Section Widget
Join Milis Jasakom
Recent Articles
Category Widget (bottom-up)
Langsung back to the topic aja yah. Dulu pertama kali kenal WordPress saya langsung cari-cari dan download themes-themesnya soalnya banyak yang keren-keren. Nah dari beberapa themes yang telah saya download malah muncul pesan error "This theme is released under creative commons licence, all links in the footer should remain intact" ketika saya mencoba mengedit bagian footernya.Wew, apalagi itu? Ternyata itu adalah salah satu proteksi yang “mungkin” dilakukan oleh si pembuat themes agar footernya gak bisa diedit-diedit atau perbuatan orang iseng? (Itu kalo kalian download themes “bajakan”, mungkin kalian bisa baca-baca artikel saya tentang “Penyebaran Backdoor Makin Beragam”)
Sekarang kita akan mencoba trik sederhana untuk melihat apa seh isi code yang terenkripsi tersebut (dalam beberapa kasus kebanyakan code yang terenkripsi pada themes wordpress diawali dengan eval(str_rot13(Blablabla));)
1. Periksa seluruh code dari themes
Mungkin terlihat agak sedikit ribet tapi dibiasain aja dulu. Atau kalo mau yang praktis kalian bisa download plugin yang bernama TAC (Theme Authenticity Checker) lalu install kemudian jalankan. Maka plugin ini akan melakukan scanning terhadap seluruh file themes kita dan akan mencari malicious code yang terdapat didalamnya.
Tapi saya sarankan MANUAL aja, selain melatih ketelitian kita juga bisa belajar code-code yang ada. Nah setelah saya search-search ternyata ada di footer.php, functions.php, header.php dan sidebar.php.
2. Periksa masing-masing code pada file yang telah kita temukan.
footer.php
Code:
<div id="footer"> <div id="footer_text"> <b><a href="http://themewp.com/">Fresh wordpress themes</a></b> </div> </div>
functions.php
1. Pada line 12
Code:
eval(str_rot13('shapgvba purpx_sbbgre(){$y=\'<n uers="uggc://gurzrjc.pbz/">Serfu jbeqcerff gurzrf</n>\';$s=qveanzr(__SVYR__).\'/sbbgre.cuc\';$sq=sbcra($s,\'e\');$p=sernq($sq,svyrfvmr($s));spybfr($sq);vs(fgecbf($p,$y)==0){rpub \'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\';qvr;}}purpx_sbbgre();'));
Code:
eval(str_rot13('shapgvba purpx_urnqre(){vs(!(shapgvba_rkvfgf("purpx_shapgvbaf")&&shapgvba_rkvfgf("purpx_s_sbbgre"))){rpub(\'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\');qvr;}}'));
Code:
<?php
function wp_list_addonn(){
echo base64_decode("PGEgaHJlZj0iaHR0cDovL3d3dy5yb3lhbC1hdXRvLmluZm8vIj5CcmFidXM8L2E+CjxhIGhyZWY9Imh0dHA6Ly93d3cucGVubmZvcmxpZmUuY29tLyI+bW9ydGdhZ2UgY2FsY3VsYXRvcjwvYT4=");
} ?>
Code:
echo(str_rot13('shapgvba purpx_sbbgre(){$y=\'<n uers="uggc://gurzrjc.pbz/">Serfu jbeqcerff gurzrf</n>\';$s=qveanzr(__SVYR__).\'/sbbgre.cuc\';$sq=sbcra($s,\'e\');$p=sernq($sq,svyrfvmr($s));spybfr($sq);vs(fgecbf($p,$y)==0){rpub \'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\';qvr;}}purpx_sbbgre();'));
Code:
function check_footer(){$l='Fresh wordpress themes';$f=dirname(__FILE__).'/footer.php';$fd=fopen($f,'r');$c=fread($fd,filesize($f));fclose($fd);if(strpos($c,$l)==0){echo 'This theme is released under creative commons licence, all links in the footer should remain intact';die;}}check_footer();This theme is released under creative commons licence, all links in the footer should remain intact
Kemudian pada line 53 ketika kita mengganti kata eval menjadi echo hasilnya sama dengan code yang pertama.
Code:
function check_footer(){$l='Fresh wordpress themes';$f=dirname(__FILE__).'/footer.php';$fd=fopen($f,'r');$c=fread($fd,filesize($f));fclose($fd);if(strpos($c,$l)==0){echo 'This theme is released under creative commons licence, all links in the footer should remain intact';die;}}check_footer();function check_header(){if(!(function_exists("check_functions")&&function_exists("check_f_footer"))){echo('This theme is released under creative commons licence, all links in the footer should remain intact');die;}}This theme is released under creative commons licence, all links in the footer should remain intact
Code:
PGEgaHJlZj0iaHR0cDovL3d3dy5yb3lhbC1hdXRvLmluZm8vIj5CcmFidXM8L2E+CjxhIGhyZWY9Imh0dHA6Ly93d3cucGVubmZvcmxpZmUuY29tLyI+bW9ydGdhZ2UgY2FsY3VsYXRvcjwvYT4=
Code:
<a href="http://www.royal-auto.info/">Brabus</a> <a href="http://www.pennforlife.com/">mortgage calculator</a>
Kenapa saya mengikut sertakan file sidebar.php di dalam daftar blacklist?
Itulah mengapa saya meminta kalian untuk mencari code-code “aneh” secara manual. Pada function.php coba kalian lihat baik-baik codenyaCode:
<?php
function wp_list_addonn(){
echo base64_decode("PGEgaHJlZj0iaHR0cDovL3d3dy5yb3lhbC1hdXRvLmluZm8vIj5CcmFidXM8L2E+CjxhIGhyZWY9Imh0dHA6Ly93d3cucGVubmZvcmxpZmUuY29tLyI+bW9ydGdhZ2UgY2FsY3VsYXRvcjwvYT4=");
} ?>
Nih code yang terdapat pada sidebar.phpCode:
<div class="widget_addn"><?php wp_list_addonn() ?></div>
Ketika kita juga mengganti kata eval menjadi echo hasilnya tetap sama… Wow, biar si pengguna themes jadi paranoid dan bingung.
Code:
function check_footer(){$l='Fresh wordpress themes';$f=dirname(__FILE__).'/footer.php';$fd=fopen($f,'r');$c=fread($fd,filesize($f));fclose($fd);if(strpos($c,$l)==0){echo 'This theme is released under creative commons licence, all links in the footer should remain intact';die;}}check_footer();function check_header(){if(!(function_exists("check_functions")&&function_exists("check_f_footer"))){echo('This theme is released under creative commons licence, all links in the footer should remain intact');die;}}function check_f_footer(){if(!(function_exists("check_footer")&&function_exists("check_header"))){echo('This theme is released under creative commons licence, all links in the footer should remain intact');die;}}check_f_footer();
Bila dilihat dari code hasil decode kita sepertinya gak terlalu membingungkan dimana kita tinggal hapus saja satu per satu code-code aneh diatas sampai bersih. Jadi yang harus dihapus adalah
functions.php
Code:
eval(str_rot13('shapgvba purpx_sbbgre(){$y=\'<n uers="uggc://gurzrjc.pbz/">Serfu jbeqcerff gurzrf</n>\';$s=qveanzr(__SVYR__).\'/sbbgre.cuc\';$sq=sbcra($s,\'e\');$p=sernq($sq,svyrfvmr($s));spybfr($sq);vs(fgecbf($p,$y)==0){rpub \'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\';qvr;}}purpx_sbbgre();'));
Code:
eval(str_rot13('shapgvba purpx_urnqre(){vs(!(shapgvba_rkvfgf("purpx_shapgvbaf")&&shapgvba_rkvfgf("purpx_s_sbbgre"))){rpub(\'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\');qvr;}}'));
Code:
<?php
function wp_list_addonn(){
echo base64_decode("PGEgaHJlZj0iaHR0cDovL3d3dy5yb3lhbC1hdXRvLmluZm8vIj5CcmFidXM8L2E+CjxhIGhyZWY9Imh0dHA6Ly93d3cucGVubmZvcmxpZmUuY29tLyI+bW9ydGdhZ2UgY2FsY3VsYXRvcjwvYT4=");
} ?>
Code:
<div class="widget_addn"><?php wp_list_addonn() ?></div>
Code:
<?php
echo(str_rot13('shapgvba purpx_s_sbbgre(){vs(!(shapgvba_rkvfgf("purpx_sbbgre")&&shapgvba_rkvfgf("purpx_urnqre"))){rpub(\'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\');qvr;}}purpx_s_sbbgre();'));
?>
Resources
http://jorbyn.com/decode-enskripsi-f...wordpress.html
Sources
http://cruzenaldo.com/themes-wordpress-terenkripsi/
Recent Article Comments Widget
Recent Blog Posts
Recent Forum Posts
Socket Programming untuk ARP Poisoning
Socket Programming adalah protokol yang mempunyai metode untuk membuat koneksi antar antara perangkat dalam jaringan. Terdapat dua tipe socket yang paling sering digunakan yaitu “Stream Socket” dan “Datagram Socket” yang lebih dikenal dengan “SOCK_STREAM” and “SOCK_DGRAM”. Datagram Socket disebut dengan “Connectionless socket” sedangkan Stream Socket lebih reliable dibandingkan Datagram Socket karena terciptanya komunikasi dua arah yang memungkinkan kecilnya data error pada saat transmisi data.