Jenis infeksi perangkat lunak perusak: Konfigurasi server

Apa yang dimaksud jika ada URL dengan jenis infeksi perangkat lunak perusak "Konfigurasi server" di Search Console?

Artinya peretas telah menyusupi situs Anda dan mengalihkan pengunjung dari situs Anda yang bagus ke situs serangan perangkat lunak perusak milik mereka, kemungkinan dengan cara memodifikasi file konfigurasi server Anda. File konfigurasi server biasanya memungkinkan administrator situs menentukan pengalihan URL untuk laman tertentu atau direktori di situs web. Misalnya, di server Apache, ini adalah file .htaccess serta httpd.conf.

Untuk informasi umum selengkapnya tentang situs yang disusupi untuk menyebarkan perangkat lunak perusak, lihat Menaksir kerusakan (diretas dengan perangkat lunak perusak).

Bagaimana cara memaatikan perilaku pengalihan dari jenis perangkat lunak perusak "Konfigurasi server"?

Pertama, jangan menggunakan browser untuk melihat laman yang terinfeksi pada situs Anda. Karena perangkat lunak perusak sering kali menyebar dengan memanfaatkan kerentanan browser, membuka laman yang terinfeksi perangkat lunak perusak di browser dapat merusak komputer Anda.

Pertimbangkan untuk mengonfirmasi perilaku tersebut menggunakan cURL atau Wget untuk melakukan permintaan HTTP (misalnya, untuk mengambil laman). Alat yang tersedia secara gratis ini sangat berguna dalam mendiagnosis pengalihan, dan memiliki fleksibilitas untuk menyertakan informasi perujuk atau user-agent. Dengan menyajikan konten berbahaya hanya kepada pengguna dengan perujuk atau user-agent tertentu, peretas dapat menargetkan "orang nyata" lainnya dan lebih lihai dalam menghindari deteksi dari pemilik situs dan pemindai perangkat lunak perusak. (Situs Anda harus online agar dapat menggunakan alat ini.) Misalnya:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, seperti Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
seperti
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, seperti Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
Jadi, mengambil laman yang berisi infeksi jenis "konfigurasi server" dapat memunculkan header berikut:
...
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

Bagaimana cara membersihkan situs saya dari jenis perangkat lunak perusak "konfigurasi server"?

Masuklah ke server Anda melalui shell/akses terminal (situs boleh offline, jika diinginkan) dan tinjaulah file konfigurasi server yang relevan. Mungkin ada lebih dari satu file konfigurasi server di situs Anda yang dimodifikasi oleh peretas. Periksa file tersebut untuk melihat apakah ada perintah yang tak diinginkan, seperti pengalihan, tempat peretas dapat mengonfigurasi situs Anda agar mengalihkan ke situs serangan perangkat lunak perusak yang tak dikenal. Contohnya, di .htaccess:

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
Selain itu:
  • Pastikan Anda memeriksa seluruh file untuk berjaga-jaga jika peretas menambahkan kode mereka pada bagian akhir file yang mudah terlewatkan.
  • Selidiki adanya kemungkinan penjadwalan tugas yang dibuat oleh peretas yang dirancang untuk terus-menerus memperbarui file .htaccess. Penjadwalan tugas dapat tercantum di beberapa lokasi, termasuk /etc/crontab (serta sejumlah direktori /etc/cron*) dan /var/spool/cron.

Jika telah siap membersihkan situs, Anda dapat mengganti file konfigurasi server dengan cadangan terakhir yang kondisinya baik atau menghapus kode yang tak diinginkan di file yang sudah ada. Pastikan untuk memulai ulang server web jika perlu melakukannya agar file konfigurasi baru dapat aktif.

Menghapus jenis perangkat lunak perusak "konfigurasi server" berguna untuk memulihkan situs yang diretas, namun tidak mengatasi akar penyebab kerentanan yang memungkinkan peretas menyusupi situs Anda (dan bagaimana mereka dapat mengulanginya). Untuk informasi selengkapnya tentang pembersihan seluruh situs, lihat topik Diretas dengan perangkat lunak perusak di dokumentasi pemulihan peretasan.

Apakah artikel ini membantu?
Bagaimana cara meningkatkannya?