Zagrożenia związane z podatnością na luki Timthumb Wiele witryn WordPress zablokowanych przez Google

Ostrzeżenia o złośliwym oprogramowaniu Google zaczęły pojawiać się w Internecie na początku tego miesiąca, a nawet teraz witryny są nadal infekowane przez autonomiczne skrypty internetowe. Jeśli korzystasz z witryny WordPress z niestandardowym motywem premium, być może już widzisz powyższy komunikat podczas próby odwiedzenia witryny ( mam nadzieję, że nie ... ). Problem tkwi w niedawno odkrytej luce w popularnym skrypcie do obróbki zdjęć o nazwie Timthumb. Skrypt ten jest bardzo popularny wśród najlepszych motywów WordPress, co czyni tę exploitę szczególnie niebezpieczną, ponieważ kod wykorzystujący exploity działa już od kilku tygodni. Dobrą wiadomością jest to, że sprawdzę nie tylko, jak wykryć, czy już jesteś zainfekowany, ale także jak załatać swojego bloga, aby zapobiec infekcjom w pierwszej kolejności.

Jak sprawdzić, czy masz problem

Poza wyświetleniem ostrzeżenia w Chrome podobnego do powyższego podczas odwiedzania witryny, istnieją dwa proste sposoby sprawdzenia, czy twoja instalacja WordPressa została zainfekowana.

Pierwszy to zewnętrzny skaner wordpress zaprojektowany przez Sucuri: http://sitecheck.sucuri.net/scanner/

Drugi to skrypt po stronie serwera, który można przesłać do witryny, a następnie załadować z przeglądarki internetowej. Jest to dostępne na stronie http://sucuri.net/tools/sucuri_wp_check.txt i będzie musiała zostać zmieniona po pobraniu zgodnie z instrukcjami poniżej Sucuri:

    1. Zapisz skrypt na komputerze lokalnym, klikając prawym przyciskiem myszy powyższy link i zapisz link jako
    2. Zaloguj się do swojej witryny przez sFTP lub FTP (zalecamy sFTP / SSH)
    3. Prześlij skrypt do katalogu głównego WordPress
    4. Zmień nazwę pliku sucuri_wp_check.txt na sucuri_wp_check.php
    5. Uruchom skrypt przez wybraną przeglądarkę - twojadomena.com/sucuri_wp_check.php - Upewnij się, że zmieniłeś ścieżkę URL do swojej domeny i gdziekolwiek przesyłasz plik
    6. Sprawdź wyniki

Jeśli skanery wykryją coś zainfekowanego, natychmiast usuń zainfekowane pliki. Ale nawet jeśli skanery pokazują "wszystko jest w porządku", najprawdopodobniej nadal masz problem z rzeczywistą instalacją timthumb.

Jak mogę to naprawić?

Po pierwsze, jeśli jeszcze tego nie zrobiłeś - pobierz i pobierz kopię swojego katalogu WordPress i swojej bazy danych MySQL. Aby uzyskać instrukcje dotyczące tworzenia kopii zapasowej bazy danych MySQL, zobacz Kodeks WordPress. Twoja kopia zapasowa może zawierać śmieci, ale lepiej jest zacząć niż z niczego.

Następnie pobierz najnowszą wersję timthumb na http://timthumbumb.googlecode.com/svn/trunk/timthumb.php

Teraz musimy zabezpieczyć nowy timbthumb .php i sprawić, aby zewnętrzne strony nie mogły aktywować uruchamiania skryptów. Aby to zrobić, wykonaj następujące kroki:

  1. Użyj edytora tekstowego takiego jak Notepad ++ i przejdź do linii 27 w timbthumb.php - Powinno to odczytać $ allowedSites = array (
  2. Usuń wszystkie wymienione witryny, takie jak "imgur.com" i "tinypic.com"
  3. Po usunięciu wszystkiego nawias powinien być teraz pusty i zamknięty w następujący sposób: $ allowedSites = array ();
  4. Zapisz zmiany.

Okay, skoro twój nowy skrypt timbthumb jest bezpieczny, musisz połączyć się z serwerem swojej witryny za pomocą FTP lub SSH. W większości niestandardowych kompozycji WordPress używających timbthumb znajduje się w folderze wp-content \ themes \ [themename] . Usuń stary timbhumb.php i zastąp go nowym. Jeśli masz więcej niż jedną kopię timbthumb na swoim serwerze, musisz koniecznie wymienić WSZYSTKIE z nich - zauważ, że czasami będą one nazywane tylko thumb.php.

Po zaktualizowaniu timbthumb na swoim serwerze WWW i usunięciu wszystkich plików wykrytych przez powyższe skanery, jesteś mniej lub bardziej dobry. Jeśli wydaje Ci się, że możesz nieco się spóźnić, a być może już jesteś zainfekowany, powinieneś natychmiast skontaktować się ze swoim usługodawcą internetowym i poprosić go o wykonanie pełnego skanu AV twojego serwera. Mamy nadzieję, że pomoże Ci to naprawić, w przeciwnym razie może zajść potrzeba przywrócenia kopii zapasowej.