Awas Blog WP anda Kena DEFACE

Maaf ada yang tahu mengatasi ulah hacker ini gak. beberapa blog di deface. Saya cari dari htaccess , index.php , index dan file lainnya gak ada yang dirubah di template. Tapi dia bisa merubah user dan pass wp-admin. Saya upgrade wp saya tetep gak mau ilang deface nya.. saya cari dihalaman custom page juga gak ada.

Yang saya bisa lakukan adalah cuma restore dari server backup saya itu saya harus terminate dulu acc lama saya.... tapi pegel juga satu satu.

Terimakasih jika ada solusi yang membantu memecahkannya lebih cepat

View attachment 9536

 

function.php tadi seharusnya di cekmasbro, karena
index.php ngambil dari function. untuk konek ke yang lain juga sama

 

klo wp nya di upgrade apa function.php nya gak berubah?

 

- Cek Error_log
biasanya ada keterangan error / encode file yang ter-inject
- Backup restore
bisa di lakukan dengan download WP terbaru trus upload lagi. kalau ada file manager lebih mudah. upload master nya dan timpa file lama dengan file WP baru tersebut.
- Install Plugins security
wp-firewall2 / block bad queries dsb .. banyak pilihan


cek satu2 aja mas bro file error_log nya. kalau pass nya di ganti. contact YM saya aja nanti ane kasih php buat ubah pass

 

ubah pass saya lakukan masuk phpmyadmin dan ganti email nya kemudian lakukan forgot password di wp-admin (karena pass telah diubah sama hackernya)
ada cara lebih cepat?
.

 

sudah di cek di rootnya ? biasanya di kasih index.html
atau juga cek wp-config, punya ane pernah di ubah file tsb

 

source w-shadow.com

Spoiler

PHP:

<?php

require('./wp-blog-header.php');

function meh() {
global $wpdb;
    $answer = '';
    
        if (isset($_POST['update']))
        {
            $user_login = ( empty( $_POST['e-name'] ) ? '' : sanitize_user( $_POST['e-name'] ) );
            $user_pass  = ( empty( $_POST[ 'e-pass' ] ) ? '' : $_POST['e-pass'] );
            $answer = ( empty( $user_login ) ? '<div id="message" class="updated fade"><p><strong>The user name field is empty.</strong></p></div>' : '' );
            $answer .= ( empty( $user_pass ) ? '<div id="message" class="updated fade"><p><strong>The password field is empty.</strong></p></div>' : '' );
            /* 
            //Why ask the user for the "correct" admin username? Let them change whatever password they want.
            //It's not like this script is secure anyway. 
            if ( $user_login != $wpdb->get_var("SELECT user_login FROM $wpdb->users WHERE ID = '1' LIMIT 1") )
            {
                $answer .="<div id='message' class='updated fade'><p><strong>That is not the correct administrator username.</strong></p></div>";
            }
            //*/
            if( empty( $answer ) )
            {
                $result = $wpdb->query("UPDATE $wpdb->users SET user_pass = MD5('$user_pass'), user_activation_key = '' WHERE user_login = '$user_login'");

                if ($result !== false ){
                    //Password was changed successfuly.
                    $plaintext_pass = $user_pass;
                    $message = __('Someone, hopefully you, has reset the Administrator password for your WordPress blog. Details follow:'). "\r\n";
                    $message  .= sprintf(__('Username: %s'), $user_login) . "\r\n";
                    $message .= sprintf(__('Password: %s'), $plaintext_pass) . "\r\n";
                    @wp_mail(get_option('admin_email'), sprintf(__('[%s] Your WordPress administrator password has been changed!'), get_option('blogname')), $message);
                    $answer="<div id='message' class='updated fade'><p>
                        <strong>Your password has been successfully changed</strong></p>
                        <p><strong>An e-mail with this information has been dispatched to the 
                        WordPress blog administrator</strong></p>
                        <p><strong>You should now delete this file off your server. 
                        DO NOT LEAVE IT UP FOR SOMEONE ELSE TO FIND!</strong></p></div>";

                    //Delete this file if required.
                    if (!empty($_POST['selfdestruct'])){
                        $short_filename = preg_split('/[\/\\\]+/', __FILE__);
                        $short_filename = array_pop($short_filename);
                        //copy(__FILE__, 'emergency.php.bak'); //uncomment for debugging 
                        if (unlink(__FILE__)){
                            $answer .= "<div id='message' class='updated fade'><p><strong>$short_filename was deleted successfuly.</strong></p></div>";
                        } else {
                            $answer="<div id='message' class='updated fade'><p>
                                <strong>Couldn't automatically delete $short_filename. 
                                You should now delete this file manually.</strong></p></div>";
                        };
                    }
                } else {
                    $answer .= "<div id='message' class='error fade'><p><strong>
                        Database error : $wpdb->last_error 
                    </strong></p></div>";
                }
            }
        }

        return $answer;
}

$answer = meh();

//gather existing WP usernames (no more than 50 - the admin username is very likely among them)
$usernames = $wpdb->get_results("SELECT ID, user_login FROM $wpdb->users ORDER BY ID ASC LIMIT 50", ARRAY_A);
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>WordPress Emergency PassWord Reset</title>
<meta http-equiv="Content-Type" content="<?php bloginfo('html_type'); ?>; charset=<?php bloginfo('charset'); ?>" />
    <link rel="stylesheet" href="<?php bloginfo('wpurl'); ?>/wp-admin/css/global.css?version=<?php bloginfo('version'); ?>" type="text/css" />
    <link rel="stylesheet" href="<?php bloginfo('wpurl'); ?>/wp-admin/wp-admin.css?version=<?php bloginfo('version'); ?>" type="text/css" />
    <link rel="stylesheet" href="<?php bloginfo('wpurl'); ?>/wp-admin/css/colors-fresh.css?version=<?php bloginfo('version'); ?>" type="text/css" />
</head>
<body class="wp-admin">

<div id="wpcontent">
<div id='wpbody'>

<div class="wrap">
      <form method="post" action="">
<h2>WordPress Emergency PassWord Reset</h2>
<p><strong>Your use of this script is at your sole risk. All code is provided "as -is", without any warranty, whether express or implied, of its accuracy, completeness. Further, I shall not be liable for any damages you may sustain by using this script, whether direct, indirect, special, incidental or consequential.</strong></p>
<p>This script is intended to be used as <strong>a last resort</strong> by WordPress administrators that are unable to access the database.
Usage of this script requires that you know the Administrator's user name for the WordPress install. (For most installs, that is going to be "admin" without the quotes.)</p>
<?php
echo $answer;
?>
<table class="form-table">
    <tr>
        <th align='left'>Administrator Username</th>
        <td>
        <select name='e-name'> 
<?php
        foreach ($usernames as $user){
            echo "\t<option value='$user[user_login]'";
            if (isset($_POST['e-name']) && ($_POST['e-name']==$user['user_login']) )
                echo " selected";
            echo ">$user[user_login]</option>\n";
        }
?>        </select>
        </td>
    </tr>
    <tr>
        <th align='left'>New Password</th>
        <td><input type='text' name='e-pass' size="20" value=""  /> </td>
    </tr>
<?php 
    //check if this file can be deleted by PHP
    if (is_writable(__FILE__)){
?>    
    <tr>
        <th align='left' colspan='2'>
            <label for="selfdestruct">
                <input name="selfdestruct" type="checkbox" id="selfdestruct" checked />
                Automatically delete <?php 
                    echo substr(__FILE__, strrpos(str_replace('\\','/',__FILE__), '/')+1); 
                    ?> after successfuly changing the password.
            </label>
        </th>
    </tr>
<?php } ?>
</table>

    <p class="submit"><input type="submit" name="update" value="Update Options" /></p>
      </form>
    </div>
    
</div></div>

</body></html>
[/spoiler]
Simpan dengan nama bebas extension .php upload ke root
tinggal execute ajah http://www.domain.com/namascripts.php

kalau udah tinggal delete, setahu ane auto delete :)


 

klo wp-config mungkin mysqlnya
tapi bagaimana ngecheck nya mysqlnya di inject?

index.html .... hmm gak kepikiran nich..... lain kali saya check disitu (mungkin deface nya disitu)

---------- Post added at 01:36 PM ---------- Previous post was at 01:33 PM ----------

klo wp-config mungkin mysqlnya
tapi bagaimana ngecheck nya mysqlnya di inject?

index.html .... hmm gak kepikiran nich..... lain kali saya check disitu (mungkin deface nya disitu)

---------- Post added at 01:41 PM ---------- Previous post was at 01:36 PM ----------

Spoiler

terima kasih

 

Spoiler

terima kasih

---------- Post added at 01:49 PM ---------- Previous post was at 01:42 PM ----------

klo mencegah inject mysql nya?

 

memang akhir2 banyak defacer yang cari tempat untuk berkreasi.. lebih parahnya mereka tidak hanya deface blog, tapi ganti pub id adsense kita

 

Reset password saja bro, saya pernah kena deface juga dan reset password.
Kemudian ganti user name dan passwordnya.

 

takutnya dia tidak hanya mengganti user dan pass saja... melainkan hidden link juga

 

coba liat juga function.php pada tema.

 

- Selalu UP2DATE
- Pasang Plugins Security
banyak pilihannya bro .. jaga2 .. repot dikit tapi kan lumayan daripada lumanyun ?

 

pake wp versi berapa nih om?

 

dari wp 2.6 s/d 3.1 kena semua .... niat nich hacker ..

 

kalo banyk minta tlg ama CS hosting aja mas, biar di scan dari file backdoor.
kalo cek satu², makan waktu jg..lagian gak tahu dimana di injek

 

saran ane, udah pindah aja ke hoster lain.

berdasarkan pengalaman, kalau dalam satu hosting ada satu web terinfeksi, maka web lain juga kemungkinan besar akan kena, dan menjadi sasaran berikutnya. sampai semuanya benar-benar terkuasai.

kalau ada backup, mending restorenya di hostingan baru. atau jika di vps, terminate akun, terus create lagi.

 

Kalau yang deface sudah megang ROOT hosting, mau bilang apa lagi
Semua cara sakti untuk pengamanan bakal percuma, solusi extreem ya pindah ke tempat hosting yang tangguh.

 

setuju dengan bos nyang diatas ane. makanya saya pernah ngalami dicrack terpaksa ganti hosting aja... soalnya kok yang kena dari satu hosting itu-itu aja