Kamis, Oktober 18, 2012

Periksa Malicious Script di Theme dan Plugin dengan grep dan findstr

Penulis Day Milovich | Kamis, Oktober 18, 2012 | 00.19.00 |



Artikel ini menjelaskan cara memeriksa code dalam plugin atau theme, agar terbebas dari malicious script (kode jahat).
Saya tidak setuju dengan pemakaian plugin untuk memeriksa theme dan plugin yang sudah di-upload, karena itu sama saja dengan membiarkan kemungkinan kode jahat berjalan dulu, baru kemudian diperiksa.
Yang terbaik adalah: memeriksa sebelum upload.
---
Memeriksa Malicious Script di Theme dan Plugin dengan grep dan findstr
1. Gunakan Tool Pembaca Header Online
http://www.rexswain.com/httpview.html
Masukkan URL website yang akan diperiksa. Skimming! Akan ketahuan, apakah suatu website di-redirect ke URL lain, atau disisipi code blackhat SEO (fuckin' SEO!). Menjalankan metode ini, kamu harus mengerti cara membaca malicious script.
2. Memeriksa Keberadaaan Malicious Script
Sebelum upload theme atau plugins, gunakan grep (di linux) atau findstr (di Windows) untuk mencari keberadaan malicious script.
Kalau sudah terlanjur di-upload (misalnya, Anda diminta meng-inspect website yang sudah terinfeksi), harus mendapatkan akses SSH dari cPaneL.
Bagi yang tidak mengakses Linux, bisa dapatkan grep Windows version:
---
http://gnuwin32.sourceforge.net/packages/grep.htm
----
Download, install, buka cmd (command prompt), arahkan ke lokasi theme yang akan dipasang.
Gunakan sebelum upload. Kalau sudah terlanjur upload, dapatkan akses SSH dari cpanel untuk eksekusi command line ini:
---
grep -RPnDskip "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile) *\(" public_html/
---
Boleh tambahkan perintah lain, untuk melengkapi searching, mengingat metode penyembunyian malicious script itu bermacam-macam. Perintah ini sudah dilengkapi device skip, menghindari hang (saat ekseskusi grep) pada dedicated server.
Untuk Windows, bisa menggunakan findstr (jika theme atau plugin belum diupload, kondisi Wordpress baru terinstall)
---
findstr /r /s /n "passthru shell_exec system( phpinfo base64_decode chmod mkdir fopen fclose readfile" *.*
---
3. Tutorial Decrypt Code .php
Malicious script biasanya di footer.php (tidak menutup kemungkinan, di file 404.php atau file di /wp-includes). Kalau di header, terlalu telanjang dan sering dimodifikasi.
Artikel itu saya tuliskan untuk memecahkan code. Langkah yang dijalankan di artikel ini:
* Temukan code > buka code > tentukan "jenis" encrypt" yang digunakan > Decrypt!
Saya jelaskan di artikel ini pemakaian 7 tool online untuk decrypt code. Dijamin tembus. :))
---
Artikel tentang tutorial decrypt code:
http://daymilovich.blogspot.com/2011/08/wordpress-security-tutorial-decrypt.html
---
Harap diingat: tidak semua code yang ditemukan itu malicious script. Contoh terpopuler adalah TimThumb.
Dalam code Timthumb terdapat code ini:
---
$imgData = base64_decode("R0lGODlhUAAMAIAAAP8AAP///yH5BAAHAP8ALAAAAABQAAwAAAJpjI+py+0Po5y0OgAMjjv01YUZ\nOGplhWXfNa6JCLnWkXplrcBmW+spbwvaVr/cDyg7IoFC2KbYVC2NQ5MQ4ZNao9Ynzjl9ScNYpneb\nDULB3RP6JuPuaGfuuV4fumf8PuvqFyhYtjdoeFgAADs=");
---
Jika diterjemahkan, hanyalah file .gif "no hotlinking". Tidak berbahaya. Bedakan antara "encoded" dan "encrypted". :))
Sebelum upload theme atau plugin, pastikan Anda terbebas dari malicious script. Selamat mencoba.
---
Day Milovich,,
webmaster, artworker, your friend.

Tidak ada komentar:

Posting Komentar

Anda bisa berkomentar tanpa perlu login.

 
Day Milovich (c) 2013. Diberdayakan oleh Blogger.