Feb 2, 2009
Silahkan Kunjungi Bloggingly! IFrame injection nya Sudah di Bersihkan :)
oleh Fikri
Health and Happiness by Tatiana Cardeal
Kemarin hari saya sempat menerbitkan himbauan agar rekan – rekan jangan mengunjungi bloggingly dulu karena seseorang melakukan menginjeksi Iframe yang mengarah kepada situs berbahaya pada bloggingly. Nah, dengan di publikasikannya tulisan ini, himbauan tersebut saya cabut. Sekarang, SILAHKAN KUNJUNGI BLOGGINGLY! Bloggingly sudah terbebas dari iFrame injection yang meresahkan! 
Oya, banyak terima kasih sekali kepada teman – teman yang mengingatkan, khususnya kepada Ihwanul Iman sang kepala suku Bandung Blog Village dan Ilman Akbar dari AyoNgeblog yang sedemikian care nya pada bloggingly. Saya termasuk orang yang percaya bahwa setiap perbuatan selalu menimbulkan akibat, dan perbuatan baik pasti menimbulkan akibat yang baik pula. Semoga Tuhan segera membalas perbuatan baik kalian dengan balasan yang JAUH LEBIH BESAR
Cara Membersihkan iFrame Injection
Siapa tahu ada yang terkena masalah sama seperti saya, ini dia cara menanganinya:
iframe adalah elemen HTML yang tugasnya meng-embed dokumen HTML di dalam dokumen HTML. Dalam kasus iFrame injection pada bloggingly, sepertinya pelaku menyelipkan script iFrame di bloggingly agar ketika seseorang mengunjungi bloggingly, secara otomatis halaman bloggingly mengembed dokumen HTML si penyisip yang entah berfungsi melakukan apa.
Cara menangani iframe injection ini mudah : Hapus saja script yang bertugas memanggil dokumen iFrame.
Masalahnya adalah : file mana yang disisipi script iFrame ini?
yang paling sederhana adalah file index.php theme yang sedang digunakan. Coba cek. Saya mengecek file index.php theme yang sedang aktif via DESIGN > THEME EDITOR dan ternyata memang benar file index.php theme yang sedang aktif disisipi. Biasanya ada di bagian paling bawah file, berupa tag php yang melakukan echo :
<?php echo"">
Setelah dihapus lalu di save file, coba cek kembali halaman front end blog. Jika script iFrame-nya masih ada, berarti ada satu file lagi yang diinject script iFrame : index.php yang berada di direktori public_html.
Untuk menangani hal ini, buka software FTP client anda, lalu login ke server anda. Masuk ke direktori public_html lalu pilih edit file.
File index.php akan terbuka dengan code editor default PC anda. Bandingkan dengan file index.php wordpress versi sama yang benar ( Download di wordpress.org ) . Hapus script yang berbeda, lalu close editor code dan upload lagi file index.php tersebut ke direktori public_html server anda.
That’s it.
Enjoy!
Dapatkan update harian bloggingly GRATIS di RSS Reader anda! Subscribe sekarang RSS FEED BLOGGINGLY !
Apa itu RSS? Kenali RSS di halaman ini
berlangganan via email:
Sipa bilang,
Mantep deh makin sering dateng kesini
on 02 Feb 2009 / 16:57
F bilang,
Sip, terima kasih y
on 03 Feb 2009 / 08:00
rudy bilang,
Jangan lupa ingatin saya. Itulah manfaatnya pertemanan, saling menjaga.
on 02 Feb 2009 / 18:46
F bilang,
Hehe, setuju sekali!
on 03 Feb 2009 / 08:00
rhakateza bilang,
wew, kok bisa sampe kena injeksi mas?
celahnya dimana? apakah dari input comment atau engine WP nya yg belum diupdate?
mohon sharing2 nya karena bloh saya pun pernah mengalami hal yang serupa.
terima kasih
on 02 Feb 2009 / 19:02
F bilang,
Belu m ketahuan celahnya, tapi setidaknya ada beberapa perkiraan saya :
Username default wordpress
Property file / directory nya memungkinkan untuk ditimpa / Editable. Seharusnya Read only
Nanti kalau sudah ketahuan celahnya Insya Allah saya posting di Bloggingly
on 03 Feb 2009 / 08:02
aminhers bilang,
Wah ada orang iseng rupanya, mudah2an kemungkinan kebocorannya cepat ketemu dan info jalan keluarnya di posting
trima kasih
on 09 Feb 2009 / 00:16
Ihwan bilang,
kesummon ^_^
Sama-sama Fikri, ikut seneng kalo bloggingly udah pulih lagi!
jaga terus biar tetap sehat
dan tips mengusir iFrame Injection di artikel ini saya bookmark, untuk jaga-jaga, di suatu saat nanti
on 09 Feb 2009 / 18:26
F bilang,
Hihi, kesummon linkback y?
Sama – sama wan, terima kasih sekali udah ngasih tahu kemarin
on 09 Feb 2009 / 19:04
Dyan Galih bilang,
Kalau masalah iframe, bukan file yang mengandung nama index aja yang kena. Tapi file yang mengandung nama default atau yang lainnya. Dan type filenya bisa php atau html. Cara lain penanganannya bisa liat di personal web punyaku. Yang jadi masalah bukan bagaimana cara menghilangkannya, tapi bagaimana cara menutup celahnya. Karena ada kemungkinan script itu balik lagi dalam beberapa hari kedepan(ini terjadi pada situs yang aku kelola). Sampai saat ini aku masih mencari celah yang memungkinkan script itu bisa masuk. Capek tiap minggu check, setelah tahu ada script injection harus execute perintah clean virusnya. Apa perlu di masukin ke cron jobs yach?
.
Kalau ada info mengenai hole tempat dimana virus ini menginjeksi, share dunks….tx
on 17 Feb 2009 / 05:00
Blog PlazaJawara bilang,
Saya juga kena, beberapa kali. Capek juga ngilangin terus. Sudah ubah2 password masih aja kena lagi-kena lagi. Sudah kontak hostnya juga sama aja mereka nggak ngerti. Tutorial yang dibikin Mas Galih cukup membantu, walau sampai sekarang saya nggak ngerti juga. Tapi bener Mas Galih, yang jadi masalah gimana kita nemuin celahnya. Soalnya dia bekerja di semua CMS, baik Joomla, WP, dll. Ayo lah sama2 nemuin celahnya di mana, soalnya takutnya di banned sama google nich gara2 virus gituan. Thanks
on 17 Mar 2009 / 08:53
imam bilang,
Barusan juga kena, kedetek ama avira
file index.php di /wp-admin juga kena
Coba nganlisa ech.. blm ketemu nich, lognya web gak lengkap.
on 27 Mar 2009 / 00:33
dhenk bilang,
pengalaman yang sama. cuma saya kena di joomla.
kalo buat remove semua, coba remove pake bash shell script.
untuk caranya saya rekomendasikan http://ujicoba.net/blog/?cat=3
untuk pencegahan WP, bisa menggunakan plugin yang di buat nazieb. untuk plugin dan cara penggunaan nya bisa di liat di http://www.nazieb.com/466/blocks-the-annoying-goooogleadsencebiz-iframe
untuk pengguna joomla, untuk melihat list file yang kena inject, bisa gunakan script yang dibuat diovo di http://www.diovo.com/2009/03/hidden-iframe-injection-attacks/
semua cara di atas sudah saya coba dan berhasl. dan sebelumnya saya juga sudah diskusi masalah ini sama mas fikri di facebook. Makasih mas atas tipsnya.
on 04 May 2009 / 11:45
Fikri bilang,
@Dhenk
waw, thnx untuk sharingnya Kang Dhenk!
on 04 May 2009 / 21:07
harry bilang,
he.. he.. nemu juga jawabnya. Makasih Sharingnya Fikri.
Begitu baca langsung comment,.. jadi lom sempat liat comment lainnya.
mudah-mudahan ada yang nulis cara antisipasinya. lanjut terus.
on 31 Jul 2009 / 18:45
okie wardoyo bilang,
Bagaimana bila yang terinfeksi itu ratusan bahkan ribuan,
masak kita harus menghapus code code injeksi satu per satu file secara manual?
on 24 Dec 2010 / 09:16