Timthumb Zranitelnost vykresluje mnoho webů WordPress Blocked Google

Varování Google Malware začala objevovat všepřes internet začátkem tohoto měsíce a dodnes jsou weby stále infikovány autonomními internetovými skripty. Pokud provozujete web WordPress s vlastním prémiovým motivem, možná se vám již při pokusu o návštěvu webu zobrazí výše uvedená zpráva (snad ne….). Problém spočívá v zranitelnosti nedávno objevené v populárním skriptu pro manipulaci s obrázky zvaném Timthumb. Skript je velmi oblíbený mezi prémiovými tématy WordPress, díky nimž je toto zneužití obzvláště nebezpečné, protože zneužívající kód je v přírodě už několik týdnů. Dobrou zprávou je, že budu přezkoumávat nejen to, jak zjistit, zda jste již byli infikováni, ale také, jak napravit váš blog, aby se zabránilo nakažení na prvním místě.

Jak zkontrolovat, zda máte problém

Kromě toho, že se v Chromu při návštěvě vašeho webu zobrazí upozornění podobné výše uvedenému, existují dva jednoduché způsoby, jak zjistit, zda byla instalace aplikace WordPress infikována.

Prvním z nich je externí wordpress scanner navržený společností Sucuri: http://sitecheck.sucuri.net/scanner/

Druhým je skript na straně serveru, který vynahrajte na svůj web a poté načtěte z webového prohlížeče. Je k dispozici na adrese http://sucuri.net/tools/sucuri_wp_check.txt a po stažení bude muset být přejmenováno podle níže uvedených pokynů Sucuri:

1. Skript uložte do místního počítače kliknutím pravým tlačítkem myši na odkaz výše a odkaz uložte jako
2. Přihlaste se na svůj web pomocí sFTP nebo FTP (doporučujeme sFTP / SSH)
3. Nahrajte skript do kořenového adresáře WordPress
4. Přejmenujte sucuri_wp_check.txt na sucuri_wp_check.php
5. Spusťte skript pomocí vybraného prohlížeče - yourdomain.com/sucuri_wp_check.php - Ujistěte se, že změníte cestu URL k vaší doméně a kdekoli jste soubor nahráli.
6. Zkontrolujte výsledky

Pokud skenery vytáhnou něco infikovaného, ​​budetechcete okamžitě odstranit infikované soubory. Ale i když skenery ukazují „vše jasné“, pravděpodobně máte stále problém se skutečnou instalací časové osy.

Jak to opravit?

Nejprve, pokud jste tak ještě neučinili - zálohujte a stáhněte si kopii adresáře WordPress a databáze MySQL. Pokyny pro zálohování databáze MySQL naleznete v WordPress Codex. Vaše záloha může obsahovat nevyžádané, ale je to lepší, než začít od ničeho.

Poté uchopte nejnovější verzi timthumb na adrese http://timthumb.googlecode.com/svn/trunk/timthumb.php

Nyní musíme zabezpečit nový timbthumb .php a zajistit, aby externí weby nemohly aktivovat spouštěcí skripty. Postupujte takto:

1. Použijte textový editor jako Notepad ++ a přejděte na řádek 27 v timbthumb.php - měl by číst $ enabledSites = array (
2. Odstraňte všechny uvedené weby, například „imgur.com“ a „tinypic.com“
3. Po odstranění všeho by měla být závorka nyní prázdná a uzavřená takto: $ enabledSites = array();
4. Uložit změny.

Dobře, nyní, když je váš nový skript timbthumb zabezpečený, budete se muset připojit k serveru vašeho webu přes FTP nebo SSH. Ve většině vlastních motivů WordPress, které používají timbthumb, je umístěn v wp-contentthemes [themename] složku. Odstraňte staré timbhumb.php a nahraďte jej novým. Pokud máte na serveru více než jednu kopii timbthumbu, musíte je všechny nahradit. Všimněte si, že někdy budou jen zavolány thumb.php.

Jakmile aktualizujete timbthumb na svém webuserver a vymazal všechny soubory, které byly detekovány výše uvedenými skenery, je víceméně dobré jít. Pokud si myslíte, že byste mohli upgradovat trochu pozdě a už jste mohli být infikováni, měli byste okamžitě kontaktovat svého hostitele a požádat ho, aby provedl úplné AV skenování vašeho webového serveru. Doufejme tedy, že vám to pomůže opravit, jinak by bylo nutné vrátit se zpět k záloze.