KEUANGAN & DATA PRIBADI PEMAIN GAME ONLINE DALAM BAHAYA

 

WORDPRESS

JIKA ANDA BARU-BARU INI MENGGUNAKAN WORDPRESS,

SITUS WEB ANDA MUNGKIN RUSAK

Peneliti keamanan otomatis baru-baru ini melaporkan bahwa aktor jahat meretas situs web AccessPress untuk mengkompromikan perangkat lunak dan menginfeksi situs WordPress lainnya. Serangan rantai pasokan besar-besaran telah mengkompromikan 93 tema dan plugin WordPress untuk memuat pintu belakang, memberi pelaku ancaman akses penuh ke situs web.

Secara total, aktor jahat menyusupkan 40 tema dan 53 plugin milik AccessPress, pengembang add-on WordPress yang digunakan di lebih dari 360.000 situs web aktif.

Barometer W3Techs menunjukkan bahwa penggunaan sistem manajemen konten (CMS) WordPress terus berkembang: CMS sekarang digunakan di 43,3% situs web di seluruh dunia per 24 Januari 2022.

Penyerang mengkompromikan sumber sistem tempat administrator situs web dan jaringan mendapatkan perangkat lunak mereka. Ini adalah metode yang sama yang digunakan dalam serangan SolarWinds tahun 2020, di mana ribuan badan dan bisnis pemerintah AS dan internasional diretas. Ada laporan setidaknya 80.000 korban langsung dan tidak langsung dari serangan ini.

Setelah sumber perangkat lunak disusupi, administrator jaringan atau situs web manapun yang menginstal perangkat lunak atau memperbarui dari sumber yang disusupi tanpa sadar membahayakan sistem mereka sendiri.

 

Bagaimana saya tahu jika saya terinfeksi?

Jika Anda telah menginstal salah satu plugin atau tema yang disusupi di situs Anda, menghapus/mengganti/memperbarui mereka tidak akan mencabut cangkang web apa pun yang mungkin telah ditanam di sana oleh penyerang untuk membuat pintu belakang untuk kendali jarak jauh penuh dari situs Anda yang terinfeksi.

Kami menyarankan webmaster untuk memindai situs mereka untuk mencari tanda-tanda penyusupan dengan melakukan hal berikut:

1. Periksa file wp-include/vars.php Anda di sekitar baris 146-158. Jika Anda melihat fungsi "wp_is_mobile_fix" dengan kode yang dikaburkan, Anda telah disusupi;
2. kueri sistem file Anda untuk "wp_is_mobile_fix" atau "wp-theme-connect" untuk melihat apakah ada file yang terpengaruh;
3. ganti file WordPress utama Anda dengan salinan baru;
4. tingkatkan plugin yang terpengaruh dan beralih ke tema yang berbeda;
5. ubah password wp-admin dan database.

 

Jetpack telah menyediakan aturan YARA berikut yang dapat digunakan untuk memeriksa apakah suatu situs telah terinfeksi dan mendeteksi baik penetes maupun webshell yang diinstal:

Code:                              Select all

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

rule accesspress_backdoor_infection { strings:    // IoC's for the dropper    $inject0 = "$fc = str_replace('function wp_is_mobile()',"    $inject1 = "$b64($b) . 'function wp_is_mobile()',"    $inject2 = "$fc);"    $inject3 = "@file_put_contents($f, $fc);"    // IoC's for the dumped payload    $payload0 = "function wp_is_mobile_fix()"    $payload1 = "$is_wp_mobile = ($_SERVER['HTTP_USER_AGENT'] == 'wp_is_mobile');"    $payload2 = "$g = $_COOKIE;"    $payload3 = "(count($g) == 8 && $is_wp_mobile) ?"    $url0 = /https?:\/\/(www\.)?wp\-theme\-connect\.com(\/images\/wp\-theme\.jpg)?/ condition:    all of ( $inject* )    or all of ( $payload* )    or $url0 } And if you can't manage, you can always call on our services, we will be happy to help you.   Sources :   https://blog.sucuri.net/2022/01/accesspress-themes-hit-with-targeted-supply-chain-attack.html https://jetpack.com/2022/01/18/backdoor-found-in-themes-and-plugins-from-accesspress-themes/ https://w3techs.com/technologies/history_overview/content_management/all/y