Το ευπάθεια Timthumb δημιουργεί πολλές τοποθεσίες WordPress που έχουν αποκλειστεί από το Google

Οι προειδοποιήσεις Malware του Google άρχισαν να εμφανίζονται όλαμέσω του Διαδικτύου στις αρχές αυτού του μήνα και ακόμη και τώρα, οι περιοχές εξακολουθούν να μολύνονται από αυτόνομα σενάρια στο Διαδίκτυο. Εάν εκτελείτε έναν ιστότοπο WordPress με ένα θέμα προσαρμοσμένης διαφήμισης, ενδέχεται να βλέπετε ήδη το παραπάνω μήνυμα όταν προσπαθείτε να επισκεφθείτε τον ιστότοπό σας (Ελπίζω όχι….). Το πρόβλημα έγκειται σε μια ευπάθεια που ανακαλύφθηκε πρόσφατα σε ένα δημοφιλές χειρόγραφο χειρισμού εικόνων που ονομάζεται Timthumb. Το σενάριο είναι πολύ δημοφιλές μεταξύ των θεμάτων WordPress premium που καθιστά αυτή την εκμετάλλευση ιδιαίτερα επικίνδυνη δεδομένου ότι ο κώδικας εκμετάλλευσης έχει βρεθεί στην ύπαιθρο για αρκετές εβδομάδες ήδη. Τα καλά νέα είναι ότι πρόκειται να αναθεωρήσω όχι μόνο πώς-να ανιχνεύσω αν έχετε ήδη μολυνθεί, αλλά και πώς-για να διορθώσετε το ιστολόγιό σας για να αποφύγετε να μολυνθείτε στην πρώτη θέση.

Πώς να ελέγξετε αν έχετε κάποιο πρόβλημα

Εκτός από την εμφάνιση μιας προειδοποίησης στο Chrome παρόμοια με αυτή που περιγράφεται παραπάνω, κατά την επίσκεψή σας στον ιστότοπό σας, υπάρχουν δύο εύκολοι τρόποι να διαπιστώσετε εάν η εγκατάσταση του WordPress έχει μολυνθεί.

Ο πρώτος είναι ένας εξωτερικός σαρωτής wordpress που σχεδίασε η Sucuri: http://sitecheck.sucuri.net/scanner/

Το δεύτερο είναι ένα script server side που εσείςμεταφορτώστε στον ιστότοπό σας και φορτώστε από ένα πρόγραμμα περιήγησης ιστού. Αυτό είναι διαθέσιμο στη διεύθυνση http://sucuri.net/tools/sucuri_wp_check.txt και θα πρέπει να μετονομαστεί μετά τη λήψη σύμφωνα με τις οδηγίες του Sucuri παρακάτω:

1. Αποθηκεύστε το σενάριο στο τοπικό σας μηχάνημα κάνοντας δεξί κλικ στον παραπάνω σύνδεσμο και αποθηκεύσετε τον σύνδεσμο ως
2. Σύνδεση στον ιστότοπό σας μέσω sFTP ή FTP (Συνιστούμε sFTP / SSH)
3. Μεταφορτώστε τη δέσμη ενεργειών στον κατάλογο root του WordPress
4. Μετονομάστε το sucuri_wp_check.txt στο sucuri_wp_check.php
5. Εκτελέστε το σενάριο μέσω του προγράμματος περιήγησης της επιλογής σας - yourdomain.com/sucuri_wp_check.php - Βεβαιωθείτε ότι έχετε αλλάξει τη διαδρομή της διεύθυνσης URL στον τομέα σας και από όπου και αν ανεβάσατε το αρχείο
6. Ελέγξτε τα αποτελέσματα

Εάν οι σαρωτές τραβήξουν οτιδήποτε μολυνθεί, θα το κάνετεθέλετε να αφαιρέσετε άμεσα τα μολυσμένα αρχεία αμέσως. Αλλά, ακόμη και αν οι σαρωτές δείχνουν "όλα ξεκάθαρα", πιθανόν να έχετε πρόβλημα με την πραγματική εγκατάσταση του timthumb.

Πώς μπορώ να το διορθώσω;

Πρώτον, εάν δεν το έχετε ήδη κάνει -backup και κατεβάσετε ένα αντίγραφο του καταλόγου WordPress και της βάσης δεδομένων MySQL. Για οδηγίες σχετικά με τη δημιουργία αντιγράφων ασφαλείας της βάσης δεδομένων MySQL, δείτε το WordPress Codex. Το αντίγραφο ασφαλείας μπορεί να περιέχει σκουπίδια, αλλά είναι καλύτερο από το ξεκίνημα από τίποτα.

Στη συνέχεια, αρπάξτε την τελευταία έκδοση του timthumb στη διεύθυνση http://timthumb.googlecode.com/svn/trunk/timthumb.php

Τώρα πρέπει να εξασφαλίσουμε το νέο timbthumb .php και να το κάνουμε έτσι ώστε οι εξωτερικοί ιστότοποι να μην μπορούν να ενεργοποιήσουν τις δέσμες ενεργειών εκτέλεσης. Για να το κάνετε αυτό ακολουθήστε τα εξής βήματα:

1. Χρησιμοποιήστε έναν επεξεργαστή κειμένου όπως το Notepad ++ και μεταβείτε στη γραμμή 27 στο timbthumb.php - Θα πρέπει να διαβάσετε $ allowedSites = πίνακα (
2. Καταργήστε όλους τους ιστότοπους που αναφέρονται, όπως "imgur.com" και "tinypic.com"
3. Αφού αφαιρέσετε τα πάντα, η παρένθεση πρέπει τώρα να είναι κενή και κλειστή ως εξής: $ allowedSites = πίνακα().
4. Αποθήκευσε τις αλλαγές.

Εντάξει, τώρα που το νέο σας script timbthumb είναι ασφαλές, θα πρέπει να συνδεθείτε στο διακομιστή του ιστοτόπου σας μέσω FTP ή SSH. Στα περισσότερα WordPress προσαρμοσμένα θέματα που χρησιμοποιούν timbthumb, βρίσκεται στο wp-contentthemes [το όνομα] ντοσιέ. Διαγράψτε το παλιό timbhumb.php και αντικαταστήστε το με το νέο. Εάν έχετε περισσότερα από ένα αντίγραφα του timbthumb στο διακομιστή σας, θα πρέπει να είστε βέβαιος να αντικαταστήσετε ΟΛΑ τους - σημειώστε ότι μερικές φορές θα κληθούν απλά thumb.php.

Αφού ενημερώσετε το timbthumb στον ιστό σαςδιακομιστή και να διαγράψει οποιοδήποτε από τα αρχεία που εντοπίστηκαν από τους παραπάνω σαρωτές, είστε περισσότερο ή λιγότερο καλός για να προχωρήσετε. Αν νομίζετε ότι μπορεί να αναβαθμίσετε λίγο αργά και ίσως να έχετε ήδη μολυνθεί, θα πρέπει να επικοινωνήσετε αμέσως με τον οικοδεσπότη Ιστού σας και να του ζητήσετε να πραγματοποιήσει πλήρη ανίχνευση AV του διακομιστή ιστού σας. Ας ελπίσουμε ότι στη συνέχεια μπορεί να σας βοηθήσει να επιδιορθώσετε ya αλλιώς ίσως χρειαστεί να επιστρέψετε πίσω σε ένα αντίγραφο ασφαλείας.