WORDPRESS
JIKA
ANDA BARU-BARU INI MENGGUNAKAN WORDPRESS,
SITUS WEB ANDA MUNGKIN RUSAK
Peneliti
keamanan otomatis baru-baru ini melaporkan bahwa aktor jahat meretas situs web
AccessPress untuk mengkompromikan perangkat lunak dan menginfeksi situs
WordPress lainnya. Serangan rantai pasokan besar-besaran telah mengkompromikan
93 tema dan plugin WordPress untuk memuat pintu belakang, memberi pelaku
ancaman akses penuh ke situs web.
Secara
total, aktor jahat menyusupkan 40 tema dan 53 plugin milik AccessPress,
pengembang add-on WordPress yang digunakan di lebih dari 360.000 situs web
aktif.
Barometer
W3Techs menunjukkan bahwa penggunaan sistem manajemen konten (CMS) WordPress
terus berkembang: CMS sekarang digunakan di 43,3% situs web di seluruh dunia
per 24 Januari 2022.
Penyerang
mengkompromikan sumber sistem tempat administrator situs web dan jaringan
mendapatkan perangkat lunak mereka. Ini adalah metode yang sama yang digunakan
dalam serangan SolarWinds tahun 2020, di mana ribuan badan dan bisnis
pemerintah AS dan internasional diretas. Ada laporan setidaknya 80.000 korban
langsung dan tidak langsung dari serangan ini.
Setelah
sumber perangkat lunak disusupi, administrator jaringan atau situs web manapun
yang menginstal perangkat lunak atau memperbarui dari sumber yang disusupi
tanpa sadar membahayakan sistem mereka sendiri.
Bagaimana
saya tahu jika saya terinfeksi?
Jika
Anda telah menginstal salah satu plugin atau tema yang disusupi di situs Anda,
menghapus/mengganti/memperbarui mereka tidak akan mencabut cangkang web apa pun
yang mungkin telah ditanam di sana oleh penyerang untuk membuat pintu belakang
untuk kendali jarak jauh penuh dari situs Anda yang terinfeksi.
Kami menyarankan webmaster untuk memindai situs mereka untuk mencari tanda-tanda penyusupan dengan melakukan hal berikut:
- Periksa file wp-include/vars.php Anda di sekitar baris 146-158. Jika Anda melihat fungsi "wp_is_mobile_fix" dengan kode yang dikaburkan, Anda telah disusupi;
- kueri sistem file Anda untuk "wp_is_mobile_fix" atau "wp-theme-connect" untuk melihat apakah ada file yang terpengaruh;
- ganti file WordPress utama Anda dengan salinan baru;
- tingkatkan plugin yang terpengaruh dan beralih ke tema yang berbeda;
- ubah password wp-admin dan database.
Jetpack
telah menyediakan aturan YARA berikut yang dapat digunakan untuk memeriksa
apakah suatu situs telah terinfeksi dan mendeteksi baik penetes maupun webshell
yang diinstal:
Code: Select all
1 |
rule accesspress_backdoor_infection { strings: // IoC's for the dropper $inject0 = "$fc = str_replace('function wp_is_mobile()'," $inject1 = "$b64($b) . 'function wp_is_mobile()'," $inject2 = "$fc);" $inject3 = "@file_put_contents($f, $fc);" // IoC's for the dumped payload $payload0 = "function wp_is_mobile_fix()" $payload1 = "$is_wp_mobile = ($_SERVER['HTTP_USER_AGENT'] == 'wp_is_mobile');" $payload2 = "$g = $_COOKIE;" $payload3 = "(count($g) == 8 && $is_wp_mobile) ?" $url0 = /https?:\/\/(www\.)?wp\-theme\-connect\.com(\/images\/wp\-theme\.jpg)?/ condition: all of ( $inject* ) or all of ( $payload* ) or $url0 }
|
Comments
Post a Comment