pharma attack di wordpress

BennyKusman · 15 Jun 2013

hari ini saya scan accounts, melihat ada 2 account yang kena pharma attack.
Detail mengenai pharma attack ada di: http://blog.aw-snap.info/2011/02/pharmacy-hack.html

seyogyanya, attack ini ditargetkan untuk mengirimkan broadcast mail mengenai pharmacy yang pastinya kita pernah dapat emailnya.

menurut saya, cara cek nya dengan execute command ini (karena mereka cek WSO version dulu) : grep -r "WSO_VERSION" /home/*/public_html/*

yang saya liat, file2 yang terinjeksi lumayan banyak, mahal beberapa plugin kena delete sama mereka..

source yang plugin yang vulnerable yang saya cek seperti akismet, tinyMCE, easy-table, hellodolly.

ini menurut saya langkah2 nya (dari bacaaan dan penanggulanan saya)
1. delete file yang kena injeksi
2. cek file index.php yang punya permission 755
3. cek template2 di wordpress, kadang mereka juga masuk lewat sana
4. run command : grep -r "WSO_VERSION" /home/*/public_html/* dari ssh
5. ganti password wordpress, cpanel, and mysql
6. upgrade wordpress, dan kalau perlu upgrade plugin2 juga.

kalau ada tambahan, monggo...

dhyhost · 15 Jun 2013

oke, terima kasih infonya

rudydevianto · 15 Jun 2013

BennyKusman said:
hari ini saya scan accounts, melihat ada 2 account yang kena pharma attack.
Detail mengenai pharma attack ada di: http://blog.aw-snap.info/2011/02/pharmacy-hack.html

seyogyanya, attack ini ditargetkan untuk mengirimkan broadcast mail mengenai pharmacy yang pastinya kita pernah dapat emailnya.

menurut saya, cara cek nya dengan execute command ini (karena mereka cek WSO version dulu) : grep -r "WSO_VERSION" /home/*/public_html/*

yang saya liat, file2 yang terinjeksi lumayan banyak, mahal beberapa plugin kena delete sama mereka..

source yang plugin yang vulnerable yang saya cek seperti akismet, tinyMCE, easy-table, hellodolly.

ini menurut saya langkah2 nya (dari bacaaan dan penanggulanan saya)
1. delete file yang kena injeksi
2. cek file index.php yang punya permission 755
3. cek template2 di wordpress, kadang mereka juga masuk lewat sana
4. run command : grep -r "WSO_VERSION" /home/*/public_html/* dari ssh
5. ganti password wordpress, cpanel, and mysql
6. upgrade wordpress, dan kalau perlu upgrade plugin2 juga.

kalau ada tambahan, monggo...

Pak, misal pengiriman email di set ke pemakaian tertentu misal 100 email, lalu misal terjadi kebobolan, WHM apa kirim alert bahwa pengiriman email melebihi batas yang sudah ditentukan?

PusatHosting · 15 Jun 2013

Thanks pak, langsung pasang google alert saat ini

BennyKusman · 15 Jun 2013

rudydevianto said:
Pak, misal pengiriman email di set ke pemakaian tertentu misal 100 email, lalu misal terjadi kebobolan, WHM apa kirim alert bahwa pengiriman email melebihi batas yang sudah ditentukan?

Yup pak.. alert itu bakal dikirim oleh lfd

BennyKusman · 15 Jun 2013

BennyKusman said:
hari ini saya scan accounts, melihat ada 2 account yang kena pharma attack.
Detail mengenai pharma attack ada di: http://blog.aw-snap.info/2011/02/pharmacy-hack.html

seyogyanya, attack ini ditargetkan untuk mengirimkan broadcast mail mengenai pharmacy yang pastinya kita pernah dapat emailnya.

menurut saya, cara cek nya dengan execute command ini (karena mereka cek WSO version dulu) : grep -r "WSO_VERSION" /home/*/public_html/*

yang saya liat, file2 yang terinjeksi lumayan banyak, mahal beberapa plugin kena delete sama mereka..

source yang plugin yang vulnerable yang saya cek seperti akismet, tinyMCE, easy-table, hellodolly.

ini menurut saya langkah2 nya (dari bacaaan dan penanggulanan saya)
1. delete file yang kena injeksi
2. cek file index.php yang punya permission 755
3. cek template2 di wordpress, kadang mereka juga masuk lewat sana
4. run command : grep -r "WSO_VERSION" /home/*/public_html/* dari ssh
5. ganti password wordpress, cpanel, and mysql
6. upgrade wordpress, dan kalau perlu upgrade plugin2 juga.

kalau ada tambahan, monggo...

sebagai tambahan, nama file yang saya liat selalu muncul seperti info.php atau tag.php
saya juga baca2, ini bisa juga tersisipin di template wordpress, seperti yang saya liat di template twentytwelve

andhi · 15 Jun 2013

BennyKusman said:
sebagai tambahan, nama file yang saya liat selalu muncul seperti info.php atau tag.php
saya juga baca2, ini bisa juga tersisipin di template wordpress, seperti yang saya liat di template twentytwelve

bukannya itu template bawaan dr wordpress ya ?

BennyKusman · 15 Jun 2013

andhi said:
bukannya itu template bawaan dr wordpress ya ?

yup.. itu yang saya google2.. ada baiknya kalau template ga dipakai, dihapus aja.. twentyten, twentyevelen, dll

james2ndcloud · 15 Jun 2013

thanks buat sharingnya om benny, sangat bermanfaat! kapan2 saya traktir teh-o om ..

cloud3peace · 16 Jun 2013

thanks atas infonya mas.
tetapi cara scannya bagaimana ya?
apakah emang mesti pakai: site:www.yoursite.com (online|pharmacy|cialis|viagra|xanax) ???
apakah ada tools gitu untuk scan semua file di server kita?

pharma attack di wordpress

BennyKusman

Hosting Guru

dhyhost

Web Hosting Service

rudydevianto

Expert 2.0

PusatHosting

Hosting Guru

BennyKusman

Hosting Guru

BennyKusman

Hosting Guru

andhi

Hosting Guru

BennyKusman

Hosting Guru

james2ndcloud

Beginner 1.0

cloud3peace

Poster 2.0