Sårbarhed ved Timhops gør mange WordPress-websteder blokeret af Google

Advarslerne om Google Malware startede alleover internettet tidligt i denne måned og endda nu inficeres sider stadig af autonome internet-scripts. Hvis du kører et WordPress-sted med et tilpasset premium-tema, ser du muligvis allerede ovenstående meddelelse, når du prøver at besøge dit websted (forhåbentlig ikke….). Problemet ligger i en sårbarhed, der for nylig blev opdaget i et populært billedmanipulationskript kaldet Timbour. Skriptet er meget populært blandt premium WordPress-temaer, hvilket gør denne udnyttelse særligt farlig, idet udnyttelseskode allerede har været i naturen i flere uger. Den gode nyhed er, jeg vil ikke kun gennemgå, hvordan du kan opdage, om du allerede er blevet inficeret, men også, hvordan du laver din blog for at forhindre, at du inficeres i første omgang.

Sådan kontrolleres, om du har et problem

Bortset fra at se en advarsel i Chrome, der ligner den ovenfor, mens du besøger dit websted, er der to nemme måder at se, om din WordPress-installation er blevet inficeret.

Den første er en ekstern wordpress-scanner designet af Sucuri: http://sitecheck.sucuri.net/scanner/

Det andet er et serversidescript, som duuploade til dit websted og derefter indlæses fra en webbrowser. Dette er tilgængeligt på http://sucuri.net/tools/sucuri_wp_check.txt og skal omdøbes efter download i henhold til Sucuris instruktioner nedenfor:

1. Gem script på din lokale maskine ved at højreklikke på linket ovenfor og gem link som
2. Log ind på dit websted via sFTP eller FTP (Vi anbefaler sFTP / SSH)
3. Upload scriptet til dit rod WordPress-bibliotek
4. Omdøb sucuri_wp_check.txt til sucuri_wp_check.php
5. Kør scriptet via den valgte browser - dit domæne.com/sucuri_wp_check.php - Sørg for at ændre URL-stien til dit domæne, og uanset hvor du uploadede filen
6. Kontroller resultaterne

Hvis scannerne henter noget inficeret, gør du detvil straks fjerne de inficerede filer. Men selv hvis scannerne viser "alle klare", har du sandsynligvis stadig et problem med din faktiske timúminstallation.

Hvordan løser jeg det?

Først, hvis du ikke allerede har gjort det - sikkerhedskopier og download en kopi af dit WordPress-bibliotek og din MySQL-database. For instruktioner om sikkerhedskopiering af MySQL-databasen se WordPress Codex. Din sikkerhedskopi kan muligvis indeholde skrammel, men det er bedre end at starte fra intet.

Derefter skal du få fat i den nyeste version af timoem på http://timebrit.googlecode.com/svn/trunk/timebrit.php

Nu er vi nødt til at sikre det nye timbumn .php og gøre det, så eksterne sider ikke kan aktivere køreskripts. Følg disse trin for at gøre dette:

1. Brug en teksteditor som Notepad ++ og gå til linje 27 i timbebrit.php - Den skal læse $ allowSites = array (
2. Fjern alle de nævnte websteder, f.eks. "Imgur.com" og "tinypic.com"
3. Efter fjernelse af alt skal parentesen nu være tom og lukket på denne måde: $ allowSites = matrix();
4. Gem ændringer.

Okay, nu når dit nye timbumn-script er sikkert, skal du oprette forbindelse til dit websteds server via FTP eller SSH. I de fleste WordPress tilpassede temaer, der bruger timbúm, er det placeret i wp-contentthemes [THEMENAME] folder. Slet den gamle timbumbum.php og udskift den med den nye. Hvis du har mere end en kopi af timbúm på din server, skal du være sikker på at udskifte ALLE af dem - bemærk, at de nogle gange bare bliver kaldt thumb.php.

Når du har opdateret timbemony på din webserver og ryddet nogen af ​​filerne, der blev fundet af ovenstående scannere, er du mere eller mindre god til at gå. Hvis du tror, ​​at du muligvis opgraderer lidt til sent, og at du muligvis allerede er inficeret, skal du straks kontakte din webhost og bede dem om at udføre en fuld AV-scanning af din webserver. Forhåbentlig kan så hjælpe med at rette dig op ellers skal du muligvis vende tilbage til en sikkerhedskopi.