A Timthumb biztonsági rése sok WordPress-webhelyet okoz, amelyeket a Google blokkolt

A Google Malware figyelmeztetései elkezdtek megjelenniaz interneten a hónap elején és még most is, a webhelyeket továbbra is megfertőzik autonóm internetes szkriptek. Ha egy WordPress-webhelyet futtat egy egyedi prémium témával, akkor a webhely felkeresésekor már láthatja a fenti üzenetet (remélhetőleg nem….). A probléma a Timthumb nevű népszerű képmanipulációs szkriptben a közelmúltban felfedezett sebezhetőséggel kapcsolatos. A szkript nagyon népszerű a prémium WordPress témák körében, ami ezt a kihasználást különösen veszélyesnek tekinti, mivel a kód kihasználása már több hétig vadon van. A jó hír az, hogy nemcsak a fertőzés észlelésének áttekintését fogom áttekinteni, hanem a blog javítását is, hogy elsősorban a fertőzés elkerülhető legyen.

Hogyan ellenőrizhető-e probléma?

Amellett, hogy a fentiekhez hasonló figyelmeztetést lát a Chrome-ban a webhely látogatása közben, két egyszerű módszerrel ellenőrizheti, hogy a WordPress telepítése nem fertőzött-e meg.

Az első egy Sucuri által tervezett külső WordPress-szkenner: http://sitecheck.sucuri.net/scanner/

A második egy szerveroldali szkripttöltsön fel webhelyére, majd töltsön be egy böngészőből. Ez elérhető a http://sucuri.net/tools/sucuri_wp_check.txt weboldalon, és letöltés után át kell nevezni, a Sucuri alábbi utasításai szerint:

1. Mentse el a szkriptet a helyi gépen a jobb egérgombbal kattintva, és mentse el a linket
2. Jelentkezzen be a webhelyére sFTP-n vagy FTP-n keresztül (javasoljuk az sFTP / SSH-t)
3. Töltse fel a szkriptet a gyökér WordPress könyvtárba
4. Nevezze át a sucuri_wp_check.txt fájlt a sucuri_wp_check.php fájlra
5. Futtassa a szkriptet a választott böngészőn keresztül - yourdomain.com/sucuri_wp_check.php - Győződjön meg arról, hogy megváltoztatta a domain URL-címét, bárhová töltötte fel a fájlt
6. Ellenőrizze az eredményeket

Ha a szkennerek bármit megfertőztettek, akkor az megtörténikazonnal meg akarja távolítani a fertőzött fájlokat. De még akkor is, ha a szkennerek „minden tiszta” feliratot mutatnak, akkor valószínűleg továbbra is problémája van az aktuális ütemterv-telepítéssel.

Hogyan tudom megjavítani?

Először is, ha még nem tette meg - készítsen biztonsági másolatot, és töltsön le egy WordPress könyvtár és a MySQL adatbázis másolatát. A MySQL adatbázis biztonsági mentésével kapcsolatos utasításokat a WordPress kódex. Lehet, hogy biztonsági másolatában hulladékot tartalmaz, de jobb, mint a semmiből indítani.

Ezután ragadja meg a timthumb legújabb verzióját a http://timthumb.googlecode.com/svn/trunk/timthumb.php webhelyen.

Biztosítanunk kell az új timbthumb .php fájlt, és úgy kell létrehoznunk, hogy a külső webhelyek nem aktiválhatják a futtató szkripteket. Ehhez hajtsa végre az alábbi lépéseket:

1. Használjon olyan szövegszerkesztőt, mint a Notepad ++, és lépjen a timbthumb.php 27. sorára - olvasnia kell $ lubatudSites = tömb (
2. Távolítsa el az összes felsorolt ​​webhelyet, például az „imgur.com” és a „tinypic.com”.
3. Az összes eltávolítása után a zárójelnek most üresnek és bezáródónak kell lennie: $ lubatudSites = tömb();
4. Változtatások mentése.

Oké, most, hogy az új timbthumb parancsfájl biztonságos, FTP vagy SSH használatával kapcsolódnia kell a webhely szerveréhez. A legtöbb timpthumb-t használó WordPress egyedi témában a WP-contentthemes [themeName] mappába. Törölje a régi hangzást.php, és cserélje le az újra. Ha a timbthumb több mint egy példánya van a szerveren, akkor mindenképpen cserélje ki mindet - ne feledje, hogy néha csak hívják thumb.php.

Miután frissítette a timbthumb-ot az internetenkiszolgálón, és törölte a fenti szkennerek által felismert fájlokat, többé-kevésbé jó az út. Ha úgy gondolja, hogy egy kicsit későn frissíthet, és valószínűleg már megfertőződött, akkor azonnal vegye fel a kapcsolatot a webes hostdal, és kérje meg őket, hogy végezzék el a webszerver teljes AV-vizsgálatát. Remélhetőleg ez segíthet javítani, különben vissza kell térnie a biztonsági másolathoz.