Selamat Sore Kawan MM!
Berbagi sedikit pengalaman dari kasus dibobolnya server blog saya beberapa hari yang lalu, ada sedikit informasi tambahan. Mungkin bisa berguna bagi rekan sesama pengguna WordPress Self Hosted.
Hacker itu pintar dan bukan orang bodoh. Mereka akan selalu berusaha menyamarkan script perusaknya menyesuaikan sistem yang dipakai dan dalam bentuk yang terlihat biasa.
Server Lovely Bogor di Linode, via Cloudways Singapura tumbang karena ada dua script yang dimasukkan ke dalamnya. Keduanya inilah yang melakukan puluhan ribu request ke website luar dalam waktu singkat.
Hal itu memakan sumber daya server, seperti CPU dan Memory.
Nah, setelah ditelusuri dan bantuan dari staf provider, saya menyadari kalau ada dua nama yang terlihat biasa di mata awam, yaitu
- file berekstensi JPG
- file berekstensi PHP
JPG sendiri bukanlah file yang aneh dan biasa dipergunakan pada file image atau foto. Sedangkan, PHP adalah bahasa programming yang dipakai untuk membangun template WordPress.
Cuma, dalam kasus ini keduanya palsu. Sulit dibedakan dengan file-file yang biasa dipakai para blogger.
File JPG yang saya temukan bernama “as.jpg”. Terlihat tidak aneh, tetapi setelah dilihat, lokasi file itu berada yang aneh. File itu berada di folder “js”, yaitu folder khusus menempatkan javascript di WP.
Hanya ada satu JPG disana dan hal itu tidak seharusnya terjadi karena WP menempatkan file mayoritas sesuai kategorinya. JPG seharunya berkumpul dengan kawan-kawan sesama image JPG atau PNG, tetapi yang ini ada di bagian js.
Warnanya juga hijau. Bukan sesuatu yang normal dalam WordPress.
Ternyata file ini berisikan sebuah alamat berisikan kumpulan javascript di Github.
File ini tidak bekerja sendiri.
Ternyata ada satu kawannya. Bentuknya file PHP bernama “js.php”. Bahkan bagi yang biasa dengan WordPress pun sulit menyadari bahwa itu file tidak benar. Saya baru menyadarinya ketika membandingkan dengan blog lain, dimana file itu tidak ada.
Juga setelah diperhatikan dia bercokol di folder “js” yang khusus untuk file js (javascript) dan bukan di kelompok “php”. Aneh dan tidak semestinya.
Dan, kemudian berdasarkan data dari staf provider, terlihat file tersebut mengeksekusi file “as.jpg”.
Jadi, menghilangkan satu saja, masih berakibat CPU atau Memory tetap bekerja.
Barulah ketika keduanya dibuang, server bergerak ke normal.
Jadi, keduanya adalah penyelusup dengan kamuflase yang sangat baik ke dalam sistem dan kemudian merusak.
Itulah juga alasan mengapa saya memutuskan pindah server karena sulit sekali mengenali semua file jpg atau php palsu dan memisahkannya dari yang benar-benar dibutuhkan.
Nah, kira-kira begitulah mengapa server Lovely Bogor tumbang. Ada dua file JPG dan PHP yang menyelusup dengan kamuflase yang bagus sekali ke dalam sistem.
Jadi, jangan remehkan hacker karena mereka sudah pasti orang pandai. Buktinya bisa membuat script seperti itu , menyamarkannya supaya tidak terlihat, dan kemudian merusak.
Terakhir. Jangan lupa backup blog Anda. Luangkan waktu sedikit setiap hari untuk membuat cadangan untuk berjaga-jaga.Karena, masalah saya selesai karena adanya backup.
makasih mas anton sudah mengingatkan. Ini saya langsung terrjun ke TKP untuk melakukan backup seluruh website wp sy ke penyedia jasa domain dan hosting. Ternyata betul ya penting banget backup data, biar lebih aman dan tidak menyesal jika seandainya ada hacker yang jahil. Oya mas, saya punya masalah juga terkait hosting sy yang sering overload dan error. Seperti cepet bener penggunaan resoucesnya. Baiknya gimana ya? thanks.
Memang backup itu penting sekali mas.. jangan diabaikan. Memang kadang males, tapi demi kebaikan diri sendiri.
Soal server yang sering overload itu bisa macam-macam mas penyebabnya. Salah satunya adalah plugin yang dipakai, semakin banyak, semakin makan sumder daya, memory dan cpu. Kalau pengunjung sedikit sih tidak terasa, tapi kalau banyak ya pasti akan sering overload.
Kedua itu iklan. Jangan dipandang iklan tidak makan resource ya mas, karena script yang terpasang akan memanggil data dari pihak luar. Semakin banyak, berarti requestnya juga makin banyak pula. Kalikan dengan jumlah pengunjung dan hasilnya bisa saja hosting mas overload atau error karena kehabisan sumber daya.
Coba cek ulang plugin dan iklan mas.. juga image dan berbagai elemen websitenya mas…Juga perhatikan kapasitasnya, apakah memang sesuai dengan trafik mas. Juga kalau shared hosting kan berbagi dengan website lain, jadi bisa juga disebabkan website lain yang trafiknya banyak dan karena harus berbagi, blog mas tidak kebagian resource saat diklik.
Itu juga alasan saya pindah ke managed VPS mas karena waktu itu sering banget error dan down. Jadi saya pindahkan ke server yang lebih leluasa
Waduh, malah saya sering upload file jpg ke blogger pak buat gambar, soalnya postingan kalo tidak ada gambar itu kurang enak, bagaikan sayur tanpa garam, bagaikan Si Doel tanpa Mandra. Bagaikan pak Anton tanpa…
Tanpa apa ya, saya bingung nulisnya.😂
Ternyata hacker pintar ya, ubah file javascript jadi jpg dan PHP. Cuma pertanyaan nya adalah siapa yang memasukkan file tersebut ke server pak Anton? Apa mungkin mereka lewat pintu belakang ya.
Oeee.. hahaha kalau jpg biasa dan ada gambarnya mah gpp..
Kalau nggak pinter nggak jadi hacker .. hahaha
Biasanya sih lewat plugin yang kurang diupdate mas
Masuknya lewat pintu depan malah.. hahahaha