pharma attack di wordpress

Discussion in 'Web Hosting' started by BennyKusman, 15 Jun 2013.

Thread Status:
Not open for further replies.
  1. BennyKusman

    BennyKusman Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,234
    Likes Received:
    239
    Trophy Points:
    63
    hari ini saya scan accounts, melihat ada 2 account yang kena pharma attack.
    Detail mengenai pharma attack ada di: http://blog.aw-snap.info/2011/02/pharmacy-hack.html

    seyogyanya, attack ini ditargetkan untuk mengirimkan broadcast mail mengenai pharmacy yang pastinya kita pernah dapat emailnya.

    menurut saya, cara cek nya dengan execute command ini (karena mereka cek WSO version dulu) : grep -r "WSO_VERSION" /home/*/public_html/*

    yang saya liat, file2 yang terinjeksi lumayan banyak, mahal beberapa plugin kena delete sama mereka..

    source yang plugin yang vulnerable yang saya cek seperti akismet, tinyMCE, easy-table, hellodolly.

    ini menurut saya langkah2 nya (dari bacaaan dan penanggulanan saya)
    1. delete file yang kena injeksi
    2. cek file index.php yang punya permission 755
    3. cek template2 di wordpress, kadang mereka juga masuk lewat sana
    4. run command : grep -r "WSO_VERSION" /home/*/public_html/* dari ssh
    5. ganti password wordpress, cpanel, and mysql
    6. upgrade wordpress, dan kalau perlu upgrade plugin2 juga.


    kalau ada tambahan, monggo...
     
  2. dhyhost

    dhyhost Hosting Guru Web Hosting

    Messages:
    3,922
    Likes Received:
    612
    Trophy Points:
    113
    oke, terima kasih infonya :D
     
  3. rudydevianto

    rudydevianto Expert 2.0

    Messages:
    852
    Likes Received:
    55
    Trophy Points:
    28
    Pak, misal pengiriman email di set ke pemakaian tertentu misal 100 email, lalu misal terjadi kebobolan, WHM apa kirim alert bahwa pengiriman email melebihi batas yang sudah ditentukan?
     
  4. PusatHosting

    PusatHosting Hosting Guru Web Hosting

    Messages:
    3,333
    Likes Received:
    326
    Trophy Points:
    83
    Thanks pak, langsung pasang google alert saat ini
     
  5. BennyKusman

    BennyKusman Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,234
    Likes Received:
    239
    Trophy Points:
    63
    Yup pak.. alert itu bakal dikirim oleh lfd
     
  6. BennyKusman

    BennyKusman Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,234
    Likes Received:
    239
    Trophy Points:
    63
    sebagai tambahan, nama file yang saya liat selalu muncul seperti info.php atau tag.php
    saya juga baca2, ini bisa juga tersisipin di template wordpress, seperti yang saya liat di template twentytwelve
     
  7. andhi

    andhi Hosting Guru

    Messages:
    1,678
    Likes Received:
    132
    Trophy Points:
    63
    bukannya itu template bawaan dr wordpress ya ?
     
  8. BennyKusman

    BennyKusman Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,234
    Likes Received:
    239
    Trophy Points:
    63
    yup.. itu yang saya google2.. ada baiknya kalau template ga dipakai, dihapus aja.. twentyten, twentyevelen, dll
     
  9. james2ndcloud

    james2ndcloud Beginner 1.0

    Messages:
    19
    Likes Received:
    2
    Trophy Points:
    3
    thanks buat sharingnya om benny, sangat bermanfaat! kapan2 saya traktir teh-o om .. :)
     
  10. cloud3peace

    cloud3peace Poster 2.0

    Messages:
    161
    Likes Received:
    7
    Trophy Points:
    18
    thanks atas infonya mas.
    tetapi cara scannya bagaimana ya?
    apakah emang mesti pakai: site:www.yoursite.com (online|pharmacy|cialis|viagra|xanax) ???
    apakah ada tools gitu untuk scan semua file di server kita?
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...