Themes WordPress Terenkripsi?

Dulu pertama kali kenal WordPress sy  langsung cari-cari dan download themes-themesnya soalnya banyak yang keren-keren. Nah dari beberapa themes yang telah saya download malah muncul pesan error "This theme is released under creative commons licence, all links in the footer should remain intact" ketika saya mencoba mengedit bagian footernya.

Wew, apalagi itu? Ternyata itu adalah salah satu proteksi yang “mungkin” dilakukan oleh si pembuat themes agar footernya gak bisa diedit-diedit atau perbuatan orang iseng? (Itu kalo kalian download themes “bajakan”, mungkin kalian bisa baca-baca artikel saya tentang “Penyebaran Backdoor Makin Beragam”)

Sekarang kita akan mencoba trik sederhana untuk melihat apa seh isi code yang terenkripsi tersebut (dalam beberapa kasus kebanyakan code yang terenkripsi pada themes wordpress diawali dengan eval(str_rot13(Blablabla));)

1. Periksa seluruh code dari themes

Mungkin terlihat agak sedikit ribet tapi dibiasain aja dulu. Atau kalo mau yang praktis kalian bisa download plugin yang bernama TAC (Theme Authenticity Checker) lalu install kemudian jalankan. Maka plugin ini akan melakukan scanning terhadap seluruh file themes kita dan akan mencari malicious code yang terdapat didalamnya.

Tapi saya sarankan MANUAL aja, selain melatih ketelitian kita juga bisa belajar code-code yang ada. Nah setelah saya search-search ternyata ada di footer.php, functions.php, header.php dan sidebar.php.

2. Periksa masing-masing code pada file yang telah kita temukan.

footer.php

Code:
<div id=&quot;footer&quot;>
<div id=&quot;footer_text&quot;>
<b><a href=&quot;http://themewp.com/&quot;>Fresh wordpress themes</a></b>
</div>
</div>

Permasalahan yang terjadi adalah ketika saya mencoba untuk mengganti atau menghapus kata “themewp.com” atau “Fresh wordpress themes”

functions.php

1. Pada line 12

Code:
eval(str_rot13('shapgvba purpx_sbbgre(){$y=\'<n uers=&quot;uggc://gurzrjc.pbz/&quot;>Serfu jbeqcerff gurzrf</n>\';$s=qveanzr(__SVYR__).\'/sbbgre.cuc\';$sq=sbcra($s,\'e\');$p=sernq($sq,svyrfvmr($s));spybfr($sq);vs(fgecbf($p,$y)==0){rpub \'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\';qvr;}}purpx_sbbgre();'));

2. Pada line 53

Code:
eval(str_rot13('shapgvba purpx_urnqre(){vs(!(shapgvba_rkvfgf(&quot;purpx_shapgvbaf&quot;)&&shapgvba_rkvfgf(&quot;purpx_s_sbbgre&quot;))){rpub(\'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\');qvr;}}'));

3. Kemudian pada line 56-59

Code:
<?php
function wp_list_addonn(){
echo base64_decode(&quot;PGEgaHJlZj0iaHR0cDovL3d3dy5yb3lhbC1hdXRvLmluZm8vIj5CcmFidXM8L2E+CjxhIGhyZWY9Imh0dHA6Ly93d3cucGVubmZvcmxpZmUuY29tLyI+bW9ydGdhZ2UgY2FsY3VsYXRvcjwvYT4=&quot;);
} ?>

Sekarang bagaimana cara kita melakukan decoding? Oke sekarang pada code yang pertama kita bisa mengganti kata eval menjadi echo kemudian jalankan themesnya dan liat hasilnya.

Code:
echo(str_rot13('shapgvba purpx_sbbgre(){$y=\'<n uers=&quot;uggc://gurzrjc.pbz/&quot;>Serfu jbeqcerff gurzrf</n>\';$s=qveanzr(__SVYR__).\'/sbbgre.cuc\';$sq=sbcra($s,\'e\');$p=sernq($sq,svyrfvmr($s));spybfr($sq);vs(fgecbf($p,$y)==0){rpub \'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\';qvr;}}purpx_sbbgre();'));

Hasilnya akan seperti ini…

Code:
function check_footer(){$l='Fresh wordpress themes';$f=dirname(__FILE__).'/footer.php';$fd=fopen($f,'r');$c=fread($fd,filesize($f));fclose($fd);if(strpos($c,$l)==0){echo 'This theme is released under creative commons licence, all links in the footer should remain intact';die;}}check_footer();This theme is released under creative commons licence, all links in the footer should remain intact

Jadi script diatas merupakan function untuk melakukan pengecekan pada footer. Itulah sebabnya ketika saya mencoba menghapus kata Fresh wordpress themes maka akan tampil tulisan This theme is released under creative commons licence, all links in the footer should remain intact.

Kemudian pada line 53 ketika kita mengganti kata eval menjadi echo hasilnya sama dengan code yang pertama.

Code:
function check_footer(){$l='Fresh wordpress themes';$f=dirname(__FILE__).'/footer.php';$fd=fopen($f,'r');$c=fread($fd,filesize($f));fclose($fd);if(strpos($c,$l)==0){echo 'This theme is released under creative commons licence, all links in the footer should remain intact';die;}}check_footer();function check_header(){if(!(function_exists(&quot;check_functions&quot;)&&function_exists(&quot;check_f_footer&quot;))){echo('This theme is released under creative commons licence, all links in the footer should remain intact');die;}}This theme is released under creative commons licence, all links in the footer should remain intact

Nah kemudian pada code terakhir disitu kita liat menggunakan enkripsi base64_decode dimana jika kita mau melihat code aslinya kita bisa kesini aja http://www.opinionatedgeek.com/dotne…/base64decode/ lalu paste kode

Code:
PGEgaHJlZj0iaHR0cDovL3d3dy5yb3lhbC1hdXRvLmluZm8vIj5CcmFidXM8L2E+CjxhIGhyZWY9Imh0dHA6Ly93d3cucGVubmZvcmxpZmUuY29tLyI+bW9ydGdhZ2UgY2FsY3VsYXRvcjwvYT4=

dan hasilnya adalah.

Code:
<a href=&quot;http://www.royal-auto.info/&quot;>Brabus</a>
<a href=&quot;http://www.pennforlife.com/&quot;>mortgage calculator</a>

sidebar.php

Kenapa saya mengikut sertakan file sidebar.php di dalam daftar blacklist? Itulah mengapa saya meminta kalian untuk mencari code-code “aneh” secara manual. Pada function.php coba kalian lihat baik-baik codenya

Code:
<?php
function wp_list_addonn(){
echo base64_decode(&quot;PGEgaHJlZj0iaHR0cDovL3d3dy5yb3lhbC1hdXRvLmluZm8vIj5CcmFidXM8L2E+CjxhIGhyZWY9Imh0dHA6Ly93d3cucGVubmZvcmxpZmUuY29tLyI+bW9ydGdhZ2UgY2FsY3VsYXRvcjwvYT4=&quot;);
} ?>

Hemmm, function wp_list_addon dimana pada sidebar kita menemukan juga wp_list_addon. Jadi feeling saya seh kayaknya si pembuat themes ingin meningkatkan “Page Rank” pada situs royal-auto.info dan pennforlife.com. Menarik Nih code yang terdapat pada sidebar.php

Code:
<div class=&quot;widget_addn&quot;><?php wp_list_addonn() ?></div>

header.php

Ketika kita juga mengganti kata eval menjadi echo hasilnya tetap sama… Wow, biar si pengguna themes jadi paranoid dan bingung.

Code:
function check_footer(){$l='Fresh wordpress themes';$f=dirname(__FILE__).'/footer.php';$fd=fopen($f,'r');$c=fread($fd,filesize($f));fclose($fd);if(strpos($c,$l)==0){echo 'This theme is released under creative commons licence, all links in the footer should remain intact';die;}}check_footer();function check_header(){if(!(function_exists(&quot;check_functions&quot;)&&function_exists(&quot;check_f_footer&quot;))){echo('This theme is released under creative commons licence, all links in the footer should remain intact');die;}}function check_f_footer(){if(!(function_exists(&quot;check_footer&quot;)&&function_exists(&quot;check_header&quot;))){echo('This theme is released under creative commons licence, all links in the footer should remain intact');die;}}check_f_footer();

How to fix it?

Bila dilihat dari code hasil decode kita sepertinya gak terlalu membingungkan dimana kita tinggal hapus saja satu per satu code-code aneh diatas sampai bersih. Jadi yang harus dihapus adalah

functions.php

Code:
eval(str_rot13('shapgvba purpx_sbbgre(){$y=\'<n uers=&quot;uggc://gurzrjc.pbz/&quot;>Serfu jbeqcerff gurzrf</n>\';$s=qveanzr(__SVYR__).\'/sbbgre.cuc\';$sq=sbcra($s,\'e\');$p=sernq($sq,svyrfvmr($s));spybfr($sq);vs(fgecbf($p,$y)==0){rpub \'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\';qvr;}}purpx_sbbgre();'));
Code:
eval(str_rot13('shapgvba purpx_urnqre(){vs(!(shapgvba_rkvfgf(&quot;purpx_shapgvbaf&quot;)&&shapgvba_rkvfgf(&quot;purpx_s_sbbgre&quot;))){rpub(\'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\');qvr;}}'));
Code:
<?php
function wp_list_addonn(){
echo base64_decode(&quot;PGEgaHJlZj0iaHR0cDovL3d3dy5yb3lhbC1hdXRvLmluZm8vIj5CcmFidXM8L2E+CjxhIGhyZWY9Imh0dHA6Ly93d3cucGVubmZvcmxpZmUuY29tLyI+bW9ydGdhZ2UgY2FsY3VsYXRvcjwvYT4=&quot;);
} ?>

sidebar.php

Code:
<div class=&quot;widget_addn&quot;><?php wp_list_addonn() ?></div>

header.php

Code:
<?php
echo(str_rot13('shapgvba purpx_s_sbbgre(){vs(!(shapgvba_rkvfgf(&quot;purpx_sbbgre&quot;)&&shapgvba_rkvfgf(&quot;purpx_urnqre&quot;))){rpub(\'Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\');qvr;}}purpx_s_sbbgre();'));
?>

Setelah itu kita bisa mengedit-edit deh footer.phpnya.😛 Semoga artikel singkat dan gak terlalu ribet ini bisa berguna buat kita semua. Kalo ada kesalahan dalam penulisan atau ada yang kurang jelas saya mohon maaf dan silahkan ditanya…

Resources
http://jorbyn.com/decode-enskripsi-f…wordpress.html

Sources
http://cruzenaldo.com/themes-wordpress-terenkripsi/

thanks :

Published on 27-07-2010 on jasakom..

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s