Timthumb-haavoittuvuus tekee monet Googlen estämät WordPress-sivustot

Google Malware -varoitukset alkoivat ilmestyä kaikkiaInternetissä tämän kuukauden alussa ja jopa nyt, sivustot tarttuvat edelleen itsenäisillä Internet-skripteillä. Jos käytät WordPress-sivustoa mukautetulla premium-teemalla, saatat jo nähdä yllä olevan viestin, kun yrität käydä verkkosivustollasi (Toivottavasti ei….). Ongelma liittyy haavoittuvuuteen, joka äskettäin löydettiin suositusta kuvankäsittelyohjelmasta, nimeltään Timthumb. Skripti on erittäin suosittu premium-WordPress-teemoissa, mikä tekee tästä hyväksikäytöstä erityisen vaarallisen, koska koodin hyväksikäyttö on ollut luonnossa jo useita viikkoja. Hyvä uutinen on, että aion tarkistaa paitsi miten saada selville, että olet jo saanut tartunnan, mutta myös kuinka laastarin blogiisi estää tartuntaa.

Kuinka tarkistaa, onko sinulla ongelma

Sen lisäksi, että näet Chromessa samanlaisen varoituksen kuin yllä käydessäsi sivustollasi, on kaksi helppoa tapaa nähdä, onko WordPress-asennuksesi tartunnan saanut.

Ensimmäinen on Sucurin suunnittelema ulkoinen WordPress-skanneri: http://sitecheck.sucuri.net/scanner/

Toinen on palvelinpuolen komentosarjalataa sivustollesi ja lataa sitten selaimella. Tämä on saatavana osoitteessa http://sucuri.net/tools/sucuri_wp_check.txt, ja se on nimettävä uudelleen lataamisen jälkeen alla olevien Sucurin ohjeiden mukaisesti:

1. Tallenna skripti paikalliselle koneellesi napsauttamalla hiiren kakkospainikkeella yllä olevaa linkkiä ja tallenna linkki nimellä
2. Kirjaudu sivustoosi sFTP: n tai FTP: n kautta (suosittelemme sFTP / SSH)
3. Lataa skripti juuri WordPress-hakemistoon
4. Nimeä sucuri_wp_check.txt uudelleen nimeksi sucuri_wp_check.php
5. Suorita skripti valitsemasi selaimen kautta - omaverkkotunnuksesi.com/sucuri_wp_check.php - Muista vaihtaa verkkotunnuksesi URL-osoite ja missä ikinä olet ladannut tiedoston
6. Tarkista tulokset

Jos skannerit tarttuvat tartunnan saaneisiin, saathaluat poistaa tartunnan saaneet tiedostot suoraan heti. Mutta vaikka skannerit osoittaisivat "kaikki selkeät", todennäköisesti silti esiintyy ongelma varsinaisessa timpumin asennuksessa.

Kuinka voin korjata sen?

Ensinnäkin, jos et ole vielä tehnyt niin - varmuuskopioi ja lataa kopio WordPress-hakemistosta ja MySQL-tietokannasta. Katso ohjeet MySQL-tietokannan varmuuskopioinnista WordPress Codex. Varmuuskopiosi voi sisältää roskaa, mutta se on parempi kuin aloittaa tyhjästä.

Ota seuraavaksi timthumbin uusin versio osoitteessa http://timthumb.googlecode.com/svn/trunk/timthumb.php

Nyt meidän on turvattava uusi timbthumb .php ja tehtävä siitä, jotta ulkoiset sivustot eivät voi aktivoida ajon komentosarjoja. Voit tehdä tämän seuraavasti:

1. Käytä tekstieditoria, kuten Notepad ++, ja siirry riville 27 timbthumb.php - Sen pitäisi lukea $ sallitut sivustot = taulukko (
2. Poista kaikki luetellut sivustot, kuten “imgur.com” ja “tinypic.com”
3. Kun olet poistanut kaiken, sulujen on nyt oltava tyhjiä ja suljettuja seuraavasti: $ sallitut sivustot = taulukko();
4. Tallenna muutokset.

Okei, nyt kun uusi timbthumb-skriptisi on suojattu, sinun on muodostettava yhteys verkkosivustosi palvelimeen FTP: n tai SSH: n kautta. Useimmissa timpthumbia käyttävissä WordPress-mukautetuissa teemoissa se sijaitsee wp-contentthemes [THEMENAME] kansio. Poista vanha timbumumb.php ja korvata se uudella. Jos palvelimellasi on enemmän kuin yksi kopio timbthumb-tiedostosta, sinun on ehdottomasti korvattava kaikki ne - huomioi, että joskus heitä vain kutsutaan thumb.php.

Kun olet päivittänyt timbthumb -verkkosipalvelimelle ja puhdistanut kaikki yllä olevien skannerien havaitset tiedostot, olet enemmän tai vähemmän hyvä menemään. Jos arvelet päivittää vähän myöhässä ja saatat jo olla tartunnan saanut, ota heti yhteyttä verkko-isäntään ja pyydä häntä tekemään Web-palvelimellesi täydellinen AV-skannaus. Toivottavasti sitten voi auttaa korjaamaan tilanteen, muuten joudut ehkä palauttamaan varmuuskopion.