Hallo semua para setia pembaca blog tekno-hp. Pada kali ini ane akan membahas cara membersihkan malware di cpanel/server kita. Singkat cerita pas ane buka email, terdapat puluhan email masuk, dan ternyata pemberitahuan bahwa blog ane terkena malware, untuk itu, ane harus bersihin blog yang terkena malware. Pada saat itu ane cuma bersihin beberapa blog, dan ternyata di hari besoknya ane buka blog ane, ternyata kena suspen gara-gara malware yang kemarin menginfeksi blog lainnya. Ane buka email dan benar akun ane ditangguhkan dan disuruh untuk menghubungi pihak hosting bersangkutan. Ane browsing2 cara memberihkan malware cpanel, banyak yang suruh ganti pasword, scan cpanel, tapi tetap saja sama saja yang sebelumnya sudah ane lakukan. Ane kirim tiket ke pihak hosting suruh restore/mengembalikan file sebelum terkena malware, tetapi sama saja kata mereka tidak bisa menyelesaikan masalah. Dan mereka memberikan langkah-langkah cara menghilangkannya. Dengan cara merename file public_html, dan suruh install wordpress baru lewat Softaculous. Berikut ini cara-cara yang bisa ditempuh untuk membersihkan cpanel dari malware yang nakal..
Pastikan baca pesan dari pihak hosting, file apa saja yang terinfeksi malware, jika sudah parah alangkah baiknya mending install ulang aja semua blog didalam hosting tersebut. Misal pnya ane dibawah:
We found the following malicious files:
------
'/home/hairst31/public_html/xcxc.com/wp-content/themes/NYEOindthemescom/title.php'
# Known exploit = [Fingerprint Match] [PHP GLOBALS Exploit [P0923]]
'/home/hairst31/public_html/xcxc.com/wp-includes/class-wp-rewrite.php'
# Known exploit = [Fingerprint Match] [PHP Injection Exploit [P0997]]
'/home/hairst31/public_html/xcxc.com/wp-includes/images/media/ajax86.php'
# ClamAV detected virus = [{HEX}php.base64.v23au.185.UNOFFICIAL]
------
'/home/hairst31/public_html/xcxc.com/wp-content/themes/NYEOindthemescom/title.php'
# Known exploit = [Fingerprint Match] [PHP GLOBALS Exploit [P0923]]
'/home/hairst31/public_html/xcxc.com/wp-includes/class-wp-rewrite.php'
# Known exploit = [Fingerprint Match] [PHP Injection Exploit [P0997]]
'/home/hairst31/public_html/xcxc.com/wp-includes/images/media/ajax86.php'
# ClamAV detected virus = [{HEX}php.base64.v23au.185.UNOFFICIAL]
You're running a large amount of outdated Wordpress installations which is most likely how you were compromised:
------
'/home/hairst31/public_html/xxxx.id/wp-includes/version.php'
# Script version check [OLD] [Wordpress v4.4.4 < v4.5.3]
'/home/hairst31/public_html/xxxxx.info/wp-includes/version.php'
# Script version check [OLD] [Wordpress v4.4.2 < v4.5.3]
'/home/hairst31/public_html/xx.co/wp-includes/version.php'
# Script version check [OLD] [Wordpress v4.4.4 < v4.5.3]
'/home/hairst31/public_html/xxx.com/wp-includes/version.php'
# Script version check [OLD] [Wordpress v4.4.4 < v4.5.3]
'/home/hairst31/public_html/xxx.com/wp-includes/version.php'
# Script version check [OLD] [Wordpress v4.4.4 < v4.5.3]
'/home/hairst31/public_html/xx.com/wp-includes/version.php'
# Script version check [OLD] [Wordpress v4.0.12 < v4.5.3]
------
------
'/home/hairst31/public_html/xxxx.id/wp-includes/version.php'
# Script version check [OLD] [Wordpress v4.4.4 < v4.5.3]
'/home/hairst31/public_html/xxxxx.info/wp-includes/version.php'
# Script version check [OLD] [Wordpress v4.4.2 < v4.5.3]
'/home/hairst31/public_html/xx.co/wp-includes/version.php'
# Script version check [OLD] [Wordpress v4.4.4 < v4.5.3]
'/home/hairst31/public_html/xxx.com/wp-includes/version.php'
# Script version check [OLD] [Wordpress v4.4.4 < v4.5.3]
'/home/hairst31/public_html/xxx.com/wp-includes/version.php'
# Script version check [OLD] [Wordpress v4.4.4 < v4.5.3]
'/home/hairst31/public_html/xx.com/wp-includes/version.php'
# Script version check [OLD] [Wordpress v4.0.12 < v4.5.3]
------
Pada keterangan diatas diketahui alamat apa saja yang terkena malware, jika yang terinfeksi file wp-includes maka dengan menginstall ulang wordpress malware akan hilang, jika yang terinfeksi terletak pada direktori wp-content maka yang harus diperhatikan, karena wp-content sangat penting jika file yang mau dikembalikan tidak terkena virus maka harus hapus skrip malwarenya.
Seperti yang terinfeksi pada file
'/home/hairst31/public_html/xcxc.com/wp-content/themes/NYEOindthemescom/title.php'
# Known exploit = [Fingerprint Match] [PHP GLOBALS Exploit [P0923]]
# Known exploit = [Fingerprint Match] [PHP GLOBALS Exploit [P0923]]
terlihat file yang terinfeksi terletak pada sub direktori wp-content dan pada themes terletak pada file title.php, untuk itu cari title.php, cari skrip yang dicurigai sebagai malware, lebih amannya ganti template, yang sama yang terbebas dari malware.
Jika sudah mengetahui cara solusinya, maka langsung aja install ulang wordpress dan sebaiknya ganti nama DB_NAME, DB_USER dan Password di phpmyadmin.
Untuk menginstall ulang wordpress, harus me-rename folder public_html, dengan nama public_html-terserahanda.
Setelah di rename maka akan keluar folder disebelah kiri dan anda buat folder public_html untuk install wordpress baru.
Install wordpress baru tersebut lewat Softaculous di hostingnya, setelah itu maka blog anda akan bersih dari malware.
Biar lebih aman, hapus semua plugin yang terinstall pada blog sebelumnya.
Biar lebih aman, hapus semua plugin yang terinstall pada blog sebelumnya.
Selamat mencoba..
EmoticonEmoticon