berpotensi berbahaya bagi pengguna atau tidak. Anda dapat melihat status listingan untuk situs di URL yang terlihat seperti:
      http://www.google.com/safebrowsing/diagnostic?site=<your-site>
      Contoh: http://www.google.com/safebrowsing/diagnostic?site=webmastercentralblog.blogspot.com
  4. Gunakan cURL atau Wget untuk melakukan permintaan HTTP (misalnya, untuk mengambil halaman).

    Alat yang tersedia dengan gratis ini sangat berguna dalam mendiagnosis pengalihan, dan memiliki fleksibilitas untuk menyertakan informasi perujuk atau agen pengguna. Termasuk perujuk atau agen pengguna tertentu yang sangat berguna dalam meniru peretas. Pasalnya, peretas hanya dapat memberikan konten berbahaya untuk pengguna dengan agen pengguna atau perujuk tertentu untuk menargetkan "orang nyata" lainnya, serta dapat menghindari pendeteksian dari pemindai software perusak dan pemilik situs.

    $curl -v --referer "http://www.google.com" <your-url>

Penyelidikan jenis infeksi software perusak tertentu di situs Anda

  1. Pilih Situs yang terverifikasi di Search Console, lalu klik Masalah Keamanan.
  2. Selidiki semua kategori malware (misalnya, Konfigurasi server, Injeksi SQL) yang tercantum di Masalah Keamanan untuk situs Anda. Informasi tambahan tentang URL yang terinfeksi dari kategori dapat ditemukan dengan mengklik “Tampilkan detail”. (Detail mungkin menyertakan cuplikan kode contoh yang diinjeksi oleh peretas). Untuk setiap kategori, salin ke dalam dokumen penyelidikan Anda:
    • Semua contoh URL yang terinfeksi dicantumkan untuk kategori software perusak di Masalah Keamanan.
    • Halaman tambahan apa pun yang dirusak yang Anda temukan selama penyelidikan.
    • Penemuan mendetail tentang URL yang terinfeksi, seperti jenis kerusakan yang diakibatkan.
  3. Informasi yang membantu penyelidikan untuk setiap jenis software perusak dicantumkan di bawah:

Evaluasi kerusakan sistem file

Selanjutnya, Anda perlu masuk ke sistem file situs untuk penyelidikan lebih mendalam. Perlu diketahui bahwa, di antara banyak lainnya, peretas dapat memodifikasi halaman atau catatan basis data yang ada, membuat halaman berisi spam yang sepenuhnya baru, menulis fungsi untuk menampilkan spam di halaman bersih, atau meninggalkan "pintu belakang" yang memungkinkan peretas masuk kembali ke situs Anda maupun terus melakukan tugas berbahaya jika tidak dihapus.

Jika situs Anda online, Anda dapat membuatnya offline kembali melalui langkah ini.

  1. Jika Anda memiliki cadangan situs yang baik, tentukan file yang telah dibuat atau dimodifikasi setelah pencadangan. Tambahkan file ini ke daftar jika Anda ingin menyelidiki lebih lanjut. Pada sistem berbasis Unix, Anda dapat menggunakan perintah seperti:
    $ diff -qr <current-directory> <backup-directory>
    Misalnya:
    $ diff -qr www/ backups/full-backup-20120124/
    juga
    $ md5sum <current-page> <backup-page>
    Misalnya:
    $ md5sum www/page.html backups/full-backup-20120124/page.html
  2. Periksa server, akses, dan log error untuk aktivitas mencurigakan apa pun, seperti upaya masuk gagal, histori perintah (terutama sebagai akar), pembuatan akun pengguna yang tidak diketahui, dsb. Waspadalah, peretas dapat mengubah log tersebut untuk tujuan mereka sendiri. (Jika membantu, beberapa contoh ditunjukkan dalam video untuk Mengidentifikasi kerentanan.)
  3. Periksa file konfigurasi, seperti .htaccess dan httpd.conf, untuk pengalihan. Peretas sering kali membuat pengalihan bersyarat berdasarkan agen pengguna, waktu, atau perujuk.
  4. Periksa izin file dan folder yang terlalu longgar. Peretas mengganggu izin karena jika izin yang longgar tetap tidak terdeteksi oleh pemilik situs, peretas memiliki cara untuk masuk kembali ke situs. File yang lebih besar dari 644 (rw-r--r--) dan folder yang lebih besar dari 755 (rwxr-xr-x) dapat menyebabkan masalah keamanan. Pastikan semua izin yang lebih longgar benar-benar dibutuhkan. Pada sistem berbasis Unix, coba:
    $ find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;
    $ find <your-dir> -type f -not -perm 644 -exec ls -la {} \;
  5. Jika Anda memiliki basis data, selidiki catatan satu per satu menggunakan alat seperti phpMyAdmin.

Langkah berikutnya

Langkah selanjutnya dalam proses ini adalah Mengidentifikasi kerentanan.