Tanya tentang malware PHP Upload Exploit di wordpress

[Habibillah]

Saya dapat email notif dari hosting tempat saya nge-host wordpress

Our systems performed a routine malware/virus scan on your account and unfortunately located infected/malicious files. We've automatically moved the infected files(s) out of your public_html directory into a safe, quarantined directory. Below is the file our scanners were able to locate:

/home/jokobodo/public_html/jokobodo.com/wp-content/wp-acsesapps.php
(quarantined to /home/kinfected/cxsuser/wp-acsesapps.php.1522439518_1) Known exploit = [Fingerprint Match] [PHP Upload Exploit]
​

Untungnya hostingnya bisa detect. Saya coba minta file yang quarantine, karena filenya berektensi php mungkin saya bisa baca, tapi mereka gak bisa kasih. Tanya mereka apa yang bisa saya lakukan, mereka cuma bilang install ulang dan pastikan semuanya up to date.

Yang ingin saya tanyakan, bagaimana cara malware itu masukkan file ke tempat saya? ada yang tahu semacam CVE gitu untuk kasus saya diatas? saya cari gak ada info di google

 

[jaapns]

problem hacking ini mayoritas bukan dari core wordpressnya pak ... umumnya masuk via plugin dan themes, krn sudah tidak di develope terlalu lama

 

[reyhan]

nambahin juga, biasanya ini juga bisa masuk karena file yang di upload ke hosting memang sudah terinfeksi malware dari komputer yang dipakai.
kemudian badi sebagian user awam biasanya akan langsung komplain ke provider hosting dan dengan PDnya bilang "servermu tidak aman, banyak virusnya, blaa blaa" heumm

 

[Habibillah]

problem hacking ini mayoritas bukan dari core wordpressnya pak ... umumnya masuk via plugin dan themes, krn sudah tidak di develope terlalu lama

Iya saya mengerti tentang hal ini. masalahnya plugin dan theme yang saya pake plugin pupular, selalu uptodate, dan masih terus dikembangkan. masalanya lagi plugin yang mana? bagaimana cara tahunya plugin yang mana? mau saya download dan scan sendiri, flenya keburu dipindah sama hostingnya. saya minta contoh filenya yang di-quarantine via support, mereka gak bisa ngasih.

Monggo dilihat attachment untuk daftar plugin dan theme. Siapa tahu ada yang plugin mana yang bermasalah. Yang garis merah saya buat sendiri. yang lainnya saya kira plugin-plugin popular.

Terimakasih sebelumnya (y)

 

[Habibillah]

nambahin juga, biasanya ini juga bisa masuk karena file yang di upload ke hosting memang sudah terinfeksi malware dari komputer yang dipakai.
kemudian badi sebagian user awam biasanya akan langsung komplain ke provider hosting dan dengan PDnya bilang "servermu tidak aman, banyak virusnya, blaa blaa" heumm

Yup, tapi saya tidak upload file ke hosting. Saya install wordpress dari cpanel, pasang plugin dan theme dari halamaan admin wordpress, contentnya juga import dari woocommerce. tidak ada customasi macem-macem.

Sebenarnya website yang terinfeksi ini cuma website demo dari https://wordpress.org/plugins/woocommerce-fixed-quantity/. karena kasus ini, Websitenya sekarang saya nonaktifkan, mau saya kompare dengan installasi baru di lokal saya, takutnya ada yang inject script di dalamnya

 

[jaapns]

dari penjelasannya website terinfeksi dari woocommerce-fixed-quantity , ya berarti asal muasalnya dari situ

 

[Habibillah]

dari penjelasannya website terinfeksi dari woocommerce-fixed-quantity , ya berarti asal muasalnya dari situ

Eh, kok bisa kesimpulannya begitu? penjelasan saya yang mana hingga disimpulkan seperti itu ?

 

[jaapns]

lho anda sendiri yg menyimpulkan :
"
Sebenarnya website yang terinfeksi ini cuma website demo dari https://wordpress.org/plugins/woocommerce-fixed-quantity/. karena kasus ini, Websitenya sekarang saya nonaktifkan, mau saya kompare dengan installasi baru di lokal saya, takutnya ada yang inject script di dalamnya"

Eh, kok bisa kesimpulannya begitu? penjelasan saya yang mana hingga disimpulkan seperti itu ?

dikasi tau baik baik di bantuin analisis kok malah ngetawain .... kayak org ga punya etika ..

 

[reyhan]

/home/jokobodo/public_html/jokobodo.com/wp-content/wp-acsesapps.php
(quarantined to /home/kinfected/cxsuser/wp-acsesapps.php.1522439518_1) Known exploit = [Fingerprint Match] [PHP Upload Exploit]

informasi dari hoster juga sepertinya sudah jelas, silahkan cek directory itu. file yang diquaranti wp-acsesapps.php

 

[Habibillah]

lho anda sendiri yg menyimpulkan :
"
Sebenarnya website yang terinfeksi ini cuma website demo dari https://wordpress.org/plugins/woocommerce-fixed-quantity/. karena kasus ini, Websitenya sekarang saya nonaktifkan, mau saya kompare dengan installasi baru di lokal saya, takutnya ada yang inject script di dalamnya"



dikasi tau baik baik di bantuin analisis kok malah ngetawain .... kayak org ga punya etika ..

hehe, maaf kalo salah tafsir. Maksud saya, website yang terinfeksi ini adalah website demo dari plugin... bukan terinfeksi oleh plugin tersebut.

informasi dari hoster juga sepertinya sudah jelas, silahkan cek directory itu. file yang diquaranti wp-acsesapps.php

Iya, saya sudah tahu itu nama filenya. saya juga sudah mintah file tersebut ke hoster tapi tidak dikasih. Say juga sudah cari di folder saya file itu tidak ada. Asumsi saya dihapus otomatis dan dipindah ke quarantine folder milik hoster.

Oh ya, saya tidak menyalahkan hoster lho.. saya malah terimakasih sama hoster sudah sudah ngasih tahu kalau website saya terinfeksi.

Satu lagi, file wp-acsesapps.php tidak ada di plugin woocommerce-fixed-quantity