Spam Eksploitasi Wordpress Dreamhost
Hosting Impian menebar Spam
Artikel ini tidak dapat tercipta tanpa partisipasi dari anda semua. PT. Vaksincom berterimakasih kepada :
- Praditya Kasworo dan Harijanto Pribadi dari www.hts.net.id yang banyak membantu memberikan input dan analisa.
- Johana Sidharta yang berkenan memberikan akses atas akun Yahoonya untuk dianalisa oleh Vaksincom untuk membuktikan beberapa hipotesa.
Tunggu dulu ...... kalau masalahnya hanya sesimple ada celah keamanan di Word Press dan di eksploitasi oleh kriminal logikanya memang yang pusing adalah pihak hosting dan pengguna jasa hosting. Tetapi anda akan terkejut kalau kami informasikan bahwa hal inilah yang menyebabkan banjir spam yang melanda anda selama ini. Waduh .... kok celah keamanan di Word Press menyebabkan spam ? Bagaimana ceritanya ? Ingin tahu lebih jauh, silahkan ikuti artikel berikut ini.
Banjir spam dengan link yang mengandung "...../wp-content/themes/....
Jika anda memperhatikan trend spam dalam beberapa bulan terakhir, sebagian besar spam yang anda terima kemungkinan besar akan datang dalam link html yang mengandung unsur "/wp-content/themes/" dan dikirimkan dari email Yahoo. Apa hubungannya /wp-content/themes/ dengan Dreamhost ?.
/wp-content/themes/ adalah fasilitas yang mempermudah para pemilik situs awam yang ingin membuat situs yang menarik tetapi memiliki kemampuan web programming yang tinggi. Karena itu diberikan kemudahan dengan thema situs yang sudah siap pakai. Salah satunya adalah Timthumb, fasilitas membuat situs profesional di Wordpress dengna satu kali klik. Tetapi masalahnya Timthumb memiliki celah keamanan dan hal ini di eksploitasi oleh kriminal. Dreamhost bergerak cepat menambal celah keamanan tesebut pada tanggal 20 Januari 2012. Namun rupanya hal itu bukan akhir dari cerita eksploitasi Dreamhost, malahan memulai satu era baru eksploitasi yang mengakibatkan spam masif yang memusingkan seluruh administrator email dan pengguna email. Rupanya Dreamhost masih memberikan fasilitas "One Click Install" di luar dengan memberikan WordPress "One Click Install Deluxe" dengan memberikan ratusan thema (theme) baru dan hal ini tetap mengandung celah keamanan dan hal ini dimanfaatkan oleh kriminal yang "diduga" dari Rusia dengan gegap gempita menawarkan "Income tambahan dengan bekerja dari rumah" yang menurut pantauan Vaksincom dikelola dengan sangat profesional dan menarik guna mendapatkan kuntungan finansial dari korbannya.
Adapun Email Spam yang akan datang bentuknya adalah sebagai berikut : (lihat gambar 1)
Gambar 1, Email Spam yang dikirimkan dari aku Yahoo yang berhasil di hack
Ciri email spam yang mengandung eksploitasi celah keamanan di WordPress :
- From
- Subject : [kosong]
- Body
Hebatnya, spam ini dilakukan menggunakan email yang asli dan bukan memalsukan alamat email / sender. Menurut pantauan Vaksincom, 99 % email ini dikirimkan dari akun email Yahoo yang kemungkinan passwordnya berhasil ditebak / dicuri. Karena email tersebut dikirimkan dari alamat email yang sah, tentunya kemungkinan untuk dijalankan oleh penerimanya sangat besar. Dan pengiriman email ini dilakukan pada banyak alamat email yang diambil dari database email Yahoo yang berhasil dicuri tersebut.
Jika tautan tersebut di klik, ia akan menuju alamat yang diberikan dan setelah sampai di alamat tersebut yang telah dikuasai oleh kriminalyang telah menempatkan beberapa file tersembunyi (eg. php.ini) dan secara otomatis akan dialihkan / forward ke situs lain yang telah dipersiapkan (situs mencari penghasilan tambahan yang menggunakan domain Rusia).
(lihat gambar 2)
Gambar 2, Situs tipu-tipu domain Rusia yang telah dipersiapkan bagi pengklik Spam WordPress
Karena kode yang terkandung pada situs yang telah di eksploitasi sangat potensial untuk dimanfaatkan untuk kejahatan, G Data WebProtect secara otomatis mendeteksi situs tersebut berbahaya dan melakukan bloking supaya tidak menjadi korban penipuan yang jika diteruskan akan mengakibatkan kerugian finansial. Kode jahat yang terkandung pada situs yang telah di eksploitasi oleh kriminal tersebut di identifikasi sebagai Trojan.HTML.Agent.FE. (lihat gambar 3)
Gambar 3, G Data mendeteksi kode jahat yang disusupkan ke situs
Jika anda pernah mengklik tautan yang diberikan oleh Spam yang mengandung "/wp-content/themes/" kami sarankan anda untuk tidak melakukan transaksi di situs tersebut apapun janji yang diberikan oleh situs tersebut dan bagaimanapun meyakinkannya atau menggiurkannya tawaran yang diberikan. Hal ini sudah dikonfirmasikan sebagai malware "virtual-ad.org". Jika anda pernah memasukkan data kartu kredit anda, Vaksincom menyarankan anda untuk SEGERA menghubungi bank penerbit kartu kredit anda untuk memblokir kartu anda dari penyalahgunaan dan kalau bisa membatalkan transaksi yang telah dilakukan.
Jika anda merupakan pemilik situs WordPress yang telah di hack, anda dapat membersihkan situs anda dengan cara : (sumber sucuri.net)
- Login dengan FTP dan hapus file di "cgi-bin/php.ini".
- Jika anda memiliki akses SSH, jalankan perintah ini pada web root :
$ find ./ -name "*.php" -type f | xargs sed -i 's#<?php /\*\*/ eval(base64_decode("aWY.*?>##g
$ find ./ -name "*.php" -type f | xargs sed -i '/./,$!d' 2>&1
$ find ./ -name "*.php" -type f | xargs sed -i '/./,$!d' 2>&1
- Jika anda tidak memiliki akses SSH :
- Unduh file ini http://sucuri.net/malware/helpers/wordpress-fix_php.txt
- Ganti namanya menjadi wordpress-fix.php
- Upload ke web server anda pada root dan jalankan dengan mengetik http://alamatsitusanda.com/wordpress-fix.php.
sumber : vaksin[dot]com
0 comments:
Posting Komentar