pharma attack di wordpress


Status
Not open for further replies.
BennyKusman

BennyKusman

Hosting Guru
Verified Provider
hari ini saya scan accounts, melihat ada 2 account yang kena pharma attack.
Detail mengenai pharma attack ada di: http://blog.aw-snap.info/2011/02/pharmacy-hack.html

seyogyanya, attack ini ditargetkan untuk mengirimkan broadcast mail mengenai pharmacy yang pastinya kita pernah dapat emailnya.

menurut saya, cara cek nya dengan execute command ini (karena mereka cek WSO version dulu) : grep -r "WSO_VERSION" /home/*/public_html/*

yang saya liat, file2 yang terinjeksi lumayan banyak, mahal beberapa plugin kena delete sama mereka..

source yang plugin yang vulnerable yang saya cek seperti akismet, tinyMCE, easy-table, hellodolly.

ini menurut saya langkah2 nya (dari bacaaan dan penanggulanan saya)
1. delete file yang kena injeksi
2. cek file index.php yang punya permission 755
3. cek template2 di wordpress, kadang mereka juga masuk lewat sana
4. run command : grep -r "WSO_VERSION" /home/*/public_html/* dari ssh
5. ganti password wordpress, cpanel, and mysql
6. upgrade wordpress, dan kalau perlu upgrade plugin2 juga.


kalau ada tambahan, monggo...
 
dhyhost

dhyhost

Web Hosting Service
The Warrior
Verified Provider
oke, terima kasih infonya :D
 
rudydevianto

rudydevianto

Expert 2.0
BennyKusman said:
hari ini saya scan accounts, melihat ada 2 account yang kena pharma attack.
Detail mengenai pharma attack ada di: http://blog.aw-snap.info/2011/02/pharmacy-hack.html

seyogyanya, attack ini ditargetkan untuk mengirimkan broadcast mail mengenai pharmacy yang pastinya kita pernah dapat emailnya.

menurut saya, cara cek nya dengan execute command ini (karena mereka cek WSO version dulu) : grep -r "WSO_VERSION" /home/*/public_html/*

yang saya liat, file2 yang terinjeksi lumayan banyak, mahal beberapa plugin kena delete sama mereka..

source yang plugin yang vulnerable yang saya cek seperti akismet, tinyMCE, easy-table, hellodolly.

ini menurut saya langkah2 nya (dari bacaaan dan penanggulanan saya)
1. delete file yang kena injeksi
2. cek file index.php yang punya permission 755
3. cek template2 di wordpress, kadang mereka juga masuk lewat sana
4. run command : grep -r "WSO_VERSION" /home/*/public_html/* dari ssh
5. ganti password wordpress, cpanel, and mysql
6. upgrade wordpress, dan kalau perlu upgrade plugin2 juga.


kalau ada tambahan, monggo...
Click to expand...

Pak, misal pengiriman email di set ke pemakaian tertentu misal 100 email, lalu misal terjadi kebobolan, WHM apa kirim alert bahwa pengiriman email melebihi batas yang sudah ditentukan?
 
BennyKusman

BennyKusman

Hosting Guru
Verified Provider
rudydevianto said:
Pak, misal pengiriman email di set ke pemakaian tertentu misal 100 email, lalu misal terjadi kebobolan, WHM apa kirim alert bahwa pengiriman email melebihi batas yang sudah ditentukan?
Click to expand...

Yup pak.. alert itu bakal dikirim oleh lfd
 
BennyKusman

BennyKusman

Hosting Guru
Verified Provider
BennyKusman said:
hari ini saya scan accounts, melihat ada 2 account yang kena pharma attack.
Detail mengenai pharma attack ada di: http://blog.aw-snap.info/2011/02/pharmacy-hack.html

seyogyanya, attack ini ditargetkan untuk mengirimkan broadcast mail mengenai pharmacy yang pastinya kita pernah dapat emailnya.

menurut saya, cara cek nya dengan execute command ini (karena mereka cek WSO version dulu) : grep -r "WSO_VERSION" /home/*/public_html/*

yang saya liat, file2 yang terinjeksi lumayan banyak, mahal beberapa plugin kena delete sama mereka..

source yang plugin yang vulnerable yang saya cek seperti akismet, tinyMCE, easy-table, hellodolly.

ini menurut saya langkah2 nya (dari bacaaan dan penanggulanan saya)
1. delete file yang kena injeksi
2. cek file index.php yang punya permission 755
3. cek template2 di wordpress, kadang mereka juga masuk lewat sana
4. run command : grep -r "WSO_VERSION" /home/*/public_html/* dari ssh
5. ganti password wordpress, cpanel, and mysql
6. upgrade wordpress, dan kalau perlu upgrade plugin2 juga.


kalau ada tambahan, monggo...
Click to expand...

sebagai tambahan, nama file yang saya liat selalu muncul seperti info.php atau tag.php
saya juga baca2, ini bisa juga tersisipin di template wordpress, seperti yang saya liat di template twentytwelve
 
andhi

andhi

Hosting Guru
BennyKusman said:
sebagai tambahan, nama file yang saya liat selalu muncul seperti info.php atau tag.php
saya juga baca2, ini bisa juga tersisipin di template wordpress, seperti yang saya liat di template twentytwelve
Click to expand...

bukannya itu template bawaan dr wordpress ya ?
 
BennyKusman

BennyKusman

Hosting Guru
Verified Provider
andhi said:
bukannya itu template bawaan dr wordpress ya ?
Click to expand...

yup.. itu yang saya google2.. ada baiknya kalau template ga dipakai, dihapus aja.. twentyten, twentyevelen, dll
 
james2ndcloud

james2ndcloud

Beginner 1.0
thanks buat sharingnya om benny, sangat bermanfaat! kapan2 saya traktir teh-o om .. :)
 
cloud3peace

cloud3peace

Poster 2.0
thanks atas infonya mas.
tetapi cara scannya bagaimana ya?
apakah emang mesti pakai: site:www.yoursite.com (online|pharmacy|cialis|viagra|xanax) ???
apakah ada tools gitu untuk scan semua file di server kita?
 
Status
Not open for further replies.

Top