Luka w zabezpieczeniach Timthumb renderuje wiele witryn Wordpress zablokowanych przez Google

The Ostrzeżenia Google przed złośliwym oprogramowaniem zaczął pojawiać się w Internecie na początku tego miesiąca i nawet teraz strony nadal są infekowane przez autonomiczne skrypty internetowe. Jeśli prowadzisz witrynę WordPress z niestandardowym motywem premium, możesz już zobaczyć powyższą wiadomość podczas próby odwiedzenia witryny (mam nadzieję, że nie….). Problem tkwi w podatności odkrytej ostatnio w popularnym skrypcie do obróbki zdjęć o nazwie Timthumb. Skrypt jest bardzo popularny wśród najlepszych motywów WordPress, co czyni ten exploit szczególnie niebezpiecznym, ponieważ kod exploita jest na wolności od kilku tygodni. Dobrą wiadomością jest to, że omówię nie tylko instrukcje wykrywania, czy jesteś już zarażony, ale także sposoby łatania bloga, aby zapobiec zarażeniu.

Jak sprawdzić, czy masz problem

Oprócz wyświetlania ostrzeżenia w przeglądarce Chrome podobnego do powyższego podczas odwiedzania witryny, istnieją dwa proste sposoby sprawdzenia, czy instalacja WordPress została zainfekowana.

Pierwszy to zewnętrzny skaner wordpress zaprojektowany przez Sucuri: http://sitecheck.sucuri.net/scanner/

Drugi to skrypt po stronie serwera, który przesyłasz na swoją stronę, a następnie ładujesz z przeglądarki internetowej. Jest to dostępne pod adresem http://sucuri.net/tools/sucuri_wp_check.txt i będzie musiał zostać zmieniony po pobraniu zgodnie z instrukcjami Sucuri poniżej:

1. Zapisz skrypt na komputerze lokalnym, klikając prawym przyciskiem myszy powyższy link i zapisz link jako
2. Zaloguj się do swojej witryny przez sFTP lub FTP (zalecamy sFTP / SSH)
3. Prześlij skrypt do głównego katalogu WordPress
4. Zmień nazwę sucuri_wp_check.txt na sucuri_wp_check.php
5. Uruchom skrypt za pomocą wybranej przeglądarki - twojadomena.com/sucuri_wp_check.php - Upewnij się, że zmieniłeś ścieżkę URL do swojej domeny i gdziekolwiek przesłałeś plik
6. Sprawdź wyniki

Jeśli skanery wykrywają zainfekowane pliki, natychmiast chcesz je bezpośrednio usunąć. Ale nawet jeśli skanery pokazują „wszystko jasne”, prawdopodobnie nadal masz problem z faktyczną instalacją czasową.

Jak to naprawić?

Po pierwsze, jeśli jeszcze tego nie zrobiłeś - wykonaj kopię zapasową i pobierz kopię katalogu WordPress i bazy danych MySQL. Instrukcje dotyczące tworzenia kopii zapasowej bazy danych MySQL znajdują się w Kodeks WordPress. Twoja kopia zapasowa może zawierać śmieci, ale lepiej niż zaczynać od zera.

Następnie pobierz najnowszą wersję timthumb o http://timthumb.googlecode.com/svn/trunk/timthumb.php

Teraz musimy zabezpieczyć nowy plik timphthumb .php i sprawić, aby zewnętrzne witryny nie mogły aktywować uruchamianych skryptów. Aby to zrobić, wykonaj następujące kroki:

1. Użyj edytora tekstu, takiego jak Notepad ++ i przejdź do wiersza 27 w timbthumb.php - Powinien przeczytać $ allowedSites = array (
2. Usuń wszystkie wymienione witryny, takie jak „imgur.com” i „tinypic.com”
3. Po usunięciu wszystkiego nawias powinien być teraz pusty i zamknięty w następujący sposób: $ allowedSites = array();
4. Zapisz zmiany.

OK, teraz, gdy nowy skrypt timbthumb jest bezpieczny, musisz połączyć się z serwerem swojej witryny przez FTP lub SSH. W większości niestandardowych motywów WordPress, które używają timbthumb, znajduje się w wp-content \ themes \ [themename] teczka. Usuń stary timbhumb.php i zastąp go nowym. Jeśli masz więcej niż jedną kopię timbthumb na swoim serwerze, musisz koniecznie wymienić WSZYSTKIE z nich - pamiętaj, że czasami będą one po prostu wywoływane thumb.php.

Po zaktualizowaniu timbthumb na serwerze internetowym i usunięciu plików wykrytych przez powyższe skanery, jesteś mniej lub bardziej dobry. Jeśli uważasz, że możesz trochę zaktualizować do późna i być może już jesteś zainfekowany, powinieneś natychmiast skontaktować się z usługodawcą internetowym i poprosić go o wykonanie pełnego skanowania AV twojego serwera. Mamy nadzieję, że to pomoże Ci to naprawić, w przeciwnym razie może być konieczne przywrócenie kopii zapasowej.