Bagaimana mengatasi situs kena hack

Beberapa waktu yang lalu salah satu pembaca situs kami menghubungi kami melalui wa dan mengkabarkan bahwa situsnya kena hack, halaman situsnya diakses melalui domain secara langsung apabila diakses maka akan terarah ke situs yang berbeda.  Klien kami ini terus terang bukan dari daerah lokal saya yang berasal dari Banjarmasin. Sehingga awalnya dia terkejut dan agak ragu untuk menyewa jasa kami :

Untungnya setelah kami yakinkan bahwa kami telah dipercaya bukan hanya dari scope nasional namun juga luar indonesia, klien ini yakin untuk bekerjasama dengan kami. Alhamdulillah.

Dan pada laporan google diinfokan bahwa situs klien kami tersebut di blokir karena terindikasi phising. Phising merupakan sebuah mekanisme rekaryasa suatu halaman situs atau link yang mengarahkan pada situs yang tidak benar. Misalnya anda memperoleh link  yang diterima lewat WA yang mengabarkan kepada anda bahwa anda mendapatkan hadiah atau voucher dari salah satu marketplace di Indonesia. Anda akan mengklik link tersebut kemudian anda akan diarahkan ke salah satu situs yang pada tampilannya merupakan halaman login sebagaimana layaknya halaman login pada marketplace tersebut. Namun link tersebut pada address bar browser anda bukanlah domain pada situs tersebut.

Contoh pada gambar ini situs ini sebenarnya merupakan situs yang tidak legitimate atau situs palsu yang menunjukkan url situs login yang tidak benar dari tokopedia secara langsung.

Ada berbagai macam motivasi scammer dan hacker untuk memanfatkan situs yang telah diretasnya misalnya ada yang memanfaatkan sebagai alat untuk meningkatkan SEO, phising, ekpresi kejantanaan seorang hacker (hehe) atau menjadikannya sheep / domba kaya peternak saja ya. Dan di tulisan ini akan dijelaskan bagaimana hacker ini melakukan proses hack pada server ini dengan motivasi yang sangat menarik. Apa itu…. silahkan selesaikan artikel ini guys.

Biasanya kami melakukan proses perbaikan situs dengan beberapa standar kerja :

  1. Restore Site so it can be accessed by public
  2. Restore the authentication of WP
  3. Update WP
  4. Analysis Detail  Sumber Backdoor
  5. Clear All Spam Comment
  6. Install Plugin rekomendasi 
  7. Setup Backup regular wp ke external drive (google drive)
  8. Hapus Sumber masalah backdoor.
  9. Setup Optimalisasi Cache WP
  10. Membuat laporan report

Namun sebelum dimulainya tahap ini maka tahap yang paling penting adalah sebagai berikut :

  1. Melakukan interview ke klien kapan situs kena hack dan apa gejalanya
  2. Menganalisa raw log
  3. Mencari sumber masalah.

Baik akan jelaskan beberapa langkah yang kami terapkan untuk memperbaiki masalah ini.

1. Interview 

Klien menjelaskan bahwa situs tidak bisa diakses lewat wp-admin dan menerima laporan dari google bahwa situs diblokir dengan adanya tanda-tanda bahwa situs kena retas. Perkiraan situs kena hack sekitar bulan pertengah november lalu. Hal ini merupakan informasi yang sangat mencukupi bagi kami untuk memahami bahwa setidaknya hacker sudah memiliki akses admin di situs dan kami bisa melakukan analisis log sekitar bulan Desember awal sampai akhir.

2. Menganalisa raw log 

Tahap berikutnya kami tinggal download raw log di hostingnya kemudian analisis dengan bantuan spreadsheet editor dengan berbekal informasi IP yang mengakses dan melakukan filtering terhadap beberapa aktivitas janggal yang dilakukan oleh IP tersebut. Kami temukan ada beberapa pola akses secara langsung pada direct domain url yang semestinya tidak dilakukan oleh user yang umum. Kami menemukan ada akses yang menurut kami agak aneh pada salah satu url yang diakses oleh ip 74.40.14.103.
Mudah sekali jika seandainya tiap user itu memiliki ip statis dan tidak bisa dirubah. Hal ini tinggal diblok aja dengan menggunakan .htaccess untuk IP yang diatas. Namun benar hidup tidak sesimple itu. Tentu hacker ini menggunakan VPN atau menggunakan koneksi yang IPnya dinamis macam di indieho** yang menggunakan IP dinamis setiap ada konek – diskonek koneksi.

3. Mencari sumber masalah.

Setelah suspected kami kemudian login ke cpanel user untuk langsung ke TKP untuk memeriksa lebih lanjut atau olah TKP. Pada proses evaluasi ini kami menemukan bahwa situs ini telah dilakukan hack oleh oknum yang kami curigai dari rusia. Dibuktikan dengan adanya file email.php pada direktori wordpress yang menunjukkan isi konten berikut :

File tersebut tentu saja langsung kami hapus. Pada wp kami menemukan bahwa ada banyak komentar spam yang ada pada sistem komentar wordpress. Sepertinya klien ini tidak memasang anti spam komen pada wpnya. Ada sekitar 500 lebih komentar dilengkapi dengan backlink pada situs lain. Hasil raw log analisis juga membantu kami untuk melakukan rekam jejak sumber hack dan menemukan adanya plugin abal-abal pada folder plugins di wordpress.

Selanjutnya kami lakukan mitigasi dengan memasang email montoring dengan trigger perubahan integritas file dan login wp pada wp klien ini dan plugin keamanan dengan tujuan setiap proses aktivitas login tanpa adanya otorisasi user legitimate maka kami dapat segera mengetahui hal ini. Selain itu bonus juga biasanya kami berikan ke klien agar segala pekerjaan yang ditangani oleh tim kami memberikan hasil terbaik. Bonus ini berupa setup dan optimalisasi wordpress dan backup wp ke external drive sebagai langkah jaga-jaga jika ada file yang terhapus baik oleh technical issue maupun bisa disebabkan human error. Perlu waktu sekitar 12 jam dalam proses ini dan segera kami sampaikan ke klien kami dengan menyertakan report online kepadanya bahwa hasil kerja kami sudah selesai.

……namun

ternyata teror hack ini masih berlanjut. Klien kami tiba-tiba mengeluhkan bahwa situs yang telah dinyatakan selesai tersebut tidak bisa diakses kembali. Tim kami langsung gerak cepat untuk menganalisis ulang dan melakukan reinstall fresh terhadap wordpress yang telah ada di klien kami.

Setelah kami analisis pada database wordpress kami temukan bahwa ada dua user baru yang ditambahkan sebagai admin dengan ekstensi :

PiSh3r dan Beast3x

Awalnya kami kira situs ini merupakan single victim seperti yang biasa kami temui di banyak klien kami yang merupakan korban hack. Namun setelah kami lakukan log tepat pada saat kami menerima adanya login tidak wajar dengan user diatas kami menemukan hal yang aneh dan menarik :

Gambar 1 (user login dengan authentikasi dan langsung diarahkan ke halaman admin – login berhasil).

Terlihat pada gambar diatas bahwa user dengan ip yang kami berikan warna merah melakukan login dan langsung berhasil. Ini artinya user tersebut sudah memiliki akun yang sah dan tidak dilakukan bruteforce. Cerdiknya hacker ini melakukan edit pada tema (tema yang dibeli oleh klien kami original) dengan menginjeksi script uploader pada file 404.php . Kemudian setelah done dia menghapus plugin editor theme tersebut.

Terus kami lanjutkan dengan melakukan evaluasi terhadap log pada tanggal yang berbeda. Dan disini bagian yang paling menarik 

Akses yang dilakukan oleh hacker ini yang IP : 34.xxxx diatas tidak hanya bisa akses folder built in pada wp yakni wp-content yang biasa digunakan. Hacker ini bisa merangsek ke folder cPanel dan melakukan remote attack terhadap cpanel. Kami periksa dengan scanner ternyata ada satu folder plugins yang ditambahkan oleh hacker ini dengan nama hot-block plugin yang sebenarnya official tapi sudah diinjeksi dengan berbagai perlengkapan remote uploader dan watchdog.

Script hack yang digunakan setelah kami telusuri menggunakan file berikut : https://github.com/3xPr1nc3/3xbeast

Kami penasaran dan mencoba satu persatu tiap file yang ada di hot-block. Berikut beberapa file yang ada pada plugin tersebut :

File yang paling berbahaya adalah syma.php, dimana setelah kami jalankan aktivitas yang dilakukan oleh file ini adalah :
1. Injeksi file index.php dan menambahkan file about.php pada wp-admin
2. Menambahkan user baru dengan otorisasi admin pada setiap domain hosting dimana server yang telah kena hack. Alamak ternyata file syma.php ini menunjukkan korban-korban domain dan hosting yang sudah listed sebagai korban oleh hacker ini. Berikut saya blur saja sekitar 100an lebih situs yang kena hack dengan memanfaatkan kelemahan server ini.

Gambar korban2 situs hasil ternak / sheep hacker ini.

Bahkan hacker sendiri bisa akses webmail yang dimiliki oleh domain di hosting yang sama dengan bermodalkan banyak file yang folder hot-block tersebut.  Tim kami curiga bahwa hack ini tidak berasal dari vulnerability dari wp klien kami karena saat kami awal tinggalkan sudah clean. Kemudian berbekal dengan alamat2 yang kami peroleh pada file syma.php tersebut dan melakukan penelusuran terhadap dimana hosting master situs ini berada kami ternyata kecurigaan kami sangat terbukti. Beberapa domain yang kami cek kami temukan bahwa situs ini ada pada satu penyedia hosting yang sama :

(Maaf penyedia hosting kami samarkan).

Artinya yang menjadi asal muasal hack bukanlah situs klien kami, namun berasal dari server yang sudah ditanamkan script di salah satu hosting korban dan klien kami hanya rembesan dari situs yang kena hack tersebut. Di server ini bahkan kami temukan bahwa fitur cpanel untuk melakukan reset terhadap authentikasi diaktifkan, padahal fitur ini sangat rentan penyalahgunaan.

Temuan ini kami sampaikan ke klien kami dan kami sarankan untuk segera memindahkan ke penyedia server lain. Saat ini kami rekomendasikan untuk dipindahkan ke penyedia hosting Niagahoster mengingat ada fitur penting yang menurut kami wajib ada untuk keamanan server yakni adanya fitur premium Imunify360 dan sudah support SEO dengan adanya dukungan terhadap HTTP3 pada tiap paket hostingnya.  Silahkan order saja (dengan link affiliate) hosting ini disini : order hosting. Silahkan gunakan kupon a-sharesystem  untuk memperoleh potongan diskon paket hosting sebesar 5%. 

Setelah kami sampaikan secara detail klien tentu saja tanggap dengan rekomendasi kami dan memindahkan ke server yang kami sarankan. Sebagai tanggung jawab kami memberikan free migrasi ke tiap klien kami yang telah menggunakan jasa kami. Demikian juga dengan klien kami satu ini, setelah order selesai tidak berselang 1 hari proses migrasi selesai dengan masih kami lakukan monitoring. Bagi kami situs klien sangat penting karena menyangkut brand dan pintu rezeki  dan Alhamdulillah sampai hari ini tidak ada lagi keluhan hack dari klien kami ini sehingga kami senang sekali memperoleh review terbaik terhadap layanan kami dengan Mas Hanchandra ini :

Terimakasih Mas Han.
Jika pembaca perlu layanan optimalisasi wp, setting backup wp ke google drive dan perbaikan situs wp silahkan kontak kami saja tanpa ragu 🙂
✌️ 0823 5193 8878 (share-system.com)

1 thought on “Bagaimana mengatasi situs kena hack”

  1. hello,
    i’am haked and i have the same file ad repertoy lake Beast3x.
    please how can i protecte. somme anglish doc or any help

Leave a Comment

Your email address will not be published.