![galih[at]gmail.com status](http://www.IMStatusCheck.com/status/gtalk/galih.xp@gmail.com?img_on=http://www.imstatuscheck.com/images/icon_online.png&img_off=http://www.imstatuscheck.com/images/icon_offline.png&img_idle=http://www.imstatuscheck.com/images/icon_idle.png "galih[at]gmail.com"){kind=icon}
Malware 3e0.ru
Write @ Wednesday, 02 September 2009 15:40
Written by Galih
Last Updated @ Wednesday, 02 September 2009 15:42
Kian hari kian banyak variannya. Atau cuman aku aja yang kuper. Hehehe. Terlalu keasikan ngetik-ngetik sampai keriting seh...makanya info-info pirus jarang tahu...Ini juga berawal dari salah seorang rekan di dunia maya ngadu. Si gesha_art kalo ga salah.
Katanya situsnya kena virus dengan dengan nama http://3e0.ru. Dah di del berkali-kali, esok harinya muncul lagi. Di del lagi...muncul lagi. Sampai katanya rehosting segala apa yach.
*Nggak di format sekalian aja tuh hostingnya....wakakaka.....
Emang seh..virus ini tergolong bandel. Soalnya bingung juga...kok bisa sih mengedit file. Aku kira hole di webnya. Karena salah coding atu apa gitu. Eh, ga tahunya si gesha_art bilang ama aku kalau semua webnya tuh html semua. *Gubrak. Secara logika kalau html semua dan itu hosting barusan di create ulang, ga mungkin lah bisa edit file.
Aku berfikir itu mungkin rootnya yang kena. Pan yang memiliki hak akses bisa kemanapun adalah si pemilik mesin. Jadi enak aja kalau dia mau edit2. Atau bisa dicheck di cront tab nya kali yach. Sapa tahu si virus dah nanam script untuk jalanin perintah inject ke beberapa file dengan nama yang memiliki inisial index, default dll. Ga peduli html, php atau yang lain.
Setelah beberapa hari si gesha_art curhat saling debat, saling jotos, dan saling gebug. *serem amat. Dan setelah melakukan beberapa ekperiment yang gagal, akhirnya menemukan salah satu solusi yang tepat. Solusi ini bisa di pake untuk file yang terkena injection adalah file dengan extensi .html atau htm
caranya:
Ganti extensinya dengan .php kemudian di atas tag </html> ditambah beberapa script. Antara lain:
</html>
<?php exit; ?>
dan tag </html> yang berada diatas script firus di biarkan saja. Ini buat menipu si virus. Karena sivirus akan mencari baris terakhir dibawah </html> terus diganti dengan script frame nya. Dan script virus <frame> bla..bla..bla dibiarkan saja. Karena virus juga akan ngecheck apakah dirinya sudah inject atau belum. Kalau belum biasanya bakal nginject.
Dan beberapa hari setelah melakukan percobaan terakhir dengan harap-harap cemas, akhirnya berhasil membuat sivirus tertidur pulas. Kenapa bisa begitu.
Sebenarnya sivirus masih ada di page yang di eksekusi oleh apache. Tapi karena disitu ada scrpt php yang memerintahkan exit atau berhenti. Maka si Apache tidak melanjutkan mengeksekusi perintah-perintah selanjutnya.
Begitu ceritanya...met bobok yach.
Tx to gesha_art untuk penambahan ilmunya. Semoga sukses bro.
Katanya situsnya kena virus dengan dengan nama http://3e0.ru. Dah di del berkali-kali, esok harinya muncul lagi. Di del lagi...muncul lagi. Sampai katanya rehosting segala apa yach.
*Nggak di format sekalian aja tuh hostingnya....wakakaka.....
Emang seh..virus ini tergolong bandel. Soalnya bingung juga...kok bisa sih mengedit file. Aku kira hole di webnya. Karena salah coding atu apa gitu. Eh, ga tahunya si gesha_art bilang ama aku kalau semua webnya tuh html semua. *Gubrak. Secara logika kalau html semua dan itu hosting barusan di create ulang, ga mungkin lah bisa edit file.
Aku berfikir itu mungkin rootnya yang kena. Pan yang memiliki hak akses bisa kemanapun adalah si pemilik mesin. Jadi enak aja kalau dia mau edit2. Atau bisa dicheck di cront tab nya kali yach. Sapa tahu si virus dah nanam script untuk jalanin perintah inject ke beberapa file dengan nama yang memiliki inisial index, default dll. Ga peduli html, php atau yang lain.
Setelah beberapa hari si gesha_art curhat saling debat, saling jotos, dan saling gebug. *serem amat. Dan setelah melakukan beberapa ekperiment yang gagal, akhirnya menemukan salah satu solusi yang tepat. Solusi ini bisa di pake untuk file yang terkena injection adalah file dengan extensi .html atau htm
caranya:
Ganti extensinya dengan .php kemudian di atas tag </html> ditambah beberapa script. Antara lain:
</html>
<?php exit; ?>
dan tag </html> yang berada diatas script firus di biarkan saja. Ini buat menipu si virus. Karena sivirus akan mencari baris terakhir dibawah </html> terus diganti dengan script frame nya. Dan script virus <frame> bla..bla..bla dibiarkan saja. Karena virus juga akan ngecheck apakah dirinya sudah inject atau belum. Kalau belum biasanya bakal nginject.
Dan beberapa hari setelah melakukan percobaan terakhir dengan harap-harap cemas, akhirnya berhasil membuat sivirus tertidur pulas. Kenapa bisa begitu.
Sebenarnya sivirus masih ada di page yang di eksekusi oleh apache. Tapi karena disitu ada scrpt php yang memerintahkan exit atau berhenti. Maka si Apache tidak melanjutkan mengeksekusi perintah-perintah selanjutnya.
Begitu ceritanya...met bobok yach.
Tx to gesha_art untuk penambahan ilmunya. Semoga sukses bro.
Archives:
Links:
ShoutBox:
Links:
- Agung Nugroho
- Akhsan
- Amik Kartika Yani
- Boeajatampan
- Budi Dwija Putra
- Choirul
- Dewa
- Homemade nya Putria
- Lina
- Note de Mono
- PT. Gamatechno Indonesia
- Rini Blog
- Roby A
- Shofiq Sulaiman
- tantos
- Yasmara
ShoutBox:
copyright @ 2008 All right reserved
::Powered by Dreamwork.web.id::
MJFramework 2 Beta
::Powered by Dreamwork.web.id::
MJFramework 2 Beta