» WordPress SPAM, /wp-content/ themes/
25 Juni 2012
Artikel ini tidak dapat tercipta tanpa partisipasi dari anda semua. PT. Vaksincom berterimakasih kepada :
- Praditya Kasworo dan Harijanto Pribadi dari www.hts.net.id yang banyak membantu memberikan input dan analisa.
- Johana Sidharta yang berkenan memberikan akses atas akun Yahoonya untuk dianalisa oleh Vaksincom untuk membuktikan beberapa hipotesa.
Globalisasi merupakan fenomena yang tidak dapat disangkal merupakan hal yang mempengaruhi perubahan dunia dalam dua dekade terakhir. Dan internet merupakan salah satu faktor penunjang terjadinya globalisasi. Kalau dulu komunikasi ke luar negeri merupakan suatu hal yang mewah dan mahal, dengan internet bukan saja komunikasi menjadi hal yang murah dan penurunan biaya komunikasi mencapai lebih dari 90 %, tetapi internet juga mengakibatkan terjadinya revolusi dalam cara kita berkomunikasi, meningkatkan produktivitas dan efisiensi kerja serta menekan biaya. Dengan adanya internet kini orang tidak dapat memonopoli dan memanipulasi informasi dan informasi makin cepat sampai kepada kita, selain itu internet juga menghilangkan biaya distribusi yang tidak perlu dimana produsen bisa langsung berhubungan dengan konsumen sehingga terjadi pengurangan biaya distribusi yang tidak perlu (pengurangan inefisiensi). Namun, di samping hal positif tersebut di atas, internet juga memberikan dampak negatif. Salah satunya adalah penyebaran kejahatan internet yang juga mengikuti era globalisasi dan sekalipun kejahatan internet dilakukan oleh sekelompok kriminal di ujung dunia sana, tetapi kita di Indonesia dan siapapun di dunia ini yang terhubung ke internet akan terkena dampaknya. Salah satu kasus yang cukup menggemparkan di awal tahun 2012 adalah Dreamhost, salah satu web hosting besar di Amerika, yang karena keteledorannya atau keteledoran usernya (baik secara langsung maupun tidak langsung) mengakibatkan jutaan akun hostingnya yang menggunakan Word Press berhasil di eksploitasi oleh group kriminal dari Rusia. Tentunya anda bertanya, lha ..... itu kan hosting di Amerika dan dieksploitasi oleh orang Rusia. Apa hubungannya dengan kita di Indonesia atau orang lain di seluruh dunia ? Paling kalau ada orang Indonesia yang hosting di Dreamhost baru perlu kuatir dengan hal ini.
Tunggu dulu ...... kalau masalahnya hanya sesimple ada celah keamanan di Word Press dan di eksploitasi oleh kriminal logikanya memang yang pusing adalah pihak hosting dan pengguna jasa hosting. Tetapi anda akan terkejut kalau kami informasikan bahwa hal inilah yang menyebabkan banjir spam yang melanda anda selama ini. Waduh .... kok celah keamanan di Word Press menyebabkan spam ? Bagaimana ceritanya ? Ingin tahu lebih jauh, silahkan ikuti artikel berikut ini.
Banjir spam dengan link yang mengandung "...../wp-content/themes/....
Jika anda memperhatikan trend spam dalam beberapa bulan terakhir, sebagian besar spam yang anda terima kemungkinan besar akan datang dalam link html yang mengandung unsur "/wp-content/themes/" dan dikirimkan dari email Yahoo. Apa hubungannya /wp-content/themes/ dengan Dreamhost ?.
/wp-content/themes/ adalah fasilitas yang mempermudah para pemilik situs awam yang ingin membuat situs yang menarik tetapi memiliki kemampuan web programming yang tinggi. Karena itu diberikan kemudahan dengan thema situs yang sudah siap pakai. Salah satunya adalah Timthumb, fasilitas membuat situs profesional di Wordpress dengna satu kali klik. Tetapi masalahnya Timthumb memiliki celah keamanan dan hal ini di eksploitasi oleh kriminal. Dreamhost bergerak cepat menambal celah keamanan tesebut pada tanggal 20 Januari 2012. Namun rupanya hal itu bukan akhir dari cerita eksploitasi Dreamhost, malahan memulai satu era baru eksploitasi yang mengakibatkan spam masif yang memusingkan seluruh administrator email dan pengguna email. Rupanya Dreamhost masih memberikan fasilitas "One Click Install" di luar dengan memberikan WordPress "One Click Install Deluxe" dengan memberikan ratusan thema (theme) baru dan hal ini tetap mengandung celah keamanan dan hal ini dimanfaatkan oleh kriminal yang "diduga" dari Rusia dengan gegap gempita menawarkan "Income tambahan dengan bekerja dari rumah" yang menurut pantauan Vaksincom dikelola dengan sangat profesional dan menarik guna mendapatkan kuntungan finansial dari korbannya.
Adapun Email Spam yang akan datang bentuknya adalah sebagai berikut : (lihat gambar 1)
Gambar 1, Email Spam yang dikirimkan dari aku Yahoo yang berhasil di hack |
Ciri email spam yang mengandung eksploitasi celah keamanan di WordPress :
From
Alamat email yang anda kenal atau pernah berhubungan email dengan anda. Kemungkinan besar menggunakan email Yahoo.
Subject : [kosong]
Body
Hanya mengandung satu tautan. Tautan tersebut pasti mengandung bagian dari alamat "/wp-content/themes/". Hal ini terjadi karena tautan ini merupakan hosting WordPress yang berhasil di eksploitasi guna meneruskan (forward) alamat tautan ke lokasi lain. Pada saat ini tautan ini digunakan untuk mengalihkan ke situs promosi "Work from home" tetapi akan sangat mudah menggunakan tautan ini untuk tujuan lain seperti meneruskan ke situs lain untuk menjalankan virus, mencuri data atau mengeksploitasi celah keamanan lain.
Hebatnya, spam ini dilakukan menggunakan email yang asli dan bukan memalsukan alamat email / sender. Menurut pantauan Vaksincom, 99 % email ini dikirimkan dari akun email Yahoo yang kemungkinan passwordnya berhasil ditebak / dicuri. Karena email tersebut dikirimkan dari alamat email yang sah, tentunya kemungkinan untuk dijalankan oleh penerimanya sangat besar. Dan pengiriman email ini dilakukan pada banyak alamat email yang diambil dari database email Yahoo yang berhasil dicuri tersebut.
Jika tautan tersebut di klik, ia akan menuju alamat yang diberikan dan setelah sampai di alamat tersebut yang telah dikuasai oleh kriminalyang telah menempatkan beberapa file tersembunyi (eg. php.ini) dan secara otomatis akan dialihkan / forward ke situs lain yang telah dipersiapkan (situs mencari penghasilan tambahan yang menggunakan domain Rusia).
(lihat gambar 2)
Gambar 2, Situs tipu-tipu domain Rusia yang telah dipersiapkan bagi pengklik Spam WordPress |
Karena kode yang terkandung pada situs yang telah di eksploitasi sangat potensial untuk dimanfaatkan untuk kejahatan, G Data WebProtect secara otomatis mendeteksi situs tersebut berbahaya dan melakukan bloking supaya tidak menjadi korban penipuan yang jika diteruskan akan mengakibatkan kerugian finansial. Kode jahat yang terkandung pada situs yang telah di eksploitasi oleh kriminal tersebut di identifikasi sebagai Trojan.HTML.Agent.FE. (lihat gambar 3)
Gambar 3, G Data mendeteksi kode jahat yang disusupkan ke situs |
Gambar 3, G Data mendeteksi kode jahat yang disusupkan ke situs
Jika anda pernah mengklik tautan yang diberikan oleh Spam yang mengandung "/wp-content/themes/" kami sarankan anda untuk tidak melakukan transaksi di situs tersebut apapun janji yang diberikan oleh situs tersebut dan bagaimanapun meyakinkannya atau menggiurkannya tawaran yang diberikan. Hal ini sudah dikonfirmasikan sebagai malware "virtual-ad.org". Jika anda pernah memasukkan data kartu kredit anda, Vaksincom menyarankan anda untuk SEGERA menghubungi bank penerbit kartu kredit anda untuk memblokir kartu anda dari penyalahgunaan dan kalau bisa membatalkan transaksi yang telah dilakukan.
Jika anda merupakan pemilik situs WordPress yang telah di hack, anda dapat membersihkan situs anda dengan cara : (sumber sucuri.net)
- Login dengan FTP dan hapus file di "cgi-bin/php.ini".
- Jika anda memiliki akses SSH, jalankan perintah ini pada web root :
$ find ./ -name "*.php" -type f | xargs sed -i 's#<?php /\*\*/ eval(base64_decode("aWY.*?>##g
$ find ./ -name "*.php" -type f | xargs sed -i '/./,$!d' 2>&1
- Jika anda tidak memiliki akses SSH :
- Unduh file ini http://sucuri.net/malware/helpers/wordpress-fix_php.txt
- Ganti namanya menjadi wordpress-fix.php
- Upload ke web server anda pada root dan jalankan dengan mengetik http://alamatsitusanda.com/wordpress-fix.php.
Tidak ada komentar:
Posting Komentar